O Amazon Redshift não permitirá mais a criação de UDFs do Python a partir do Patch 198. As UDFs do Python existentes continuarão a funcionar normalmente até 30 de junho de 2026. Para ter mais informações, consulte a [publicação de blog ](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
# Conectar o Redshift ao Centro de Identidade do AWS IAM para oferecer uma experiência de autenticação única
É possível gerenciar o acesso de usuário e grupo aos data warehouses do Amazon Redshift por meio da propagação de identidade confiável.
A [propagação de identidade confiável](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html) é um recurso do Centro de Identidade do AWS IAM que os administradores de Serviços da AWS conectados podem usar para conceder e auditar o acesso aos dados do serviço. O acesso a esses dados é baseado em atributos do usuário, como associações de grupo. A configuração da propagação de identidade confiável requer a colaboração entre os administradores de Serviços da AWS conectados e os administradores do Centro de Identidade do IAM. Para ter mais informações, consulte [Prerequisites and considerations](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html).
Para ilustrar um caso de ponta a ponta, é possível usar um painel do Amazon Quick ou o editor de consultas do Amazon Redshift v2 para acessar o Redshift. Nesse caso, o acesso se baseia em grupos do Centro de Identidade do AWS IAM. O Redshift pode determinar quem é um usuário e as associações do grupo. AWS O IAM Identity Center também possibilita a você conectar e gerenciar identidades por meio de um provedor de identidades (IdP) de terceiros, como Okta ou PingOne.
Depois de configurar a conexão entre o Redshift e o Centro de Identidade do AWS IAM, o administrador poderá configurar um acesso refinado com base em grupos de provedores de identidade para autorizar o acesso do usuário aos dados.
**Importante**
Quando você exclui um usuário de um Centro de Identidade do AWS IAM ou de um diretório de provedor de identidades (IdP) conectado, ele não é excluído automaticamente do catálogo do Amazon Redshift. Para excluí-lo manualmente do catálogo do Amazon Redshift, execute o comando `DROP USER`. Ao executá-lo o usuário que foi removido de um Centro de Identidade do AWS IAM ou IdP será excluído totalmente. Para ter mais informações sobre como remover usuário, consulte [DROP USER](https://docs.aws.amazon.com/redshift/latest/dg/r_DROP_USER.html) no *Guia do desenvolvedor de banco de dados do Amazon Redshift*.
## Benefícios da integração do Redshift com o Centro de Identidade do AWS
O uso do Centro de Identidade do AWS IAM com o Redshift pode beneficiar a organização das seguintes maneiras:
+ Os autores do painel no Amazon Quick podem se conectar a fontes de dados do Redshift sem precisar inserir senhas novamente ou exigir que um administrador configure perfis do IAM com permissões complexas.
+ O Centro de Identidade do AWS IAM oferece um local central para os usuários do quadro de funcionários na AWS. É possível criar diretamente usuários e grupos no Centro de Identidade do AWS IAM ou conectar usuários e grupos existentes gerenciados por você em um provedor de identidade baseado em padrões, como Okta, PingOne ou Microsoft Entra ID (Azure AD). AWS O IAM Identity Center direciona a autenticação para a fonte confiável escolhida para usuários e grupos e mantém um diretório de usuários e grupos para acesso pelo Redshift. Para obter mais informações, consulte [Manage your identity source](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) e [Supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) no *Guia de usuário do AWS IAM Identity Center*.
+ É possível compartilhar uma instância do Centro de Identidade do AWS IAM com vários clusters e grupos de trabalho do Redshift usando um recurso simples de descoberta automática e conexão. Isso agiliza a adição de clusters sem o esforço extra de configurar a conexão do Centro de Identidade do AWS IAM para cada um, além de garantir que todos os clusters e grupos de trabalho tenham uma visão consistente de usuários, atributos e grupos. A instância do Centro de Identidade do AWS IAM da organização deve estar na mesma região de qualquer unidade de compartilhamento de dados do Redshift a que você esteja se conectando.
+ Como as identidades de usuário são conhecidas e registradas com acesso a dados, é mais fácil para você atender aos regulamentos de conformidade por meio da auditoria do acesso do usuário no AWS CloudTrail.
## Personas de administrador para conectar aplicações
Estas são as personas-chave para conectar aplicações de analytics à aplicação gerenciada pelo Centro de Identidade do AWS IAM para Redshift:
+ **Administrador da aplicação**: cria uma aplicação e configura com quais serviços ela permitirá trocas de tokens de identidade. Esse administrador também especifica quais usuários ou grupos têm acesso à aplicação.
+ **Administrador de dados**: configura acesso refinado aos dados. Usuários e grupos no Centro de Identidade do AWS IAM podem ser mapeados para permissões específicas.
