Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im [Blog-Posting](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Connect Redshift mit AWS IAM Identity Center für ein Single-Sign-On-Erlebnis
Sie können den Benutzer- und Gruppenzugriff auf Amazon-Redshift-Data-Warehouses über die Verbreitung vertrauenswürdiger Identitäten verwalten.
[Die Verbreitung vertrauenswürdiger Identitäten](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) ist eine AWS IAM Identity Center Funktion, mit der Administratoren von Connected den Zugriff auf Servicedaten gewähren und prüfen AWS-Services können. Der Zugriff auf diese Daten basiert auf Benutzerattributen wie Gruppenzuordnungen. Die Einrichtung der Verbreitung vertrauenswürdiger Identitäten erfordert die Zusammenarbeit zwischen den Administratoren von Connected AWS-Services und den IAM Identity Center-Administratoren. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).
Um einen end-to-end Fall zu veranschaulichen, können Sie ein Amazon Quick Dashboard oder den Amazon Redshift Query Editor v2 verwenden, um auf Redshift zuzugreifen. Der Zugriff basiert in diesem Fall auf AWS IAM Identity Center-Gruppen. Redshift kann feststellen, wer ein Benutzer ist und welche Gruppenmitgliedschaften er hat. AWS IAM Identity Center ermöglicht es auch, Identitäten über einen externen Identitätsanbieter (IdP) wie Okta oder zu verwalten. PingOne
Nachdem Ihr Administrator die Verbindung zwischen Redshift und AWS IAM Identity Center eingerichtet hat, kann er einen differenzierten Zugriff auf der Grundlage von Identitätsanbietergruppen konfigurieren, um den Benutzerzugriff auf Daten zu autorisieren.
**Wichtig**
Wenn Sie einen Benutzer aus einem AWS IAM Identity Center- oder einem Connected Identity Provider (IdP) -Verzeichnis löschen, wird der Benutzer nicht automatisch aus dem Amazon Redshift Redshift-Katalog gelöscht. Um den Benutzer manuell aus dem Amazon Redshift Redshift-Katalog zu löschen, führen Sie den `DROP USER` Befehl aus, um den Benutzer, der aus einem AWS IAM Identity Center oder IdP entfernt wurde, vollständig zu löschen. Weitere Informationen zum Löschen eines Benutzers finden Sie unter [DROP USER](https://docs.aws.amazon.com/redshift/latest/dg/r_DROP_USER.html) im *Amazon-Redshift-Datenbankentwicklerhandbuch*.
## Vorteile der Redshift-Integration mit AWS IAM Identity Center
Die Verwendung von AWS IAM Identity Center mit Redshift kann Ihrem Unternehmen auf folgende Weise zugute kommen:
+ Dashboard-Autoren Amazon Quick können eine Verbindung zu Redshift-Datenquellen herstellen, ohne Passwörter erneut eingeben zu müssen oder dass ein Administrator IAM-Rollen mit komplexen Berechtigungen einrichten muss.
+ AWS Das IAM Identity Center bietet einen zentralen Ort für die Benutzer Ihrer Belegschaft. AWS Sie können Benutzer und Gruppen direkt in AWS IAM Identity Center erstellen oder bestehende Benutzer und Gruppen verbinden, die Sie in einem standardbasierten Identitätsanbieter wie Okta oder Microsoft Entra PingOne ID (Azure AD) verwalten. AWS IAM Identity Center leitet die Authentifizierung für Benutzer und Gruppen an die von Ihnen gewählte Informationsquelle weiter und verwaltet ein Verzeichnis mit Benutzern und Gruppen, auf das Redshift zugreifen kann. Weitere Informationen finden Sie unter [Identitätsquelle ändern](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) und [Unterstützte Identitätsanbieter](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) im *AWS -IAM-Identity-Center-Benutzerhandbuch*.
+ Sie können eine AWS IAM Identity Center-Instanz mit mehreren Redshift-Clustern und Arbeitsgruppen teilen und verfügen über eine einfache automatische Erkennung und Verbindungsfunktion. Auf diese Weise können Cluster schnell hinzugefügt werden, ohne dass die AWS IAM Identity Center-Verbindung für jeden einzelnen Cluster zusätzlich konfiguriert werden muss, und es wird sichergestellt, dass alle Cluster und Arbeitsgruppen eine konsistente Ansicht der Benutzer, ihrer Attribute und Gruppen haben. Beachten Sie, dass sich die AWS IAM Identity Center-Instanz Ihrer Organisation in derselben Region befinden muss wie alle Redshift-Datenfreigaben, mit denen Sie eine Verbindung herstellen.
+ Da die Benutzeridentitäten bekannt sind und zusammen mit dem Datenzugriff protokolliert werden, können Sie Compliance-Vorschriften einfacher erfüllen, indem Sie den Benutzerzugriff in AWS CloudTrail prüfen.
## Administrator-Personas für die Verbindung von Anwendungen
Die folgenden Personas sind für die Verbindung von Analyseanwendungen mit der von AWS IAM Identity Center verwalteten Anwendung für Redshift wichtig:
+ **Anwendungsadministrator** – Erstellt eine Anwendung und konfiguriert die Services, mit denen der Austausch von Identitätstoken möglich ist. Dieser Administrator gibt auch an, welche Benutzer oder Gruppen Zugriff auf die Anwendung haben.
