Redshift 클러스터 등록 Redshift Serverless 네임스페이스 등록 AWS IAM Identity Center 자격 증명 전파 활성화 ALTER USER SET GLOBAL IDENTITY

온보딩

Redshift 클러스터 등록

Redshift는 새 클러스터를 생성하거나 AWS Glue Data Catalog(GDC) 등록을 사용하여 스냅샷에서 클러스터를 복원할 수 있도록 지원합니다. 이 등록의 GDC 카탈로그 이름 부분을 지정할 수 있습니다. IdC 자격 증명 전파를 지원하려면 Lakehouse 유형의 Redshift IdC 애플리케이션 ARN을 지정하여 IdC 자격 증명 전파를 활성화하면 됩니다.

Glue 데이터 카탈로그 등록을 사용하여 새 클러스터 생성

CLI

새로 생성된 클러스터를 데이터 카탈로그에 자동으로 등록하려면 데이터 카탈로그를 생성하고 등록하는 데 사용할 카탈로그 이름을 제공합니다. redshift-idc-application-arn 파라미터는 선택 사항입니다. 클러스터를 Lakehouse 유형의 Redshift IdC 애플리케이션과 연결하려면 파라미터를 포함합니다. 나중에 이 IdC 애플리케이션 연결을 설정할 수도 있습니다.


aws redshift create-cluster \
    --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>

Console

AWS Management Console에 로그인한 후 https://console.aws.amazon.com/redshiftv2/에서 Amazon Redshift 콘솔을 엽니다.
프로비저닝된 클러스터 대시보드로 이동하여 클러스터 생성을 선택합니다.
일반 클러스터 설정을 구성합니다.
AWS Glue Data Catalog에 등록 섹션에서 Amazon Redshift 페더레이션 권한에 등록을 선택합니다.
- 카탈로그 이름 식별자를 입력합니다.
- (권장) Redshift IDC 애플리케이션과 연결하려면 AWS IAM Identity Center를 사용하여 Amazon Redshift 페더레이션 권한을 선택합니다.
나머지 클러스터 설정을 완료하고 클러스터 생성을 선택합니다.

AWS Glue Data Catalog 등록을 사용하여 새 클러스터 복원

CLI

AWS Glue Data Catalog 통합을 통해 스냅샷을 새 클러스터로 복원하려면 카탈로그를 생성하고 등록하는 데 사용할 AWS Glue 카탈로그 이름을 제공합니다. redshift-idc-application-arn 파라미터는 선택 사항입니다. 클러스터를 Lakehouse 유형의 Redshift IdC 애플리케이션과 연결하려면 파라미터를 포함합니다. 나중에 이 IdC 애플리케이션 연결을 설정할 수도 있습니다.


aws redshift restore-from-cluster-snapshot \
   --cluster-identifier 'redshift-cluster' \
   --catalog-name 'glue-data-catalog-name' \
   --snapshot-identifier 'redshift-cluster-snapshot' \
   --redshift-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \
   --<other_configurations_as_needed>

Console

AWS Management Console에 로그인한 후 https://console.aws.amazon.com/redshiftv2/에서 Amazon Redshift 콘솔을 엽니다.
프로비저닝된 스냅샷 페이지로 이동합니다. 스냅샷 테이블의 스냅샷 복원 드롭다운 메뉴에서 프로비저닝된 클러스터로 복원을 선택합니다.
일반 클러스터 설정을 구성합니다.
AWS Glue Data Catalog에 등록 섹션에서 Amazon Redshift 페더레이션 권한에 등록을 선택합니다.
- 카탈로그 이름 식별자를 입력합니다.
- (권장) Redshift IDC 애플리케이션과 연결하려면 AWS IAM Identity Center를 사용하여 Amazon Redshift 페더레이션 권한을 선택합니다.
나머지 클러스터 설정을 완료하고 클러스터 생성을 선택합니다.

AWS Glue Data Catalog 등록을 사용하여 기존 클러스터 수정

Redshift 클러스터가 레이크하우스가 아닌 유형의 Redshift IdC 애플리케이션에 이미 연결되어 있는 경우 AWS Glue Data Catalog 등록 중에 다음이 발생합니다.

