Amazon Redshift dejará de admitir la creación de nuevas UDF de Python a partir del parche 198. Las UDF de Python existentes seguirán funcionando hasta el 30 de junio de 2026. Para obtener más información, consulte la [publicación del blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
# Conexión de Redshift con AWS IAM Identity Center para una experiencia de inicio de sesión único
Puede administrar el acceso de usuarios y grupos a los almacenamientos de datos de Amazon Redshift mediante la propagación de identidades de confianza.
La [propagación de identidades de confianza](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) es una característica de AWS IAM Identity Center que los administradores de los Servicios de AWS conectados pueden utilizar para conceder y auditar el acceso a los datos del servicio. El acceso a estos datos se basa en los atributos del usuario, como las asociaciones de grupo. La configuración de la propagación de identidades de confianza requiere la colaboración entre los administradores de los Servicios de AWS conectados y los administradores de IAM Identity Center. Para obtener más información, consulte [Requisitos previos y consideraciones](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).
Para ilustrar un caso integral, puede utilizar un panel de Amazon Quick o el editor de consultas v2 de Amazon Redshift para acceder a Redshift. En este caso, el acceso se basa en grupos de AWS IAM Identity Center. Redshift puede determinar quién es un usuario y a qué grupos pertenece. AWS IAM Identity Center también permite conectar y administrar identidades mediante un proveedor de identidades (IdP) externo como Okta o PingOne.
Una vez que el administrador haya configurado la conexión entre Redshift y AWS IAM Identity Center, podrá configurar un acceso detallado en función de los grupos de proveedores de identidad para autorizar el acceso de los usuarios a los datos.
**importante**
Al eliminar un usuario de un AWS IAM Identity Center o de un directorio de proveedor de identidades (IdP) conectado, el usuario no se elimina automáticamente del catálogo de Amazon Redshift. Para eliminar manualmente el usuario del catálogo de Amazon Redshift, ejecute el comando `DROP USER` para eliminar por completo el usuario que se eliminó de un AWS IAM Identity Center o IdP. Para obtener más información acerca de cómo eliminar a un usuario, consulte [ELIMINAR A UN USUARIO](https://docs.aws.amazon.com/redshift/latest/dg/r_DROP_USER.html) en la *Guía para desarrolladores de bases de datos de Amazon Redshift*.
## Beneficios de la integración de Redshift con AWS IAM Identity Center
Usar AWS IAM Identity Center con Redshift puede beneficiar a su organización de las siguientes maneras:
+ Los autores de los paneles en Amazon Quick pueden conectarse a los orígenes de datos de Redshift sin tener que volver a introducir las contraseñas ni requerir que un administrador configure roles de IAM con permisos complejos.
+ AWS IAM Identity Center proporciona una ubicación central para sus usuarios en AWS. Puede crear usuarios y grupos directamente en AWS IAM Identity Center o conectar los usuarios y grupos existentes que administra en un proveedor de identidades basado en estándares, como Okta, PingOne o Microsoft Entra ID (Azure AD). AWS El IAM Identity Center dirige la autenticación hacia el origen de confianza elegido para los usuarios y grupos, y mantiene un directorio de usuarios y grupos al que puede acceder Redshift. Para obtener más información, consulte [Administre su fuente de identidad](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) y los [Proveedores de identidades compatibles](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) en la *Guía del usuario del AWS IAM Identity Center*.
+ Puede compartir una instancia de AWS IAM Identity Center con varios clústeres y grupos de trabajo de Redshift con una sencilla función de conexión y detección automática. Esto agiliza la adición de clústeres sin el esfuerzo adicional que supone configurar la conexión de AWS IAM Identity Center para cada uno de ellos, y garantiza que todos los clústeres y grupos de trabajo tengan una visión coherente de los usuarios, sus atributos y grupos. Tenga en cuenta que la instancia de AWS IAM Identity Center de su organización debe estar en la misma región que cualquier recurso compartido de datos de Redshift al que se conecte.
+ Como las identidades de los usuarios son conocidas y se registran junto con el acceso a los datos, le resulta más fácil cumplir con las normas de conformidad auditando el acceso de los usuarios en AWS CloudTrail.
## Personas con el rol de administrador para conectar aplicaciones
A continuación se indican las personas clave para conectar las aplicaciones de análisis a la aplicación administrada por AWS IAM Identity Center para Redshift:
+ **Administrador de aplicaciones**: crea una aplicación y configura los servicios con los que permitirá el intercambio de tokens de identidad. Este administrador también especifica qué usuarios o grupos tienen acceso a la aplicación.
