Amazon Redshift ne prendra plus en charge la création de nouveaux Python à UDFs partir du patch 198. UDFs Le Python existant continuera de fonctionner jusqu'au 30 juin 2026. Pour plus d’informations, consultez le [ billet de blog ](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Connectez Redshift à AWS IAM Identity Center pour une expérience d'authentification unique
Vous pouvez gérer l’accès des utilisateurs et des groupes aux entrepôts des données Amazon Redshift par le biais de la propagation d’identité approuvée.
[La propagation fiable des identités](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) est une AWS IAM Identity Center fonctionnalité que les administrateurs de Connected Services AWS peuvent utiliser pour accorder et auditer l'accès aux données de service. L’accès à ces données est basé sur les attributs utilisateur tels que les associations de groupe. La mise en place d'une propagation d'identité sécurisée nécessite une collaboration entre les administrateurs de Connected Services AWS et les administrateurs d'IAM Identity Center. Pour plus d’informations, consultez [Prérequis et considérations](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).
Pour illustrer un end-to-end cas, vous pouvez utiliser un Amazon Quick tableau de bord ou l'éditeur de requêtes Amazon Redshift v2 pour accéder à Redshift. Dans ce cas, l'accès est basé sur les groupes AWS IAM Identity Center. Redshift peut déterminer qui est un utilisateur et son appartenance à un groupe. AWS IAM Identity Center permet également de connecter et de gérer les identités par le biais d'un fournisseur d'identité tiers (IdP) tel qu'Okta ou. PingOne
Une fois que votre administrateur a établi la connexion entre Redshift et AWS IAM Identity Center, il peut configurer un accès précis en fonction des groupes de fournisseurs d'identité afin d'autoriser l'accès des utilisateurs aux données.
**Important**
Lorsque vous supprimez un utilisateur d'un AWS IAM Identity Center ou d'un annuaire de fournisseurs d'identité connectés (IdP), il n'est pas automatiquement supprimé du catalogue Amazon Redshift. Pour supprimer manuellement l'utilisateur du catalogue Amazon Redshift, exécutez la `DROP USER` commande pour supprimer complètement l'utilisateur qui a été supprimé d'un AWS IAM Identity Center ou d'un IdP. Pour plus d’informations sur la procédure à suivre pour supprimer un utilisateur, consultez [DROP USER](https://docs.aws.amazon.com/redshift/latest/dg/r_DROP_USER.html) dans le *Guide du développeur de base de données Amazon Redshift*.
## Avantages de l'intégration de Redshift à AWS IAM Identity Center
L'utilisation d' AWS IAM Identity Center avec Redshift peut bénéficier à votre organisation des manières suivantes :
+ Les auteurs de tableaux de bord Amazon Quick peuvent se connecter aux sources de données Redshift sans avoir à saisir à nouveau les mots de passe ou à demander à un administrateur de configurer des rôles IAM avec des autorisations complexes.
+ AWS IAM Identity Center fournit un emplacement central pour les utilisateurs de votre personnel. AWS Vous pouvez créer des utilisateurs et des groupes directement dans AWS IAM Identity Center ou connecter des utilisateurs et des groupes existants que vous gérez dans un fournisseur d'identité normalisé tel qu'Okta PingOne ou Microsoft Entra ID (Azure AD). AWS IAM Identity Center dirige l'authentification vers la source de vérité que vous avez choisie pour les utilisateurs et les groupes, et il gère un répertoire des utilisateurs et des groupes auxquels Redshift peut accéder. Pour plus d’informations, consultez [Gestion de votre source d’identité](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) et [Fournisseurs d’identité pris en charge](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) dans le *Guide de l’utilisateur AWS IAM Identity Center*.
+ Vous pouvez partager une instance AWS IAM Identity Center avec plusieurs clusters et groupes de travail Redshift grâce à une simple fonctionnalité de découverte automatique et de connexion. Cela permet d'ajouter rapidement des clusters sans avoir à configurer la connexion AWS IAM Identity Center pour chacun d'entre eux, et garantit que tous les clusters et groupes de travail disposent d'une vue cohérente des utilisateurs, de leurs attributs et de leurs groupes. Notez que l'instance AWS IAM Identity Center de votre organisation doit se trouver dans la même région que tous les partages de données Redshift auxquels vous vous connectez.
+ Comme les identités des utilisateurs sont connues et journalisées en même temps que l’accès aux données, il vous est plus facile de respecter les règles de conformité en auditant l’accès des utilisateurs dans AWS CloudTrail.
## Personas d’administrateur pour la connexion des applications
Les personas suivants sont essentiels pour connecter les applications analytiques à l’application gérée par AWS IAM Identity Center pour Redshift :
+ **Administrateur de l’application** : crée une application et configure les services avec lesquels elle permettra des échanges de jetons d’identité. Cet administrateur spécifie également les utilisateurs et les groupes qui ont accès à l’application.