## Conexão com o Amazon Redshift usando o Centro de Identidade do AWS IAM por meio do Amazon Quick
O link a seguir mostra como usar o Quick para autenticação com o Redshift quando ele está conectado e o acesso é gerenciado por meio do Centro de Identidade do AWS IAM: [Autorizar conexões do Quick com clusters do Amazon Redshift](https://docs.aws.amazon.com/quick/latest/userguide/enabling-access-redshift.html). Essas etapas também se aplicam ao Amazon Redshift sem servidor.
## Conexão com o Amazon Redshift usando o Centro de Identidade do AWS IAM por meio do Editor de Consultas v2 do Amazon Redshift
Ao concluir as etapas para configurar uma conexão do Centro de Identidade do AWS IAM com o Redshift, o usuário pode acessar o banco de dados e os objetos indicados no banco de dados por meio da identidade de namespace prefixado com base no Centro de Identidade do AWS IAM. Para ter mais informações sobre como se conectar aos bancos de dados do Redshift com logon no Editor de Consultas V2, consulte [Consultar um banco de dados usando o Editor de Consultas V2Consultar um banco de dados usando o editor de consultas v2 do Amazon Redshift](query-editor-v2.md).
## Usar o Centro de Identidade do AWS IAM em várias Regiões da AWS
O Amazon Redshift aceita o Centro de Identidade do AWS IAM em várias Regiões da AWS. Você pode estender o Centro de Identidade do AWS IAM de suas Região da AWS primárias para regiões adicionais para melhorar a performance por meio da proximidade com os usuários e da confiabilidade. Quando uma nova região é adicionada ao Centro de Identidade do AWS IAM, você pode criar aplicações do Centro de Identidade do IAM no Redshift na nova região sem replicar identidades da região primária. É possível configurar as permissões federadas do Amazon Redshift usando o Centro de Identidade do AWS IAM na nova região, onde você pode habilitar controles em nível de linha, coluna e mascaramento. Para acessar mais detalhes sobre como começar a usar o Centro de Identidade do AWS IAM em várias regiões, consulte [Gerenciar o Centro de Identidade do AWS IAM em várias Regiões da AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.
## Limitações da conexão com o Amazon Redshift por meio do Centro de Identidade do AWS IAM
Ao usar a autenticação única do Centro de Identidade da AWS, considere a seguinte limitação:
+ **Ausência de compatibilidade com VPC aprimorada**: não é possível usar VPC aprimorada quando se usa autenticação única do Centro de Identidade do AWS para o Amazon Redshift. Para ter mais informações sobre a VPC aprimorada, consulte [Roteamento aprimorado da VPC no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html).
# Configuração da integração do Centro de Identidade do AWS IAM com o Amazon Redshift
O administrador de cluster do Amazon Redshift ou o administrador do Amazon Redshift sem servidor deve realizar várias etapas para configurar o Redshift como uma aplicação habilitada para o Centro de Identidade do AWS IAM. Isso faz com que o Redshift possa descobrir e se conectar automaticamente ao Centro de Identidade do AWS IAM para receber serviços de logon e diretório de usuários. Depois disso, quando criar um cluster ou um grupo de trabalho, o administrador do Redshift poderá permitir que o novo data warehouse use o Centro de Identidade do AWS IAM para gerenciar o acesso ao banco de dados.
O objetivo de habilitar o Redshift como uma aplicação gerenciada pelo Centro de Identidade do AWS IAM é para que você possa controlar as permissões de usuário e grupo dentro do Centro de Identidade do AWS IAM ou de um provedor de identidades de terceiros integrado. Quando os usuários do banco de dados fazem logon em um banco de dados do Redshift, por exemplo, um analista ou um cientista de dados compara os grupos no Centro de Identidade do AWS IAM e se eles coincidem com os nomes de perfil no Redshift. Assim, um grupo que define o nome de uma função do banco de dados do Redshift pode acessar um conjunto de tabelas para análise de vendas, por exemplo. As seções a seguir mostram como configurar isso.
## Pré-requisitos
Estes são os pré-requisitos para integrar o Centro de Identidade do AWS IAM ao Amazon Redshift:
+ *Configuração da conta*: é necessário configurar o Centro de Identidade do AWS IAM na conta de gerenciamento da organização da AWS se pretende ter casos de uso entre contas ou se usa clusters do Redshift em contas diferentes com a mesma instância do Centro de Identidade do AWS IAM. Isso inclui a configuração da origem da identidade. Para obter mais informações, consulte [Getting Started](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html), [workforce identities](https://docs.aws.amazon.com/singlesignon/latest/userguide/identities.html) e [supported identity providers](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) no *Guia de usuário do AWS IAM Identity Center*. Você deve se certificar de ter criado usuários ou grupos no Centro de Identidade do AWS IAM ou sincronizado usuários e grupos da fonte de identidade para poder atribuí-los aos dados no Redshift.