+ **Datenadministrator** – Konfiguriert den detaillierten Zugriff auf Daten. Benutzer und Gruppen in AWS IAM Identity Center können bestimmten Berechtigungen zugeordnet werden.
## Verbindung zu Amazon Redshift mit AWS IAM Identity Center herstellen über Amazon Quick
Im Folgenden wird gezeigt, wie Sie Quick verwenden, um sich bei Redshift zu authentifizieren, wenn eine Verbindung mit dem AWS IAM Identity Center besteht und der Zugriff über dieses verwaltet wird: [Autorisieren von Verbindungen von Quick zu](https://docs.aws.amazon.com/quick/latest/userguide/enabling-access-redshift.html) Amazon Redshift Redshift-Clustern. Diese Schritte gelten auch für Amazon Redshift Serverless.
## Herstellen einer Verbindung zu Amazon Redshift mit AWS IAM Identity Center über den Amazon Redshift Query Editor v2
Nach Abschluss der Schritte zum Einrichten einer AWS IAM Identity Center-Verbindung mit Redshift kann der Benutzer über seine AWS IAM Identity Center-basierte Identität mit Namespace-Präfix auf die Datenbank und die entsprechenden Objekte in der Datenbank zugreifen. Weitere Informationen zum Herstellen einer Verbindung zu Redshift-Datenbanken mit Query Editor v2 finden Sie unter [Abfragen einer Datenbank mit Query Editor v2Abfragen für Datenbanken mit dem Amazon-Redshift-Abfrage-Editor v2](query-editor-v2.md).
## Verwenden von IAM Identity Center für mehrere AWS AWS-Regionen
Amazon Redshift unterstützt AWS IAM Identity Center in mehreren Bereichen. AWS-Regionen Sie können AWS IAM Identity Center von Ihren primären AWS-Region auf weitere Regionen ausdehnen, um die Leistung durch Benutzernähe und Zuverlässigkeit zu verbessern. Wenn eine neue Region in AWS IAM Identity Center hinzugefügt wird, können Sie Redshift IAM Identity Center-Anwendungen in der neuen Region erstellen, ohne Identitäten aus der primären Region zu replizieren. Sie können Amazon Redshift Redshift-Verbundberechtigungen mithilfe von AWS IAM Identity Center in der neuen Region einrichten, wo Sie Steuerelemente auf Zeilen-, Spalten- und Maskierungsebene aktivieren können. *Weitere Informationen zu den ersten Schritten mit AWS IAM Identity Center in mehreren Regionen finden Sie unter IAM Identity Center in mehreren Regionen [verwalten im AWS IAM Identity Center-Benutzerhandbuch](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html). AWS-RegionenAWS *
## Einschränkungen für die Verbindung zu Amazon Redshift mit AWS IAM Identity Center
Beachten Sie bei der Verwendung von AWS IAM Identity Center Single Sign-On die folgende Einschränkung:
+ **Keine Unterstützung für erweiterte VPC** — Enhanced VPC wird nicht unterstützt, wenn Sie AWS IAM Identity Center Single Sign-On für Amazon Redshift verwenden. Weitere Informationen zur erweiterten VPC finden Sie unter [Enhanced VPC routing in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html).
# Einrichtung der AWS IAM Identity Center-Integration mit Amazon Redshift
Ihr Amazon Redshift-Clusteradministrator oder Amazon Redshift Serverless-Administrator muss mehrere Schritte ausführen, um Redshift als AWS IAM Identity Center-fähige Anwendung zu konfigurieren. Dadurch kann Redshift das AWS IAM Identity Center automatisch erkennen und eine Verbindung zu diesem herstellen, um Anmelde- und Benutzerverzeichnisdienste zu erhalten. Danach kann Ihr Redshift-Administrator, wenn er einen Cluster oder eine Arbeitsgruppe erstellt, das neue Data Warehouse so einrichten, dass es AWS IAM Identity Center zur Verwaltung des Datenbankzugriffs verwendet.
Der Sinn der Aktivierung von Redshift als von AWS IAM Identity Center verwaltete Anwendung besteht darin, dass Sie Benutzer- und Gruppenberechtigungen von AWS IAM Identity Center oder von einem externen Identitätsanbieter aus steuern können, der in das System integriert ist. Wenn sich Ihre Datenbankbenutzer bei einer Redshift-Datenbank anmelden, z. B. ein Analyst oder ein Datenwissenschaftler, werden ihre Gruppen in AWS IAM Identity Center überprüft und diese stimmen mit den Rollennamen in Redshift überein. So kann eine Gruppe, die den Namen für eine Redshift-Datenbankrolle definiert, auf Tabellen zugreifen, beispielsweise für Vertriebsanalysen. In den folgenden Abschnitten wird gezeigt, wie dies eingerichtet wird.
## Voraussetzungen
Dies sind die Voraussetzungen für die Integration von AWS IAM Identity Center mit Amazon Redshift:
+ *Kontokonfiguration* — Sie müssen AWS IAM Identity Center im Verwaltungskonto Ihrer AWS Organisation konfigurieren, wenn Sie kontoübergreifende Anwendungsfälle planen oder wenn Sie Redshift-Cluster in verschiedenen Konten mit derselben AWS IAM Identity Center-Instanz verwenden. Dies umfasst auch die Konfiguration Ihrer Identitätsquelle. Weitere Informationen finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html), [Mitarbeiteridentitäten](https://docs.aws.amazon.com/singlesignon/latest/userguide/identities.html) und [Unterstützte Identitätsanbieter](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) im *AWS -IAM-Identity-Center-Benutzerhandbuch*. Sie müssen sicherstellen, dass Sie Benutzer oder Gruppen in AWS IAM Identity Center erstellt oder Benutzer und Gruppen aus Ihrer Identitätsquelle synchronisiert haben, bevor Sie sie Daten in Redshift zuweisen können.
