Automatisches Erstellen von Amazon Redshift Redshift-Rollen für AWS IAM Identity Center - Amazon Redshift
FunktionsweiseKonfigurieren der automatischen RollenerstellungFiltern von GruppenBeispieleBest Practices

Amazon Redshift wird UDFs ab dem 1. November 2025 die Erstellung von neuem Python nicht mehr unterstützen. Wenn Sie Python verwenden möchten UDFs, erstellen Sie das UDFs vor diesem Datum liegende. Bestehendes Python UDFs wird weiterhin wie gewohnt funktionieren. Weitere Informationen finden Sie im Blog-Posting.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisches Erstellen von Amazon Redshift Redshift-Rollen für AWS IAM Identity Center

Bei dieser Funktion handelt es sich um eine IntegrationAWS IAM Identity Center, mit der Sie automatisch Rollen in Redshift basierend auf der Gruppenmitgliedschaft erstellen können.

Die automatische Erstellung von Rollen bietet mehrere Vorteile. Wenn Sie eine Rolle automatisch erstellen, erstellt Redshift die Rolle mit Gruppenmitgliedschaft in Ihrem IdP. Somit müssen Sie die Rollen nicht mühsam manuell erstellen und pflegen. Sie haben auch die Möglichkeit, mithilfe von Ein- und Ausschlussmustern zu filtern, welche Gruppen Redshift-Rollen zugeordnet sind.

Funktionsweise

Wenn Sie sich als IdP-Benutzer bei Redshift anmelden, findet die folgende Abfolge von Ereignissen statt:

  1. Redshift ruft Ihre Gruppenmitgliedschaften vom IdP ab.

  2. Redshift erstellt automatisch Rollen, die diesen Gruppen zugeordnet sind, mit dem Rollenformat idp_namespace:rolename.

  3. Redshift gewährt Ihnen Berechtigungen für die zugeordneten Rollen.

Bei jeder Benutzeranmeldung wird jede Gruppe, die nicht im Katalog vorhanden ist, der der Benutzer jedoch angehört, automatisch erstellt. Sie können optional Filter zum Einbeziehen und Ausschließen festlegen, um zu steuern, für welche IdP-Gruppen Redshift-Rollen erstellt werden.

Konfigurieren der automatischen Rollenerstellung

Verwenden Sie die Befehle CREATE IDENTITY PROVIDER und ALTER IDENTITY PROVIDER, um die automatische Rollenerstellung zu aktivieren und zu konfigurieren.

-- Create a new IdP with auto role creation enabled
CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC
  NAMESPACE '<namespace>' 
  APPLICATION_ARN 'app_arn'
  IAM_ROLE 'role_arn'
  AUTO_CREATE_ROLES TRUE; 

-- Enable on existing IdP 
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES TRUE;

-- Disable  
ALTER IDENTITY PROVIDER <idp_name>
  AUTO_CREATE_ROLES FALSE;

Filtern von Gruppen

Sie können optional mithilfe der Muster INCLUDE und EXCLUDE filtern, welche IdP-Gruppen Redshift-Rollen zugeordnet werden. Bei Konflikten zwischen den Mustern hat EXCLUDE Vorrang gegenüber INCLUDE.

-- Only create roles for groups with 'dev' 
CREATE IDENTITY PROVIDER <idp_name> TYPE AWSIDC
  ...
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%';
    
-- Exclude 'test' groups
ALTER IDENTITY PROVIDER <idp_name>  
  AUTO_CREATE_ROLES TRUE
  EXCLUDE GROUPS LIKE '%test%';

Beispiele

Das folgende Beispiel zeigt, wie Sie die automatische Erstellung von Rollen ohne Filterung aktivieren.

CREATE IDENTITY PROVIDER prod_idc TYPE AWSIDC  ...
  AUTO_CREATE_ROLES TRUE;

Im folgenden Beispiel werden Entwicklungsgruppen einbezogen und Testgruppen ausgeschlossen.

ALTER IDENTITY PROVIDER prod_idc
  AUTO_CREATE_ROLES TRUE
  INCLUDE GROUPS LIKE '%dev%'
  EXCLUDE GROUPS LIKE '%test%';

Best Practices

Beachten Sie die folgenden bewährten Methoden, wenn Sie die automatische Erstellung für Rollen aktivieren:

  • Verwenden Sie die Filter INCLUDE und EXCLUDE, um zu steuern, welche Gruppen Rollen erhalten.

  • Prüfen Sie die Rollen regelmäßig und entfernen Sie nicht verwendete Rollen.

  • Nutzen Sie Redshift-Rollenhierarchien, um die Verwaltung der Berechtigungen zu vereinfachen.