Amazon Redshift ne prendra plus en charge la création de nouveaux Python à UDFs partir du patch 198. UDFs Le Python existant continuera de fonctionner jusqu'au 30 juin 2026. Pour plus d’informations, consultez le [ billet de blog ](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création automatique de rôles Amazon Redshift pour AWS IAM Identity Center
Cette fonctionnalité est une intégration AWS IAM Identity Center qui vous permet de créer automatiquement des rôles dans Redshift en fonction de l'appartenance à un groupe.
La création automatique de rôles présente plusieurs avantages. Lorsque vous créez automatiquement un rôle, Redshift le crée avec l’appartenance à un groupe dans votre IdP, ce qui vous permet d’éviter la création et la maintenance manuelles fastidieuses des rôles. Vous avez également la possibilité de filtrer les groupes mappés aux rôles Redshift avec des modèles d’inclusion et d’exclusion.
## Comment ça marche
Lorsque vous, en tant qu’utilisateur IdP, vous connectez à Redshift, la séquence d’événements suivante se produit :
1. Redshift récupère les adhésions à vos groupes depuis l’IdP.
1. Redshift crée automatiquement des rôles correspondant à ces groupes, selon le format des rôles `idp_namespace:rolename`.
1. Redshift vous accorde des autorisations pour les rôles mappés.
À chaque connexion utilisateur, chaque groupe qui n’est pas présent dans le catalogue mais dont l’utilisateur fait partie est créé automatiquement. Vous pouvez éventuellement définir des filtres d’inclusion et d’exclusion pour contrôler les groupes IdP pour lesquels des rôles Redshift ont été créés.
## Configuration de la création automatique des rôles
Utilisez les commandes `CREATE IDENTITY PROVIDER` et `ALTER IDENTITY PROVIDER` pour activer et configurer la création automatique de rôles.
```
-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER TYPE AWSIDC
NAMESPACE ''
APPLICATION_ARN 'app_arn'
IAM_ROLE 'role_arn'
AUTO_CREATE_ROLES TRUE;
-- Enable on existing IdP
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE;
-- Disable
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES FALSE;
```
## Groupes de filtres
Vous pouvez éventuellement filtrer les groupes IdP mappés aux rôles Redshift à l’aide des modèles `INCLUDE` et `EXCLUDE`. En cas de conflit entre les modèles, `EXCLUDE` a la priorité sur `INCLUDE`.
```
-- Only create roles for groups with 'dev'
CREATE IDENTITY PROVIDER TYPE AWSIDC
...
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%';
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE
EXCLUDE GROUPS LIKE '%test%';
```
## Exemples
L’exemple suivant montre comment activer la création automatique de rôles sans filtrage.
```
CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC ...
AUTO_CREATE_ROLES TRUE;
```
L’exemple suivant inclut les groupes de développement et exclut les groupes de test.
```
ALTER IDENTITY PROVIDER prod_idc
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%'
EXCLUDE GROUPS LIKE '%test%';
```
## Bonnes pratiques
Tenez compte des bonnes pratiques suivantes lorsque vous activez la création automatique pour les rôles :
+ Utilisez les filtres `INCLUDE` et `EXCLUDE` pour contrôler quels groupes obtiennent des rôles.
+ Auditez régulièrement les rôles et nettoyez ceux qui ne sont pas utilisés.
+ Tirez parti des hiérarchies de rôles Redshift pour simplifier la gestion des autorisations.