**Anmerkung**
Sie haben die Möglichkeit, eine Kontoinstanz von AWS IAM Identity Center zu verwenden, vorausgesetzt, Redshift und AWS IAM Identity Center befinden sich in demselben Konto. Sie können diese Instance mitttels eines Widgets erstellen, wenn Sie einen Redshift-Cluster oder eine Redshift-Arbeitsgruppe erstellen und konfigurieren.
+ *Konfigurieren eines vertrauenswürdigen Token-Ausstellers* – In einigen Fällen müssen Sie möglicherweise einen vertrauenswürdigen Token-Aussteller verwenden. Dies ist eine Entität, die vertrauenswürdige Token ausstellen und verifizieren kann. Bevor Sie dies tun können, sind vorbereitende Schritte erforderlich, bevor der Redshift-Administrator, der die AWS IAM Identity Center-Integration konfiguriert, den vertrauenswürdigen Token-Aussteller auswählen und die erforderlichen Attribute hinzufügen kann, um die Konfiguration abzuschließen. Dies kann die Konfiguration eines externen Identitätsanbieters als vertrauenswürdiger Token-Aussteller und das Hinzufügen seiner Attribute in der IAM Identity Center-Konsole umfassen. AWS Informationen zu diesen Schritten finden Sie unter [Using applications with a trusted token issuer](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#setuptrustedtokenissuer).
**Anmerkung**
Die Einrichtung eines vertrauenswürdigen Token-Ausstellers ist nicht für alle externen Verbindungen erforderlich. Für die Verbindung mit Ihrer Redshift-Datenbank mit dem Amazon Redshift Query Editor v2 ist keine Konfiguration des vertrauenswürdigen Token-Ausstellers erforderlich. Dies kann jedoch für Anwendungen von Drittanbietern wie Dashboards oder benutzerdefinierte Anwendungen gelten, die sich bei Ihrem Identitätsanbieter authentifizieren.
+ *Konfigurieren einer oder mehrerer IAM-Rollen* – In den folgenden Abschnitten werden Berechtigungen genannt, die konfiguriert werden müssen. Sie müssen Berechtigungen gemäß bewährten IAM-Methoden hinzufügen. Die spezifischen Berechtigungen werden in den folgenden Verfahren beschrieben.
Weitere Informationen finden Sie unter [Getting Started with AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html).
## Konfiguration Ihres Identitätsanbieters für die Zusammenarbeit mit AWS IAM Identity Center
Der erste Schritt bei der Benutzer- und Gruppenidentitätsverwaltung besteht in der Herstellung einer Verbindung mit AWS IAM Identity Center und der Konfiguration des Identitätsanbieters. Sie können AWS IAM Identity Center selbst als Ihren Identitätsanbieter verwenden oder Sie können einen Identitätsspeicher eines Drittanbieters wie beispielsweise Okta verbinden. Weitere Informationen zum Einrichten der Verbindung zum Identitätsanbieter und zu dessen Konfiguration finden Sie unter [Verbinden mit einem externen Identitätsanbieter](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) im *Benutzerhandbuch zu AWS IAM Identity Center*. Stellen Sie am Ende dieses Vorgangs sicher, dass Sie zu Testzwecken eine kleine Sammlung von Benutzern und Gruppen zu AWS IAM Identity Center hinzugefügt haben.
### Administrative Berechtigungen
#### Erforderliche Berechtigungen für das AWS Redshift/IAM Identity Center-Anwendungslebenszyklusmanagement
Sie müssen eine IAM-Identität erstellen, die ein Redshift-Administrator verwendet, um Redshift für die Verwendung mit AWS IAM Identity Center zu konfigurieren. In den meisten Fällen würden Sie eine IAM-Rolle mit Berechtigungen erstellen und sie nach Bedarf anderen Identitäten zuweisen. Sie muss über die aufgeführten Berechtigungen verfügen, um die folgenden Aktionen ausführen zu können.
**Die Redshift/AWS IAM Identity Center-Anwendung erstellen**
+ `sso:PutApplicationAssignmentConfiguration` – Für die Security.
+ `sso:CreateApplication`— Wird verwendet, um eine AWS IAM Identity Center-Anwendung zu erstellen.
+ `sso:PutApplicationAuthenticationMethod` – Gewährt Redshift-Authentifizierungszugriff.
+ `sso:PutApplicationGrant` – Zur Änderung der Informationen zu vertrauenswürdigen Token-Ausstellern verwendet.
+ `sso:PutApplicationAccessScope`— Für die Einrichtung der Redshift AWS IAM Identity Center-Anwendung. Dies gilt auch für AWS Lake Formation und für [Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
+ `redshift:CreateRedshiftIdcApplication`— Wird verwendet, um die Redshift AWS IAM Identity Center-Anwendung zu erstellen.
**Beschreibung der Redshift/AWS IAM Identity Center-Anwendung**
+ `sso:GetApplicationGrant` – Zum Auflisten der Informationen zu vertrauenswürdigen Token-Ausstellern verwendet.