+ **Administrador de datos**: configura el acceso detallado a los datos. Los usuarios y grupos de AWS IAM Identity Center pueden asignarse a permisos específicos.
## Conexión a Amazon Redshift con AWS IAM Identity Center mediante Amazon Quick
A continuación, se muestra cómo utilizar Quick para autenticarse con Redshift cuando está conectado y el acceso se administra a través de AWS IAM Identity Center: [Autorización de conexiones desde Quick a clústeres de Amazon Redshift](https://docs.aws.amazon.com/quick/latest/userguide/enabling-access-redshift.html). Estos pasos también se aplican a Amazon Redshift sin servidor.
## Conexión a Amazon Redshift con AWS IAM Identity Center mediante el editor de consultas v2 de Amazon Redshift
Al completar los pasos para configurar una conexión de AWS IAM Identity Center con Redshift, el usuario puede acceder a la base de datos y a los objetos correspondientes de la base de datos a través de su identidad basada en AWS IAM Identity Center y con el prefijo de espacio de nombres. Para obtener más información sobre la conexión a bases de datos de Redshift con el editor de consultas v2, consulte [Consulta de una base de datos mediante el editor de consultas v2Consulta de una base de datos mediante el editor de consultas v2 de Amazon Redshift](query-editor-v2.md).
## Uso de AWS IAM Identity Center en varias Regiones de AWS
Amazon Redshift admite el AWS IAM Identity Center en varias Regiones de AWS. Puede ampliar el AWS IAM Identity Center de su Región de AWS principal a regiones adicionales para mejorar el rendimiento mediante la proximidad a los usuarios y la fiabilidad. Cuando se añade una nueva región en AWS IAM Identity Center, puede crear aplicaciones de Redshift IAM Identity Center en la nueva región sin necesidad de replicar las identidades de la región principal. Puede configurar los permisos federados de Amazon Redshift mediante AWS IAM Identity Center en la nueva región, donde podrá habilitar controles a nivel de fila, a nivel de columna y de enmascaramiento. Para obtener más información sobre cómo empezar a utilizar AWS IAM Identity Center en varias regiones, consulte la sección [Administración de AWS IAM Identity Center en varias Regiones de AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) de la *Guía del usuario de AWS IAM Identity Center*.
## Limitaciones de la conexión a Amazon Redshift con AWS IAM Identity Center
Al usar el inicio de sesión único de AWS IAM Identity Center, tenga en cuenta la siguiente limitación:
+ **No hay soporte para VPC mejorada**: la VPC mejorada no es compatible cuando se usa el inicio de sesión único de AWS IAM Identity Center para Amazon Redshift. Para obtener más información sobre la VPC mejorada, consulte [Enrutamiento de VPC mejorada en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html).
# Configuración de la integración de AWS IAM Identity Center con Amazon Redshift
El administrador del clúster de Amazon Redshift o el administrador de Amazon Redshift sin servidor debe realizar varios pasos para configurar Redshift como una aplicación habilitada para AWS IAM Identity Center. Esto permite que Redshift pueda detectar y conectarse automáticamente a AWS IAM Identity Center para recibir los servicios de inicio de sesión y directorio de usuarios. Después, cuando el administrador de Redshift cree un clúster o grupo de trabajo, podrá habilitar el nuevo almacenamiento de datos para que utilice AWS IAM Identity Center para administrar el acceso a la base de datos.
El objetivo de habilitar Redshift como una aplicación administrada por AWS IAM Identity Center es poder controlar los permisos de usuarios y grupos desde AWS IAM Identity Center o desde un proveedor de identidades externo que esté integrado en él. Cuando los usuarios de la base de datos inician sesión en una base de datos de Redshift, por ejemplo, un analista o un científico de datos, comprueba sus grupos en AWS IAM Identity Center y si coinciden con los nombres de los roles en Redshift. De esta manera, un grupo que defina el nombre de un rol de base de datos de Redshift podrá acceder a un conjunto de tablas para el análisis de ventas, por ejemplo. En las secciones siguientes se muestra cómo configurarlo.
