Zugriff auf, visualisieren und analysieren Sie Amazon Redshift -Daten mithilfe der IAM Identity Center -Integration

In der heutigen datengesteuerten Welt ist es für fundierte Geschäftsentscheidungen, die Daten sicher zugreifen, visualisieren und analysieren, sicher.

In today’s data-driven world, securely accessing, visualizing, and analyzing data is essential for making informed business decisions. Tens of thousands of customers use Amazon Redshift for modern data analytics at scale, delivering up to three times better price-performance and seven times better throughput than other cloud data warehouses.

In der heutigen datengesteuerten Welt ist es für fundierte Geschäftsentscheidungen, die Daten sicher zugreifen, visualisieren und analysieren, sicher. Zehntausende von Kunden verwenden Amazon Redshift für moderne Datenanalysen im Maßstab und liefern bis zu dreimal bessere Preis-Leistungen und einen siebenmal besseren Durchsatz als andere Cloud-Datenlager.

The Amazon Redshift Data API simplifies access to your Amazon Redshift data warehouse by removing the need to manage database drivers, connections, network configurations, data buffering, and more.

Die Amazon RedShift -Daten -API vereinfacht den Zugriff auf Ihr Amazon Redshift Data Warehouse, indem Datenbanktreiber, Verbindungen, Netzwerkkonfigurationen, Datenpufferung und mehr verwaltet werden müssen.

With the newly released feature of Amazon Redshift Data API support for single sign-on and trusted identity propagation, you can build data visualization applications that integrate single sign-on (SSO) and role-based access control (RBAC), simplifying user management while enforcing appropriate access to sensitive information.

Mit der neu veröffentlichten Funktion der Amazon Redshift-Daten-API-Unterstützung für einzelne Anmelde- und vertrauenswürdige Identitätsausbreitung können Sie Datenvisualisierungsanwendungen erstellen, die einzelne Sign-On (SSO) und rollenbasierte Access Control (RBAC) integrieren und gleichzeitig die Benutzerverwaltung vereinfachen und gleichzeitig angemessene Zugriff auf sensible Informationen durchsetzen.

For instance, a global sports gear company selling products across multiple regions needs to visualize its sales data, which includes country-level details. To maintain the right level of access, the company wants to restrict data visibility based on the user’s role and region. Regional sales managers should only see sales data for their specific region, such as North America or Europe. Conversely, the global sales executives require full access to the entire dataset, covering all countries.

Beispielsweise muss ein globales Sportgeschäftsunternehmen, das Produkte in mehreren Regionen verkauft, seine Verkaufsdaten visualisieren, einschließlich Details auf Länderebene. Um das richtige Zugangsniveau aufrechtzuerhalten, möchte das Unternehmen die Sichtbarkeit der Daten auf der Grundlage der Rolle und Region des Benutzers einschränken. Regionale Vertriebsleiter sollten nur Verkaufsdaten für ihre spezifische Region wie Nordamerika oder Europa sehen. Umgekehrt erfordern die globalen Vertriebsmitarbeiter den gesamten Datensatz voll und ganz auf alle Länder.

In this post, we dive into the newly released feature of Amazon Redshift Data API support for SSO, Amazon Redshift RBAC for row-level security (RLS) and column-level security (CLS), and trusted identity propagation with AWS Identity and Access Management Identity Center to let corporate identities connect to AWS services more easily and securely. We demonstrate how to integrate these services to create a data visualization application using Streamlit, providing secure, role-based access that simplifies user management while making sure that your organization can make data-driven decisions with enhanced security and ease.

In diesem Beitrag tauchen wir in die neu veröffentlichte Funktion der Amazon Redshift-Daten-API-Unterstützung für SSO, Amazon Redshift RBAC für Security Security (RLS) und Security Security (CLS) und vertrauenswürdige Identitätsausbreitung mit AWS-Identitäts- und Zugriffsmanagement-Identitätszentrum ein. Wir zeigen, wie diese Dienste integriert werden, um eine Datenvisualisierungsanwendung mit Streamlit zu erstellen und einen sicheren, rollenbasierten Zugriff zu bieten, der die Benutzerverwaltung vereinfacht und gleichzeitig sicherstellt, dass Ihr Unternehmen datengesteuerte Entscheidungen mit verbesserter Sicherheit und einfacher treffen kann.