+ `sso:ListApplicationAccessScopes` – Für die Einrichtung der Redshift- AWS -IAM-Identity-Center-Anwendung zur Auflistung nachgelagerter Integrationen, beispielsweise für AWS Lake Formation und S3 Access Grants.
+ `redshift:DescribeRedshiftIdcApplications`— Wird verwendet, um bestehende AWS IAM Identity Center-Anwendungen zu beschreiben.
**Änderung der Redshift/AWS IAM Identity Center-Anwendung**
+ `redshift:ModifyRedshiftIdcApplication` – Zur Änderung einer bestehenden Redshift-Anwendung verwendet.
+ `sso:UpdateApplication`— Wird verwendet, um eine AWS IAM Identity Center-Anwendung zu aktualisieren.
+ `sso:GetApplicationGrant` – Ruft die Informationen zum vertrauenswürdigen Token-Aussteller ab.
+ `sso:ListApplicationAccessScopes` – Zum Einrichten der Redshift- AWS -IAM-Identity-Center-Anwendung.
+ `sso:DeleteApplicationGrant` – Löscht die Informationen zum vertrauenswürdigen Token-Aussteller.
+ `sso:PutApplicationGrant` – Zur Änderung der Informationen zu vertrauenswürdigen Token-Ausstellern verwendet.
+ `sso:PutApplicationAccessScope`— Für die Einrichtung der Redshift AWS IAM Identity Center-Anwendung. Dies gilt auch für AWS Lake Formation und für [Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
+ `sso:DeleteApplicationAccessScope` – Zum Löschen der Einrichtung der Redshift- AWS -IAM-Identity-Center-Anwendung. Dies gilt auch für AWS Lake Formation und für [Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
**Löschen der Redshift-/AWS-IAM-Identity-Center-Anwendung**
+ `sso:DeleteApplication`— Wird verwendet, um eine AWS IAM Identity Center-Anwendung zu löschen.
+ `redshift:DeleteRedshiftIdcApplication`— Ermöglicht das Löschen einer vorhandenen Redshift AWS IAM Identity Center-Anwendung.
#### Für das Lebenszyklusmanagement von Redshift/query Editor-v2-Anwendungen sind Berechtigungen erforderlich
Sie müssen eine IAM-Identität erstellen, die ein Redshift-Administrator verwendet, um Redshift für die Verwendung mit AWS IAM Identity Center zu konfigurieren. In den meisten Fällen würden Sie eine IAM-Rolle mit Berechtigungen erstellen und sie nach Bedarf anderen Identitäten zuweisen. Sie muss über die aufgeführten Berechtigungen verfügen, um die folgenden Aktionen ausführen zu können.
**Erstellen der Query-Editor-v2-Anwendung**
+ `redshift:CreateQev2IdcApplication`— Wird verwendet, um die Anwendung zu erstellen. QEV2
+ `sso:CreateApplication` – Bietet die Möglichkeit zum Erstellen einer AWS -IAM-Identity-Center-Anwendung.
+ `sso:PutApplicationAuthenticationMethod` – Gewährt Redshift-Authentifizierungszugriff.
+ `sso:PutApplicationGrant` – Zur Änderung der Informationen zu vertrauenswürdigen Token-Ausstellern verwendet.
+ `sso:PutApplicationAccessScope`— Für die Einrichtung der Redshift AWS IAM Identity Center-Anwendung. Dies umfasst auch den Query Editor v2.
+ `sso:PutApplicationAssignmentConfiguration` – Für die Security.
**Beschreiben der Query-Editor-v2-Anwendung**
+ `redshift:DescribeQev2IdcApplications`— Wird zur Beschreibung der AWS IAM Identity Center-Anwendung verwendet. QEV2
**Ändern der Query-Editor-v2-Anwendung**
+ `redshift:ModifyQev2IdcApplication`— Wird verwendet, um die AWS IAM Identity QEV2 Center-Anwendung zu ändern.
+ `sso:UpdateApplication`— Wird verwendet, um die AWS IAM Identity QEV2 Center-Anwendung zu ändern.
**Löschen der Query-Editor-v2-Anwendung**
+ `redshift:DeleteQev2IdcApplication`— Wird verwendet, um die QEV2 Anwendung zu löschen.
+ `sso:DeleteApplication`— Wird verwendet, um die QEV2 Anwendung zu löschen.
**Anmerkung**
Im Amazon Redshift SDK ist Folgendes APIs nicht verfügbar:
CreateQev2IdcApplication
DescribeQev2IdcApplications
ModifyQev2IdcApplication
DeleteQev2IdcApplication
Diese Aktionen sind spezifisch für die Durchführung der AWS IAM Identity Center-Integration mit Redshift QEV2 in der AWS Konsole. Weitere Informationen finden Sie unter [Actions defined by Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html#amazonredshift-actions-as-permissions).
#### Erforderliche Berechtigungen für den Datenbankadministrator, um neue Ressourcen in der Konsole zu verbinden
Diese Berechtigungen sind erforderlich, um neue bereitgestellte Cluster oder Arbeitsgruppen in Amazon Redshift Serverless während der Erstellung zu verbinden. Wenn Sie diese Berechtigungen besitzen, werden in der Konsole Optionen für die Verbindung mit der von AWS IAM Identity Center verwalteten Anwendung für Redshift angezeigt.
