Amazon Redshift tidak akan lagi mendukung pembuatan Python UDFs baru mulai Patch 198. Python yang ada UDFs akan terus berfungsi hingga 30 Juni 2026. Untuk informasi lebih lanjut, lihat [posting blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Hubungkan Redshift dengan AWS IAM Identity Center untuk pengalaman masuk tunggal
Anda dapat mengelola akses pengguna dan grup ke gudang data Amazon Redshift melalui propagasi identitas terpercaya.
[Propagasi identitas tepercaya](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) adalah AWS IAM Identity Center fitur yang Layanan AWS dapat digunakan administrator terhubung untuk memberikan dan mengaudit akses ke data layanan. Akses ke data ini didasarkan pada atribut pengguna seperti asosiasi grup. Menyiapkan propagasi identitas tepercaya memerlukan kolaborasi antara administrator yang terhubung Layanan AWS dan administrator Pusat Identitas IAM. Untuk informasi lebih lanjut, lihat [Prasyarat](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html) dan pertimbangan.
Untuk mengilustrasikan satu end-to-end kasus, Anda dapat menggunakan Amazon Quick dasbor atau editor kueri Amazon Redshift v2 untuk mengakses Redshift. Akses dalam hal ini didasarkan pada grup Pusat AWS Identitas IAM. Redshift dapat menentukan siapa pengguna dan keanggotaan grup mereka. AWS IAM Identity Center juga memungkinkan untuk menghubungkan dan mengelola identitas melalui penyedia identitas pihak ketiga (iDP) seperti Okta atau. PingOne
Setelah administrator Anda mengatur koneksi antara Redshift dan AWS IAM Identity Center, mereka dapat mengonfigurasi akses berbutir halus berdasarkan grup penyedia identitas untuk mengotorisasi akses pengguna ke data.
**penting**
Saat Anda menghapus pengguna dari Pusat Identitas AWS IAM atau direktori penyedia identitas terhubung (iDP), pengguna tidak secara otomatis dihapus dari katalog Amazon Redshift. Untuk menghapus pengguna secara manual dari katalog Amazon Redshift, jalankan `DROP USER` perintah untuk menghapus sepenuhnya pengguna yang telah dihapus dari Pusat Identitas AWS IAM atau iDP. Untuk informasi selengkapnya tentang cara menjatuhkan pengguna, lihat [DROP USER di Panduan](https://docs.aws.amazon.com/redshift/latest/dg/r_DROP_USER.html) *Pengembang Database Amazon Redshift*.
## Manfaat integrasi Redshift dengan AWS IAM Identity Center
Menggunakan AWS IAM Identity Center dengan Redshift dapat menguntungkan organisasi Anda dengan cara-cara berikut:
+ Penulis dasbor Amazon Quick dapat terhubung ke sumber data Redshift tanpa harus memasukkan kembali kata sandi atau mengharuskan administrator untuk mengatur peran IAM dengan izin yang kompleks.
+ AWS IAM Identity Center menyediakan lokasi pusat bagi pengguna tenaga kerja Anda. AWS Anda dapat membuat pengguna dan grup secara langsung di Pusat AWS Identitas IAM atau menghubungkan pengguna dan grup yang ada yang Anda kelola di penyedia identitas berbasis standar seperti Okta,, PingOne atau Microsoft Entra ID (Azure AD). AWS IAM Identity Center mengarahkan otentikasi ke sumber kebenaran yang Anda pilih untuk pengguna dan grup, dan memelihara direktori pengguna dan grup untuk diakses oleh Redshift. Untuk informasi selengkapnya, lihat [Mengelola sumber identitas Anda](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) dan [Penyedia identitas yang didukung](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) di *Panduan Pengguna Pusat AWS Identitas IAM*.
+ Anda dapat berbagi satu instans Pusat AWS Identitas IAM dengan beberapa cluster dan grup kerja Redshift dengan kemampuan penemuan otomatis dan koneksi yang sederhana. Ini membuatnya cepat untuk menambahkan cluster tanpa upaya ekstra untuk mengonfigurasi koneksi Pusat Identitas AWS IAM untuk masing-masing, dan memastikan bahwa semua cluster dan kelompok kerja memiliki pandangan pengguna, atribut, dan grup yang konsisten. Perhatikan bahwa instans Pusat AWS Identitas IAM organisasi Anda harus berada di wilayah yang sama dengan rangkaian data Redshift yang Anda sambungkan.
+ Karena identitas pengguna diketahui dan dicatat bersama dengan akses data, lebih mudah bagi Anda untuk memenuhi peraturan kepatuhan melalui audit akses pengguna. AWS CloudTrail
## Persona administrator untuk menghubungkan aplikasi
Berikut ini adalah persona yang merupakan kunci untuk menghubungkan aplikasi analitik ke aplikasi terkelola AWS IAM Identity Center untuk Redshift:
+ **Administrator aplikasi** — Membuat aplikasi dan mengonfigurasi layanan mana yang akan memungkinkan pertukaran token identitas. Administrator ini juga menentukan pengguna atau grup mana yang memiliki akses ke aplikasi.