Redshift IdC 애플리케이션 ARN이 제공되지 않으면 카탈로그의 기존 Redshift IdC 애플리케이션이 비활성화 상태로 설정됩니다.
다른 AWS IAM Identity Center 인스턴스에서 Lakehouse 유형의 Redshift IdC 애플리케이션을 지정하면 현재 IdC 공급자가 비활성화됩니다.
동일한 AWS IAM Identity Center 인스턴스에서 Lakehouse 유형의 Redshift IdC 애플리케이션이 제공되는 경우
- 카탈로그의 Redshift IdC 애플리케이션 ARN이 Lakehouse 유형의 Redshift IdC 애플리케이션의 ARN으로 변경됩니다. 업데이트된 카탈로그는 svv_identity_providers를 쿼리하여 확인할 수 있습니다. svv_identity_providers에 대한 자세한 내용은 svv_identity_providers를 참조하세요.
- 이전에 Redshift 클러스터에 액세스할 수 있었던 AWS IAM Identity Center 페더레이션 사용자에게는 관리자가 클러스터에 액세스할 수 있는 CONNECT 권한을 명시적으로 부여해야 합니다. CONNECT 권한 부여에 대한 자세한 내용은 연결 권한 섹션을 참조하세요.
- AWS Glue Data Catalog에 등록한 후 기존 AWS IAM Identity Center 페더레이션 자격 증명과 소유 리소스는 변경되지 않습니다. 이러한 페더레이션 자격 증명의 네임스페이스 연결도 유지됩니다.

CLI

modify-lakehouse-configuration 명령을 사용하여 클러스터를 AWS Glue Data Catalog에 등록할 수 있습니다. catalog-name은 AWS Glue 카탈로그를 생성하고 등록하는 데 사용됩니다. IdC 자격 증명 전파를 지원하려면 레이크하우스 유형 RedshiftIdcApplication의 ARN을 지정합니다. 여기에는 Lakehouse 유형의 Redshift IdC 애플리케이션이 필요합니다. 새 Lakehouse 유형 Redshift IdC 애플리케이션 생성: 페더레이션 권한이 있는 Redshift Warehouse의 Identity Center 애플리케이션 구성을 참조하세요.


aws redshift modify-lakehouse-configuration \
    --cluster-identifier 'redshift-cluster' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17' \

Console

AWS Management Console에 로그인한 후 https://console.aws.amazon.com/redshiftv2/에서 Amazon Redshift 콘솔을 엽니다.
등록할 프로비저닝된 클러스터로 이동하여 선택합니다.
클러스터의 세부 정보 페이지의 작업 드롭다운 메뉴에서 AWS Glue Data Catalog에 등록을 선택합니다.
Amazon Redshift 페더레이션 권한에 등록 옵션을 선택하고
- 카탈로그 이름 식별자를 입력합니다.
- (권장) AWS IAM Identity Center를 사용해 Amazon Redshift 페더레이션 권한을 선택하여 Redshift IDC 애플리케이션과 연결하고 등록을 선택합니다.

Redshift Serverless 네임스페이스 등록

Redshift Serverless를 사용하면 작업 그룹에 연결된 Serverless 네임스페이스를 AWS Glue Data Catalog에 등록할 수 있습니다. 이 업데이트 중에 데이터베이스가 다시 시작됩니다.

Redshift Serverless 네임스페이스가 레이크하우스가 아닌 유형의 Redshift IdC 애플리케이션에 이미 연결되어 있는 경우 Glue 데이터 카탈로그 등록 중에 다음이 발생합니다.

Redshift IdC 애플리케이션 ARN이 제공되지 않으면 카탈로그의 기존 Redshift IdC 애플리케이션이 비활성화 상태로 설정됩니다.
다른 AWS IAM Identity Center 인스턴스에서 Lakehouse 유형의 Redshift IdC 애플리케이션을 지정하면 현재 IdC 공급자가 비활성화됩니다.
동일한 AWS IAM Identity Center 인스턴스에서 Lakehouse 유형의 Redshift IdC 애플리케이션이 제공되는 경우
- 카탈로그의 Redshift IdC 애플리케이션 ARN이 Lakehouse 유형의 Redshift IdC 애플리케이션의 ARN으로 변경됩니다. 업데이트된 카탈로그는 svv_identity_providers를 쿼리하여 확인할 수 있습니다. svv_identity_providers에 대한 자세한 내용은 svv_identity_providers를 참조하세요.
- 이전에 Redshift 클러스터에 액세스할 수 있었던 AWS IAM Identity Center 페더레이션 사용자에게는 관리자가 클러스터에 액세스할 수 있는 CONNECT 권한을 명시적으로 부여해야 합니다. CONNECT 권한 부여에 대한 자세한 내용은 연결 권한 섹션을 참조하세요.
- AWS Glue Data Catalog에 등록한 후 기존 AWS IAM Identity Center 페더레이션 자격 증명과 소유 리소스는 변경되지 않습니다. 이러한 페더레이션 자격 증명의 네임스페이스 연결도 유지됩니다.

