Amazon RedShift felgyorsítja a betekintéshez szükséges időt a gyors, egyszerű és biztonságos felhőalapú adattárházzal. Ügyfelek tízezrei támaszkodnak az Amazon Redshiftre, hogy exabájtnyi adatot elemezzenek, és összetett analitikai lekérdezéseket hajtsanak végre.
Használhatja előnyben részesített SQL-klienseit az adatok elemzésére egy Amazon RedShift adattárház. Zökkenőmentesen csatlakozhat egy identitásszolgáltató (IdP) vagy egyszeri bejelentkezés (SSO) hitelesítő adatainak felhasználásával, hogy csatlakozzon a Redshift adattárházhoz a meglévő felhasználói hitelesítő adatok újrafelhasználásához, és elkerülje a további felhasználói beállításokat és konfigurációkat. Használata szerep alapú hozzáférés-vezérlés (RBAC), leegyszerűsítheti a felhasználói jogosultságok, az adatbázis-engedélyek és a biztonsági engedélyek kezelését az Amazon Redshiftben. A redshift adatbázis-szerepkörök segítségével emelt szintű engedélyeket is megadhat, például rendszerfigyelő vagy adatbázis-adminisztrátor számára.
<p></p> AWS Identity and Access Management (IAM) az RBAC segítségével a szervezetek leegyszerűsíthetik a felhasználók kezelését, mivel többé nem kell manuálisan létrehoznia és adatbázis-szerepkörökhöz rendelni a felhasználókat. A leképezett adatbázis-szerepköröket az IdP-csoportok vagy az IAM-szerepek fő címkéjeként határozhatja meg, így a Redshift adatbázis-szerepkörök és az ezen IdP-csoportokhoz tartozó felhasználók automatikusan megkapják az adatbázis-szerepköröket.
2023 elején mi elindította az Okta integráció támogatását val vel Amazon Redshift Serverless adatbázis szerepkörök használatával. Ebben a bejegyzésben az Oktára, mint IdP-re összpontosítunk, és lépésről lépésre útmutatást adunk a Redshift által kiépített fürt integrálásához az Oktával a Redshift Query Editor v2 használatával és az SQL-kliensekkel, például az SQL Workbench/J-vel. Ezt a mechanizmust más IdP-szolgáltatókkal, például az Azure Active Directoryval vagy a Pinggel is használhatja az Amazon JDBC-, ODBC- vagy Python-illesztőprogramját használó bármely alkalmazással vagy eszközzel.
Nemrég mi is bejelentettük Amazon RedShift integráció az AWS IAM Identity Centerrel, támogató megbízható identitásterjesztés, amely lehetővé teszi a használatát harmadik fél személyazonosság-szolgáltatók (IdP) például a Microsoft Entra ID (Azure AD), az Okta, a Ping és a OneLogin. Ez az integráció leegyszerűsíti a hitelesítési és engedélyezési folyamatot az Amazon Redshift felhasználók számára Lekérdezésszerkesztő V2 or Amazon Quicksight, ami megkönnyíti számukra az adattárházhoz való biztonságos hozzáférést. Az AWS IAM Identity Center a System for Cross-domain Identity Management (SCIM) 2.0 protokoll használatával automatikus felhasználói és csoportkiépítést kínál az Oktától saját magának. Ez az integráció lehetővé teszi az információk zökkenőmentes szinkronizálását két szolgáltatás között, biztosítva a pontos és naprakész információkat az AWS IAM Identity Centerben. Hivatkozni Integrálja az Oktát az Amazon Redshift Query Editor V2-vel az AWS IAM Identity Center segítségével a zökkenőmentes egyszeri bejelentkezés érdekében blogbejegyzés, amelyből többet megtudhat az Amazon Redshift egyszeri bejelentkezés (SSO) beállításáról az IdC és az Okta mint identitásszolgáltató integrációjával.
Ha érdekli az IAM-alapú egyszeri bejelentkezés az Amazon Redshift adatbázis-szerepkörökkel, akkor folytathatja a blog olvasását.
Megoldás áttekintése
A következő diagram az Okta hitelesítési folyamatát szemlélteti egy Redshift által kiépített fürttel egyesített IAM-szerepkörök és automatikus adatbázis-szerep-leképezés használatával.
A munkafolyamat a következő lépéseket tartalmazza:
- Vagy a felhasználó kiválaszt egy IdP-alkalmazást a böngészőjében, vagy az SQL-kliens felhasználói hitelesítési kérelmet kezdeményez az IdP-hez (Okta).
- Sikeres hitelesítés után az Okta kérelmet küld el az AWS összevonási végpontnak egy SAML-igényléssel, amely tartalmazza a fő címkéket.
