Amazoni punane nihe kiirendab teie aega ülevaate saamiseks kiire, lihtsa ja turvalise mastaapse pilvandmehoidla abil. Kümned tuhanded kliendid toetuvad Amazon Redshiftile, et analüüsida eksabaite andmeid ja käitada keerulisi analüütilisi päringuid.
Saate oma eelistatud SQL-i kliente kasutada oma andmete analüüsimiseks Amazoni punane nihe andmeladu. Ühendage sujuvalt, kasutades identiteedipakkuja (IdP) või ühekordse sisselogimise (SSO) mandaate, et luua ühendus Redshifti andmelaoga, et kasutada olemasolevaid kasutajamandaate ning vältida kasutaja täiendavat seadistamist ja konfigureerimist. Kasutades rollipõhine juurdepääsukontroll (RBAC), saate Amazon Redshiftis lihtsustada kasutajaõiguste, andmebaasiõiguste ja turbeõiguste haldamist. Samuti saate punanihkega andmebaasirolle kasutada kõrgendatud õiguste komplekti määratlemiseks, näiteks süsteemimonitori või andmebaasi administraatori jaoks.
Kasutamine AWS-i identiteedi- ja juurdepääsuhaldus (IAM) koos RBAC-iga saavad organisatsioonid kasutajate haldamist lihtsustada, kuna te ei pea enam kasutajaid käsitsi looma ja neid andmebaasirollidega seostama. Saate määratleda vastendatud andmebaasirollid IdP-rühmade või IAM-rolli peamise märgendina, nii et Redshifti andmebaasirollid ja kasutajad, kes on nende IdP-rühmade liikmed, antakse andmebaasirollidele automaatselt.
Varem, 2023. aastal, me käivitas Okta integratsiooni toe koos Amazon Redshift serverita andmebaasirollide kasutamine. Selles postituses keskendume Oktale kui IDP-le ja anname samm-sammult juhised Redshiftiga varustatud klastri integreerimiseks Oktaga, kasutades Redshift Query Editor v2 ja SQL-i klientidega, nagu SQL Workbench/J. Saate seda mehhanismi kasutada koos teiste IDP pakkujatega (nt Azure Active Directory või Ping) mis tahes rakenduste või tööriistadega, mis kasutavad Amazoni JDBC, ODBC või Pythoni draiverit.
Hiljuti teatasime ka Amazoni punane nihe integreerimine AWS IAM-i identiteedikeskusega, toetades usaldusväärne identiteedi levitamine, mis võimaldab teil kasutada kolmanda osapoole identiteedipakkujad (IdP) nagu Microsoft Entra ID (Azure AD), Okta, Ping ja OneLogin. See integratsioon lihtsustab Amazon Redshifti kasutajate autentimis- ja autoriseerimisprotsessi Päringuredaktor V2 or Amazon Quicksight, mis muudab nende jaoks teie andmelaole turvalise juurdepääsu lihtsamaks. AWS IAM-i identiteedikeskus pakub automaatset kasutajate ja rühmade pakkumist Oktalt endale, kasutades SCIM 2.0 protokolli. See integratsioon võimaldab teabe sujuvat sünkroonimist kahe teenuse vahel, tagades AWS IAM-i identiteedikeskuses täpse ja ajakohase teabe. Viitama Integreerige Okta Amazon Redshift Query Editor V2-ga, kasutades AWS IAM-i identiteedikeskust sujuvaks ühekordseks sisselogimiseks ajaveebipostitus, et saada lisateavet ühekordse sisselogimise (SSO) seadistamise kohta Amazon Redshifti, kasutades integratsiooni IdC ja Oktaga identiteedipakkujana.
Kui olete huvitatud IAM-põhise ühekordse sisselogimise kasutamisest Amazon Redshifti andmebaasirollidega, võite jätkata selle ajaveebi lugemist.
Lahenduse ülevaade
Järgmine diagramm illustreerib Okta autentimise voogu Redshiftiga ette nähtud klastriga, kasutades ühendatud IAM-rolle ja automaatset andmebaasi rollide vastendamist.
Töövoog sisaldab järgmisi samme.
- Kasutaja valib oma brauseris IdP-rakenduse või algatab SQL-i klient IDP-le (Okta) kasutaja autentimistaotluse.