## Requisitos previos
Estos son los requisitos previos para integrar AWS IAM Identity Center con Amazon Redshift:
+ *Configuración de la cuenta*: debe configurar AWS IAM Identity Center en la cuenta de administración de su organización de AWS si tiene previsto tener casos prácticos de varias cuentas o si usa clústeres de Redshift en cuentas diferentes con la misma instancia de AWS IAM Identity Center. Esto incluye la configuración del origen de la identidad. Para obtener más información, consulte [Introducción](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html), [Identidades del personal](https://docs.aws.amazon.com/singlesignon/latest/userguide/identities.html) y [Proveedores de identidades compatibles](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) en la *Guía del usuario del AWS IAM Identity Center*. Debe asegurarse de haber creado usuarios o grupos en AWS IAM Identity Center o de haber sincronizado los usuarios y grupos de su origen de identidad antes de poder asignarlos a los datos en Redshift.
**nota**
Tiene la opción de utilizar una instancia de cuenta de AWS IAM Identity Center, siempre que Redshift y AWS IAM Identity Center estén en la misma cuenta. Puede crear esta instancia mediante un widget al crear y configurar un clúster o grupo de trabajo de Redshift.
+ *Configuración de un emisor de tokens de confianza*: en algunos casos, es posible que necesite utilizar un emisor de tokens de confianza, que es una entidad que puede emitir y verificar los tokens de confianza. Antes de hacerlo, deben realizarse unos pasos preliminares antes de que el administrador de Redshift que configure la integración de AWS IAM Identity Center pueda seleccionar el emisor de tokens de confianza y añadir los atributos necesarios para completar la configuración. Esto puede incluir configurar un proveedor de identidades externo para que actúe como emisor de tokens de confianza y añadir sus atributos en la consola de AWS IAM Identity Center. Para completar estos pasos, consulte [Uso de aplicaciones con un emisor de tokens de confianza](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#setuptrustedtokenissuer).
**nota**
No es necesario configurar un emisor de tokens de confianza para todas las conexiones externas. La conexión a la base de datos de Redshift con el editor de consultas v2 de Amazon Redshift no requiere la configuración de un emisor de tokens de confianza. Sin embargo, puede aplicarse a aplicaciones de terceros, como paneles o aplicaciones personalizadas que se autentican con el proveedor de identidades.
+ *Configuración de uno o varios roles de IAM*: en las secciones siguientes se mencionan los permisos que se deben configurar. Deberá añadir permisos según las prácticas recomendadas de IAM. Los permisos específicos se detallan en los procedimientos siguientes.
Para obtener más información, consulte [Getting Started with AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html).
## Configuración del proveedor de identidades para trabajar con AWS IAM Identity Center
El primer paso para controlar la administración de identidades de usuarios y grupos consiste en conectarse a AWS IAM Identity Center y configurar el proveedor de identidades. Puede utilizar el propio AWS IAM Identity Center como su proveedor de identidades o puede conectarse a un almacén de identidades de terceros, como Okta. Para obtener más información sobre cómo configurar la conexión y el proveedor de identidades, consulte [Proveedor de identidades externo](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) en la *Guía del usuario de AWS IAM Identity Center*. Al final de este proceso, asegúrese de añadir un pequeño grupo de usuarios y grupos a AWS IAM Identity Center para realizar pruebas.
### Permisos administrativos
#### Permisos necesarios para la administración del ciclo de vida de las aplicaciones de Redshift/AWS IAM Identity Center
Debe crear una identidad de IAM que un administrador de Redshift utilice para configurar Redshift para usarlo con AWS IAM Identity Center. Lo más habitual es crear un rol de IAM con permisos y asignarlo a otras identidades según sea necesario. Debe tener los permisos indicados para realizar las siguientes acciones.
**Creación de la aplicación de Redshift/AWS IAM Identity Center**
+ `sso:PutApplicationAssignmentConfiguration`: se utiliza para la seguridad.
+ `sso:CreateApplication`: se utiliza para crear una aplicación de AWS IAM Identity Center.
+ `sso:PutApplicationAuthenticationMethod`: otorga acceso de autenticación de Redshift.
+ `sso:PutApplicationGrant` – Se utiliza para cambiar la información del emisor de tokens de confianza.
+ `sso:PutApplicationAccessScope`: se utiliza para configurar la aplicación de Redshift AWS IAM Identity Center. Esto incluye para AWS Lake Formation y para [permisos de acceso de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
+ `redshift:CreateRedshiftIdcApplication`: se utiliza para crear una aplicación de Redshift AWS IAM Identity Center.
**Descripción de la aplicación de Redshift/AWS IAM Identity Center**
+ `sso:GetApplicationGrant` – Se utiliza para enumerar la información del emisor de tokens de confianza.
+ `sso:ListApplicationAccessScopes`: se utiliza para que en la configuración de la aplicación de Redshift AWS IAM Identity Center se enumeren las integraciones posteriores, como las de AWS Lake Formation y los permisos de acceso de S3.