We use multiple AWS services and open source tools to build a simple data visualization application with SSO to access data in Amazon Redshift with RBAC. The key components that power the solution are as follows:

Wir verwenden mehrere AWS -Dienste und Open -Source -Tools, um eine einfache Datenvisualisierungsanwendung mit SSO zu erstellen, um mit RBAC in Amazon Redshift zugreifen zu können. Die Schlüsselkomponenten, die die Lösung ausführen, sind wie folgt:

The following diagram illustrates the solution architecture for SSO with the Redshift Data API using Identity and Access Management Identity Center.

Das folgende Diagramm zeigt die Lösungsarchitektur für SSO mit der Rotverschiebungsdaten -API unter Verwendung von Identitäts- und Zugriffsmanagement -Identitätszentrum.

The user workflow for the data visualization application consists of the following steps:

Der Benutzer -Workflow für die Datenvisualisierungsanwendung besteht aus den folgenden Schritten:

The setup consists of two main steps:

Das Setup besteht aus zwei Hauptschritten:

You should have the following prerequisites:

Sie sollten die folgenden Voraussetzungen haben:

In this section, we walk through the steps to provision the resources for Identity and Access Management Identity Center, Amazon Redshift, and Okta.

In diesem Abschnitt gehen wir durch die Schritte, um die Ressourcen für Identitäts- und Zugriffsmanagement -Identitätszentrum, Amazon Redshift und Okta bereitzustellen.

Complete the following steps to enable Identity and Access Management Identity Center and configure Okta as the IdP to manage user authentication and group provisioning:

Führen Sie die folgenden Schritte aus, um Identitäts- und Zugriffsmanagement -Identitätszentrum zu aktivieren und OKTA als IDP zu konfigurieren, um die Benutzerauthentifizierung und Gruppenbereitstellung zu verwalten:

The following screenshot shows the users synced in Identity and Access Management Identity Center using SCIM protocol.

Der folgende Screenshot zeigt, dass die Benutzer mithilfe des SCIM -Protokolls in Identitäts- und Zugriffsmanagement -Identitätszentrum synchronisiert sind.

Complete the following steps to create an Okta application to authenticate users accessing the Streamlit application:

Führen Sie die folgenden Schritte aus, um eine Okta -Anwendung zu erstellen, um Benutzer zu authentifizieren, die auf die Streamlit -Anwendung zugreifen:

Complete the following steps to create an Amazon Redshift Identity and Access Management Identity Center connection application to enable trusted identity propagation for secure authentication:

Führen Sie die folgenden Schritte aus, um eine Amazon Redshift Identity- und Access Management Identity Center Connection -Anwendung zu erstellen, um eine vertrauenswürdige Identitätsausbreitung für die sichere Authentifizierung zu ermöglichen:

We will enable trusted identity propagation and third-party IdP (Okta) on the customer managed application for the Redshift Data API in a later step instead of configuring it in the Amazon Redshift connection application.

Wir werden in einem späteren Schritt vertrauenswürdige Identitätsausbreitung und IDP (OKTA) für die Redshift-Daten-API für die Redshift-Daten-API ermöglichen, anstatt sie in der Amazon Redshift-Verbindungsanwendung zu konfigurieren.

The following screenshot shows the Identity and Access Management Identity Center connection application created on the Amazon Redshift console.

Der folgende Screenshot zeigt die Identitäts- und Access Management Identity Center Connection -Anwendung an der Amazon Redshift -Konsole.

The following screenshot shows groups assigned to the Amazon Redshift Identity and Access Management Identity Center connection for the managed application.

Der folgende Screenshot zeigt Gruppen an, die der Amazon Redshift Identity- und Access Management Identity Center -Verbindung für die verwaltete Anwendung zugeordnet sind.