- Eduka autentimise korral saadab Okta AWS-i föderatsiooni lõpp-punktile päringu koos SAML-i kinnitusega, mis sisaldab peamisi silte.
- AWS-i föderatsiooni lõpp-punkt kinnitab SAML-i väite ja kutsub esile AWS-i turvamärgi teenus (AWS STS) API
AssumeRoleWithSAML
. SAML-i väide sisaldab IDP kasutaja ja rühma teavet, mis on talletatudRedshiftDbUser
jaRedshiftDbRoles
vastavalt peamised sildid. Ajutised IAM-mandaadid tagastatakse SQL-kliendile või päringuredaktori v2 kasutamisel suunatakse kasutaja brauser ajutiste IAM-mandaatide abil päringuredaktori v2 konsooli. - Ajutisi IAM-mandaate kasutab SQL-klient või päringuredaktori v2 Redshift API kutsumiseks
GetClusterCredentialsWithIAM
. See API kasutab peamisi silte, et määrata kindlaks kasutaja- ja andmebaasirollid, kuhu kasutaja kuulub. Seotud andmebaasi kasutaja luuakse, kui kasutaja logib sisse esimest korda ja talle antakse automaatselt vastavad andmebaasirollid. SQL-kliendile tagastatakse ajutine parool. - Andmebaasi kasutaja ja ajutise parooli abil loob SQL-klient või Query Editor v2 ühenduse Amazon Redshiftiga. Sisselogimisel autoriseeritakse kasutaja Redshift andmebaasi rollide alusel, mis määrati 4. sammus.
Eeldused
Selle lahenduse seadistamiseks on vaja järgmisi eeltingimusi.
Ühendage ühendkasutajana Redshifti ette nähtud klastriga, kasutades päringuredaktori v2
Ühenduse loomiseks päringuredaktori v2 abil toimige järgmiselt.
- Järgige kõiki jaotistes kirjeldatud samme Seadistage oma Okta rakendus ja Seadistage AWS-i konfiguratsioon järgnevalt pärast.
- Amazon Redshift juurdepääsu IAM-i poliitika jaoks asendage poliitika kasutamiseks järgmise JSON-iga
GetClusterCredentialsWithIAM
API-d:
Nüüd olete valmis päringuredaktori v2 ja ühendatud sisselogimise abil ühenduse loomiseks oma Redshifti ette nähtud klastriga.
- Kasutage Okta SSO URL-i ja logige oma kasutajamandaatidega oma Okta kontole sisse. Selle demo jaoks logime sisse kasutaja Ethaniga.
- Päringuredaktoris v2 valige oma Redshiftiga ette nähtud klaster (paremklõps) ja valige Loo ühendus.
- eest Autentiminevalige Ajutised volikirjad, mis kasutavad teie IAM-identiteeti.
- eest andmebaas, sisestage andmebaasi nimi, millega soovite ühenduse luua.
- Vali Loo ühendus.
- Käivitage järgmine käsk, et kinnitada, et olete liitunud kasutajana sisse logitud, ja saada ka praeguse seansi jaoks selle kasutajaga seotud rollide loend:
Kuna Ethan kuulub müügigruppi ja talle on antud õigused juurdepääsuks tabelitele sales_schema
, peaks ta pääsema neile tabelitele probleemideta juurde. Kui ta aga proovib juurdepääsu tabelitele finance_schema
, saaks ta loa keelamise vea, kuna Ethan ei kuulu Okta finantskontserni.
Ühendage kolmanda osapoole kliendi kaudu ühendatud kasutajana Redshifti ette nähtud klastriga
Liitkasutajana ühenduse loomiseks kolmanda osapoole kliendi kaudu toimige järgmiselt.
- Järgige samme 1 ja 2, mida on kirjeldatud ülaltoodud jaotises (päringuredaktori v2 abil ühendatud kasutajana ühenduse loomine Redshifti ette valmistatud klastriga).
- Kasuta Redshift JDBC draiver v2.1.0.18 ja uuemad, kuna see toetab autentimist IAM-grupi liitmisega. URL-i jaoks sisestage
jdbc:redshift:iam://<cluster endpoint>:<port>:<databasename>?groupfederation=true.