+ **Administrator data** — Mengkonfigurasi akses halus ke data. Pengguna dan grup di Pusat AWS Identitas IAM dapat memetakan ke izin tertentu.
## Menghubungkan ke Amazon Redshift dengan AWS IAM Identity Center melalui Amazon Quick
Berikut ini menunjukkan cara menggunakan Quick untuk mengautentikasi dengan Redshift saat terhubung dan akses dikelola AWS melalui Pusat Identitas IAM[: Mengotorisasi koneksi dari cluster Quick ke Amazon](https://docs.aws.amazon.com/quick/latest/userguide/enabling-access-redshift.html) Redshift. Langkah-langkah ini berlaku untuk Amazon Redshift Serverless juga.
## Menghubungkan ke Amazon Redshift dengan AWS IAM Identity Center melalui editor kueri Amazon Redshift v2
Setelah menyelesaikan langkah-langkah untuk mengatur koneksi AWS IAM Identity Center dengan Redshift, pengguna dapat mengakses database dan objek yang sesuai dalam database melalui identitas IAM Identity Center, AWS namespace-prefixed. Untuk informasi selengkapnya tentang menghubungkan ke database Redshift dengan login editor kueri v2, lihat. [Menanyakan database menggunakan editor kueri v2Mengkueri database menggunakan editor kueri Amazon Redshift v2](query-editor-v2.md)
## Menggunakan Pusat AWS Identitas IAM di beberapa Wilayah AWS
Amazon Redshift mendukung Pusat Identitas AWS IAM dalam beberapa. Wilayah AWS Anda dapat memperluas Pusat AWS Identitas IAM dari Wilayah utama Anda Wilayah AWS ke Wilayah tambahan untuk meningkatkan kinerja melalui kedekatan dengan pengguna dan keandalan. Saat Wilayah baru ditambahkan di Pusat Identitas AWS IAM, Anda dapat membuat aplikasi Pusat Identitas IAM Redshift di Wilayah baru tanpa mereplikasi identitas dari Wilayah utama. Anda dapat mengatur izin gabungan Amazon Redshift menggunakan Pusat Identitas AWS IAM di Wilayah baru tempat Anda dapat mengaktifkan kontrol tingkat baris, tingkat kolom, dan masking. Untuk detail selengkapnya untuk memulai Pusat Identitas AWS IAM di beberapa Wilayah, lihat [Mengelola Pusat Identitas AWS IAM dalam beberapa Wilayah AWS di Panduan Pengguna Pusat AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) *Identitas IAM*.
## Batasan untuk menghubungkan ke Amazon Redshift dengan AWS IAM Identity Center
Saat menggunakan sistem masuk tunggal AWS IAM Identity Center, pertimbangkan batasan berikut:
+ **Tidak ada dukungan untuk VPC yang disempurnakan — VPC** yang disempurnakan tidak didukung saat Anda menggunakan sistem masuk tunggal Pusat Identitas AWS IAM untuk Amazon Redshift. Untuk informasi selengkapnya tentang VPC yang disempurnakan, lihat Perutean [VPC yang Ditingkatkan di](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) Amazon Redshift.
# Menyiapkan integrasi Pusat AWS Identitas IAM dengan Amazon Redshift
Administrator klaster Amazon Redshift atau administrator Amazon Redshift Tanpa Server Anda harus melakukan beberapa langkah untuk mengonfigurasi Redshift sebagai aplikasi yang diaktifkan Pusat Identitas IAM. AWS Ini membuatnya sehingga Redshift dapat menemukan dan terhubung ke AWS IAM Identity Center secara otomatis untuk menerima layanan login dan direktori pengguna. Setelah ini, ketika administrator Redshift Anda membuat cluster atau workgroup, mereka dapat mengaktifkan gudang data baru untuk menggunakan AWS IAM Identity Center untuk mengelola akses database.
Tujuan mengaktifkan Redshift sebagai aplikasi AWS yang dikelola Pusat Identitas IAM adalah agar Anda dapat mengontrol izin pengguna dan grup dari AWS dalam Pusat Identitas IAM, atau dari penyedia identitas pihak ketiga yang terintegrasi dengannya. Saat pengguna database Anda masuk ke database Redshift, misalnya analis atau ilmuwan data, database akan memeriksa grup mereka di Pusat Identitas AWS IAM dan ini cocok dengan nama peran di Redshift. Dengan cara ini, grup yang mendefinisikan nama untuk peran database Redshift dapat mengakses satu set tabel untuk analisis penjualan, misalnya. Bagian berikut menunjukkan cara mengatur ini.