**nota**
Você tem a opção de usar uma instância da conta do Centro de Identidade do AWS IAM, desde que o Redshift e o Centro de Identidade do AWS IAM estejam na mesma conta. Você pode criar essa instância usando um widget ao criar e configurar um cluster ou um grupo de trabalho do Redshift.
+ *Configuração de um emissor de tokens confiáveis*: em alguns casos, talvez você precise usar um emissor de tokens confiáveis, que é uma entidade capaz de emitir e verificar tokens confiáveis. Para isso, etapas preliminares são necessárias para que o administrador do Redshift que configura a integração do Centro de Identidade do AWS IAM possa selecionar o emissor de tokens confiáveis e adicionar os atributos necessários para concluir a configuração. Isso pode incluir a configuração de um provedor de identidades externo para servir como um emissor de tokens confiável e a adição dos atributos no console do Centro de Identidade do AWS IAM. Para concluir essas etapas, consulte [Using applications with a trusted token issuer](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#setuptrustedtokenissuer).
**nota**
A configuração de um emissor de tokens confiáveis não é obrigatória para todas as conexões externas. A conexão com o banco de dados do Redshift com o editor de consultas do Amazon Redshift v2 não exige a configuração do emissor de tokens confiáveis. Porém, ela pode ser aplicada a aplicações de terceiros, como painéis ou aplicações personalizadas, que se autenticam com o provedor de identidades.
+ *Configuração de um perfil do IAM ou funções*: as seções a seguir mencionam permissões que devem ser configuradas. Você precisará adicionar permissões segundo as melhores práticas do IAM. As permissões específicas são detalhadas nos procedimentos a seguir.
Consulte mais informações em [Getting Started with AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html).
## Configuração do provedor de identidades para trabalhar com o Centro de Identidade do AWS IAM
A primeira etapa do controle do gerenciamento de identidades de usuário e grupo é se conectar ao Centro de Identidade do AWS IAM e configurar o provedor de identidades. É possível usar o próprio Centro de Identidade do AWS IAM como o provedor de identidades ou conectar um repositório de identidades de terceiros, como o Okta, por exemplo. Consulte mais informações sobre como configurar a conexão e o provedor de identidades em [Connect to an external identity provider](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) no *Guia de usuário do Centro de Identidade do AWS IAM*. Verifique se, ao final desse processo, você tem uma pequena coleção de usuários e grupos adicionados ao Centro de Identidade do AWS IAM, para fins de teste.
### Permissões administrativas
#### Permissões necessárias para o gerenciamento do ciclo de vida da aplicação do Redshift/Centro de Identidade do AWS IAM
Você deve criar uma identidade do IAM, que o administrador do Redshift usa a fim de configurar o Redshift para uso com o Centro de Identidade do AWS IAM. Normalmente, você criaria um perfil do IAM com permissões e o atribuiria a outras identidades conforme necessário. Ele deve ter as permissões listadas para executar as ações a seguir.
**Criar a aplicação do Redshift/Centro de Identidade do AWS IAM**
+ `sso:PutApplicationAssignmentConfiguration`: para segurança.
+ `sso:CreateApplication`: usada para criar uma aplicação do Centro de Identidade do AWS IAM.
+ `sso:PutApplicationAuthenticationMethod`: concede acesso à autenticação do Redshift.
+ `sso:PutApplicationGrant`: usada para alterar as informações do emissor de tokens confiáveis.
+ `sso:PutApplicationAccessScope`: para configuração da aplicação do Redshift do Centro de Identidade do AWS IAM. Isso se aplica ao AWS Lake Formation e a [Concessões de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
+ `redshift:CreateRedshiftIdcApplication`: usada para criar uma aplicação do Redshift do Centro de Identidade do AWS IAM.
**Descrever a aplicação do Redshift/Centro de Identidade do AWS IAM**
+ `sso:GetApplicationGrant`: usado para listar as informações do emissor de tokens confiáveis.
+ `sso:ListApplicationAccessScopes`: para que a configuração da aplicação do Redshift do Centro de Identidade do AWS Lake Formation IAM liste integrações subsequentes, como para o AWS e a Concessão de Acesso do S3.
+ `redshift:DescribeRedshiftIdcApplications`: usada para descrever as aplicações existentes do Centro de Identidade do AWS IAM.
