从补丁 198 开始,Amazon Redshift 将不再支持创建新的 Python UDF。现有的 Python UDF 将继续正常运行至 2026 年 6 月 30 日。有关更多信息,请参阅[博客文章](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)。 # 将数据 API 与可信身份传播结合使用 作为 Amazon Redshift 账户管理员,您可以将 Amazon Redshift 集群或工作组与 AWS IAM Identity Center 集成,这有助于管理您的员工通过单点登录访问 Amazon Redshift 的权限。有关更多信息,请参阅 [设置 AWS IAM Identity Center 与 Amazon Redshift 的集成](redshift-iam-access-control-idp-connect-console.md)。Amazon Redshift 数据 API 支持将 IAM Identity Center 用户身份传播到 Amazon Redshift 集群或工作组以及链下游的其它服务,例如 AWS Lake Formation。您可以按照 [Access AWS services programmatically using trusted identity propagation](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) 中的步骤操作,使用数据 API 进行设置和查询。 当您在身份增强型 IAM 角色会话中使用 IAM Identity Center 用户身份调用数据 API 时,您只能使用相同的 IAM Identity Center 用户访问生成的语句和语句结果。例如,以下 AWS CLI 命令调用 `execute-statement` 操作,以便使用可信身份传播来运行 SQL 命令。 ``` aws redshift-data execute-statement --sql "select current_user;" --cluster-id mycluster --database dev ``` 以下 AWS CLI 命令调用 `batch-execute-statement` 操作来运行两个 SQL 命令。 ``` aws redshift-data batch-execute-statement --sqls "select current_user;" "select current_date;" --cluster-id mycluster --database dev ``` 要访问由身份增强型 IAM 角色会话提交的具有 `cancel-statement`、`describe-statement`、`get-statement-result` 和 `get-statement-result-v2` 的语句,IAM Identity Center 用户和 IAM 角色必须与用于运行 `execute-statment` 或 `batch-execute-statement` 的凭证相匹配。例如,以下 AWS CLI 命令会获取 SQL 语句的结果。 ``` aws redshift-data get-statement-result --id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ``` 要列出语句,必须提供 `cluster-identifier` 或 `workgroup-name` 参数,以确保 IAM Identity Center 用户只能访问分配给他们的 Amazon Redshift IAM Identity Center 应用程序。例如,以下 AWS CLI 命令会列出特定集群的语句。 ``` aws redshift-data list-statements --cluster-identifier mycluster ``` 您还可以调用数据 API 操作,这些操作使用可信身份传播访问集群或工作组中的数据库对象。这包括 `list-databases`、`list-schemas`、`list-tables` 和 `describe-table` 操作。 可以在 AWS CloudTrail 中跟踪由 IAM Identity Center 用户发出的 API 调用。CloudTrail 事件的 `onBehalfOf` 部分显示了 IAM Identity Center 用户 ID 和身份存储 ARN。以下示例显示了 CloudTrail 事件的一个片段,其中显示了 `onBehalfOf` 部分,IAM Identity Center ID 为 `a1b2c3d4-5678-90ab-cdef-EXAMPLE11111`,身份存储 ARN 为 `arn:aws:identitystore::123456789012:identitystore/d-9067bc44d2`。 ``` { "eventVersion":"1.10", "userIdentity":{ "type":"AssumedRole", ... }, "onBehalfOf":{ "userId":"a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "identityStoreArn":"arn:aws:identitystore::123456789012:identitystore/d-9067bc44d2" } }, "eventTime":"2025-01-13T04:46:27Z", "eventSource":"redshift-data.amazonaws.com", "eventName":"ExecuteStatement", "awsRegion":"us-east-1" } ``` 您可以运行以下 SQL 命令来检查由 IAM Identity Center 用户提交的查询。在此示例中,在 Identity Center 中注册的电子邮件为 `username@example.com`。 ``` SELECT h.query_id, h.database_name, h.status, h.query_text, u.usename, h.start_time, h.end_time FROM sys_query_history h LEFT JOIN pg_user u ON h.user_id = u.usesysid where u.usename='awsidc:username@example.com' ORDER BY h.start_time DESC; ```