Provision a Redshift Serverless workgroup. For more details, refer to Creating a workgroup with a namespace.

Bereitstellung einer rotverschiebenden serverlosen Arbeitsgruppe. Weitere Informationen finden Sie unter Erstellen einer Arbeitsgruppe mit einem Namespace.

Wait until the workgroup is available before continuing to the next steps.

Warten Sie, bis die Arbeitsgruppe verfügbar ist, bevor Sie die nächsten Schritte fortsetzen.

Next, you use the Amazon Redshift Query Editor V2 on the Amazon Redshift console to connect to the workgroup you just created. You create the tables and configure the Amazon Redshift roles corresponding to Okta groups for the groups in Identity and Access Management Identity Center and use the RBAC policy to grant users privileges to view data only for their regions. Complete the following steps:

Als nächstes verwenden Sie den Amazon RedShift Query Editor V2 auf der Amazon Redshift -Konsole, um eine Verbindung zu der von Ihnen erstellten Arbeitsgruppe herzustellen. Sie erstellen die Tabellen und konfigurieren die Amazon Redshift -Rollen, die Okta -Gruppen für die Gruppen in Identitäts- und Zugriffsmanagement -Identitätszentrum entsprechen, und verwenden die RBAC -Richtlinie, um den Benutzern Berechtigungen zu gewähren, Daten nur für ihre Regionen anzuzeigen. Führen Sie die folgenden Schritte aus:

Identity and Access Management will map the groups into the Redshift roles in the format of Namespace:IDCGroupName. For example, create the role name as AWSIDC:emea-sales and so on to match them with Okta group names synced in Identity and Access Management Identity Center. The users will be created automatically within the groups as they log in using SSO into Amazon Redshift.

Die Identitäts- und Zugriffsmanagement kartiert die Gruppen in den Redverschaltungsrollen im Format des Namensspace: IDCGroupName. Erstellen Sie beispielsweise den Rollennamen als AWSIDC: EMEA-Sales usw., um sie mit OKTA-Gruppennamen anzupassen, die in Identitäts- und Zugriffsmanagement-Identitätszentrum synchronisiert sind. Die Benutzer werden in den Gruppen automatisch erstellt, wenn sie sich bei der Verwendung von SSO in Amazon Redvershift anmelden.

In this section, we walk through the steps to download, configure, and run the Streamlit application.

In diesem Abschnitt gehen wir die Schritte zum Herunterladen, Konfigurieren und Ausführen der Stromanwendung durch.

In order to start a trusted identity propagation workflow and allow Amazon Redshift to make authorization decisions based on the users and groups from Identity and Access Management (provisioned from the external IdP), you need an identity-enhanced IAM role session.

Um einen vertrauenswürdigen Identitäts-Propagations-Workflow zu starten und Amazon RedShift zu ermöglichen, Autorisierungsentscheidungen auf der Grundlage von Benutzern und Gruppen von der Identitäts- und Zugriffsmanagement (aus dem externen IDP) zu treffen, benötigen Sie eine IM-Verbesserung der IAM-Rollensitzung.

This requires a couple of IAM roles and a customer managed application in Identity and Access Management to handle the trust relationship between the external IdP and Identity and Access Management and control access for the Redshift Data API client, in this case, the Streamlit application.

Dies erfordert ein paar IAM -Rollen und eine von Kunden verwaltete Anwendung in Identitäts- und Zugriffsmanagement, um die Vertrauensbeziehung zwischen dem externen IDP und der Identitäts- und Zugriffsmanagement- und -zugriffszugriffszugriff für den Redshift -Daten -API -Client in diesem Fall, in diesem Fall, zu behandeln.

First, you create two IAM roles, then you create a customer managed application for the Streamlit application. Complete the following

Erstens erstellen Sie zwei IAM -Rollen und erstellen dann eine von Kunden verwaltete Anwendung für die Streamlit -Anwendung. Vervollständigen Sie Folgendes