**Alterar a aplicação do Redshift/Centro de Identidade do AWS IAM**
+ `redshift:ModifyRedshiftIdcApplication`: usada para alterar uma aplicação Redshift existente.
+ `sso:UpdateApplication`: usada para atualizar uma aplicação do Centro de Identidade do AWS IAM.
+ `sso:GetApplicationGrant`: obtém as informações do emissor de tokens de confiança.
+ `sso:ListApplicationAccessScopes`: para configuração da aplicação do Redshift do Centro de Identidade do AWS IAM.
+ `sso:DeleteApplicationGrant`: exclui as informações do emissor de tokens confiáveis.
+ `sso:PutApplicationGrant`: usada para alterar as informações do emissor de tokens confiáveis.
+ `sso:PutApplicationAccessScope`: para configuração da aplicação do Redshift do Centro de Identidade do AWS IAM. Isso se aplica ao AWS Lake Formation e a [Concessões de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
+ `sso:DeleteApplicationAccessScope`: para excluir a configuração da aplicação do Redshift do Centro de Identidade do AWS IAM. Isso se aplica ao AWS Lake Formation e a [Concessões de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html).
**Excluir a aplicação do Redshift/Centro de Identidade do AWS IAM**
+ `sso:DeleteApplication`: usada para excluir uma aplicação do Centro de Identidade do AWS IAM.
+ `redshift:DeleteRedshiftIdcApplication`: permite excluir uma aplicação existente do Redshift do Centro de Identidade do AWS IAM.
#### Permissões necessárias para o gerenciamento do ciclo de vida da aplicação Redshift/editor de consultas v2
Você deve criar uma identidade do IAM, que o administrador do Redshift usa a fim de configurar o Redshift para uso com o Centro de Identidade do AWS IAM. Normalmente, você criaria um perfil do IAM com permissões e o atribuiria a outras identidades conforme necessário. Ele deve ter as permissões listadas para executar as ações a seguir.
**Criar a aplicação do editor de consultas v2 (QEV**
+ `redshift:CreateQev2IdcApplication`: usado para criar a aplicação do QEV2.
+ `sso:CreateApplication`: permite criar uma aplicação do Centro de Identidade do AWS IAM.
+ `sso:PutApplicationAuthenticationMethod`: concede acesso à autenticação do Redshift.
+ `sso:PutApplicationGrant`: usada para alterar as informações do emissor de tokens confiáveis.
+ `sso:PutApplicationAccessScope`: para configuração da aplicação do Redshift do Centro de Identidade do AWS IAM. Isso inclui o editor de consultas v2.
+ `sso:PutApplicationAssignmentConfiguration`: para segurança.
**Descrever a aplicação do editor de consultas v**
+ `redshift:DescribeQev2IdcApplications`: usada para descrever a aplicação QEV2 do Centro de Identidade do AWS IAM.
**Alterar a aplicação do editor de consultas v**
+ `redshift:ModifyQev2IdcApplication`: usada para alterar a aplicação QEV2 do Centro de Identidade do AWS IAM.
+ `sso:UpdateApplication`: usada para alterar a aplicação QEV2 do Centro de Identidade do AWS IAM.
**Excluir a aplicação do editor de consultas v**
+ `redshift:DeleteQev2IdcApplication`: usado para excluir a aplicação do QEV2.
+ `sso:DeleteApplication`: usado para excluir a aplicação do QEV2.
**nota**
No SDK do Amazon Redshift, as seguintes APIs não estão disponíveis:
CreateQev2IdcApplication
DescribeQev2IdcApplications
ModifyQev2IdcApplication
DeleteQev2IdcApplication
Essas ações são específicas para realizar a integração do Centro de Identidade do AWS IAM com o QEV2 do Redshift no Console da AWS. Para obter mais informações, consulte [Actions defined by Amazon Redshift](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshift.html#amazonredshift-actions-as-permissions).
#### Permissões necessárias para o administrador do banco de dados conectar novos recursos no console
Essas permissões são necessárias para conectar novos clusters provisionados ou grupos de trabalho do Amazon Redshift sem servidor durante o processo de criação. Se você tiver essas permissões, uma seleção será exibida no console para optar por se conectar à aplicação gerenciada pelo Centro de Identidade do AWS IAM para Redshift.
+ `redshift:DescribeRedshiftIdcApplications`
+ `sso:ListApplicationAccessScopes`
+ `sso:GetApplicationAccessScope`
+ `sso:GetApplicationGrant`
Como prática recomendada, anexe políticas de permissões a um perfil do IAM e, depois, atribua-as a usuários e grupos, conforme necessário. Para obter mais informações, consulte [Gerenciamento de identidade e acesso no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html).