+ `redshift:DescribeRedshiftIdcApplications`
+ `sso:ListApplicationAccessScopes`
+ `sso:GetApplicationAccessScope`
+ `sso:GetApplicationGrant`
Als bewährte Methode empfehlen wir, einer IAM-Rolle Berechtigungsrichtlinien anzufügen und sie dann nach Bedarf Benutzern und Gruppen zuzuweisen. Weitere Informationen finden Sie unter [Identity and Access Management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
## Redshift als AWS verwaltete Anwendung mit AWS IAM Identity Center einrichten
Bevor AWS IAM Identity Center Identitäten für einen von Amazon Redshift bereitgestellten Cluster oder eine Amazon Redshift Serverless-Arbeitsgruppe verwalten kann, muss der Redshift-Administrator die Schritte ausführen, um Redshift zu einer von IAM Identity Center verwalteten Anwendung zu machen: AWS
1. Wählen Sie im Konsolenmenü von Amazon Redshift oder Amazon Redshift Serverless die Option **AWS IAM Identity Center-Integration** und wählen Sie dann Mit IAM Identity Center **Connect** aus. AWS Anschließend werden Sie durch verschiedene Optionen geleitet, um die Eigenschaften für die Integration von AWS IAM Identity Center auszuwählen.
1. Wählen Sie einen Anzeigenamen und einen eindeutigen Namen für die vom IAM Identity Center verwaltete Anwendung von Redshift. AWS
1. Geben Sie den Namespace für Ihre Organisation an. Dies ist in der Regel eine abgekürzte Version des Namens Ihrer Organisation. Dieser wird Ihren von AWS IAM Identity Center verwalteten Benutzern und Rollen in der Redshift-Datenbank als Präfix vorangestellt.
1. Wählen Sie die IAM-Rolle aus, die verwendet werden soll. Diese IAM-Rolle sollte von anderen Rollen getrennt sein, die für Redshift verwendet werden. Wir empfehlen, sie nicht für andere Zwecke zu verwenden. Die folgenden spezifischen Richtlinienberechtigungen sind erforderlich:
+ `sso:DescribeApplication` – Zur Erstellung eines Identitätsanbieters (IdP) im Katalog erforderlich.
+ `sso:DescribeInstance` – Zur manuellen Erstellung von IdP-Verbundrollen oder -Benutzern verwendet.
1. Konfigurieren Sie Client-Verbindungen und vertrauenswürdige Token-Aussteller. Die Konfiguration vertrauenswürdiger Token-Aussteller ermöglicht die Verbreitung vertrauenswürdiger Identitäten, indem eine Beziehung mit einem externen Identitätsanbieter eingerichtet wird. Die Verbreitung von Identitäten ermöglicht Benutzern beispielsweise, sich bei einer Anwendung anzumelden und auf bestimmte Daten in einer anderen Anwendung zuzugreifen. So können Benutzer Daten von unterschiedlichen Standorten einfacher sammeln. In diesem Schritt legen Sie in der Konsole Attribute für jeden vertrauenswürdigen Token-Aussteller fest. Zu den Attributen gehören der Name und der Zielgruppenanspruch (oder *Aud-Claim*), die Sie möglicherweise aus den Konfigurationsattributen des Tools oder Service abrufen müssen. Möglicherweise müssen Sie auch den Namen der Anwendung aus dem JSON Web Token (JWT) des Drittanbieter-Tools bereitstellen.
**Anmerkung**
Der `aud claim`, der von den einzelnen Drittanbieter-Tools oder Services abgerufen werden muss, ist vom Token-Typ abhängig. Dabei kann es sich um ein von einem Identitätsanbieter ausgestelltes Zugriffstoken oder um einen anderen Typ handeln, z. B. ein ID-Token. Jeder Anbieter kann sich hier unterscheiden. Wenn Sie die Verbreitung vertrauenswürdiger Identitäten und die Integration mit Redshift implementieren, müssen Sie den richtigen *aud*-Wert für den Token-Typ bereitstellen, den das Drittanbieter-Tool an AWS sendet. Lesen Sie die Empfehlungen Ihres Tools oder Serviceanbieters.
Ausführliche Informationen zur Weitergabe von vertrauenswürdigen Identitäten finden Sie unter [Trusted identity propagation overview](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) im *Benutzerhandbuch für AWS IAM Identity Center *.
Nachdem der Redshift-Administrator die Schritte abgeschlossen und die Konfiguration gespeichert hat, werden die Eigenschaften von AWS IAM Identity Center in der Redshift-Konsole angezeigt. Sie können auch die Systemansicht [SVV\$1IDENTITY\$1PROVIDERS](https://docs.aws.amazon.com/redshift/latest/dg/r_SVV_IDENTITY_PROVIDERS.html) abfragen, um die Eigenschaften der Anwendung zu überprüfen. Zu diesen gehören auch der Anwendungsname und der Namespace. Sie verwenden den Namespace als Präfix für Redshift-Datenbankobjekte, die der Anwendung zugeordnet sind. Das Erledigen dieser Aufgaben macht Redshift zu einer AWS IAM Identity Center-fähigen Anwendung. Die Eigenschaften in der Konsole umfassen auch den Integrationsstatus. Wenn die Integration abgeschlossen ist, wird **Aktiviert** angezeigt. Nach diesem Vorgang kann die Integration von AWS IAM Identity Center für jeden neuen Cluster aktiviert werden.