+ `redshift:DescribeRedshiftIdcApplications`: se utiliza para describir las aplicaciones existentes de AWS IAM Identity Center.
**Cambio de la aplicación de Redshift/AWS IAM Identity Center**
+ `redshift:ModifyRedshiftIdcApplication`: se utiliza para cambiar una aplicación Redshift existente.
+ `sso:UpdateApplication`: se utiliza para actualizar una aplicación de AWS IAM Identity Center.
+ `sso:GetApplicationGrant`: obtiene la información del emisor de tokens de confianza.
+ `sso:ListApplicationAccessScopes`: se utiliza para configurar la aplicación de Redshift AWS IAM Identity Center.
+ `sso:DeleteApplicationGrant` – Elimina la información del emisor de tokens de confianza.
+ `sso:PutApplicationGrant` – Se utiliza para cambiar la información del emisor de tokens de confianza.
+ `sso:PutApplicationAccessScope`: se utiliza para configurar la aplicación de Redshift AWS IAM Identity Center. Esto incluye para AWS Lake Formation y para [permisos de acceso de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
+ `sso:DeleteApplicationAccessScope`: se utiliza para eliminar la configuración de la aplicación de Redshift AWS IAM Identity Center. Esto incluye para AWS Lake Formation y para [permisos de acceso de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
**Eliminación de la aplicación de Redshift/AWS IAM Identity Center**
+ `sso:DeleteApplication`: se utiliza para eliminar una aplicación de AWS IAM Identity Center.
+ `redshift:DeleteRedshiftIdcApplication`: ofrece la posibilidad de eliminar una aplicación Redshift AWS IAM Identity Center existente.
#### Permisos necesarios para la administración del ciclo de vida de las aplicaciones de Redshift/editor de consultas v2
Debe crear una identidad de IAM que un administrador de Redshift utilice para configurar Redshift para usarlo con AWS IAM Identity Center. Lo más habitual es crear un rol de IAM con permisos y asignarlo a otras identidades según sea necesario. Debe tener los permisos indicados para realizar las siguientes acciones.
**Creación de la aplicación del editor de consultas v**
+ `redshift:CreateQev2IdcApplication`: se utiliza para crear la aplicación de QEV2.
+ `sso:CreateApplication`: da la capacidad de crear una aplicación de AWS IAM Identity Center.
+ `sso:PutApplicationAuthenticationMethod`: otorga acceso de autenticación de Redshift.
+ `sso:PutApplicationGrant` – Se utiliza para cambiar la información del emisor de tokens de confianza.
+ `sso:PutApplicationAccessScope`: se utiliza para configurar la aplicación de Redshift AWS IAM Identity Center. Esto incluye el editor de consultas v2.
+ `sso:PutApplicationAssignmentConfiguration`: se utiliza para la seguridad.
**Descripción de la aplicación del editor de consultas v**
+ `redshift:DescribeQev2IdcApplications`: se utiliza para describir la aplicación de QEV2 de AWS IAM Identity Center.
**Cambio de la aplicación del editor de consultas v**
+ `redshift:ModifyQev2IdcApplication`: se utiliza para cambiar la aplicación de QEV2 de AWS IAM Identity Center.
+ `sso:UpdateApplication`: se utiliza para cambiar la aplicación de QEV2 de AWS IAM Identity Center.
**Eliminación de la aplicación del editor de consultas v**
+ `redshift:DeleteQev2IdcApplication`: se utiliza para eliminar la aplicación de QEV2.
+ `sso:DeleteApplication`: se utiliza para eliminar la aplicación de QEV2.
**nota**
En el SDK de Amazon Redshift, las siguientes API no están disponibles:
CreateQev2IdcApplication
DescribeQev2IdcApplications
ModifyQev2IdcApplication
DeleteQev2IdcApplication
Estas acciones se utilizan específicamente para realizar la integración de AWS IAM Identity Center con Redshift QEV2 en la consola de AWS. Para obtener más información, consulte [Acciones definidas por Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html#amazonredshift-actions-as-permissions).
#### Permisos necesarios para que el administrador de base de datos conecte nuevos recursos en la consola
Estos permisos son necesarios para conectar nuevos clústeres aprovisionados o grupos de trabajo de Amazon Redshift sin servidor durante el proceso de creación. Si tiene estos permisos, aparece una selección en la consola para elegir conectarse a la aplicación administrada por AWS IAM Identity Center para Redshift.