CLI

update-lakehouse-configuration 명령을 사용하여 Redshift Serverless 네임스페이스를 AWS Glue Data Catalog에 등록할 수 있습니다. catalog-name은 Glue 카탈로그를 생성하고 등록하는 데 사용됩니다. IdC 자격 증명 전파를 지원하려면 Lakehouse 유형의 Redshift Idc 애플리케이션의 ARN을 지정합니다.


aws redshift-serverless update-lakehouse-configuration \
    --namespace-name 'serverless-namespace-name' \
    --lakehouse-registration Register \
    --catalog-name 'glue-data-catalog-name' \
    --lakehouse-idc-registration Associate \
    --lakehouse-idc-application-arn 'arn:aws:redshift:us-east-1:012345678912:redshiftidcapplication:3f966e50-f1b7-495c-8ace-bd0d6c3c3b17'

Console

AWS Management Console에 로그인한 후 https://console.aws.amazon.com/redshiftv2/에서 Amazon Redshift 콘솔을 엽니다.
등록할 프로비저닝된 클러스터로 이동하여 선택합니다.
클러스터의 세부 정보 페이지의 작업 드롭다운 메뉴에서 AWS Glue Data Catalog에 등록을 선택합니다.
Amazon Redshift 페더레이션 권한에 등록 옵션을 선택하고
- 카탈로그 이름 식별자를 입력합니다.
- (권장) AWS IAM Identity Center를 사용해 Amazon Redshift 페더레이션 권한을 선택하여 Redshift IDC 애플리케이션과 연결하고 등록을 선택합니다.

AWS IAM Identity Center 자격 증명 전파 활성화

Amazon Redshift는 Identity Center(IdC) 자격 증명 전파를 지원하여 Redshift 인스턴스와 AWS Lake Formation/AWS Glue 서비스 간에 IdC 사용자 자격 증명을 원활하게 전달합니다.

사전 조건:

Lakehouse 유형의 Amazon Redshift IdC 애플리케이션을 생성했습니다. 페더레이션 권한이 있는 Redshift 웨어하우스의 AWS IAM Identity Center 애플리케이션 구성을 참조하세요.
AWS Glue Data Catalog에 등록된 Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 네임스페이스가 있습니다.
- Redshift Serverless 네임스페이스는 관련 작업을 수행하기 위해 작업 그룹을 연결해야 합니다.

Redshift 클러스터 또는 Redshift Serverless 네임스페이스가 레이크하우스가 아닌 다른 유형의 Redshift IdC 애플리케이션에 이미 연결되어 있는 경우 AWS Glue Data Catalog 등록 중에 다음이 발생합니다.

Redshift IdC 애플리케이션 ARN이 제공되지 않으면 카탈로그의 기존 Redshift IdC 애플리케이션이 비활성화 상태로 설정됩니다.
다른 AWS IAM Identity Center 인스턴스에서 Lakehouse 유형의 Redshift IdC 애플리케이션을 지정하면 현재 IdC 공급자가 비활성화됩니다.
동일한 AWS IAM Identity Center 인스턴스에서 Lakehouse 유형의 Redshift IdC 애플리케이션이 제공되는 경우
- 카탈로그의 Redshift IdC 애플리케이션 ARN이 Lakehouse 유형의 Redshift IdC 애플리케이션의 ARN으로 변경됩니다. 업데이트된 카탈로그는 svv_identity_providers를 쿼리하여 확인할 수 있습니다. svv_identity_providers에 대한 자세한 내용은 svv_identity_providers를 참조하세요.
- 이전에 Redshift 클러스터에 액세스할 수 있었던 AWS IAM Identity Center 페더레이션 사용자에게는 관리자가 클러스터에 액세스할 수 있는 CONNECT 권한을 명시적으로 부여해야 합니다. CONNECT 권한 부여에 대한 자세한 내용은 연결 권한 섹션을 참조하세요.
- AWS Glue Data Catalog에 등록한 후 기존 AWS IAM Identity Center 페더레이션 자격 증명과 소유 리소스는 변경되지 않습니다. 이러한 페더레이션 자격 증명의 네임스페이스 연결도 유지됩니다.

