Amazon Redshift は、パッチ 198 以降、新しい Python UDF の作成をサポートしなくなります。既存の Python UDF は、2026 年 6 月 30 日まで引き続き機能します。詳細については、[ブログ記事](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)を参照してください。

# Redshift を AWS IAM アイデンティティセンターに接続してシングルサインオンエクスペリエンスを提供する
<a name="redshift-iam-access-control-idp-connect"></a>

信頼されたアイデンティティのプロパゲーションを通じて、Amazon Redshift データウェアハウスへのユーザーとグループのアクセスを管理できます。

[信頼された ID の伝播](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html)は、接続された AWS のサービス の管理者がサービスデータへのアクセスを許可および監査するために使用できる AWS IAM アイデンティティセンター 機能です。このデータへのアクセスは、グループの関連付けなどのユーザー属性に基づいています。信頼された ID の伝播を設定するには、接続された AWS のサービス の管理者と IAM アイデンティティセンターの管理者とのコラボレーションが必要です。詳細については、「[Prerequisites and considerations](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html)」を参照してください。

エンドツーエンドの例を説明すると、Amazon Quick ダッシュボードまたは Amazon Redshift クエリエディタ v2 を使用して Redshift にアクセスできます。この場合のアクセスは AWS IAM アイデンティティセンターグループに基づいています。Redshift は、ユーザーが誰かや、ユーザーのグループメンバーシップを判断できます。AWSIAM アイデンティティセンターを使用すると、Okta や PingOne などのサードパーティー ID プロバイダー (IdP) 経由でアイデンティティを接続して管理することもできます。

管理者は Redshift と AWS IAM アイデンティティセンター間の接続を設定した後、データへのユーザーアクセスを承認するために ID プロバイダーグループに基づいてきめ細かいアクセスを設定できます。

**重要**  
AWS IAM アイデンティティセンターまたは接続された ID プロバイダー (IdP) ディレクトリからユーザーを削除しても、該当ユーザーは Amazon Redshift カタログから自動的には削除されません。Amazon Redshift カタログからユーザーを手動で削除するには、 `DROP USER` コマンドを実行して、AWS IAM アイデンティティセンターまたは IdP から削除されたユーザーを完全に削除します。ユーザーを削除する方法の詳細については、「**Amazon Redshift データベースデベロッパーガイド」の「[DROP USER](https://docs.aws.amazon.com/redshift/latest/dg/r_DROP_USER.html)」を参照してください。

## Redshift と AWS IAM アイデンティティセンターの統合の利点
<a name="redshift-iam-access-control-idp-connect-benefits"></a>

AWS IAM アイデンティティセンターと Redshift を連携すると、組織は次のとおりの利点が得られます。
+  パスワードを再入力したり、管理者が複雑なアクセス許可を持つ IAM ロールを設定したりする必要なく、Amazon Quick のダッシュボード作成者は、Redshift データソースに接続できます。
+  AWS IAM アイデンティティセンターは、AWS のワークフォースユーザーを一元管理する場所となります。AWS IAM アイデンティティセンターを使用して、ユーザーとグループを直接作成したり、Okta、PingOne、Microsoft Entra ID (Azure AD) などの標準ベースの ID プロバイダーで管理する既存のユーザーやグループを接続したりできます。AWSIAM アイデンティティセンターは、ユーザーとグループの選択した信頼できるソースに認証を指示し、Redshift がアクセスできるようにユーザーとグループのディレクトリを管理します。詳細については、「**AWS IAM アイデンティティセンターユーザーガイド」の「[アイデンティティソースの管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)」と「[サポートされている ID プロバイダー](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html)」を参照してください。
+ シンプルな自動検出および接続機能を使用して、単一の AWS IAM アイデンティティセンターインスタンスを複数の Redshift クラスターやワークグループと共有できます。これにより、クラスターごとに AWS IAM アイデンティティセンター接続を設定するという追加の労力を必要とせずにクラスターを迅速に追加できるようになり、すべてのクラスターとワークグループでユーザー、ユーザーの属性、グループを一貫して確認できるようになります。組織の AWS IAM アイデンティティセンターインスタンスは、接続先のすべての Redshift データ共有と同じリージョンにある必要があることに注意します。
+ ユーザー ID は既知であり、データアクセスとともに記録されるため、AWS CloudTrail でユーザーアクセスを監査することでコンプライアンス規制への対応が容易になります。