+ `redshift:DescribeRedshiftIdcApplications`
+ `sso:ListApplicationAccessScopes`
+ `sso:GetApplicationAccessScope`
+ `sso:GetApplicationGrant`
Como práctica recomendada, aconsejamos asociar las políticas de permisos a un rol de IAM y luego asignarlo a los usuarios y grupos según sea necesario. Para obtener más información, consulte [Administración de identidades y accesos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
## Configuración de Redshift como una aplicación administrada por AWS con AWS IAM Identity Center
Para que AWS IAM Identity Center pueda administrar las identidades de un clúster aprovisionado de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor, el administrador de Redshift debe completar los pasos para que Redshift sea una aplicación administrada por AWS IAM Identity Center:
1. Seleccione **Integración de AWS IAM Identity Center** en el menú de la consola de Amazon Redshift o Amazon Redshift sin servidor y, a continuación, **Conectarse a AWS IAM Identity Center**. A partir de ahí, debe realizar una serie de selecciones para rellenar las propiedades para la integración de AWS IAM Identity Center.
1. Elija un nombre para mostrar y un nombre exclusivo para la aplicación gestionada por AWS IAM Identity Center de Redshift.
1. Especifique el espacio de nombres de su organización. En general suele ser una versión abreviada del nombre de la organización y se añade como prefijo a los usuarios y roles administrados por AWS IAM Identity Center en la base de datos de Redshift.
1. Seleccione el rol de IAM que desee utilizar. Este rol de IAM debe estar separado de los roles que se utilizan para Redshift. Además, recomendamos que no se utilice para otros fines. Los permisos de política específicos necesarios son los siguientes:
+ `sso:DescribeApplication`: se requiere para crear una entrada de proveedor de identidades (IdP) en el catálogo.
+ `sso:DescribeInstance`: se utiliza para crear manualmente roles o usuarios federados de IdP.
1. Configure las conexiones de los clientes y los emisores de tokens de confianza. La configuración de emisores de tokens de confianza facilita la propagación de identidades de confianza al definir una relación con un proveedor de identidades externo. La propagación de identidades permite a un usuario, por ejemplo, iniciar sesión en una aplicación y acceder a datos específicos en otra aplicación. Esto permite a los usuarios recopilar datos de ubicaciones distintas de forma más fluida. En este paso, debe establecer los atributos para cada emisor de tokens de confianza en la consola. Los atributos incluyen el nombre y la notificación de audiencia (o *aud claim*), que puede que tenga que obtener de los atributos de configuración de la herramienta o el servicio. Es posible que también tenga que proporcionar el nombre de la aplicación que aparece en el JSON Web Token (JWT) de la herramienta de terceros.
**nota**
La `aud claim` requerida para cada herramienta o servicio de terceros puede variar en función del tipo de token, que puede ser un token de acceso emitido por un proveedor de identidades, o de otro tipo, como un token de ID. Cada proveedor puede ser diferente. Al implementar la propagación de identidades de confianza y la integración con Redshift, se debe proporcionar el valor *aud* correcto para el tipo de token que la herramienta de terceros envía a AWS. Consulte las recomendaciones de su proveedor de herramientas o servicios.
Para obtener información detallada sobre la propagación de identidades de confianza, consulte [Trusted identity propagation overview](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) en la *Guía de usuario de AWS IAM Identity Center*.
Cuando el administrador de Redshift finalice los pasos y guarde la configuración, las propiedades de AWS IAM Identity Center aparecerán en la consola de Redshift. También puede consultar la vista del sistema [SVV\$1IDENTITY\$1PROVIDERS](https://docs.aws.amazon.com/redshift/latest/dg/r_SVV_IDENTITY_PROVIDERS.html) para comprobar las propiedades de la aplicación que incluyen el nombre de la aplicación y el espacio de nombres. El espacio de nombres se utiliza como prefijo para los objetos de base de datos de Redshift que están asociados a la aplicación. Al realizar estas tareas, Redshift se convierte en una aplicación habilitada por AWS IAM Identity Center. Las propiedades de la consola incluyen el estado de la integración. Cuando se completa la integración, muestra **Habilitado**. Tras este proceso, se puede habilitar la integración de AWS IAM Identity Center en cada clúster nuevo.
Tras la configuración, puede incluir usuarios y grupos de AWS IAM Identity Center en Redshift mediante la selección de la pestaña **Usuarios** o **Grupos** y **Asignar**.