## Configuração do Redshift como uma aplicação gerenciada pela AWS com o Centro de Identidade do AWS IAM
Para o Centro de Identidade do AWS IAM gerenciar identidades para um cluster provisionado do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor, o administrador do Redshift deve concluir as etapas para fazer do Redshift uma aplicação gerenciada pelo Centro de Identidade do AWS IAM:
1. Selecione **Integração com Centro de Identidade do AWS IAM** no menu do console do Amazon Redshift ou do Amazon Redshift sem servidor e, depois, selecione **Conectar-se ao Centro de Identidade do AWS IAM**. A partir daí, você passa por uma série de seleções para preencher as propriedades da integração do Centro de Identidade do AWS IAM.
1. Escolha um nome de exibição e um nome exclusivo para a aplicação gerenciada pelo Centro de Identidade do AWS IAM do Redshift.
1. Especifique o namespace da organização. Trata-se normalmente de uma versão abreviada do nome da organização. Ela é adicionada como um prefixo para os perfis e os usuários gerenciados pelo Centro de Identidade do AWS IAM no banco de dados do Redshift.
1. Selecione um perfil do IAM a ser usado. Esse perfil do IAM deve ser à parte de outros usados no Redshift, e recomendamos que não seja usado com outras finalidades. As permissões da política específica necessárias são as seguintes:
+ `sso:DescribeApplication`: necessária para criar uma entrada do provedor de identidades (IdP) no catálogo.
+ `sso:DescribeInstance`: usada para criar manualmente funções ou usuários federados do IdP.
1. Configure conexões cliente e emissores de tokens confiáveis. A configuração de emissores de tokens confiáveis facilita a propagação de identidade confiável ao estabelecer um relacionamento com um provedor de identidades externo. A propagação de identidade possibilita que um usuário, por exemplo, faça logon em uma aplicação e acesse dados específicos em outra aplicação. Isso permite aos usuários coletar dados de locais diferentes com mais facilidade. Nesta etapa, no console, você define atributos para cada emissor de tokens confiáveis. Entre os atributos estão o nome e a declaração do público (ou *aud claim*), que talvez você precise obter dos atributos de configuração da ferramenta ou do serviço. Talvez você também precise fornecer o nome da aplicação do JSON Web Token (JWT) da ferramenta de terceiros.
**nota**
O `aud claim` exigido de cada ferramenta ou serviço de terceiros pode variar, com base no tipo de token, que pode ser um token de acesso emitido por um provedor de identidades ou outro tipo, como um token de ID. Cada fornecedor pode ser diferente. Quando você está implementando a propagação de identidade confiável e a integração com o Redshift, é necessário fornecer o valor *aud* correto para o tipo de token com o qual a ferramenta de terceiros envia para AWS. Verifique as recomendações do fornecedor de ferramentas ou serviços.
Para ter informações detalhadas sobre a propagação de identidade confiável, consulte [Trusted identity propagation overview](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.
Depois que o administrador do Redshift concluir as etapas e salvar a configuração, as propriedades do Centro de Identidade do AWS IAM serão exibidas no console do Redshift. Também é possível consultar a exibição de sistema [SVV\$1IDENTITY\$1PROVIDERS](https://docs.aws.amazon.com/redshift/latest/dg/r_SVV_IDENTITY_PROVIDERS.html) para verificar as propriedades da aplicação. Isso inclui o nome e o namespace da aplicação. Você usa o namespace como prefixo para objetos de banco de dados do Redshift associados à aplicação. A conclusão dessas tarefas torna o Redshift uma aplicação compatível com o Centro de Identidade do AWS IAM. As propriedades no console incluem o status da integração. Ele indica **Habilitado** quando a integração está concluída. Depois desse processo, a integração do Centro de Identidade do AWS IAM poderá ser habilitada em cada novo cluster.
Depois da configuração, você poderá incluir usuários e grupos do Centro de Identidade do AWS IAM no Redshift escolhendo a guia **Usuários** ou **Grupos** e, depois, **Atribuir**.
## Habilitação da integração do Centro de Identidade do AWS IAM para um novo cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor
O administrador do banco de dados configura novos recursos do Redshift para trabalhar em alinhamento com o Centro de Identidade do AWS IAM a fim de facilitar o logon e o acesso aos dados. Isso é realizado como parte das etapas para criar um cluster provisionado ou um grupo de trabalho de tecnologia sem servidor. Qualquer pessoa com permissões para criar recursos do Redshift pode realizar essas tarefas de integração do Centro de Identidade do AWS IAM. Para criar um cluster provisionado, você primeiro escolhe **Criar cluster** no console do Amazon Redshift. As etapas a seguir mostram como habilitar o gerenciamento do Centro de Identidade do AWS IAM para um banco de dados. (Isso não inclui todas as etapas para criar um cluster.)