## Prasyarat
Ini adalah prasyarat untuk mengintegrasikan AWS IAM Identity Center dengan Amazon Redshift:
+ *Konfigurasi akun* — Anda harus mengonfigurasi Pusat AWS Identitas IAM di akun manajemen AWS organisasi jika Anda berencana untuk memiliki kasus penggunaan lintas akun, atau jika Anda menggunakan kluster Redshift di akun yang berbeda dengan instans Pusat Identitas IAM yang sama AWS . Ini termasuk mengonfigurasi sumber identitas Anda. Untuk informasi selengkapnya, lihat [Memulai](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html), [identitas tenaga kerja](https://docs.aws.amazon.com/singlesignon/latest/userguide/identities.html), dan [penyedia identitas yang didukung di Panduan](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) Pengguna *Pusat AWS Identitas IAM*. Anda harus memastikan bahwa Anda telah membuat pengguna atau grup di Pusat Identitas AWS IAM, atau menyinkronkan pengguna dan grup dari sumber identitas Anda sebelum Anda dapat menetapkannya ke data di Redshift.
**catatan**
Anda memiliki opsi untuk menggunakan instance akun AWS IAM Identity Center, asalkan Redshift AWS dan IAM Identity Center berada di akun yang sama. Anda dapat membuat instance ini menggunakan widget saat membuat dan mengonfigurasi cluster atau workgroup Redshift.
+ *Mengonfigurasi penerbit token tepercaya* — Dalam beberapa kasus, Anda mungkin perlu menggunakan penerbit token tepercaya, yang merupakan entitas yang dapat mengeluarkan dan memverifikasi token kepercayaan. Sebelum Anda dapat melakukannya, langkah-langkah awal diperlukan sebelum administrator Redshift yang mengonfigurasi integrasi AWS IAM Identity Center dapat memilih penerbit token tepercaya dan menambahkan atribut yang diperlukan untuk menyelesaikan konfigurasi. Ini dapat mencakup mengonfigurasi penyedia identitas eksternal untuk berfungsi sebagai penerbit token tepercaya dan menambahkan atributnya di konsol Pusat Identitas AWS IAM. Untuk menyelesaikan langkah-langkah ini, lihat [Menggunakan aplikasi dengan penerbit token tepercaya](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#setuptrustedtokenissuer).
**catatan**
Menyiapkan penerbit token tepercaya tidak diperlukan untuk semua koneksi eksternal. Menyambungkan ke database Redshift Anda dengan editor kueri Amazon Redshift v2 tidak memerlukan konfigurasi penerbit token tepercaya. Tetapi itu dapat berlaku untuk aplikasi pihak ketiga seperti dasbor atau aplikasi khusus yang mengautentikasi dengan penyedia identitas Anda.
+ *Mengkonfigurasi peran atau peran IAM* — Bagian yang mengikuti menyebutkan izin yang harus dikonfigurasi. Anda harus menambahkan izin per praktik terbaik IAM. Izin khusus dirinci dalam prosedur berikut.
Untuk informasi selengkapnya, lihat [Memulai dengan Pusat AWS Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html).
## Mengkonfigurasi penyedia identitas Anda untuk bekerja dengan AWS IAM Identity Center
Langkah pertama dalam mengendalikan manajemen identitas pengguna dan grup adalah terhubung ke AWS IAM Identity Center dan mengkonfigurasi penyedia identitas Anda. Anda dapat menggunakan AWS IAM Identity Center sendiri sebagai penyedia identitas Anda, atau Anda dapat menghubungkan toko identitas pihak ketiga, seperti Okta, misalnya. Untuk informasi selengkapnya tentang menyiapkan sambungan ke dan mengonfigurasi penyedia identitas Anda, lihat [Connect ke penyedia identitas eksternal di panduan](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) *pengguna AWS IAM Identity Center*. Pastikan pada akhir proses ini bahwa Anda memiliki koleksi kecil pengguna dan grup yang ditambahkan ke AWS IAM Identity Center, untuk tujuan pengujian.
### Izin Administratif
#### Izin diperlukan untuk manajemen siklus hidup aplikasi AWS Redshift/IAM Identity Center
Anda harus membuat identitas IAM, yang digunakan administrator Redshift untuk mengonfigurasi Redshift untuk digunakan AWS dengan IAM Identity Center. Paling umum, Anda akan membuat peran IAM dengan izin dan menetapkannya ke identitas lain sesuai kebutuhan. Itu harus memiliki izin yang terdaftar untuk melakukan tindakan berikut.
**Membuat aplikasi AWS Redshift/IAM Identity Center**
+ `sso:PutApplicationAssignmentConfiguration`- Untuk keamanan.
+ `sso:CreateApplication`— Digunakan untuk membuat aplikasi AWS IAM Identity Center.
+ `sso:PutApplicationAuthenticationMethod`— Memberikan akses otentikasi Redshift.
+ `sso:PutApplicationGrant`— Digunakan untuk mengubah informasi penerbit token tepercaya.
+ `sso:PutApplicationAccessScope`— Untuk pengaturan aplikasi Redshift AWS IAM Identity Center. Ini termasuk untuk AWS Lake Formation dan untuk Hibah [Akses Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
+ `redshift:CreateRedshiftIdcApplication`— Digunakan untuk membuat aplikasi Redshift AWS IAM Identity Center.