Amazon Redshift 프로비저닝된 클러스터에 대한 AWS IAM Identity Center 자격 증명 전파 활성화

네임스페이스를 AWS Glue Data Catalog에 등록한 Amazon Redshift 프로비저닝된 클러스터의 경우 애플리케이션에 대한 명시적 AWS IAM Identity Center 자격 증명 사용자 할당이 필요하지 않은 Lakehouse Amazon Redshift IdC 애플리케이션이 필요하며, IdC 사용자 로그인 권한은 Redshift 웨어하우스의 CONNECT 권한으로 관리됩니다.

Amazon Redshift Serverless 네임스페이스에 대한 AWS IAM Identity Center 자격 증명 전파 활성화

ALTER USER SET GLOBAL IDENTITY

IAM 및 AWS IAM Identity Center 자격 증명 외에도 페더레이션 권한이 있는 Redshift Warehouse에 대한 쿼리를 실행하는 사용자는 IAM 역할을 사용하여 인증할 수 있습니다. 슈퍼 사용자는 세션 설정 시 자동으로 연결할 페더레이션되지 않은 다른 사용자의 IAM 역할을 설정할 수 있으며, 이 IAM 역할은 페더레이션 권한이 있는 Redshift 웨어하우스에 대해 쿼리를 수행할 때 수임됩니다. 이 기능은 AWS IdC 사용자가 비대화형으로 인증할 수 있도록 하기 위해 제공됩니다.

이 기능은 다음 사용 사례에 유용합니다.

글로벌 자격 증명이 있는 사용자 외에도 기존 로컬 웨어하우스 사용자와 함께 크고 복잡한 설정이 있는 고객.
IdC를 사용하지만 대화형 브라우저 작업 없이 자동으로 로그인할 수 있기를 원하는 고객.

요구 사항 및 제한 사항:

슈퍼 사용자만 ALTER USER에 의해 IAM 역할을 설정할 수 있습니다.
IAM 역할을 클러스터에 연결해야 합니다.
IAM 역할에는 페더레이션 권한으로 Redshift 웨어하우스에서 쿼리를 실행하는 데 필요한 리소스에 액세스할 수 있는 권한이 있어야 합니다. AmazonRedshiftFederatedAuthorization AWS관리형 정책을 사용하는 것이 좋습니다.
GLOBAL IDENTITY IAM 역할을 통해 인증하는 사용자는 페더레이션 권한이 있는 Redshift 웨어하우스에서 뷰를 쿼리할 수 있지만 CREATE, ALTER, REFRESH 또는 DROP할 수는 없습니다.

구문

다음 구문은 페더레이션 권한이 있는 Redshift 웨어하우스에 대해 쿼리를 실행하기 위해 페더레이션되지 않은 데이터베이스 사용자의 IAM 역할을 설정하는 데 사용되는 ALTER USER SET GLOBAL IDENTITY 명령을 설명합니다.


ALTER USER username SET
GLOBAL IDENTITY IAM_ROLE 'arn:aws:iam::<AWS-account-id>:role/<role-name>'

이제 대상 사용자로 인증되면(사용자 이름으로 직접 연결하거나 SET SESSION AUTHORIZATION 사용) 다음을 사용하여 글로벌 자격 증명 역할을 확인할 수 있습니다.


SHOW GLOBAL IDENTITY

글로벌 자격 증명 역할은 세션 설정 시 사용자와 연결됩니다. 현재 로그인한 사용자의 글로벌 자격 증명을 설정하는 경우, 글로벌 자격 증명이 적용되려면 해당 사용자가 다시 연결해야 합니다.

다음 명령을 사용하여 연결된 IAM 역할을 제거할 수 있습니다.


ALTER USER username RESET GLOBAL IDENTITY

파라미터

사용자 이름: 사용자의 이름입니다. IAM 사용자 또는 AWS IdC 사용자와 같은 페더레이션 사용자는 될 수 없습니다.
IAM_ROLE 'arn:aws:iam::<account-id>:role/<role-name>': 사용자 사용자 이름이 페더레이션 권한으로 Redshift 웨어하우스에서 쿼리를 실행할 때 클러스터가 인증 및 권한 부여에 사용하는 IAM 역할에 Amazon 리소스 이름(ARN)을 사용합니다. 이 역할에는 쿼리를 실행하는 데 필요한 권한이 있어야 합니다. AmazonRedshiftFederatedAuthorization AWS 관리형 정책을 사용하는 것이 좋습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

사전 조건

카탈로그 쿼리