## Habilitación de la integración de AWS IAM Identity Center para un nuevo clúster de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor
El administrador de la base de datos configura los nuevos recursos de Redshift para que funcionen junto con AWS IAM Identity Center y así facilitar el inicio de sesión y el acceso a los datos. Esto se realiza como parte de los pasos para crear un clúster aprovisionado o un grupo de trabajo sin servidor. Cualquier usuario con permisos para crear recursos de Redshift puede realizar estas tareas de integración de AWS IAM Identity Center. Al crear un clúster aprovisionado, comience por elegir **Crear clúster** en la consola de Amazon Redshift. Los siguientes pasos muestran cómo habilitar la administración de AWS IAM Identity Center para una base de datos. (No incluye todos los pasos para crear un clúster).
1. Seleccione **Habilitar para ** en la sección para la **integración del IAM Identity Center** en los pasos de creación del clúster.
1. Hay un paso en el proceso en el que se habilita la integración. Para ello, seleccione **Habilitar la integración del IAM Identity Center** en la consola.
1. Para el nuevo clúster o grupo de trabajo, cree roles de base de datos en Redshift con los comandos SQL. A continuación, se muestra el comando:
```
CREATE ROLE ;
```
El espacio de nombres y el nombre del rol son los siguientes:
+ *Prefijo del espacio de nombres de IAM Identity Center*: es el espacio de nombres que se ha definido al configurar la conexión entre AWS IAM Identity Center y Redshift.
+ *Nombre del rol*: este rol de base de datos de Redshift debe coincidir con el nombre del grupo en AWS IAM Identity Center.
Redshift se conecta con AWS IAM Identity Center y obtiene la información necesaria para crear y asignar el rol de la base de datos al grupo de AWS IAM Identity Center.
Tenga en cuenta que, cuando se crea un nuevo almacenamiento de datos, el rol de IAM especificado para la integración con AWS IAM Identity Center se adjunta automáticamente al clúster aprovisionado o al grupo de trabajo de Amazon Redshift sin servidor. Cuando termine de introducir los metadatos del clúster necesarios y de crear el recurso, podrá comprobar el estado de la integración de AWS IAM Identity Center en las propiedades. Si los nombres de grupo de AWS IAM Identity Center tienen espacios, es obligatorio utilizar comillas en SQL al crear el rol correspondiente.
Tras habilitar la base de datos de Redshift y crear roles, ya podrá conectarse a la base de datos con el editor de consultas v2 de Amazon Redshift o Amazon Quick. Encontrará información detallada al respecto en las secciones siguientes.
### Configuración de la `RedshiftIdcApplication` predeterminada mediante la API
Su administrador de identidades se encarga de la configuración. En la API, se crea y rellena una `RedshiftIdcApplication`, que representa la aplicación de Redshift en AWS IAM Identity Center.
1. Para empezar, puede crear usuarios y añadirlos a grupos de AWS IAM Identity Center. Puede hacerlo en la consola de AWS de AWS IAM Identity Center.
1. Llame a `create-redshift-idc-application` para crear una aplicación de AWS IAM Identity Center que se pueda usar con Redshift. La aplicación se crea rellenando los valores necesarios. El nombre para mostrar es el nombre que se mostrará en el panel de AWS IAM Identity Center. El ARN del rol de IAM es un ARN que tiene permisos para acceder a AWS IAM Identity Center y que Redshift también puede asumir.
```
aws redshift create-redshift-idc-application
––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d'
––identity-namespace 'MYCO'
––idc-display-name 'TEST-NEW-APPLICATION'
––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole'
––redshift-idc-application-name 'myredshiftidcapplication'
```
En el siguiente ejemplo, se muestra un ejemplo de respuesta de `RedshiftIdcApplication` a la llamada a `create-redshift-idc-application`.
```
"RedshiftIdcApplication": {
"IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d",
"RedshiftIdcApplicationName": "test-application-1",
"RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b",
"IdentityNamespace": "MYCO",
"IdcDisplayName": "Redshift-Idc-Application",
"IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole",
"IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910",
"IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication",
"RedshiftIdcApplicationArn": "Completed",
"AuthorizedTokenIssuerList": [
"TrustedTokenIssuerArn": ...,
"AuthorizedAudiencesList": [...]...
]}
```
1. Puede utilizar `create-application-assignment` para asignar grupos específicos o usuarios individuales a la aplicación administrada en AWS IAM Identity Center. De este modo, puede especificar los grupos que desea administrar a través de AWS IAM Identity Center. Si el administrador de la base de datos crea roles de base de datos en Redshift, los nombres de grupo en AWS IAM Identity Center se asignan a los nombres de los roles de Redshift. Los roles controlan los permisos en la base de datos. Para obtener más información, consulte [Asignar el acceso de los usuarios a las aplicaciones en la consola de AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/assignuserstoapp.html).