**Nach der Konfiguration können Sie Benutzer und Gruppen aus AWS IAM Identity Center in Redshift einbeziehen, indem Sie die Registerkarte **Benutzer** oder **Gruppen** und dann Zuweisen wählen.**
## Aktivierung der AWS IAM Identity Center-Integration für einen neuen Amazon Redshift-Cluster oder eine Amazon Redshift Serverless-Arbeitsgruppe
Ihr Datenbankadministrator konfiguriert neue Redshift-Ressourcen so, dass sie in Abstimmung mit AWS IAM Identity Center funktionieren, um die Anmeldung und den Datenzugriff zu vereinfachen. Dies erfolgt im Rahmen der Schritte zur Erstellung eines bereitgestellten Clusters oder einer Serverless-Arbeitsgruppe. Jeder, der berechtigt ist, Redshift-Ressourcen zu erstellen, kann diese AWS IAM Identity Center-Integrationsaufgaben ausführen. Wenn Sie einen bereitgestellten Cluster erstellen, wählen Sie zunächst in der Amazon Redshift **Redshift-Konsole Cluster erstellen**. Die folgenden Schritte zeigen, wie Sie das AWS IAM Identity Center-Management für eine Datenbank aktivieren. (Es werden nicht alle Schritte zum Erstellen eines Clusters beschrieben.)
1. Wählen Sie im Abschnitt **für die **IAM Identity Center-Integration** in den Schritten zum Erstellen eines Clusters die Option Aktivieren** für aus.
1. Es gibt einen Schritt im Prozess, in dem Sie die Integration aktivieren. Hierzu wählen Sie in der Konsole **IAM-Identity-Center-Integration aktivieren** aus.
1. Erstellen Sie für den neuen Cluster oder die neue Arbeitsgruppe in Redshift Datenbankrollen mittels SQL-Befehlen aus. Dies ist der Befehl:
```
CREATE ROLE ;
```
Der Namespace und der Rollenname sind:
+ *IAM Identity Center-Namespace-Präfix* — Dies ist der Namespace, den Sie beim Einrichten der Verbindung zwischen AWS IAM Identity Center und Redshift definiert haben.
+ *Rollenname* — Diese Redshift-Datenbankrolle muss mit dem Gruppennamen in AWS IAM Identity Center übereinstimmen.
Redshift stellt eine Verbindung mit AWS IAM Identity Center her und ruft die Informationen ab, die für die Erstellung und Zuordnung der Datenbankrolle zur AWS IAM Identity Center-Gruppe erforderlich sind.
Beachten Sie, dass bei der Erstellung eines neuen Data Warehouse die für die Integration von AWS IAM Identity Center angegebene IAM-Rolle automatisch dem bereitgestellten Cluster oder der Arbeitsgruppe in Amazon Redshift Serverless angefügt wird. Nachdem Sie die erforderlichen Cluster-Metadaten eingegeben und die Ressource erstellt haben, können Sie den Status der AWS IAM Identity Center-Integration in den Eigenschaften überprüfen. Wenn Ihre Gruppennamen in AWS IAM Identity Center Leerzeichen enthalten, müssen Sie bei der Erstellung der passenden Rolle in SQL Anführungszeichen verwenden.
Nachdem Sie die Redshift-Datenbank aktiviert und Rollen erstellt haben, können Sie mit dem Amazon Redshift Query Editor v2 oder Amazon Quick eine Verbindung zur Datenbank herstellen. Die Details werden in den folgenden Abschnitten beschrieben.
### Einrichten der Standard-`RedshiftIdcApplication` über die API
Die Einrichtung wird von Ihrem Identitätsadministrator ausgeführt. Mithilfe der API erstellen und füllen Sie eine`RedshiftIdcApplication`, die die Redshift-Anwendung innerhalb von AWS IAM Identity Center darstellt.
1. Zu Beginn können Sie Benutzer erstellen und sie zu Gruppen in AWS IAM Identity Center hinzufügen. Sie tun dies in der AWS Konsole für AWS IAM Identity Center.
1. Rufen Sie `create-redshift-idc-application` auf, um eine AWS IAM Identity Center-Anwendung zu erstellen und sie mit der Redshift-Nutzung kompatibel zu machen. Sie erstellen die Anwendung, indem Sie die erforderlichen Werte eingeben. Der Anzeigename ist der Name, der im Dashboard von AWS IAM Identity Center angezeigt werden soll. Der ARN der IAM-Rolle ist ein ARN, der Berechtigungen für AWS IAM Identity Center besitzt und von Redshift übernommen werden kann.
```
aws redshift create-redshift-idc-application
––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d'
––identity-namespace 'MYCO'
––idc-display-name 'TEST-NEW-APPLICATION'
––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole'
––redshift-idc-application-name 'myredshiftidcapplication'
```
Das folgende Beispiel zeigt eine `RedshiftIdcApplication`-Beispielantwort, die vom Aufruf von `create-redshift-idc-application` zurückgegeben wurde.
```
"RedshiftIdcApplication": {
"IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d",
"RedshiftIdcApplicationName": "test-application-1",
"RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b",
"IdentityNamespace": "MYCO",
"IdcDisplayName": "Redshift-Idc-Application",
"IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole",
"IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910",
"IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication",
"RedshiftIdcApplicationArn": "Completed",
"AuthorizedTokenIssuerList": [
"TrustedTokenIssuerArn": ...,
"AuthorizedAudiencesList": [...]...