**Menjelaskan aplikasi AWS Redshift/IAM Identity Center**
+ `sso:GetApplicationGrant`— Digunakan untuk mencantumkan informasi penerbit token tepercaya.
+ `sso:ListApplicationAccessScopes`— Untuk pengaturan aplikasi Redshift AWS IAM Identity Center untuk mencantumkan integrasi hilir, seperti for AWS Lake Formation dan S3 Access Grants.
+ `redshift:DescribeRedshiftIdcApplications`— Digunakan untuk menggambarkan aplikasi AWS IAM Identity Center yang ada.
**Mengubah aplikasi AWS Redshift/IAM Identity Center**
+ `redshift:ModifyRedshiftIdcApplication`— Digunakan untuk mengubah aplikasi Redshift yang ada.
+ `sso:UpdateApplication`— Digunakan untuk memperbarui aplikasi Pusat AWS Identitas IAM.
+ `sso:GetApplicationGrant`— Mendapatkan informasi penerbit token kepercayaan.
+ `sso:ListApplicationAccessScopes`— Untuk pengaturan aplikasi Redshift AWS IAM Identity Center.
+ `sso:DeleteApplicationGrant`— Menghapus informasi penerbit token kepercayaan.
+ `sso:PutApplicationGrant`— Digunakan untuk mengubah informasi penerbit token tepercaya.
+ `sso:PutApplicationAccessScope`— Untuk pengaturan aplikasi Redshift AWS IAM Identity Center. Ini termasuk untuk AWS Lake Formation dan untuk Hibah [Akses Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
+ `sso:DeleteApplicationAccessScope`— Untuk menghapus pengaturan aplikasi AWS Redshift IAM Identity Center. Ini termasuk untuk AWS Lake Formation dan untuk Hibah [Akses Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
**Menghapus aplikasi AWS Redshift/IAM Identity Center**
+ `sso:DeleteApplication`— Digunakan untuk menghapus aplikasi AWS IAM Identity Center.
+ `redshift:DeleteRedshiftIdcApplication`— Memberikan kemampuan untuk menghapus aplikasi Redshift AWS IAM Identity Center yang ada.
#### Izin diperlukan untuk manajemen Redshift/query siklus hidup aplikasi editor v2
Anda harus membuat identitas IAM, yang digunakan administrator Redshift untuk mengonfigurasi Redshift untuk digunakan AWS dengan IAM Identity Center. Paling umum, Anda akan membuat peran IAM dengan izin dan menetapkannya ke identitas lain sesuai kebutuhan. Itu harus memiliki izin yang terdaftar untuk melakukan tindakan berikut.
**Membuat aplikasi query editor v2**
+ `redshift:CreateQev2IdcApplication`— Digunakan untuk membuat QEV2 aplikasi.
+ `sso:CreateApplication`— Memberikan kemampuan untuk membuat aplikasi AWS IAM Identity Center.
+ `sso:PutApplicationAuthenticationMethod`— Memberikan akses otentikasi Redshift.
+ `sso:PutApplicationGrant`— Digunakan untuk mengubah informasi penerbit token tepercaya.
+ `sso:PutApplicationAccessScope`— Untuk pengaturan aplikasi Redshift AWS IAM Identity Center. Ini termasuk editor kueri v2.
+ `sso:PutApplicationAssignmentConfiguration`- Untuk keamanan.
**Jelaskan aplikasi editor kueri v2**
+ `redshift:DescribeQev2IdcApplications`— Digunakan untuk menggambarkan QEV2 aplikasi AWS IAM Identity Center.
**Ubah aplikasi editor kueri v2**
+ `redshift:ModifyQev2IdcApplication`— Digunakan untuk mengubah QEV2 aplikasi AWS IAM Identity Center.
+ `sso:UpdateApplication`— Digunakan untuk mengubah QEV2 aplikasi AWS IAM Identity Center.
**Hapus aplikasi editor kueri v2**
+ `redshift:DeleteQev2IdcApplication`— Digunakan untuk menghapus QEV2 aplikasi.
+ `sso:DeleteApplication`— Digunakan untuk menghapus QEV2 aplikasi.
**catatan**
Di Amazon Redshift SDK, berikut ini APIs tidak tersedia:
CreateQev2 IdcApplication
DescribeQev2 IdcApplications
ModifyQev2 IdcApplication
DeleteQev2 IdcApplication
Tindakan ini khusus untuk melakukan integrasi AWS IAM Identity Center dengan QEV2 Redshift di AWS konsol. Untuk informasi selengkapnya, lihat [Tindakan yang ditentukan oleh Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html#amazonredshift-actions-as-permissions).
#### Izin yang diperlukan bagi administrator database untuk menghubungkan sumber daya baru di konsol
Izin ini diperlukan untuk menghubungkan kluster baru yang disediakan atau grup kerja Amazon Redshift Tanpa Server selama proses pembuatan. Jika Anda memiliki izin ini, pilihan muncul di konsol untuk memilih untuk terhubung ke aplikasi yang dikelola Pusat Identitas AWS IAM untuk Redshift.