- Az AWS összevonási végpont érvényesíti a SAML-állítást, és meghívja a AWS biztonsági token szolgáltatás (AWS STS) API
AssumeRoleWithSAML
. Az SAML-állítás tartalmazza az IdP-felhasználói és csoportinformációkat, amelyeket a rendszer tárolRedshiftDbUser
és aRedshiftDbRoles
fő címkék, ill. Az ideiglenes IAM-hitelesítési adatok visszakerülnek az SQL-ügyfélhez, vagy ha a Query Editor v2-t használja, a felhasználó böngészője átirányítja a Lekérdezésszerkesztő v2-es konzolt az ideiglenes IAM-hitelesítő adatok használatával. - Az ideiglenes IAM hitelesítő adatokat az SQL kliens vagy a Query Editor v2 használja a Redshift API meghívására.
GetClusterCredentialsWithIAM
. Ez az API a fő címkéket használja a felhasználói és adatbázis-szerepkörök meghatározására, amelyekhez a felhasználó tartozik. A társított adatbázis-felhasználó akkor jön létre, ha a felhasználó először jelentkezik be, és automatikusan megkapja a megfelelő adatbázis-szerepeket. Ideiglenes jelszót küld vissza az SQL-ügyfél. - Az adatbázis-felhasználó és az ideiglenes jelszó használatával az SQL-kliens vagy a Query Editor v2 csatlakozik az Amazon Redshifthez. Bejelentkezéskor a felhasználó a 4. lépésben hozzárendelt Redshift adatbázis-szerepkörök alapján jogosultságot kap.
Előfeltételek
A megoldás beállításához a következő előfeltételekre van szüksége:
Csatlakozzon egy Redshift által kiépített fürthöz egyesített felhasználóként a Lekérdezésszerkesztő v2 használatával
A Lekérdezésszerkesztő v2 használatával történő csatlakozáshoz hajtsa végre a következő lépéseket:
- Kövesse a szakaszokban leírt összes lépést Állítsa be az Okta alkalmazást és a Állítsa be az AWS konfigurációt a következőkben Hozzászólás.
- Az Amazon Redshift hozzáférési IAM-házirendhez cserélje ki a házirendet a következő JSON-ra a következő használatához
GetClusterCredentialsWithIAM
API-k:
Most már készen áll a Redshift által kiépített fürthöz való csatlakozásra a Query Editor v2 és az egyesített bejelentkezés használatával.
- Használja az Okta SSO URL-jét, és jelentkezzen be Okta-fiókjába felhasználói hitelesítő adataival. Ehhez a demóhoz Ethan felhasználóval jelentkezünk be.
- A Lekérdezésszerkesztő v2-ben válassza ki a Redshift által kiépített fürtöt (jobb gombbal), és válassza ki Kapcsolat létrehozása.
- A Hitelesítésválassza Ideiglenes hitelesítő adatok az Ön IAM-azonosítójával.
- A adatbázis, írja be az adatbázis nevét, amelyhez csatlakozni szeretne.
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a Kapcsolat létrehozása.
- Futtassa a következő parancsot annak ellenőrzésére, hogy egyesített felhasználóként jelentkezett-e be, és lekérheti az adott felhasználóhoz az aktuális munkamenethez társított szerepkörök listáját:
Mivel az Ethan az értékesítési csoport tagja, és engedélyt kapott a táblákhoz való hozzáféréshez sales_schema
, gond nélkül hozzá kell férnie ezekhez a táblákhoz. Ha azonban megpróbál hozzáférni a táblákhoz a finance_schema
, megkapja a megtagadott engedélyt, mert Ethan nem tagja az oktai pénzügyi csoportnak.
Csatlakozzon egy Redshift által kiépített fürthöz egyesített felhasználóként egy harmadik féltől származó kliensen keresztül
Ha összevont felhasználóként szeretne csatlakozni harmadik féltől származó kliensen keresztül, kövesse az alábbi lépéseket:
- Kövesse a fenti szakaszban leírt 1. és 2. lépést (Csatlakozás egy Redshift által kiépített fürttel egyesített felhasználóként a Lekérdezésszerkesztő v2 használatával).
- Használja a Redshift JDBC illesztőprogram v2.1.0.18 és újabb, mert támogatja az IAM-csoport-összevonással történő hitelesítést. Az URL-címhez írja be
jdbc:redshift:iam://<cluster endpoint>:<port>:<databasename>?groupfederation=true.