]}
```
1. Sie können `create-application-assignment` damit der verwalteten Anwendung in AWS IAM Identity Center bestimmte Gruppen oder einzelne Benutzer zuweisen. Auf diese Weise können Sie Gruppen angeben, die über AWS IAM Identity Center verwaltet werden sollen. Wenn der Datenbankadministrator Datenbankrollen in Redshift erstellt, werden die Gruppennamen in AWS IAM Identity Center den Rollennamen in Redshift zugeordnet. Die Rollen steuern die Berechtigungen in der Datenbank. Weitere Informationen finden Sie unter [Zuweisen von Benutzerzugriff auf Anwendungen in der AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/assignuserstoapp.html) Identity Center-Konsole.
1. Nachdem Sie die Anwendung aktiviert haben, rufen Sie den ARN der verwalteten Redshift-Anwendung vom AWS IAM Identity Center auf `create-cluster` und fügen Sie ihn hinzu. Dadurch wird der Cluster mit der verwalteten Anwendung im AWS IAM Identity Center verknüpft.
### Zuordnen einer AWS IAM Identity Center-Anwendung zu einem vorhandenen Cluster oder einer vorhandenen Arbeitsgruppe
Wenn Sie Cluster oder Arbeitsgruppen besitzen, die Sie für die Integration von AWS IAM Identity Center aktivieren möchten, können Sie dies mithilfe von SQL-Befehlen tun. Sie können auch SQL-Befehle ausführen, um die Einstellungen für die Integration zu ändern. Weitere Informationen finden Sie unter [ALTER IDENTITY PROVIDER](https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_IDENTITY_PROVIDER.html).
Es ist auch möglich, einen vorhandenen Identitätsanbieter zu entfernen. Das folgende Beispiel zeigt, wie CASCADE Benutzer und Rollen löscht, die dem Identitätsanbieter angefügt sind.
```
DROP IDENTITY PROVIDER
[ CASCADE ]
```
## Einrichten von Benutzerberechtigungen
Ein Administrator konfiguriert die Berechtigungen für verschiedene Ressourcen, basierend auf den Identitätsattributen und Gruppenmitgliedschaften der Benutzer, innerhalb seines Identitätsanbieters oder direkt in AWS IAM Identity Center. Der Administrator des Identitätsanbieters kann beispielsweise einen Datenbankingenieur zu einer Gruppe hinzufügen, die seiner Rolle entspricht. Dieser Gruppenname ist einem Redshift-Datenbankrollennamen zugeordnet. Die Rolle ermöglicht den Zugriff auf bestimmte Tabellen oder Ansichten in Redshift oder schränkt den Zugriff auf diese ein.
# Automatisches Erstellen von Amazon Redshift Redshift-Rollen für AWS IAM Identity Center
Bei dieser Funktion handelt es sich um eine Integration AWS IAM Identity Center , mit der Sie automatisch Rollen in Redshift basierend auf der Gruppenmitgliedschaft erstellen können.
Die automatische Erstellung von Rollen bietet mehrere Vorteile. Wenn Sie eine Rolle automatisch erstellen, erstellt Redshift die Rolle mit Gruppenmitgliedschaft in Ihrem IdP. Somit müssen Sie die Rollen nicht mühsam manuell erstellen und pflegen. Sie haben auch die Möglichkeit, mithilfe von Ein- und Ausschlussmustern zu filtern, welche Gruppen Redshift-Rollen zugeordnet sind.
## Funktionsweise
Wenn Sie sich als IdP-Benutzer bei Redshift anmelden, findet die folgende Abfolge von Ereignissen statt:
1. Redshift ruft Ihre Gruppenmitgliedschaften vom IdP ab.
1. Redshift erstellt automatisch Rollen, die diesen Gruppen zugeordnet sind, mit dem Rollenformat `idp_namespace:rolename`.
1. Redshift gewährt Ihnen Berechtigungen für die zugeordneten Rollen.
Bei jeder Benutzeranmeldung wird jede Gruppe, die nicht im Katalog vorhanden ist, der der Benutzer jedoch angehört, automatisch erstellt. Sie können optional Filter zum Einbeziehen und Ausschließen festlegen, um zu steuern, für welche IdP-Gruppen Redshift-Rollen erstellt werden.
## Konfigurieren der automatischen Rollenerstellung
Verwenden Sie die Befehle `CREATE IDENTITY PROVIDER` und `ALTER IDENTITY PROVIDER`, um die automatische Rollenerstellung zu aktivieren und zu konfigurieren.
```
-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER TYPE AWSIDC
NAMESPACE ''
APPLICATION_ARN 'app_arn'
IAM_ROLE 'role_arn'
AUTO_CREATE_ROLES TRUE;
-- Enable on existing IdP
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE;
-- Disable
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES FALSE;
```
## Filtern von Gruppen
Sie können optional mithilfe der Muster `INCLUDE` und `EXCLUDE` filtern, welche IdP-Gruppen Redshift-Rollen zugeordnet werden. Bei Konflikten zwischen den Mustern hat `EXCLUDE` Vorrang gegenüber `INCLUDE`.
```
-- Only create roles for groups with 'dev'
CREATE IDENTITY PROVIDER TYPE AWSIDC
...
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%';
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE
EXCLUDE GROUPS LIKE '%test%';
```
## Beispiele
Das folgende Beispiel zeigt, wie Sie die automatische Erstellung von Rollen ohne Filterung aktivieren.
```
CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC ...
AUTO_CREATE_ROLES TRUE;
```
Im folgenden Beispiel werden Entwicklungsgruppen einbezogen und Testgruppen ausgeschlossen.