+ `redshift:DescribeRedshiftIdcApplications`
+ `sso:ListApplicationAccessScopes`
+ `sso:GetApplicationAccessScope`
+ `sso:GetApplicationGrant`
Sebagai praktik terbaik, kami menyarankan untuk melampirkan kebijakan izin ke peran IAM dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat [Identitas dan manajemen akses di Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
## Menyiapkan Redshift sebagai aplikasi AWS terkelola dengan AWS IAM Identity Center
Sebelum Pusat AWS Identitas IAM dapat mengelola identitas untuk klaster yang disediakan Amazon Redshift atau grup kerja Tanpa Server Amazon Redshift, administrator Redshift harus menyelesaikan langkah-langkah untuk menjadikan Redshift sebagai aplikasi yang dikelola Pusat Identitas IAM: AWS
1. **Pilih **integrasi Pusat AWS Identitas IAM** di menu konsol Amazon Redshift atau Amazon Redshift Tanpa Server, lalu pilih Connect to IAM Identity Center. AWS ** Dari sana Anda melangkah melalui serangkaian pilihan untuk mengisi properti untuk integrasi AWS IAM Identity Center.
1. Pilih nama tampilan dan nama unik untuk aplikasi yang dikelola AWS IAM Identity Center Redshift.
1. Tentukan namespace untuk organisasi Anda. Ini biasanya merupakan versi singkat dari nama organisasi Anda. Ini ditambahkan sebagai awalan untuk pengguna dan peran yang dikelola Pusat AWS Identitas IAM Anda dalam database Redshift.
1. Pilih peran IAM yang akan digunakan. Peran IAM ini harus terpisah dari yang lain yang digunakan untuk Redshift, dan kami menyarankan agar tidak digunakan untuk tujuan lain. Izin kebijakan khusus yang diperlukan adalah sebagai berikut:
+ `sso:DescribeApplication`— Diperlukan untuk membuat entri penyedia identitas (iDP) di katalog.
+ `sso:DescribeInstance`— Digunakan untuk membuat peran atau pengguna federasi IDP secara manual.
1. Konfigurasikan koneksi klien dan penerbit token tepercaya. Mengkonfigurasi penerbit token tepercaya memfasilitasi propagasi identitas tepercaya dengan mengatur hubungan dengan penyedia identitas eksternal. Propagasi identitas memungkinkan pengguna, misalnya, untuk masuk ke satu aplikasi dan mengakses data tertentu di aplikasi lain. Hal ini memungkinkan pengguna untuk mengumpulkan data dari lokasi yang berbeda dengan lebih mulus. Pada langkah ini, di konsol, Anda menetapkan atribut untuk setiap penerbit token tepercaya. Atribut termasuk nama dan klaim audiens (atau *klaim aud*), yang mungkin harus Anda dapatkan dari atribut konfigurasi alat atau layanan. Anda mungkin juga perlu memberikan nama aplikasi dari JSON Web Token (JWT) alat pihak ketiga.
**catatan**
Yang `aud claim` diperlukan dari setiap alat atau layanan pihak ketiga dapat bervariasi, berdasarkan jenis token, yang dapat berupa token akses yang dikeluarkan oleh penyedia identitas, atau jenis lain, seperti token ID. Setiap vendor bisa berbeda. Saat Anda menerapkan propagasi identitas terpercaya dan berintegrasi dengan Redshift, Anda harus memberikan nilai *aud* yang benar untuk jenis token yang dikirimkan oleh alat pihak ketiga. AWS Periksa rekomendasi dari vendor alat atau layanan Anda.
*Untuk informasi rinci mengenai propagasi identitas terpercaya, lihat [Ikhtisar propagasi identitas tepercaya di Panduan](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) Pengguna.AWS IAM Identity Center *
Setelah administrator Redshift menyelesaikan langkah-langkah dan menyimpan konfigurasi, properti AWS IAM Identity Center muncul di konsol Redshift. Anda juga dapat menanyakan tampilan sistem [SVV\$1IDENTITY\$1PROVIDERS](https://docs.aws.amazon.com/redshift/latest/dg/r_SVV_IDENTITY_PROVIDERS.html) untuk memverifikasi properti aplikasi. Ini termasuk nama aplikasi dan namespace. Anda menggunakan namespace sebagai awalan untuk objek database Redshift yang terkait dengan aplikasi. Menyelesaikan tugas-tugas ini membuat Redshift menjadi aplikasi yang diaktifkan Pusat AWS Identitas IAM. Properti di konsol termasuk status integrasi. Dikatakan **Diaktifkan** ketika integrasi selesai. Setelah proses ini, integrasi AWS IAM Identity Center dapat diaktifkan pada setiap cluster baru.