## アプリケーションの接続のための管理者ペルソナ
<a name="redshift-iam-access-control-idp-personas"></a>

分析アプリケーションを Redshift 向けの AWS IAM アイデンティティセンターマネージドアプリケーションに接続するための重要なペルソナは次のとおりです。
+ **アプリケーション管理者** – アプリケーションを作成して、アイデンティティトークンの交換ができるようになるサービスを設定します。この管理者は、アプリケーションにアクセスできるユーザーまたはグループも指定します。
+ **データ管理者** – データに対するきめ細かいアクセスを設定します。AWS IAM アイデンティティセンターのユーザーとグループは、特定のアクセス許可にマッピングされます。

## Amazon Quick を介した AWS IAM アイデンティティセンターでの Amazon Redshift への接続
<a name="redshift-iam-access-control-idp-connect-qs"></a>

Redshift が AWS IAM アイデンティティセンターに接続され、アクセスが管理されている場合に、Quick を使用して Redshift で認証する方法については、「[Quick から Amazon Redshift クラスターへの接続の認可](https://docs.aws.amazon.com/quick/latest/userguide/enabling-access-redshift.html)」で説明しています。このようなステップは Amazon Redshift Serverless にも適用されます。

## Amazon Redshift クエリエディタ v2 を介した AWS IAM アイデンティティセンターでの Amazon Redshift への接続
<a name="redshift-iam-access-control-idp-connect-qe"></a>

Redshift での AWS IAM アイデンティティセンター接続のセットアップ手順を完了すると、ユーザーは AWS IAM アイデンティティセンターベースの名前空間プレフィックス付き ID を通じてデータベースとデータベース内の適切なオブジェクトにアクセスできるようになります。クエリエディタ v2 のサインインで Redshift データベースに接続する方法の詳細については、「[クエリエディタ v2 を使用してデータベースのクエリを実行するAmazon Redshift クエリエディタ v2 を使用したデータベースのクエリの実行](query-editor-v2.md)」を参照してください。



## 複数の AWS リージョン間で AWS IAM アイデンティティセンターを使用する
<a name="redshift-iam-access-control-idp-connect-multi-region"></a>

Amazon Redshift は、複数の AWS リージョン間での AWS IAM アイデンティティセンターをサポートしています。AWS IAM アイデンティティセンターをプライマリの AWS リージョンから追加のリージョンに拡張して、ユーザーへの近接性と信頼性を高めてパフォーマンスを向上させることができます。AWS IAM アイデンティティセンターで新しいリージョンを追加すると、プライマリリージョンの ID をレプリケートすることなく、新しいリージョンに Redshift IAM アイデンティティセンターアプリケーションを作成できます。行レベル、列レベル、マスキングの各コントロールを有効にできる新しいリージョンで、AWS IAM アイデンティティセンターを使用して Amazon Redshift フェデレーションアクセス許可を設定できます。複数のリージョンで AWS IAM アイデンティティセンターの使用を開始する方法の詳細については、「*AWSIAM アイデンティティセンターユーザーガイド*」の「[複数の AWS リージョンで AWS IAM アイデンティティセンターを管理する](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html)」を参照してください。

## AWS IAM アイデンティティセンターでの Amazon Redshift への接続に関する制限
<a name="redshift-iam-access-control-idp-connect-limitations"></a>

AWS IAM アイデンティティセンターのシングルサインオンを使用する場合は、次の制限を考慮してください。


+  **拡張 VPC のサポートなし** – Amazon Redshift で AWS IAM アイデンティティセンターのシングルサインオンを使用する場合、拡張 VPC はサポートされません。拡張された VPC の詳細については、「[Amazon Redshift の拡張された VPC ルーティング](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html)」を参照してください。