+ **Administrateur de données** : configure un accès précis aux données. Les utilisateurs et les groupes d' AWS IAM Identity Center peuvent être mappés à des autorisations spécifiques.
## Connexion à Amazon Redshift avec AWS IAM Identity Center via Amazon Quick
Voici comment utiliser Quick pour s'authentifier auprès de Redshift lorsqu'il est connecté à IAM Identity Center et que l'accès est géré AWS via celui-ci [: Autoriser les connexions entre Quick et les clusters Amazon](https://docs.aws.amazon.com/quick/latest/userguide/enabling-access-redshift.html) Redshift. Ces étapes s’appliquent également à Amazon Redshift sans serveur.
## Connexion à Amazon Redshift avec AWS IAM Identity Center via l'éditeur de requêtes Amazon Redshift v2
Une fois les étapes de configuration d'une connexion AWS IAM Identity Center avec Redshift terminées, l'utilisateur peut accéder à la base de données et aux objets appropriés de la base de données via AWS son identité basée sur IAM Identity Center et préfixée par un espace de noms. Pour plus d’informations sur la connexion aux bases de données Redshift avec la connexion à l’éditeur de requêtes v2, consultez [Interrogation d’une base de données à l’aide de l’éditeur de requête v2Interrogation d’une base de données à l’aide de Amazon Redshift Query Editor V2](query-editor-v2.md).
## Utilisation d' AWS IAM Identity Center sur plusieurs Régions AWS
Amazon Redshift prend en charge AWS IAM Identity Center en plusieurs versions. Régions AWS Vous pouvez étendre AWS IAM Identity Center de votre région principale Région AWS à d'autres régions pour améliorer les performances grâce à la proximité des utilisateurs et à la fiabilité. Lorsqu'une nouvelle région est ajoutée dans AWS IAM Identity Center, vous pouvez créer des applications Redshift IAM Identity Center dans la nouvelle région sans répliquer les identités de la région principale. Vous pouvez configurer les autorisations fédérées Amazon Redshift à l'aide d' AWS IAM Identity Center dans la nouvelle région, où vous pouvez activer les contrôles au niveau des lignes, des colonnes et du masquage. Pour plus de détails sur la façon de démarrer avec AWS IAM Identity Center dans plusieurs régions, voir [Gérer le centre d'identité AWS IAM dans plusieurs régions dans](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) le guide de l' Régions AWS utilisateur d'*AWS IAM Identity Center*.
## Limitations relatives à la connexion à Amazon Redshift avec AWS IAM Identity Center
Lorsque vous utilisez l'authentification unique AWS IAM Identity Center, tenez compte des limites suivantes :
+ **Aucune prise en charge du VPC amélioré : le VPC** amélioré n'est pas pris en charge lorsque vous utilisez l'authentification unique AWS IAM Identity Center pour Amazon Redshift. Pour plus d’informations sur le VPC amélioré, consultez [Routage VPC amélioré dans Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html).
# Configuration de l'intégration d' AWS IAM Identity Center à Amazon Redshift
Votre administrateur de cluster Amazon Redshift ou administrateur Amazon Redshift Serverless doit effectuer plusieurs étapes pour configurer Redshift en tant AWS qu'application compatible avec IAM Identity Center. Redshift peut ainsi découvrir et se connecter automatiquement à AWS IAM Identity Center pour recevoir les services de connexion et d'annuaire des utilisateurs. Ensuite, lorsque votre administrateur Redshift crée un cluster ou un groupe de travail, il peut permettre au nouvel entrepôt de données d'utiliser AWS IAM Identity Center pour gérer l'accès à la base de données.
L'objectif de l'activation de Redshift en tant qu'application gérée par AWS IAM Identity Center est de vous permettre de contrôler les autorisations des utilisateurs et des groupes depuis AWS IAM Identity Center ou depuis un fournisseur d'identité tiers qui y est intégré. Lorsque les utilisateurs de votre base de données se connectent à une base de données Redshift, par exemple un analyste ou un data scientist, celui-ci vérifie leurs groupes dans AWS IAM Identity Center et ceux-ci correspondent aux noms de rôles dans Redshift. De cette manière, un groupe qui définit le nom d’un rôle de base de données Redshift peut accéder à un ensemble de tables pour l’analyse des ventes, par exemple. Les sections suivantes décrivent comment configurer cela.