****Setelah konfigurasi, Anda dapat menyertakan pengguna dan grup dari Pusat AWS Identitas IAM di Redshift dengan memilih tab Pengguna **atau** Grup dan memilih Tetapkan.****
## Mengaktifkan integrasi AWS IAM Identity Center untuk cluster Amazon Redshift baru atau grup kerja Amazon Redshift Serverless
Administrator database Anda mengonfigurasi sumber daya Redshift baru agar berfungsi sejajar AWS dengan IAM Identity Center untuk mempermudah proses masuk dan akses data. Ini dilakukan sebagai bagian dari langkah-langkah untuk membuat klaster yang disediakan atau grup kerja Tanpa Server. **Siapa pun yang memiliki izin untuk membuat resource Redshift dapat melakukan tugas integrasi Pusat Identitas IAM AWS ini.Saat Anda membuat klaster yang disediakan, Anda mulai dengan memilih Create Cluster di konsol Amazon Redshift.** Langkah-langkah berikut menunjukkan cara mengaktifkan manajemen AWS IAM Identity Center untuk database. (Itu tidak termasuk semua langkah untuk membuat cluster.)
1. Pilih **Aktifkan untuk** di bagian untuk **integrasi IAM Identity Center dalam langkah-langkah** create-cluster.
1. Ada langkah dalam proses ketika Anda mengaktifkan integrasi. Anda melakukan ini dengan memilih **Aktifkan integrasi IAM Identity Center** di konsol.
1. Untuk cluster atau workgroup baru, buat peran database di Redshift menggunakan perintah SQL. Berikut ini adalah perintahnya:
```
CREATE ROLE ;
```
Namespace dan nama peran adalah sebagai berikut:
+ *Awalan namespace IAM Identity Center* — Ini adalah namespace yang Anda tentukan saat Anda mengatur koneksi antara IAM AWS Identity Center dan Redshift.
+ *Nama peran* - Peran database Redshift ini harus cocok dengan nama grup di Pusat Identitas AWS IAM.
Redshift terhubung dengan AWS IAM Identity Center dan mengambil informasi yang diperlukan untuk membuat dan memetakan peran database ke grup IAM AWS Identity Center.
Perhatikan bahwa ketika gudang data baru dibuat, peran IAM yang ditentukan untuk integrasi Pusat Identitas AWS IAM secara otomatis dilampirkan ke klaster yang disediakan atau grup kerja Amazon Redshift Serverless. Setelah Anda selesai memasukkan metadata cluster yang diperlukan dan membuat sumber daya, Anda dapat memeriksa status integrasi Pusat Identitas AWS IAM di properti. Jika nama grup Anda di AWS IAM Identity Center memiliki spasi, Anda harus menggunakan tanda kutip di SQL saat Anda membuat peran yang cocok.
Setelah Anda mengaktifkan database Redshift dan membuat peran, Anda siap untuk terhubung ke database dengan Amazon Redshift query editor v2 atau. Amazon Quick Rinciannya dijelaskan lebih lanjut di bagian berikutnya.
### Menyiapkan default `RedshiftIdcApplication` menggunakan API
Pengaturan dilakukan oleh administrator identitas Anda. Menggunakan API, Anda membuat dan mengisi`RedshiftIdcApplication`, yang mewakili aplikasi Redshift AWS dalam IAM Identity Center.
1. Untuk memulai, Anda dapat membuat pengguna dan menambahkannya ke grup di Pusat AWS Identitas IAM. Anda melakukan ini di AWS konsol untuk AWS IAM Identity Center.
1. Hubungi `create-redshift-idc-application` untuk membuat aplikasi AWS IAM Identity Center dan membuatnya kompatibel dengan penggunaan Redshift. Anda membuat aplikasi dengan mengisi nilai yang diperlukan. Nama tampilan adalah nama yang akan ditampilkan di dasbor AWS IAM Identity Center. Peran IAM ARN adalah ARN yang memiliki izin AWS untuk IAM Identity Center dan juga dapat diasumsikan oleh Redshift.
```
aws redshift create-redshift-idc-application
––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d'
––identity-namespace 'MYCO'
––idc-display-name 'TEST-NEW-APPLICATION'
––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole'
––redshift-idc-application-name 'myredshiftidcapplication'
```
Contoh berikut menunjukkan `RedshiftIdcApplication` respons sampel yang dikembalikan dari panggilan ke`create-redshift-idc-application`.
```
"RedshiftIdcApplication": {
"IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d",
"RedshiftIdcApplicationName": "test-application-1",
"RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b",
"IdentityNamespace": "MYCO",
"IdcDisplayName": "Redshift-Idc-Application",
"IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole",
"IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910",
"IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication",
"RedshiftIdcApplicationArn": "Completed",
"AuthorizedTokenIssuerList": [
"TrustedTokenIssuerArn": ...,
"AuthorizedAudiencesList": [...]...