1. Tras habilitar la aplicación, llame a `create-cluster` e incluya el ARN de la aplicación administrada por Redshift desde AWS IAM Identity Center. De este modo, se asocia el clúster a la aplicación administrada en AWS IAM Identity Center.
### Asociación de una aplicación de AWS IAM Identity Center a un clúster o grupo de trabajo existentes
Si ya tiene un clúster o grupo de trabajo que le gustaría habilitar para la integración de AWS IAM Identity Center, es posible hacerlo mediante la ejecución de comandos SQL. También puede ejecutar comandos SQL para cambiar la configuración de la integración. Para obtener más información, consulte [ALTER IDENTITY PROVIDER](https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_IDENTITY_PROVIDER.html).
También es posible eliminar un proveedor de identidades existente. En el siguiente ejemplo, se muestra cómo CASCADE elimina los usuarios y roles asociados al proveedor de identidades.
```
DROP IDENTITY PROVIDER
[ CASCADE ]
```
## Configuración de permisos de usuario
Un administrador configura los permisos para varios recursos en función de los atributos de identidad de los usuarios y la pertenencia a grupos dentro de su proveedor de identidades o directamente en AWS IAM Identity Center. Por ejemplo, el administrador de identidades puede agregar a un ingeniero de base de datos a un grupo adecuado para el rol. El nombre de este grupo se asigna a un nombre de rol de base de datos de Redshift. El rol proporciona o restringe el acceso a tablas o vistas específicas en Redshift.
# Creación automática de funciones de Amazon Redshift para AWS IAM Identity Center
Esta característica es una integración con AWS IAM Identity Center que puede crear automáticamente funciones en Redshift en función de la pertenencia a un grupo.
La creación automática de roles tiene varias ventajas. Cuando crea un rol automáticamente, Redshift lo crea con la pertenencia a un grupo en su IdP, de modo que puede evitar la tediosa creación y mantenimiento manuales de roles. También tiene la opción de filtrar qué grupos están asignados a las funciones de Redshift con patrones de inclusión y exclusión.
## Funcionamiento
Cuando usted, como usuario de IdP, inicia sesión en Redshift, se produce la siguiente secuencia de eventos:
1. Redshift recupera las pertenencias a sus grupos de IdP.
1. Redshift crea automáticamente los roles que se asignan a esos grupos, con el formato de rol `idp_namespace:rolename`.
1. Redshift le concede permisos con las funciones asignadas.
Tras el inicio de sesión de cada usuario, se crea automáticamente cada grupo que no está presente en el catálogo pero del que forma parte el usuario. Si lo desea, puede configurar filtros de inclusión y exclusión para controlar qué grupos de IdP tienen funciones de Redshift creadas.
## Configuración de funciones de creación automática
Utilice los comandos `CREATE IDENTITY PROVIDER` y `ALTER IDENTITY PROVIDER` para habilitar y configurar la creación automática de roles.
```
-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER TYPE AWSIDC
NAMESPACE ''
APPLICATION_ARN 'app_arn'
IAM_ROLE 'role_arn'
AUTO_CREATE_ROLES TRUE;
-- Enable on existing IdP
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE;
-- Disable
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES FALSE;
```
## Filtrado de grupos
Si lo desea, puede filtrar los grupos de IdP que se asignan a las funciones de Redshift mediante patrones `INCLUDE` y `EXCLUDE`. Cuando los patrones entran en conflicto, `EXCLUDE` prevalece sobre `INCLUDE`.
```
-- Only create roles for groups with 'dev'
CREATE IDENTITY PROVIDER TYPE AWSIDC
...
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%';
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE
EXCLUDE GROUPS LIKE '%test%';
```
## Ejemplos
En el siguiente ejemplo se muestra cómo activar la creación automática de funciones sin filtrado.
```
CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC ...
AUTO_CREATE_ROLES TRUE;
```
El siguiente ejemplo incluye los grupos de desarrollo y excluye los grupos de prueba.
```
ALTER IDENTITY PROVIDER prod_idc
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%'
EXCLUDE GROUPS LIKE '%test%';
```
## Prácticas recomendadas
Tenga en cuenta las siguientes prácticas recomendadas al habilitar la creación automática de roles:
+ Utilice los filtros `INCLUDE` y `EXCLUDE` para controlar qué grupos obtienen los roles.