## Conditions préalables
Voici les conditions préalables à l'intégration d' AWS IAM Identity Center à Amazon Redshift :
+ *Configuration du compte* : vous devez configurer AWS IAM Identity Center dans le compte de gestion de votre AWS organisation si vous prévoyez d'avoir des cas d'utilisation entre comptes ou si vous utilisez des clusters Redshift dans différents comptes avec la même instance d' AWS IAM Identity Center. Cela inclut la configuration de votre source d’identité. Pour plus d’informations, consultez [Prise en main](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html), [Identités de personnel](https://docs.aws.amazon.com/singlesignon/latest/userguide/identities.html) et [Fournisseurs d’identité pris en charge](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) dans le *guide de l’utilisateur AWS IAM Identity Center*. Vous devez vous assurer que vous avez créé des utilisateurs ou des groupes dans AWS IAM Identity Center, ou que vous avez synchronisé des utilisateurs et des groupes à partir de votre source d'identité avant de pouvoir les attribuer aux données de Redshift.
**Note**
Vous avez la possibilité d'utiliser une instance de compte d' AWS IAM Identity Center, à condition que Redshift AWS et IAM Identity Center soient dans le même compte. Vous pouvez créer cette instance à l’aide d’un widget lorsque vous créez et configurez un cluster ou un groupe de travail Redshift.
+ *Configuration d’un émetteur de jetons approuvé* : dans certains cas, vous devrez peut-être utiliser un émetteur de jetons approuvé, qui est une entité capable d’émettre et de vérifier des jetons de confiance. Avant de pouvoir le faire, des étapes préliminaires sont nécessaires avant que l'administrateur Redshift chargé de configurer l'intégration d' AWS IAM Identity Center puisse sélectionner l'émetteur de jetons de confiance et ajouter les attributs nécessaires pour terminer la configuration. Cela peut inclure la configuration d'un fournisseur d'identité externe pour qu'il serve d'émetteur de jetons de confiance et l'ajout de ses attributs dans la console AWS IAM Identity Center. Pour effectuer ces étapes, consultez [Utilisation d’applications avec un émetteur de jetons approuvés](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#setuptrustedtokenissuer).
**Note**
La configuration d’un émetteur de jetons approuvé n’est pas requise pour toutes les connexions externes. La connexion à votre base de données Redshift à l’aide de l’éditeur de requêtes Amazon Redshift v2 ne nécessite pas la configuration d’un émetteur de jetons approuvé. Toutefois, cela peut s’appliquer à des applications tierces telles que des tableaux de bord ou des applications personnalisées qui s’authentifient auprès de votre fournisseur d’identité.
+ *Configuration d’un ou de plusieurs rôles IAM* : les sections suivantes mentionnent les autorisations qui doivent être configurées. Vous devrez ajouter des autorisations conformément aux bonnes pratiques IAM. Les autorisations spécifiques sont détaillées dans les procédures qui suivent.
Pour plus d’informations, consultez [Bien démarrer avec AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html).
## Configuration de votre fournisseur d'identité pour qu'il fonctionne avec AWS IAM Identity Center
La première étape du contrôle de la gestion des identités des utilisateurs et des groupes consiste à vous connecter à AWS IAM Identity Center et à configurer votre fournisseur d’identité. Vous pouvez utiliser AWS IAM Identity Center lui-même comme fournisseur d'identité, ou vous pouvez connecter un magasin d'identité tiers, tel qu'Okta, par exemple. Pour plus d’informations sur la configuration de la connexion et de votre fournisseur d’identité, consultez [Connexion à un fournisseur d’identité externe](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) dans le *Guide de l’utilisateur AWS IAM Identity Center*. À la fin de ce processus, assurez-vous qu'une petite collection d'utilisateurs et de groupes a été ajoutée à AWS IAM Identity Center, à des fins de test.
### Autorisations administratives
#### Autorisations requises pour la gestion du cycle de vie des applications Redshift/AWS IAM Identity Center
Vous devez créer une identité IAM, qu'un administrateur Redshift utilise pour configurer Redshift afin de l'utiliser AWS avec IAM Identity Center. Le plus souvent, vous créez un rôle IAM avec des autorisations et vous l’attribuez à d’autres identités selon les besoins. Il doit disposer des autorisations répertoriées pour effectuer les actions suivantes.
**Création de l'application Redshift/AWS IAM Identity Center**
+ `sso:PutApplicationAssignmentConfiguration` : pour la sécurité.
+ `sso:CreateApplication`— Utilisé pour créer une application AWS IAM Identity Center.
+ `sso:PutApplicationAuthenticationMethod` : accorde l’accès à l’authentification Redshift.
+ `sso:PutApplicationGrant` : sert à modifier les informations relatives à l’émetteur de jetons approuvé.
+ `sso:PutApplicationAccessScope`— Pour la configuration de l'application Redshift AWS IAM Identity Center. Cela inclut les [subventions d'accès pour AWS Lake Formation et pour Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
+ `redshift:CreateRedshiftIdcApplication`— Utilisé pour créer l'application Redshift AWS IAM Identity Center.