]}
```
1. Anda dapat menggunakan `create-application-assignment` untuk menetapkan grup tertentu atau pengguna individu ke aplikasi terkelola di Pusat Identitas AWS IAM. Dengan melakukan ini, Anda dapat menentukan grup untuk dikelola melalui AWS IAM Identity Center. Jika administrator database membuat peran database di Redshift, nama grup di Pusat Identitas AWS IAM memetakan ke nama peran di Redshift. Peran mengontrol izin dalam database. Untuk informasi selengkapnya, lihat [Menetapkan akses pengguna ke aplikasi di konsol Pusat AWS Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/assignuserstoapp.html).
1. Setelah Anda mengaktifkan aplikasi, panggil `create-cluster` dan sertakan ARN aplikasi terkelola Redshift dari AWS IAM Identity Center. Melakukan hal ini mengaitkan cluster dengan aplikasi terkelola di AWS IAM Identity Center.
### Mengaitkan aplikasi AWS IAM Identity Center dengan cluster atau workgroup yang ada
Jika Anda memiliki cluster atau workgroup yang ingin Anda aktifkan untuk integrasi AWS IAM Identity Center, dimungkinkan untuk melakukannya, menjalankan perintah SQL. Anda juga dapat menjalankan perintah SQL untuk mengubah pengaturan untuk integrasi. Untuk informasi selengkapnya, lihat [MENGUBAH PENYEDIA IDENTITAS](https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_IDENTITY_PROVIDER.html).
Dimungkinkan juga untuk menjatuhkan penyedia identitas yang ada. Contoh berikut menunjukkan bagaimana CASCADE menghapus pengguna dan peran yang dilampirkan ke penyedia identitas.
```
DROP IDENTITY PROVIDER
[ CASCADE ]
```
## Menyiapkan izin pengguna
Administrator mengonfigurasi izin ke berbagai sumber daya, berdasarkan atribut identitas pengguna dan keanggotaan grup, dalam penyedia identitas mereka atau di dalam Pusat Identitas AWS IAM secara langsung.Misalnya, administrator penyedia identitas dapat menambahkan insinyur basis data ke grup yang sesuai dengan peran mereka. Nama grup ini dipetakan ke nama peran database Redshift. Peran menyediakan atau membatasi akses ke tabel atau tampilan tertentu di Redshift.
# Secara otomatis membuat peran Amazon Redshift untuk AWS IAM Identity Center
Fitur ini merupakan integrasi dengan AWS IAM Identity Center yang memungkinkan Anda untuk secara otomatis membuat peran di Redshift berdasarkan keanggotaan grup.
Ada beberapa manfaat untuk membuat peran secara otomatis. Saat Anda membuat peran secara otomatis, Redshift membuat peran dengan keanggotaan grup di IDP Anda, sehingga Anda dapat menghindari pembuatan dan pemeliharaan peran manual yang membosankan. Anda juga memiliki opsi untuk memfilter grup mana yang dipetakan ke peran Redshift dengan pola include dan exclude.
## Cara kerjanya
Saat Anda, sebagai pengguna iDP, masuk ke Redshift, urutan peristiwa berikut terjadi:
1. Redshift mengambil keanggotaan grup Anda dari IDP.
1. Redshift secara otomatis membuat pemetaan peran ke grup tersebut, dengan format peran. `idp_namespace:rolename`
1. Redshift memberi Anda izin dengan peran yang dipetakan.
Setelah setiap login pengguna, setiap grup yang tidak ada dalam katalog tetapi pengguna adalah bagian darinya, dibuat secara otomatis. Anda dapat mengatur filter include dan exclude secara opsional untuk mengontrol grup IDP mana yang memiliki peran Redshift yang dibuat.
## Mengkonfigurasi peran buat otomatis
Gunakan `ALTER IDENTITY PROVIDER` perintah `CREATE IDENTITY PROVIDER` and untuk mengaktifkan dan mengkonfigurasi pembuatan peran otomatis.
```
-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER TYPE AWSIDC
NAMESPACE ''
APPLICATION_ARN 'app_arn'
IAM_ROLE 'role_arn'
AUTO_CREATE_ROLES TRUE;
-- Enable on existing IdP
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE;
-- Disable
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES FALSE;
```
## Grup penyaringan
Anda dapat secara opsional memfilter grup IDP mana yang dipetakan ke peran `INCLUDE` Redshift menggunakan dan pola. `EXCLUDE` Ketika pola konflik, `EXCLUDE` lebih diutamakan. `INCLUDE`
```
-- Only create roles for groups with 'dev'
CREATE IDENTITY PROVIDER TYPE AWSIDC
...
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%';
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE
EXCLUDE GROUPS LIKE '%test%';
```
## Contoh
Contoh berikut menunjukkan cara mengaktifkan peran buat otomatis tanpa pemfilteran.
```
CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC ...
AUTO_CREATE_ROLES TRUE;
```
Contoh berikut mencakup kelompok pengembangan dan tidak termasuk kelompok uji.