1. Escolha **Habilitar para ** na seção **Integração com Centro de Identidade do IAM** nas etapas de criação do cluster.
1. Há uma etapa no processo quando você habilita a integração. Você faz isso escolhendo **Habilitar integração com Centro de Identidade do IAM** no console.
1. Para o novo cluster ou grupo de trabalho, crie funções de banco de dados no Redshift usando comandos SQL. Este é o comando.
```
CREATE ROLE ;
```
O namespace e o nome da função são os seguintes:
+ *Prefixo do namespace do Centro de Identidade do IAM*: esse é o namespace definido por você ao configurar a conexão entre o Centro de Identidade do AWS IAM e o Redshift.
+ *Nome do perfil*: esse perfil do banco de dados do Redshift deve coincidir com o nome do grupo no Centro de Identidade do AWS IAM.
O Redshift se conecta ao Centro de Identidade do AWS IAM e busca as informações necessárias para criar e mapear o perfil do banco de dados para o grupo do Centro de Identidade do AWS IAM.
Quando um novo data warehouse é criado, o perfil do IAM especificado para a integração do Centro de Identidade do AWS IAM é automaticamente anexado ao cluster provisionado ou ao grupo de trabalho do Amazon Redshift sem servidor. Depois de inserir os metadados de cluster necessários e criar o recurso, você poderá verificar o status da integração do Centro de Identidade do AWS IAM nas propriedades. Se os nomes de grupo no Centro de Identidade do AWS IAM tiverem espaços, será necessário usar aspas no SQL ao criar o perfil correspondente.
Depois de habilitar o banco de dados do Redshift e criar funções, estará tudo pronto para você se conectar ao banco de dados usando o editor de consultas do Amazon Redshift v2 ou Amazon Quick. Os detalhes serão explicados mais detalhadamente nas seções a seguir.
### Configuração do `RedshiftIdcApplication` padrão usando a API
A configuração é realizada pelo administrador de identidades. Com a API, você cria e preenche `RedshiftIdcApplication`, que representa a aplicação do Redshift no Centro de Identidade do AWS IAM.
1. Para começar, é possível criar usuários e adicioná-los a grupos no Centro de Identidade do AWS IAM. Você faz isso no Console da AWS do Centro de Identidade do AWS IAM.
1. Chame `create-redshift-idc-application` para criar uma aplicação do Centro de Identidade do AWS e torná-la compatível com o uso do Redshift. Você cria a aplicação preenchendo os valores necessários. O nome de exibição é o nome a ser mostrado no painel do Centro de Identidade do AWS. O ARN do perfil do IAM é um ARN com permissões para o Centro de Identidade do AWS IAM e que também pode ser assumido pelo Redshift.
```
aws redshift create-redshift-idc-application
––idc-instance-arn 'arn:aws:sso:::instance/ssoins-1234a01a1b12345d'
––identity-namespace 'MYCO'
––idc-display-name 'TEST-NEW-APPLICATION'
––iam-role-arn 'arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole'
––redshift-idc-application-name 'myredshiftidcapplication'
```
O exemplo a seguir mostra uma resposta `RedshiftIdcApplication` de exemplo retornada pela chamada para `create-redshift-idc-application`.
```
"RedshiftIdcApplication": {
"IdcInstanceArn": "arn:aws:sso:::instance/ssoins-1234a01a1b12345d",
"RedshiftIdcApplicationName": "test-application-1",
"RedshiftIdcApplicationArn": "arn:aws:redshift:us-east-1:012345678901:redshiftidcapplication:12aaa111-3ab2-3ab1-8e90-b2d72aea588b",
"IdentityNamespace": "MYCO",
"IdcDisplayName": "Redshift-Idc-Application",
"IamRoleArn": "arn:aws:redshift:us-east-1:012345678901:role/TestRedshiftRole",
"IdcManagedApplicationArn": "arn:aws:sso::012345678901:application/ssoins-1234a01a1b12345d/apl-12345678910",
"IdcOnboardStatus": "arn:aws:redshift:us-east-1:123461817589:redshiftidcapplication",
"RedshiftIdcApplicationArn": "Completed",
"AuthorizedTokenIssuerList": [
"TrustedTokenIssuerArn": ...,
"AuthorizedAudiencesList": [...]...