**Décrire l'application Redshift/AWS IAM Identity Center**
+ `sso:GetApplicationGrant` : sert à répertorier les informations relatives à l’émetteur de jetons approuvé.
+ `sso:ListApplicationAccessScopes` : pour configurer l’application Redshift AWS IAM Identity Center afin de répertorier les intégrations en aval, telles que pour AWS Lake Formation et les autorisations d’accès S3.
+ `redshift:DescribeRedshiftIdcApplications`— Utilisé pour décrire les applications AWS IAM Identity Center existantes.
**Modification de l'application Redshift/AWS IAM Identity Center**
+ `redshift:ModifyRedshiftIdcApplication` : sert à modifier une application Redshift existante.
+ `sso:UpdateApplication`— Utilisé pour mettre à jour une application AWS IAM Identity Center.
+ `sso:GetApplicationGrant` : récupère les informations relatives à l’émetteur de jetons approuvé.
+ `sso:ListApplicationAccessScopes` : pour la configuration de l’application Redshift AWS IAM Identity Center.
+ `sso:DeleteApplicationGrant` : supprime les informations relatives à l’émetteur de jetons approuvé.
+ `sso:PutApplicationGrant` : sert à modifier les informations relatives à l’émetteur de jetons approuvé.
+ `sso:PutApplicationAccessScope`— Pour la configuration de l'application Redshift AWS IAM Identity Center. Cela inclut les [subventions d'accès pour AWS Lake Formation et pour Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
+ `sso:DeleteApplicationAccessScope` : pour supprimer l’application Redshift AWS IAM Identity Center. Cela inclut les [subventions d'accès pour AWS Lake Formation et pour Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
**Suppression de l’application Redshift/AWS IAM Identity Center**
+ `sso:DeleteApplication`— Utilisé pour supprimer une application AWS IAM Identity Center.
+ `redshift:DeleteRedshiftIdcApplication`— Permet de supprimer une application Redshift AWS IAM Identity Center existante.
#### Autorisations requises pour la gestion du cycle de vie des applications Redshift/query Editor v2
Vous devez créer une identité IAM, qu'un administrateur Redshift utilise pour configurer Redshift afin de l'utiliser AWS avec IAM Identity Center. Le plus souvent, vous créez un rôle IAM avec des autorisations et vous l’attribuez à d’autres identités selon les besoins. Il doit disposer des autorisations répertoriées pour effectuer les actions suivantes.
**Création de l’application de l’éditeur de requête v2**
+ `redshift:CreateQev2IdcApplication`— Utilisé pour créer l' QEV2 application.
+ `sso:CreateApplication` : permet de créer une application AWS IAM Identity Center.
+ `sso:PutApplicationAuthenticationMethod` : accorde l’accès à l’authentification Redshift.
+ `sso:PutApplicationGrant` : sert à modifier les informations relatives à l’émetteur de jetons approuvé.
+ `sso:PutApplicationAccessScope`— Pour la configuration de l'application Redshift AWS IAM Identity Center. Cela inclut l’éditeur de requêtes v2.
+ `sso:PutApplicationAssignmentConfiguration` : pour la sécurité.
**Décrire l’application de l’éditeur de requête v2**
+ `redshift:DescribeQev2IdcApplications`— Utilisé pour décrire l' QEV2 application AWS IAM Identity Center.
**Modifier l’application de l’éditeur de requête v2**
+ `redshift:ModifyQev2IdcApplication`— Utilisé pour modifier l' QEV2 application AWS IAM Identity Center.
+ `sso:UpdateApplication`— Utilisé pour modifier l' QEV2 application AWS IAM Identity Center.
**Supprimer l’application de l’éditeur de requête v2**
+ `redshift:DeleteQev2IdcApplication`— Utilisé pour supprimer l' QEV2 application.
+ `sso:DeleteApplication`— Utilisé pour supprimer l' QEV2application.
**Note**
Dans le SDK Amazon Redshift, les éléments suivants APIs ne sont pas disponibles :
CreateQev2IdcApplication
DescribeQev2IdcApplications
ModifyQev2IdcApplication
DeleteQev2IdcApplication
Ces actions sont spécifiques à l'intégration d' AWS IAM Identity Center à QEV2 Redshift dans AWS la console. Pour de plus amples informations, consultez [Actions définies par Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html#amazonredshift-actions-as-permissions).
#### Autorisations requises pour que l’administrateur de base de données puisse se connecter à de nouvelles ressources dans la console
Ces autorisations sont requises pour connecter de nouveaux clusters provisionnés ou des groupes de travail Amazon Redshift sans serveur au cours du processus de création. Si vous disposez de ces autorisations, une sélection apparaît dans la console pour que vous choisissiez de vous connecter à l’application gérée par AWS IAM Identity Center pour Redshift.