```
ALTER IDENTITY PROVIDER prod_idc
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%'
EXCLUDE GROUPS LIKE '%test%';
```
## Best Practices
Beachten Sie die folgenden bewährten Methoden, wenn Sie die automatische Erstellung für Rollen aktivieren:
+ Verwenden Sie die Filter `INCLUDE` und `EXCLUDE`, um zu steuern, welche Gruppen Rollen erhalten.
+ Prüfen Sie die Rollen regelmäßig und entfernen Sie nicht verwendete Rollen.
+ Nutzen Sie Redshift-Rollenhierarchien, um die Verwaltung der Berechtigungen zu vereinfachen.
# Amazon-Redshift-Integration mit Amazon S3 Access Grants
Mithilfe der Integration mit Amazon S3 Access Grants können Sie Ihre IAM-Identity-Center-Identitäten nahtlos weitergeben, um den Zugriff auf Amazon-S3-Daten zu kontrollieren. Mit dieser Integration können Sie den Amazon-S3-Datenzugriff auf der Grundlage von IAM-Identity-Center-Benutzern und -Gruppen autorisieren.
Weitere Informationen zu Amazon S3 Access Grants finden Sie unter [Managing access with S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
Die Verwendung von Amazon S3 Access Grants bietet Ihrer Anwendung folgende Vorteile:
+ Präzise Zugriffskontrolle auf Amazon-S3-Daten, basierend auf IAM-Identity-Center-Identitäten.
+ Zentralisierte Verwaltung von IAM-Identity-Center-Identitäten in Amazon Redshift und Amazon S3.
+ Sie können die Verwaltung separater IAM-Berechtigungen für den Amazon-S3-Zugriff vermeiden.
## Funktionsweise
Um Ihre Anwendung mit Amazon S3 Access Grants zu integrieren, gehen Sie wie folgt vor:
+ Zunächst konfigurieren Sie Amazon Redshift für die Integration mit Amazon S3 Access Grants mithilfe von AWS-Managementkonsole oder AWS CLI.
+ Als Nächstes gewährt ein Benutzer mit IdC-Administratorrechten Amazon-S3-Bucket- oder -Präfixzugriff für bestimmte IdC-Benutzer/-Gruppen mithilfe von Amazon S3 Access Grants. Weitere Informationen finden Sie unter [Working with grants in S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html).
+ Wenn ein bei Redshift authentifizierter IdC-Benutzer eine Abfrage ausführt, die auf S3 zugreift (z. B. eine COPY-, UNLOAD- oder Spectrum-Operation), ruft Amazon Redshift temporäre S3-Anmeldeinformationen für den Zugriff, die auf diese IdC-Identität beschränkt sind, von Amazon S3 Access Grants ab.
+ Amazon Redshift verwendet dann die abgerufenen temporären Anmeldeinformationen, um auf die autorisierten Amazon-S3-Standorte für diese Abfrage zuzugreifen.
## Einrichten einer Integration mit Amazon S3 Access Grants
Gehen Sie wie folgt vor, um eine Integration mit Amazon S3 Access Grants für Amazon Redshift einzurichten:
**Topics**
+ [Einrichtung der Integration mit Amazon S3 Access Grants mithilfe der AWS-Managementkonsole](#redshift-iam-access-control-sso-s3idc-setup-console)
+ [Aktivierung der Integration mit Amazon S3 Access Grants mithilfe der AWS CLI](#redshift-iam-access-control-sso-s3idc-setup-cli)
### Einrichtung der Integration mit Amazon S3 Access Grants mithilfe der AWS-Managementkonsole
1. Öffnen Sie die Amazon-Redshift-Konsole.
1. Wählen Sie Ihren Cluster im Fenster **Cluster** aus.
1. Aktivieren Sie auf der Detailseite Ihres Clusters im Abschnitt **Identitätsanbieterintegration** die Integration mit **S3 Access Grants**.
**Anmerkung**
Der Abschnitt **Identitätsanbieterintegration** wird nicht angezeigt, wenn Sie IAM Identity Center nicht konfiguriert haben. Weitere Informationen finden Sie unter [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html).
### Aktivierung der Integration mit Amazon S3 Access Grants mithilfe der AWS CLI
1. Gehen Sie wie folgt vor, um eine neue Amazon-Redshift-IdC-Anwendung mit aktivierter S3-Integration zu erstellen:
```
aws redshift create-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Gehen Sie wie folgt vor, um eine vorhandene Anwendung so zu ändern, dass die Integration von S3 Access Grants aktiviert wird:
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Gehen Sie wie folgt vor, um eine vorhandene Anwendung so zu ändern, dass die Integration von S3 Access Grants deaktiviert wird:
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]'
```
## Verwenden einer Integration mit S3 Access Grants
Nachdem Sie die Integration von S3 Access Grants konfiguriert haben, verwenden Abfragen, die auf S3-Daten zugreifen (wie `COPY`-, `UNLOAD`- oder Spectrum-Abfragen), die IdC-Identität für die Autorisierung. Benutzer, die nicht über IdC authentifiziert sind, können diese Abfragen ebenfalls ausführen, diese Benutzerkonten profitieren jedoch nicht von den Vorteilen der zentralisierten Verwaltung, die IdC bietet.
Das folgende Beispiel zeigt Abfragen, die mit der S3-Access-Grants-Integration ausgeführt werden:
```
COPY table FROM 's3://mybucket/data'; // -- Redshift uses IdC identity
UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/' // -- Redshift uses IdC identity
```