]}
```
1. É possível usar `create-application-assignment` para atribuir grupos específicos ou usuários individuais à aplicação gerenciada no Centro de Identidade do AWS IAM. Com isso, é possível especificar grupos para gerenciamento por meio do Centro de Identidade do AWS IAM. Se o administrador do banco de dados criar perfis de banco de dados no Redshift, os nomes de grupo no Centro de Identidade do AWS IAM serão mapeados para nomes de perfil no Redshift. As funções controlam as permissões no banco de dados. Consulte mais informações em [Assign user access to applications in the AWS IAM Identity Center console](https://docs.aws.amazon.com/singlesignon/latest/userguide/assignuserstoapp.html).
1. Depois de habilitar a aplicação, chame `create-cluster` e inclua o ARN da aplicação gerenciada pelo Redshift do Centro de Identidade do AWS IAM. Isso associa o cluster à aplicação gerenciada no Centro de Identidade do AWS IAM.
### Associação de uma aplicação do Centro de Identidade do AWS IAM a um cluster ou grupo de trabalho existente
Se tiver um cluster ou grupo de trabalho existente que gostaria de habilitar para a integração do Centro de Identidade do AWS IAM, você poderá fazer isso executando comandos SQL. Você também pode executar comandos SQL para alterar as configurações da integração. Consulte mais informações em [ALTER IDENTITY PROVIDER](https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_IDENTITY_PROVIDER.html).
Também é possível remover um provedor de identidades existente. O exemplo a seguir mostra como CASCADE exclui funções e usuários anexados ao provedor de identidades.
```
DROP IDENTITY PROVIDER
[ CASCADE ]
```
## Configuração das permissões de usuário
Um administrador configura permissões para recursos variados, com base nos atributos de identidade dos usuários e nas associações de grupo, dentro do provedor de identidades ou diretamente no Centro de Identidade do AWS IAM. Por exemplo, o administrador do provedor de identidades pode adicionar um engenheiro de banco de dados a um grupo apropriado a essa função. Esse nome de grupo é mapeado para um nome de função de banco de dados do Redshift. A função dá ou restringe acesso a tabelas ou exibições específicas no Redshift.
# Criação automática de perfis do Amazon Redshift para o Centro de Identidade do AWS IAM
Esse recurso é uma integração com o Centro de Identidade do AWS IAM que permite criar perfis automaticamente no Redshift com base na associação em grupo.
Há vários benefícios na criação automática de perfis. Quando você cria automaticamente um perfil, o Redshift cria o perfil com associação em grupo no seu IdP, para que você possa evitar o trabalho de criar e manter perfis manualmente. Você também tem a opção de filtrar quais grupos são mapeados para perfis do Redshift com padrões de inclusão e exclusão.
## Como funciona
Quando você, como usuário do IdP, faz login no Redshift, ocorre a seguinte sequência de eventos:
1. O Redshift recupera suas associações em grupo do IdP.
1. O Redshift cria automaticamente o mapeamento de perfis para esses grupos, com o formato de perfil `idp_namespace:rolename`.
1. O Redshift concede a você permissões com os perfis mapeados.
Após cada login de usuário, cada grupo que não está presente no catálogo, mas do qual o usuário faz parte, é criado automaticamente. Opcionalmente, você pode definir filtros de inclusão e exclusão para controlar quais grupos de IdP têm perfis do Redshift criados.
## Configurar perfis de criação automática
Use os comandos `CREATE IDENTITY PROVIDER` e `ALTER IDENTITY PROVIDER` para habilitar e configurar a criação automática de perfis.
```
-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER TYPE AWSIDC
NAMESPACE ''
APPLICATION_ARN 'app_arn'
IAM_ROLE 'role_arn'
AUTO_CREATE_ROLES TRUE;
-- Enable on existing IdP
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE;
-- Disable
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES FALSE;
```
## Filtrar grupos
Opcionalmente, você pode filtrar quais grupos de IdP são mapeados para os perfis do Redshift usando os padrões `INCLUDE` e `EXCLUDE`. Quando os padrões entram em conflito, `EXCLUDE` precede a `INCLUDE`.
```
-- Only create roles for groups with 'dev'
CREATE IDENTITY PROVIDER TYPE AWSIDC
...
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%';
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER
AUTO_CREATE_ROLES TRUE
EXCLUDE GROUPS LIKE '%test%';
```
## Exemplos
O exemplo a seguir mostra como ativar a criação automática de perfis sem filtragem.
```
CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC ...
AUTO_CREATE_ROLES TRUE;
```
O exemplo a seguir inclui grupos de desenvolvimento e exclui grupos de teste.
```
ALTER IDENTITY PROVIDER prod_idc
AUTO_CREATE_ROLES TRUE
INCLUDE GROUPS LIKE '%dev%'
EXCLUDE GROUPS LIKE '%test%';
```
## Práticas recomendadas
Considere as seguintes práticas recomendadas ao habilitar a criação automática de perfis:
+ Use os filtros `INCLUDE` e `EXCLUDE` para controlar quais grupos recebem perfis.