+ `redshift:DescribeRedshiftIdcApplications`
+ `sso:ListApplicationAccessScopes`
+ `sso:GetApplicationAccessScope`
+ `sso:GetApplicationGrant`
Il est recommandé d’associer des politiques d’autorisation à un rôle IAM, puis de l’attribuer à des utilisateurs et à des groupes, le cas échéant. Pour plus d’informations, consultez [Identity and Access Management dans Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
## Configuration de Redshift en tant qu'application AWS gérée avec AWS IAM Identity Center
Avant qu' AWS IAM Identity Center puisse gérer les identités d'un cluster provisionné par Amazon Redshift ou d'un groupe de travail Amazon Redshift Serverless, l'administrateur Redshift doit suivre les étapes nécessaires pour faire de Redshift une application gérée par IAM Identity Center : AWS
1. Sélectionnez **Intégration àAWS IAM Identity Center** dans le menu de la console Amazon Redshift ou Amazon Redshift Serverless, puis sélectionnez **Connect** to IAM Identity Center. AWS À partir de là, vous devez effectuer une série de sélections pour renseigner les propriétés nécessaires à l’intégration d’ AWS IAM Identity Center.
1. Choisissez un nom d'affichage et un nom unique pour l'application gérée par le AWS IAM Identity Center de Redshift.
1. Spécifiez l’espace de noms de votre organisation. Il s’agit généralement d’une version abrégée du nom de votre organisation. Il est ajouté en tant que préfixe pour vos utilisateurs et rôles gérés par AWS IAM Identity Center dans la base de données Redshift.
1. Sélectionnez un rôle IAM à utiliser. Ce rôle IAM doit être distinct des autres rôles utilisés pour Redshift et nous vous recommandons de ne pas l’utiliser à d’autres fins. Les autorisations de politique spécifiques requises sont les suivantes :
+ `sso:DescribeApplication` : requise pour créer une entrée de fournisseur d’identité (IdP) dans le catalogue.
+ `sso:DescribeInstance` : sert à créer manuellement des rôles ou des utilisateurs fédérés par le fournisseur d’identité.
1. Configurez les connexions client et les émetteurs de jetons approuvés. La configuration d’émetteurs de jetons approuvés facilite la propagation d’identités approuvées en établissant une relation avec un fournisseur d’identité externe. La propagation de l’identité permet à un utilisateur, par exemple, de se connecter à une application et d’accéder à des données spécifiques dans une autre application. Cela permet aux utilisateurs de collecter des données à partir d’emplacements distincts de manière plus fluide. À ce stade, dans la console, vous définissez les attributs de chaque émetteur de jetons approuvé. Ces attributs incluent le nom et la réclamation d’audience (ou *aud claim*), que vous devrez peut-être obtenir à partir des attributs de configuration de l’outil ou du service. Vous devrez peut-être également fournir le nom de l’application à partir du jeton Web JSON (JWT) de l’outil tiers.
**Note**
L’élément `aud claim` requis à partir de chaque outil ou service tiers peut varier en fonction du type de jeton, qui peut être un jeton d’accès émis par un fournisseur d’identité, ou d’un autre type, tel qu’un jeton d’identification. Chaque fournisseur peut être différent. Lorsque vous implémentez la propagation d’identité approuvée et intégrez Redshift, il est nécessaire de fournir la valeur *aud* correcte pour le type de jeton que l’outil tiers envoie à AWS. Consultez les recommandations de votre fournisseur d’outils ou de services.
Pour obtenir des informations détaillées sur la propagation d’identité approuvée, consultez [Présentation de la propagation d’identité approuvée](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
Une fois que l’administrateur Redshift a terminé les étapes et enregistré la configuration, les propriétés d’ AWS IAM Identity Center apparaissent dans la console Redshift. Vous pouvez également interroger la vue système [SVV\$1IDENTITY\$1PROVIDERS](https://docs.aws.amazon.com/redshift/latest/dg/r_SVV_IDENTITY_PROVIDERS.html) pour vérifier les propriétés de l’application. Celles-ci incluent le nom de l’application et l’espace de noms. Vous utilisez l’espace de noms comme préfixe pour les objets de base de données Redshift associés à l’application. L'exécution de ces tâches fait de Redshift une application compatible avec AWS IAM Identity Center. Les propriétés de la console incluent l’état de l’intégration. Il indique **Activé** lorsque l’intégration est terminée. À l’issue de ce processus, l’intégration d’ AWS IAM Identity Center peut être activée sur chaque nouveau cluster.