Näiteksjdbc:redshift:iam://redshift-cluster-1.abdef0abc0ab.us-west-2.redshift.amazonaws.com:5439/dev?groupfederation=true
Eelmises URL-is groupfederation
on kohustuslik parameeter, mis võimaldab teil autentida Redshiftiga varustatud klastri IAM-mandaatidega. Ilma groupfederation
parameeter, ei kasuta see Redshift andmebaasirolle.
- eest kasutajanimi ja Parool, sisestage oma Okta mandaadid.
- Laiendatud atribuutide seadistamiseks järgige jaotise samme 4–9 SQL-kliendi konfigureerimine (SQL Workbench/J) järgnevalt pärast.
Kasutaja Ethan pääseb juurde sales_schema
tabelid. Kui Ethan proovib juurdepääsu tabelitele finance_schema
, saab ta loa keelamise vea.
Probleemid
Kui teie ühendus ei tööta, kaaluge järgmist.
- Luba draiverisse sisselogimine. Juhiseid vt Logimise seadistamine.
- Kasutage kindlasti uusimat Amazon Redshift JDBC draiver versiooni.
- Kui saate Okta rakenduse seadistamisel tõrkeid, veenduge, et teil oleks administraatori juurdepääs.
- Kui saate SQL-kliendi kaudu autentida, kuid teil on loaprobleem või objekte ei kuvata, andke rollile asjakohane luba.
Koristage
Kui olete lahenduse testimise lõpetanud, puhastage ressursse, et vältida tulevasi tasusid.
- Kustutage Redshiftiga ette nähtud klaster.
- Kustutage IAM-i rollid, IAM-i IDP-d ja IAM-poliitikad.
Järeldus
Selles postituses esitasime samm-sammult juhised Redshiftiga varustatud klastri integreerimiseks Oktaga, kasutades Redshift Query Editor v2 ja SQL Workbench/J liite IAM-rollide ja automaatse andmebaasi rollide kaardistamise abil. Sarnast seadistust saate kasutada ka teiste SQL-i klientidega (nt DBeaver või DataGrip). Näitasime ka, kuidas Okta grupi liikmelisus kaardistatakse automaatselt Redshiftiga ette nähtud klastrirollidega, et kasutada sujuvalt rollipõhist autentimist.
Kui teil on tagasisidet või küsimusi, jätke need kommentaaridesse.
Autoritest
Debu Panda on AWS-i tootejuhtimise vanemjuht. Ta on analüütika, rakendusplatvormi ja andmebaasitehnoloogiate valdkonnas liider ning tal on IT-maailmas üle 25-aastane kogemus.
Ranjan Burman on AWS-i analüüsilahenduste spetsialist. Ta on spetsialiseerunud Amazon Redshiftile ja aitab klientidel luua skaleeritavaid analüütilisi lahendusi. Tal on enam kui 16-aastane kogemus erinevate andmebaaside ja andmehoidlate tehnoloogiate vallas. Ta on kirglik automatiseerimise ja klientide probleemide lahendamise pilvelahendustega.
Maneesh Sharma on AWS-i vanemandmebaasiinsener, kellel on rohkem kui kümneaastane kogemus suuremahuliste andmelao- ja analüütikalahenduste kavandamisel ja juurutamisel. Parema integratsiooni edendamiseks teeb ta koostööd erinevate Amazon Redshifti partnerite ja klientidega.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://aws.amazon.com/blogs/big-data/federate-iam-based-single-sign-on-to-amazon-redshift-role-based-access-control-with-okta/
- :on
- :on
- :mitte
- $ UP
- 1
- 100
- 13
- 16
- 2023
- 25
- 9
- a
- Võimalik
- MEIST
- üle
- kiirendab
- juurdepääs
- konto
- täpne
- tegevus
- aktiivne
- Active Directory
- Ad
- Täiendavad lisad
- admin
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- Lubades
- võimaldab
- Ka
- Amazon
- Amazon Web Services
- an
- Analüütiline
- analytics
- analüüsima
- ja
- teatas
- mistahes
- API
- app
- taotlus
- rakendused
- arhitektuur
- OLEME
- AS
- määratud
- seotud
- At