+ Audite periodicamente os perfis e limpe os não utilizados.
+ Aproveite as hierarquias de perfis do Redshift para simplificar o gerenciamento de permissões.
# Integração do Amazon Redshift com a funcionalidade Concessão de Acesso do Amazon S3
Usando a integração com a Concessão de Acesso do Amazon S3, você pode propagar facilmente identidades do Centro de Identidade do IAM para controlar o acesso aos dados do Amazon S3. Essa integração permite que você autorize o acesso aos dados do Amazon S3 com base nos usuários e grupos do Centro de Identidade do IAM.
Para obter mais informações sobre a Concessão de Acesso do Amazon S3, consulte [Gerenciar o acesso com a funcionalidade Concessão de Acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
O uso da Concessão de Acesso do Amazon S3 concede os seguintes benefícios à aplicação:
+ Controle de acesso detalhado aos dados do Amazon S3 com base nas identidades do Centro de Identidade do IAM.
+ Gerenciamento centralizado de identidades do Centro de Identidade do IAM no Amazon Redshift e no Amazon S3.
+ Você pode evitar o gerenciamento de permissões separadas do IAM para acesso ao Amazon S3.
## Como funciona
Para integrar sua aplicação com a Concessão de Acesso do Amazon S3, faça o seguinte:
+ Primeiro, configure o Amazon Redshift para se integrar à Concessão de Acesso do Amazon S3 usando o Console de gerenciamento da AWS ou a AWS CLI.
+ Em seguida, usando o serviço de Concessão de Acesso do Amazon S3, um usuário com privilégios de administrador do Centro de Identidade (IdC) concede acesso ao bucket ou prefixo do Amazon S3 a usuários/grupos específicos do IdC. Para obter mais informações, consulte [Trabalhar com concessões no recurso Concessão de Acesso do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-grant.html).
+ Quando um usuário do IdC autenticado no Redshift executa uma consulta acessando o S3 (como uma operação COPY, UNLOAD ou Spectrum), o Amazon Redshift recupera credenciais de acesso temporárias do S3 com escopo definido para essa identidade do IdC do serviço Concessão de Acesso do Amazon S3.
+ Em seguida, o Amazon Redshift usa as credenciais temporárias recuperadas para acessar os locais autorizados do Amazon S3 para essa consulta.
## Configurar a integração com a Concessão de Acesso do Amazon S3
Para configurar a integração com a Concessão de Acesso do Amazon S3 para Amazon Redshift, faça o seguinte:
**Topics**
+ [Configurar a integração com a Concessão de Acesso do Amazon S3 usando o Console de gerenciamento da AWS](#redshift-iam-access-control-sso-s3idc-setup-console)
+ [Habilitar a integração com a Concessão de Acesso do Amazon S3 usando a AWS CLI](#redshift-iam-access-control-sso-s3idc-setup-cli)
### Configurar a integração com a Concessão de Acesso do Amazon S3 usando o Console de gerenciamento da AWS
1. Abra o console do Amazon Redshift.
1. Escolha seu cluster no painel **Clusters**.
1. Na página de detalhes do cluster, na seção **Integração do provedor de identidades**, habilite a integração com o serviço **Concessão de Acesso do S3**.
**nota**
A seção **Integração do provedor de identidades** não aparecerá se você não tiver o Centro de Identidade do IAM configurado. Para obter mais informações, consulte [Enabling Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html).
### Habilitar a integração com a Concessão de Acesso do Amazon S3 usando a AWS CLI
1. Para criar outra aplicação do IdC do Amazon Redshift com a integração do S3 habilitada, faça o seguinte:
```
aws redshift create-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Para modificar uma aplicação existente a fim de habilitar a integração da Concessão de Acesso do S3, faça o seguinte:
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'
```
1. Para modificar uma aplicação existente a fim de desabilitar a integração da Concessão de Acesso do S3, faça o seguinte:
```
aws redshift modify-redshift-idc-application
--service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]'
```
## Usar a integração com a Concessão de Acesso do S3
Após a configuração da integração da Concessão de Acesso do S3, as consultas que acessam dados do S3 (como consultas `COPY`, `UNLOAD` ou Spectrum) usam a identidade do IdC para autorização. Os usuários que não estão autenticados usando o IdC também podem executar essas consultas, mas essas contas de usuário não aproveitam a administração centralizada que o IdC oferece.
O seguinte exemplo mostra consultas executadas com a integração da Concessão de Acesso do S3:
```
COPY table FROM 's3://mybucket/data'; // -- Redshift uses IdC identity
UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/' // -- Redshift uses IdC identity
```