**Après la configuration, vous pouvez inclure les utilisateurs et les groupes d' AWS IAM Identity Center dans Redshift en choisissant **l'**onglet Utilisateurs **ou** groupes, puis en choisissant Attribuer.**
## Activation de l'intégration d' AWS IAM Identity Center pour un nouveau cluster Amazon Redshift ou un nouveau groupe de travail Amazon Redshift Serverless
Votre administrateur de base de données configure les nouvelles ressources Redshift pour qu'elles fonctionnent en harmonie AWS avec IAM Identity Center afin de faciliter la connexion et l'accès aux données. Cela s’effectue dans le cadre des étapes de création d’un cluster provisionné ou d’un groupe de travail sans serveur. Toute personne autorisée à créer des ressources Redshift peut effectuer ces tâches d'intégration à AWS IAM Identity Center. Lorsque vous créez un cluster provisionné, vous commencez par choisir Create Cluster **dans la** console Amazon Redshift. Les étapes suivantes montrent comment activer la gestion du centre d'identité AWS IAM pour une base de données. (Elle n’inclut pas toutes les étapes de création d’un cluster.)
1. Choisissez **Activer pour ** dans la section relative à l’**intégration d’IAM Identity Center** dans les étapes de création de cluster.
1. Le processus comporte une étape où vous activez l’intégration. Pour ce faire, choisissez **Activer l’intégration d’IAM Identity Center** dans la console.
1. Pour le nouveau cluster ou groupe de travail, créez des rôles de base de données dans Redshift à l’aide de commandes SQL. Voici la commande :
```
CREATE ROLE ;
```
L’espace de noms et le nom du rôle sont les suivants :
+ *Préfixe d'espace de noms IAM Identity Center* : il s'agit de l'espace de noms que vous avez défini lors de la configuration de la connexion entre AWS IAM Identity Center et Redshift.
+ *Nom du rôle* : ce rôle de base de données Redshift doit correspondre au nom du groupe dans AWS IAM Identity Center.
Redshift se connecte à AWS IAM Identity Center et récupère les informations nécessaires pour créer et mapper le rôle de base de données au groupe AWS IAM Identity Center.
Notez que lorsqu’un nouvel entrepôt des données est créé, le rôle IAM spécifié pour l’intégration AWS IAM Identity Center est automatiquement associé au cluster alloué ou au groupe de travail Amazon Redshift sans serveur. Après avoir saisi les métadonnées de cluster requises et créé la ressource, vous pouvez vérifier le statut de l'intégration d' AWS IAM Identity Center dans les propriétés. Si les noms de vos groupes dans AWS IAM Identity Center comportent des espaces, vous devez utiliser des guillemets en SQL lorsque vous créez le rôle correspondant.
Après avoir activé la base de données Redshift et créé des rôles, vous êtes prêt à vous connecter à la base de données avec l’éditeur de requêtes Amazon Redshift v2 ou Amazon Quick. Les détails sont expliqués dans les sections suivantes.
### Configuration de l’élément par défaut `RedshiftIdcApplication` à l’aide de l’API
La configuration est effectuée par votre administrateur d’identité. À l'aide de l'API, vous créez et renseignez un`RedshiftIdcApplication`, qui représente l'application Redshift AWS dans IAM Identity Center.
1. Pour commencer, vous pouvez créer des utilisateurs et les ajouter à des groupes dans AWS IAM Identity Center. Pour ce faire, vous devez le faire dans la AWS console d' AWS IAM Identity Center.
1. Appelez `create-redshift-idc-application` pour créer une application AWS IAM Identity Center et la rendre compatible avec l'utilisation de Redshift. Vous créez l’application en renseignant les valeurs requises. Le nom d’affichage est le nom qui s’affichera sur le tableau de bord AWS IAM Identity Center. L’ARN du rôle IAM est un ARN doté d’autorisations pour accéder à AWS IAM Identity Center, qui est également endossable par Redshift.
```
aws redshift create-redshift-idc-application
––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d'
––identity-namespace 'MYCO'
––idc-display-name 'TEST-NEW-APPLICATION'
––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole'
––redshift-idc-application-name 'myredshiftidcapplication'
```
L’exemple suivant montre un exemple de réponse `RedshiftIdcApplication` renvoyé à partir de l’appel à `create-redshift-idc-application`.
```
"RedshiftIdcApplication": {
"IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d",
"RedshiftIdcApplicationName": "test-application-1",
"RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b",
"IdentityNamespace": "MYCO",
"IdcDisplayName": "Redshift-Idc-Application",
"IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole",
"IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910",
"IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication",
"RedshiftIdcApplicationArn": "Completed",
"AuthorizedTokenIssuerList": [
"TrustedTokenIssuerArn": ...,
"AuthorizedAudiencesList": [...]...