```
ALTER IDENTITY PROVIDER prod_idc
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%'
EXCLUDE GROUPS LIKE '%test%';
```
## Praktik terbaik
Pertimbangkan praktik terbaik berikut saat Anda mengaktifkan pembuatan otomatis untuk peran:
+ Gunakan `INCLUDE` dan `EXCLUDE` filter untuk mengontrol grup mana yang mendapatkan peran.
+ Secara berkala mengaudit peran dan membersihkan yang tidak terpakai.
+ Manfaatkan hierarki peran Redshift untuk menyederhanakan manajemen izin.
# Integrasi Amazon Redshift dengan Hibah Akses Amazon S3
Menggunakan integrasi dengan Amazon S3 Access Grants, Anda dapat menyebarkan identitas Pusat Identitas IAM Anda dengan mulus untuk mengontrol akses ke data Amazon S3. Integrasi ini memungkinkan Anda mengotorisasi akses data Amazon S3 berdasarkan pengguna dan grup Pusat Identitas IAM.
Untuk informasi tentang Hibah Akses Amazon S3, lihat [Mengelola akses dengan Hibah Akses S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
Menggunakan Amazon S3 Access Grants memberi aplikasi Anda manfaat berikut:
+ Kontrol akses berbutir halus ke data Amazon S3, berdasarkan identitas Pusat Identitas IAM.
+ Manajemen terpusat identitas IAM Identity Center di Amazon Redshift dan Amazon S3.
+ Anda dapat menghindari mengelola izin IAM terpisah untuk akses Amazon S3.
## Cara kerjanya
Untuk mengintegrasikan aplikasi Anda dengan hibah akses Amazon S3, Anda melakukan hal berikut:
+ Pertama, Anda mengonfigurasi Amazon Redshift untuk berintegrasi dengan Amazon S3 Access Grants menggunakan atau. Konsol Manajemen AWS AWS CLI
+ Selanjutnya, pengguna dengan hak administrator IDC memberikan bucket Amazon S3 atau akses awalan ke pengguna/grup IDC tertentu, menggunakan layanan Amazon S3 Access Grants. Untuk informasi selengkapnya, lihat [Bekerja dengan hibah di Hibah Akses S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html).
+ Saat pengguna iDC diautentikasi ke Redshift menjalankan kueri yang mengakses S3 (seperti operasi COPY, UNLOAD, atau Spectrum), Amazon Redshift mengambil kredenal akses S3 sementara yang tercakup ke identitas idC tersebut dari layanan Amazon S3 Access Grants.
+ Amazon Redshift kemudian menggunakan kredensil sementara yang diambil untuk mengakses lokasi Amazon S3 resmi untuk kueri tersebut.
## Menyiapkan integrasi dengan Amazon S3 Access Grants
Untuk mengatur integrasi dengan integrasi dengan Amazon S3 Access Grants for Amazon Redshift, lakukan hal berikut:
**Topics**
+ [Menyiapkan integrasi dengan Amazon S3 Access Grants menggunakan Konsol Manajemen AWS](#redshift-iam-access-control-sso-s3idc-setup-console)
+ [Mengaktifkan integrasi dengan Amazon S3 Access Grants menggunakan AWS CLI](#redshift-iam-access-control-sso-s3idc-setup-cli)
### Menyiapkan integrasi dengan Amazon S3 Access Grants menggunakan Konsol Manajemen AWS
1. Buka konsol Amazon Redshift.
1. Pilih klaster Anda dari panel **Clusters**.
1. Di halaman detail klaster Anda, di bagian **Integrasi penyedia identitas**, aktifkan integrasi dengan layanan **S3 Access Grants**.
**catatan**
Bagian **integrasi penyedia Identity** tidak muncul jika Anda tidak memiliki IAM Identity Center yang dikonfigurasi. Untuk informasi selengkapnya, lihat [Mengaktifkan AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html).
### Mengaktifkan integrasi dengan Amazon S3 Access Grants menggunakan AWS CLI
1. Untuk membuat aplikasi Amazon Redshift iDC baru dengan integrasi S3 diaktifkan, lakukan hal berikut:
```
aws redshift create-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Untuk memodifikasi aplikasi yang ada untuk mengaktifkan integrasi S3 Access Grants, lakukan hal berikut:
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Untuk memodifikasi aplikasi yang ada untuk menonaktifkan integrasi S3 Access Grants, lakukan hal berikut:
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]'
```
## Menggunakan integrasi dengan S3 Access Grants
Setelah Anda mengonfigurasi integrasi S3 Access Grants, kueri yang mengakses data S3 (seperti`COPY`,`UNLOAD`, atau kueri Spectrum) menggunakan identitas IDC untuk otorisasi. Pengguna yang tidak diautentikasi menggunakan IDC juga dapat menjalankan kueri ini, tetapi akun pengguna tersebut tidak memanfaatkan administrasi terpusat yang disediakan IDC.
Contoh berikut menunjukkan kueri yang berjalan dengan integrasi S3 Access Grants:
```
COPY table FROM 's3://mybucket/data'; // -- Redshift uses IdC identity
UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/' // -- Redshift uses IdC identity
```