Például,jdbc:redshift:iam://redshift-cluster-1.abdef0abc0ab.us-west-2.redshift.amazonaws.com:5439/dev?groupfederation=true
Az előző URL-ben groupfederation
egy kötelező paraméter, amely lehetővé teszi a hitelesítést a Redshift által kiépített fürt IAM hitelesítő adataival. Anélkül, hogy a groupfederation
paramétert, akkor nem használ Redshift adatbázis-szerepeket.
- A Felhasználónév és a Jelszó, adja meg Okta hitelesítő adatait.
- A kiterjesztett tulajdonságok beállításához kövesse a szakasz 4–9. lépéseit Az SQL kliens konfigurálása (SQL Workbench/J) a következőkben Hozzászólás.
Ethan felhasználó hozzáférhet a sales_schema
táblázatok. Ha Ethan megpróbál hozzáférni a táblázatokhoz a finance_schema
, akkor engedély megtagadva hibaüzenetet kap.
Hibaelhárítás
Ha a kapcsolat nem működött, vegye figyelembe a következőket:
- Engedélyezze a bejelentkezést az illesztőprogramba. Az utasításokat lásd Naplózás konfigurálása.
- Ügyeljen arra, hogy a legújabbat használja Amazon Redshift JDBC illesztőprogram változat.
- Ha hibákat kap az alkalmazás beállítása közben az Oktán, győződjön meg arról, hogy rendelkezik adminisztrátori hozzáféréssel.
- Ha tud hitelesíteni az SQL-kliensen keresztül, de engedélyproblémát kap, vagy nem látja az objektumokat, adja meg a megfelelő engedélyt a szerepkörnek.
Tisztítsuk meg
Ha végzett a megoldás tesztelésével, tisztítsa meg az erőforrásokat, hogy elkerülje a jövőbeni költségeket:
- Törölje a Redshift által kiépített fürtöt.
- Törölje az IAM-szerepeket, az IAM IdP-ket és az IAM-irányelveket.
Következtetés
Ebben a bejegyzésben lépésenkénti utasításokat adtunk egy Redshift által kiépített fürt integrálásához az Okta-val a Redshift Query Editor v2 és az SQL Workbench/J segítségével, egyesített IAM-szerepkörök és automatikus adatbázis-szerep-leképezés segítségével. Hasonló beállítást használhat más SQL-kliensekkel is (például DBeaver vagy DataGrip). Azt is bemutattuk, hogy az Okta-csoporttagság miként van automatikusan leképezve a Redshift által kiépített fürtszerepekkel a szerepkör alapú hitelesítés zökkenőmentes használatához.
Ha bármilyen visszajelzése vagy kérdése van, kérjük, hagyja meg őket a megjegyzésekben.
A szerzőkről
Debu Panda az AWS termékmenedzsmentért felelős vezető menedzsere. Iparágvezető az analitika, alkalmazásplatform és adatbázis-technológiák területén, és több mint 25 éves tapasztalattal rendelkezik az IT világban.
Ranjan Burman az AWS analitikai megoldások specialistája. Az Amazon Redshiftre specializálódott, és segít ügyfeleinek skálázható elemzési megoldások kidolgozásában. Több mint 16 éves tapasztalattal rendelkezik különböző adatbázis- és adattárolási technológiák terén. Szenvedélye az automatizálás és az ügyfelek problémáinak felhőmegoldásokkal történő megoldása.