]}
```
1. Vous pouvez l'utiliser `create-application-assignment` pour attribuer des groupes particuliers ou des utilisateurs individuels à l'application gérée dans AWS IAM Identity Center. Ce faisant, vous pouvez spécifier les groupes à gérer via AWS IAM Identity Center. Si l'administrateur de base de données crée des rôles de base de données dans Redshift, les noms de groupe dans AWS IAM Identity Center correspondent aux noms de rôles dans Redshift. Les rôles contrôlent les autorisations dans la base de données. Pour plus d'informations, voir [Attribuer un accès utilisateur aux applications dans la console AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/assignuserstoapp.html).
1. Après avoir activé l'application, appelez `create-cluster` et incluez l'ARN de l'application gérée Redshift depuis AWS IAM Identity Center. Cela permet d'associer le cluster à l'application gérée dans AWS IAM Identity Center.
### Associer une application AWS IAM Identity Center à un cluster ou à un groupe de travail existant
Si vous avez un cluster ou un groupe de travail existant que vous souhaitez activer pour l’intégration d’ AWS IAM Identity Center, vous pouvez le faire en exécutant des commandes SQL. Vous pouvez également exécuter des commandes SQL pour modifier les paramètres de l’intégration. Pour plus d’informations, consultez [ALTER IDENTITY PROVIDER](https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_IDENTITY_PROVIDER.html).
Il est également possible de supprimer un fournisseur d’identité existant. L’exemple suivant montre comment CASCADE supprime les utilisateurs et les rôles attachés au fournisseur d’identité.
```
DROP IDENTITY PROVIDER
[ CASCADE ]
```
## Configuration des autorisations utilisateur
Un administrateur configure les autorisations d'accès à diverses ressources, en fonction des attributs d'identité des utilisateurs et de leur appartenance à un groupe, au sein de leur fournisseur d'identité ou directement au sein d' AWS IAM Identity Center. Par exemple, l'administrateur du fournisseur d'identité peut ajouter un ingénieur de base de données à un groupe correspondant à son rôle. Ce nom de groupe correspond à un nom de rôle de base de données Redshift. Le rôle fournit ou restreint l’accès à des tables ou à des vues spécifiques dans Redshift.
# Création automatique de rôles Amazon Redshift pour AWS IAM Identity Center
Cette fonctionnalité est une intégration AWS IAM Identity Center qui vous permet de créer automatiquement des rôles dans Redshift en fonction de l'appartenance à un groupe.
La création automatique de rôles présente plusieurs avantages. Lorsque vous créez automatiquement un rôle, Redshift le crée avec l’appartenance à un groupe dans votre IdP, ce qui vous permet d’éviter la création et la maintenance manuelles fastidieuses des rôles. Vous avez également la possibilité de filtrer les groupes mappés aux rôles Redshift avec des modèles d’inclusion et d’exclusion.
## Comment ça marche
Lorsque vous, en tant qu’utilisateur IdP, vous connectez à Redshift, la séquence d’événements suivante se produit :
1. Redshift récupère les adhésions à vos groupes depuis l’IdP.
1. Redshift crée automatiquement des rôles correspondant à ces groupes, selon le format des rôles `idp_namespace:rolename`.
1. Redshift vous accorde des autorisations pour les rôles mappés.
À chaque connexion utilisateur, chaque groupe qui n’est pas présent dans le catalogue mais dont l’utilisateur fait partie est créé automatiquement. Vous pouvez éventuellement définir des filtres d’inclusion et d’exclusion pour contrôler les groupes IdP pour lesquels des rôles Redshift ont été créés.
## Configuration de la création automatique des rôles
Utilisez les commandes `CREATE IDENTITY PROVIDER` et `ALTER IDENTITY PROVIDER` pour activer et configurer la création automatique de rôles.
```
-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER TYPE AWSIDC
NAMESPACE ''
APPLICATION_ARN 'app_arn'
IAM_ROLE 'role_arn'
AUTO_CREATE_ROLES TRUE;
-- Enable on existing IdP
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE;
-- Disable
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES FALSE;
```
## Groupes de filtres
Vous pouvez éventuellement filtrer les groupes IdP mappés aux rôles Redshift à l’aide des modèles `INCLUDE` et `EXCLUDE`. En cas de conflit entre les modèles, `EXCLUDE` a la priorité sur `INCLUDE`.
```
-- Only create roles for groups with 'dev'
CREATE IDENTITY PROVIDER TYPE AWSIDC
...
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%';
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE
EXCLUDE GROUPS LIKE '%test%';
```
## Exemples
L’exemple suivant montre comment activer la création automatique de rôles sans filtrage.
```
CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC ...
AUTO_CREATE_ROLES TRUE;
```
L’exemple suivant inclut les groupes de développement et exclut les groupes de test.
```
ALTER IDENTITY PROVIDER prod_idc
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%'
EXCLUDE GROUPS LIKE '%test%';
```
## Bonnes pratiques
Tenez compte des bonnes pratiques suivantes lorsque vous activez la création automatique pour les rôles :
+ Utilisez les filtres `INCLUDE` et `EXCLUDE` pour contrôler quels groupes obtiennent des rôles.