- autentida
- Autentimine
- luba
- volitatud
- Automaatne
- automaatselt
- automatiseerimine
- vältima
- AWS
- Taevasina
- põhineb
- BE
- sest
- olnud
- kuulub
- Parem
- vahel
- Blogi
- brauseri
- ehitama
- kuid
- by
- helistama
- CAN
- keskus
- koormuste
- Vali
- puhastama
- klient
- kliendid
- Cloud
- Cluster
- COM
- kommentaarid
- täitma
- keeruline
- konfiguratsioon
- Võta meiega ühendust
- ühendus
- ühendab
- Arvestama
- konsool
- sisaldab
- jätkama
- kontrollida
- looma
- loodud
- volikiri
- Praegune
- klient
- Kliendid
- andmed
- andmekogus
- andmebaas
- kümme aastat
- määratlema
- Demo
- kirjeldatud
- projekteerimine
- Määrama
- erinev
- tehtud
- ajam
- juht
- lihtsam
- lihtne
- toimetaja
- mõju
- kõrgendatud
- Lõpp-punkt
- insener
- tagades
- sisene
- viga
- vead
- Ethan
- Eeter (ETH)
- näide
- olemasolevate
- kogemus
- pikendatud
- KIIRE
- Föderatsioon
- tagasiside
- rahastama
- esimene
- Esimest korda
- voog
- Keskenduma
- järgima
- Järel
- eest
- Alates
- tulevik
- saama
- saamine
- gif
- anda
- antud
- Grupp
- Grupi omad
- juhised
- Olema
- he
- aitama
- aitab
- Kuidas
- aga
- HTML
- http
- HTTPS
- IAM
- ID
- IDC
- Identity
- identiteedi haldamine
- if
- illustreerib
- rakendamisel
- in
- tööstus
- tööstuse juht
- info
- Algatab
- teadmisi
- juhised
- integreerima
- integratsioon
- huvitatud
- kutsub
- probleem
- küsimustes
- IT
- ise
- jpg
- Json
- suuremahuline
- hiljemalt
- juht
- Õppida
- Lahkuma
- võimendav
- nagu
- nimekiri
- logi
- loginud
- metsaraie
- Logi sisse
- enam
- tegema
- Tegemine
- juhtimine
- juht
- juhtiv
- kohustuslik
- käsitsi
- kaart
- kaardistus
- sobitamine
- mehhanism
- liikmed
- liikmelisus
- Microsoft
- Jälgida
- rohkem
- nimi
- Vajadus
- ei
- esemeid
- of
- Pakkumised
- OKTA
- on
- or
- organisatsioonid
- Muu
- parameeter
- osa
- partnerid
- kirglik
- Parool
- luba
- Õigused
- ping
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- palun
- Poliitika
- poliitika
- post
- eelistatud
- eeldused
- Peamine
- privileegid
- probleeme
- protsess
- Toode
- tootehaldus
- omadused
- protokoll
- anda
- tingimusel
- tarnija
- pakkujad
- Python
- päringud
- Küsimused
- Lugemine
- valmis
- saama
- viitama
- asjakohane
- lootma
- asendama
- taotleda
- ressurss
- Vahendid
- vastavalt
- taaskasutada
- Paremklõpsake
- Roll
- rollid
- jooks
- müük
- skaalautuvia
- Skaala
- sujuv
- sujuvalt
- Osa
- lõigud
- kindlustama
- kindlalt
- turvalisus
- turvakoodi
- vaata
- valima
- vanem
- Teenused
- istung
- komplekt
- kehtestamine
- seade
- peaks
- näitas
- allkirjastamine
- sarnane
- lihtsustab
- lihtsustama
- ühekordne
- So
- lahendus
- Lahendused
- Lahendamine
- spetsialist
- spetsialiseerunud
- SQL
- väljavõte
- Samm
- Sammud
- ladustatud
- edukas
- selline
- toetama
- Toetab
- kindel
- Sünkroonimine
- süsteem
- TAG
- Tehnoloogiad
- ajutine
- kümneid
- Testimine
- kui
- et
- .
- oma
- Neile
- SIIS
- kolmanda osapoole
- see
- need
- tuhandeid
- aeg
- et
- sümboolne
- töövahendid
- kaks
- ajakohane
- peale
- URL
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutusalad
- kasutamine
- kasutades
- KINNITAGE
- valideerib
- eri
- versioon
- kaudu
- tahan
- Ladu
- Ladustamine
- we
- web
- veebiteenused
- olid
- mis
- kuigi
- WHO
- will
- koos
- ilma
- Töö
- töövoog
- maailm
- oleks
- aastat
- sa
- Sinu
- sephyrnet