Maneesh Sharma az AWS vezető adatbázis-mérnöke, több mint egy évtizedes tapasztalattal nagyszabású adattárházi és elemzési megoldások tervezésében és megvalósításában. Együttműködik különféle Amazon Redshift Partnerekkel és ügyfelekkel a jobb integráció érdekében.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://aws.amazon.com/blogs/big-data/federate-iam-based-single-sign-on-to-amazon-redshift-role-based-access-control-with-okta/
- :van
- :is
- :nem
- $ UP
- 1
- 100
- 13
- 16
- 2023
- 25
- 9
- a
- Képes
- Rólunk
- felett
- gyorsul
- hozzáférés
- Fiók
- pontos
- Akció
- aktív
- Active Directory
- Ad
- További
- admin
- Minden termék
- lehetővé
- lehetővé téve
- lehetővé teszi, hogy
- Is
- amazon
- Az Amazon Web Services
- an
- Analitikai
- analitika
- elemez
- és a
- bejelentés
- bármilyen
- api
- app
- Alkalmazás
- alkalmazások
- építészet
- VANNAK
- AS
- kijelölt
- társult
- At
- hitelesíteni
- Hitelesítés
- meghatalmazás
- felhatalmazott
- Automatikus
- automatikusan
- automatizálás
- elkerülése érdekében
- AWS
- Égszínkék
- alapján
- BE
- mert
- óta
- tartozik
- Jobb
- között
- Blog
- böngésző
- épít
- de
- by
- hívás
- TUD
- Központ
- díjak
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a
- ragadozó ölyv
- vásárló
- ügyfél részére
- felhő
- Fürt
- COM
- Hozzászólások
- teljes
- bonyolult
- Configuration
- Csatlakozás
- kapcsolat
- összeköt
- Fontolja
- Konzol
- tartalmaz
- folytatódik
- ellenőrzés
- teremt
- készítette
- Hitelesítő adatok
- Jelenlegi
- vevő
- Ügyfelek
- dátum
- adattárház
- adatbázis
- évtized
- meghatározott
- Demó
- leírt
- tervezés
- Határozzuk meg
- különböző
- csinált
- hajtás
- gépkocsivezető
- könnyebb
- könnyű
- szerkesztő
- hatás
- emelkedett
- Endpoint
- mérnök
- biztosítása
- belép
- hiba
- hibák
- Ethan
- Eter (ETH)
- példa
- létező
- tapasztalat
- kiterjedt
- GYORS
- államszövetség
- Visszacsatolás
- finanszíroz
- vezetéknév
- első
- áramlási
- Összpontosít
- következik
- következő
- A
- ból ből
- jövő
- kap
- szerzés
- gif
- biztosít
- megadott
- Csoport
- Csoportok
- útmutatást
- Legyen
- he
- segít
- segít
- Hogyan
- azonban
- HTML
- http
- HTTPS
- IAM
- ID
- IDC
- Identitás
- identitás menedzsment
- if
- illusztrálja
- végrehajtási
- in
- ipar
- iparági vezető
- információ
- beavatottak
- meglátások
- utasítás
- integrálni
- integráció
- érdekelt
- behívja
- kérdés
- kérdések
- IT
- maga
- jpg
- json
- nagyarányú
- legutolsó
- vezető
- TANUL
- Szabadság
- erőfölény
- mint
- Lista
- log
- bejelentkezve
- fakitermelés
- Belépés
- hosszabb
- csinál
- Gyártás
- vezetés
- menedzser
- kezelése
- kötelező
- kézzel
- térkép
- térképészet
- egyező
- mechanizmus
- Partnerek
- tagság
- microsoft
- monitor
- több
- név
- Szükség
- nem
- objektumok
- of
- Ajánlatok
- OKTA
- on
- or
- szervezetek
- Más
- paraméter
- rész
- partnerek
- szenvedélyes
- Jelszó
- engedély
- engedélyek
- fütyülés
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- kérem
- Politikák
- politika
- állás
- előnyben részesített
- előfeltételek
- Fő
- kiváltságok
- problémák
- folyamat
- Termékek
- termékmenedzsment
- ingatlanait
- protokoll
- ad
- feltéve,
- ellátó
- szolgáltatók
- Piton
- lekérdezések
- Kérdések
- Olvasás
- kész
- kap
- utal
- támaszkodnak
- cserélni
- kérni
- forrás
- Tudástár
- illetőleg
- újra
- Kattintson a jobb gombbal
- Szerep
- szerepek
- futás
- értékesítés
- skálázható
- Skála
- zökkenőmentes
- zökkenőmentesen
- Rész
- szakaszok
- biztonság
- biztosan
- biztonság
- biztonsági jelző
- lát
- válasszuk
- idősebb
- Szolgáltatások
- ülés
- készlet
- beállítás
- felépítés
- kellene
- kimutatta,
- aláírás
- hasonló
- egyszerűsíti
- egyszerűsítése
- egyetlen
- So
- megoldások
- Megoldások
- Megoldása
- szakember
- specializálódott
- SQL
- nyilatkozat
- Lépés
- Lépései
- memorizált
- sikeres
- ilyen
- támogatás
- Támogatja
- biztos
- összehangolás
- rendszer
- TAG
- Technologies
- ideiglenes
- tíz
- Tesztelés
- mint
- hogy
- A
- azok
- Őket
- akkor
- harmadik fél
- ezt
- azok
- ezer
- idő
- nak nek
- jelképes
- szerszámok
- kettő
- up-to-date
- upon
- URL
- használ
- használt
- használó
- Felhasználók
- használ
- segítségével
- kihasználva
- ÉRVÉNYESÍT
- érvényesíti
- különféle
- változat
- keresztül
- akar
- Raktár
- Raktározás
- we
- háló
- webes szolgáltatások
- voltak
- ami
- míg
- WHO
- lesz
- val vel
- nélkül
- Munka
- munkafolyamat
- világ
- lenne
- év
- te
- A te
- zephyrnet