+ Auditez régulièrement les rôles et nettoyez ceux qui ne sont pas utilisés.
+ Tirez parti des hiérarchies de rôles Redshift pour simplifier la gestion des autorisations.
# Intégration d’Amazon Redshift aux autorisations d’accès Amazon S3
Grâce à l’intégration aux autorisations d’accès Amazon S3, vous pouvez propager en toute simplicité vos identités IAM Identity Center afin de contrôler l’accès aux données Amazon S3. Cette intégration vous permet d’autoriser l’accès aux données Amazon S3 en fonction des utilisateurs et des groupes IAM Identity Center.
Pour plus d’informations sur les autorisations d’accès Amazon S3, consultez [Gestion de l’accès avec les octrois d’accès S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
L’utilisation des autorisations d’accès Amazon S3 donne à votre application les avantages suivants :
+ Contrôle d’accès précis aux données Amazon S3, basé sur les identités IAM Identity Center.
+ Gestion centralisée des identités IAM Identity Center sur Amazon Redshift et Amazon S3.
+ Vous pouvez éviter de gérer des autorisations IAM distinctes pour l’accès à Amazon S3.
## Comment ça marche
Pour intégrer votre application aux autorisations d’accès Amazon S3, procédez comme suit :
+ Tout d'abord, vous configurez Amazon Redshift pour qu'il s'intègre à Amazon S3 Access Grants à l'aide du AWS Management Console ou. AWS CLI
+ Ensuite, un utilisateur disposant de privilèges d’administrateur IdC accorde l’accès au compartiment ou au préfixe Amazon S3 à des utilisateurs/groupes IdC spécifiques, à l’aide du service d’autorisations d’accès Amazon S3. Pour plus d’informations, consultez [Utilisation des autorisations d’accès S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html).
+ Lorsqu’un utilisateur IdC authentifié auprès de Redshift exécute une requête pour accéder à S3 (telle qu’une opération COPY, UNLOAD ou Spectrum), Amazon Redshift récupère les informations d’identification d’accès S3 temporaires associées à cette identité IdC auprès du service d’autorisations d’accès Amazon S3.
+ Amazon Redshift utilise ensuite les informations d’identification temporaires récupérées pour accéder aux sites Amazon S3 autorisés pour cette requête.
## Configuration de l’intégration à Amazon S3 avec les autorisations d’accès Amazon S3
Pour configurer l’intégration avec les autorisations d’accès Amazon S3 pour Amazon Redshift, procédez comme suit :
**Topics**
+ [Configuration de l'intégration avec Amazon S3 Access Grants à l'aide du AWS Management Console](#redshift-iam-access-control-sso-s3idc-setup-console)
+ [Activation de l'intégration avec Amazon S3 Access Grants à l'aide du AWS CLI](#redshift-iam-access-control-sso-s3idc-setup-cli)
### Configuration de l'intégration avec Amazon S3 Access Grants à l'aide du AWS Management Console
1. Ouvrez la console Amazon Redshift.
1. Choisissez votre cluster dans le volet **Clusters**.
1. Sur la page de détails de votre cluster, dans la section **Intégration du fournisseur d’identité**, activez l’intégration avec le service **Autorisations d’accès S3**.
**Note**
La section **Intégration du fournisseur d’identité** ne s’affiche pas si IAM Identity Center n’est pas configuré. Pour plus d'informations, consultez la section [Activation AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html).
### Activation de l'intégration avec Amazon S3 Access Grants à l'aide du AWS CLI
1. Pour créer une nouvelle application Amazon Redshift IdC avec l’intégration S3 activée, procédez comme suit :
```
aws redshift create-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Pour modifier une application existante afin d’activer l’intégration des autorisations d’accès S3, procédez comme suit :
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Pour modifier une application existante afin de désactiver l’intégration des autorisations d’accès S3, procédez comme suit :
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]'
```
## Utilisation des intégrations avec les autorisations d’accès S3
Après avoir configuré l’intégration des autorisations d’accès S3, les requêtes qui accèdent aux données S3 (telles que les requêtes `COPY`, `UNLOAD` ou Spectrum) utilisent l’identité IdC pour l’autorisation. Les utilisateurs qui ne sont pas authentifiés à l’aide d’IdC peuvent également exécuter ces requêtes, mais ces comptes utilisateur ne bénéficient pas de l’administration centralisée fournie par IdC.
L’exemple suivant montre les requêtes exécutées avec l’intégration des autorisations d’accès S3.
```
COPY table FROM 's3://mybucket/data'; // -- Redshift uses IdC identity
UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/' // -- Redshift uses IdC identity
```