+ Audite periódicamente las funciones y limpie las que no se utilicen.
+ Aproveche las jerarquías de roles de Redshift para simplificar la administración de permisos.
# Integración de Amazon Redshift con Concesiones de acceso a Amazon S3
Gracias a la integración con Concesiones de acceso a Amazon S3, puede propagar sin problemas sus identidades de IAM Identity Center para controlar el acceso a los datos de Amazon S3. Esta integración le permite autorizar el acceso a los datos de Amazon S3 en función de los usuarios y grupos de IAM Identity Center.
Para obtener información sobre Concesiones de acceso a Amazon S3, consulte [Administración del acceso con Concesiones de acceso a Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
El uso de Concesiones de acceso a Amazon S3 ofrece a su aplicación las siguientes ventajas:
+ Control de acceso pormenorizado a los datos de Amazon S3, basado en las identidades de IAM Identity Center.
+ Administración centralizada de las identidades de IAM Identity Center en Amazon Redshift y Amazon S3.
+ Puede evitar tener que administrar permisos de IAM por separado para el acceso a Amazon S3.
## Funcionamiento
Para integrar su aplicación con Concesiones de acceso a Amazon S3, haga lo siguiente:
+ En primer lugar, debe configurar Amazon Redshift para que se integre con Concesiones de acceso a Amazon S3 mediante Consola de administración de AWS o AWS CLI.
+ A continuación, un usuario con privilegios de administrador de IdC concede acceso al bucket o prefijo de Amazon S3 a usuarios o grupos de IdC específicos mediante el servicio Concesiones de acceso a Amazon S3. Para obtener más información, consulte [Trabajo con concesiones en Concesiones de acceso a S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html).
+ Cuando un usuario de IdC autenticado en Redshift ejecuta una consulta para acceder a S3 (como una operación COPY, UNLOAD o Spectrum), Amazon Redshift recupera las credenciales de acceso temporales de S3 que tienen como ámbito esa identidad de IdC del servicio Concesiones de acceso a Amazon S3.
+ A continuación, Amazon Redshift utiliza las credenciales temporales recuperadas para acceder a las ubicaciones de Amazon S3 autorizadas para esa consulta.
## Configuración de la integración con Concesiones de acceso a Amazon S3
Para configurar la integración con Concesiones de acceso a Amazon S3 para Amazon Redshift, haga lo siguiente:
**Topics**
+ [Configuración de la integración con Concesiones de acceso a Amazon S3 utilizando la Consola de administración de AWS](#redshift-iam-access-control-sso-s3idc-setup-console)
+ [Habilitación de la integración con Concesiones de acceso a Amazon S3 utilizando la AWS CLI](#redshift-iam-access-control-sso-s3idc-setup-cli)
### Configuración de la integración con Concesiones de acceso a Amazon S3 utilizando la Consola de administración de AWS
1. Abra la consola de Amazon Redshift.
1. Elija el clúster en el panel **Clústeres**.
1. En la página de detalles de su clúster, en la sección **Integración con proveedores de identidad**, habilite la integración con el servicio **Concesiones de acceso a Amazon S3**.
**nota**
La sección **Integración con proveedores de identidad** no aparece si no tiene configurado IAM Identity Center. Para obtener más información, consulte [Enabling AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html).
### Habilitación de la integración con Concesiones de acceso a Amazon S3 utilizando la AWS CLI
1. Para crear una nueva aplicación de IdC de Amazon Redshift con la integración de S3 habilitada, haga lo siguiente:
```
aws redshift create-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Para modificar una aplicación existente para habilitar la integración con Concesiones de acceso a Amazon S3, haga lo siguiente:
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Para modificar una aplicación existente para deshabilitar la integración con Concesiones de acceso a Amazon S3, haga lo siguiente:
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]'
```
## Uso de la integración con Concesiones de acceso a Amazon S3
Después de configurar la integración con Concesiones de acceso a Amazon S3, las consultas que acceden a los datos de S3 (como las consultas `COPY`, `UNLOAD` o de Spectrum) utilizan la identidad de IdC como autorización. Los usuarios que no estén autenticados mediante IdC también pueden ejecutar estas consultas, pero esas cuentas de usuario no se benefician de la administración centralizada que proporciona IdC.
El siguiente ejemplo muestra las consultas que se ejecutan con la integración de Concesiones de acceso a Amazon S3:
```
COPY table FROM 's3://mybucket/data'; // -- Redshift uses IdC identity
UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/' // -- Redshift uses IdC identity
```