Accédez-vous, visualisez et analysez en toute sécurité les données de décalage vers le rouge Amazon à l'aide de l'intégration IAM Identity Center

Dans le monde actuel axé sur les données, l'accès solidement à la visualisation, à la visualisation et à l'analyse des données est essentiel pour prendre des décisions commerciales éclairées.

In today’s data-driven world, securely accessing, visualizing, and analyzing data is essential for making informed business decisions. Tens of thousands of customers use Amazon Redshift for modern data analytics at scale, delivering up to three times better price-performance and seven times better throughput than other cloud data warehouses.

Dans le monde actuel axé sur les données, l'accès solidement à la visualisation, à la visualisation et à l'analyse des données est essentiel pour prendre des décisions commerciales éclairées. Des dizaines de milliers de clients utilisent Amazon Redshift pour l'analyse de données moderne à grande échelle, offrant jusqu'à trois fois plus de performances des prix et sept fois mieux que les autres entrepôts de données cloud.

The Amazon Redshift Data API simplifies access to your Amazon Redshift data warehouse by removing the need to manage database drivers, connections, network configurations, data buffering, and more.

L'API de données Amazon Redshift simplifie l'accès à votre entrepôt de données Amazon Redshift en supprimant la nécessité de gérer les pilotes de base de données, les connexions, les configurations de réseau, la mise en mémoire tampon des données, etc.

With the newly released feature of Amazon Redshift Data API support for single sign-on and trusted identity propagation, you can build data visualization applications that integrate single sign-on (SSO) and role-based access control (RBAC), simplifying user management while enforcing appropriate access to sensitive information.

Avec la fonctionnalité récemment publiée d'Amazon Redshift Data API Prise en charge de la propagation d'identité de connexion unique et de fiducie, vous pouvez créer des applications de visualisation de données qui intègrent la connexion unique (SSO) et le contrôle d'accès basé sur les rôles (RBAC), simplifiant la gestion des utilisateurs tout en appliquant un accès approprié aux informations sensibles.

For instance, a global sports gear company selling products across multiple regions needs to visualize its sales data, which includes country-level details. To maintain the right level of access, the company wants to restrict data visibility based on the user’s role and region. Regional sales managers should only see sales data for their specific region, such as North America or Europe. Conversely, the global sales executives require full access to the entire dataset, covering all countries.

Par exemple, une entreprise mondiale d'équipement de sport vendant des produits dans plusieurs régions doit visualiser ses données de vente, qui comprend des détails au niveau du pays. Pour maintenir le bon niveau d'accès, la société souhaite restreindre la visibilité des données en fonction du rôle et de la région de l'utilisateur. Les directeurs régionaux des ventes ne devraient voir que les données de vente pour leur région spécifique, comme l'Amérique du Nord ou l'Europe. À l'inverse, les dirigeants mondiaux des ventes nécessitent un accès complet à l'ensemble de données, couvrant tous les pays.

In this post, we dive into the newly released feature of Amazon Redshift Data API support for SSO, Amazon Redshift RBAC for row-level security (RLS) and column-level security (CLS), and trusted identity propagation with AWS Identity and Access Management Identity Center to let corporate identities connect to AWS services more easily and securely. We demonstrate how to integrate these services to create a data visualization application using Streamlit, providing secure, role-based access that simplifies user management while making sure that your organization can make data-driven decisions with enhanced security and ease.

Dans cet article, nous plongeons dans la fonctionnalité récemment publiée d'Amazon Redshift Data API Prise en charge de SSO, d'Amazon Redshift RBAC pour la sécurité au niveau des lignes (RLS) et de la sécurité au niveau des colonnes (CLS) et de la propagation d'identité de confiance avec AWS Identity and Access Management Center Center pour les identités des entreprises à se connecter aux services AWS plus facilement et plus facilement. Nous démontrons comment intégrer ces services pour créer une application de visualisation de données à l'aide de Streamlit, offrant un accès sécurisé et basé sur des rôles qui simplifie la gestion des utilisateurs tout en veillant à ce que votre organisation puisse prendre des décisions basées sur les données avec une sécurité et une facilité améliorées.

We use multiple AWS services and open source tools to build a simple data visualization application with SSO to access data in Amazon Redshift with RBAC. The key components that power the solution are as follows:

Nous utilisons plusieurs services AWS et outils open source pour créer une application de visualisation de données simple avec SSO pour accéder aux données dans Amazon Redshift avec RBAC. Les composants clés qui alimentent la solution sont les suivants:

The following diagram illustrates the solution architecture for SSO with the Redshift Data API using Identity and Access Management Identity Center.

Le diagramme suivant illustre l'architecture de solution pour SSO avec l'API de données Redshift à l'aide du centre d'identité d'identité et d'accès à l'identité.

The user workflow for the data visualization application consists of the following steps:

Le flux de travail de l'utilisateur pour l'application de visualisation des données comprend les étapes suivantes:

The setup consists of two main steps:

La configuration se compose de deux étapes principales:

You should have the following prerequisites:

Vous devriez avoir les conditions préalables suivantes:

In this section, we walk through the steps to provision the resources for Identity and Access Management Identity Center, Amazon Redshift, and Okta.

Dans cette section, nous parcourons les étapes pour provisionner les ressources pour l'identité et l'accès à la gestion d'identité Centre, Amazon Redshift et Okta.

Complete the following steps to enable Identity and Access Management Identity Center and configure Okta as the IdP to manage user authentication and group provisioning:

Effectuez les étapes suivantes pour activer l'identité et l'accès au centre d'identité de gestion et configurer OKTA en tant que PDI pour gérer l'authentification des utilisateurs et l'approvisionnement de groupe:

The following screenshot shows the users synced in Identity and Access Management Identity Center using SCIM protocol.

La capture d'écran suivante montre les utilisateurs synchronisés dans le centre d'identité de gestion de l'identité et d'accès à l'aide du protocole SCIM.

Complete the following steps to create an Okta application to authenticate users accessing the Streamlit application:

Effectuez les étapes suivantes pour créer une application OKTA pour authentifier les utilisateurs accédant à l'application Streamlit:

Complete the following steps to create an Amazon Redshift Identity and Access Management Identity Center connection application to enable trusted identity propagation for secure authentication:

Effectuez les étapes suivantes pour créer une application Amazon Redshift Identity and Access Management Identity Center Connection pour activer la propagation d'identité fiable pour l'authentification sécurisée:

We will enable trusted identity propagation and third-party IdP (Okta) on the customer managed application for the Redshift Data API in a later step instead of configuring it in the Amazon Redshift connection application.

Nous allons permettre la propagation d'identité de confiance et les IDP tiers (OKTA) sur l'application gérée par le client pour l'API de données Redshift à une étape ultérieure au lieu de la configurer dans l'application Amazon Redshift Connection.

The following screenshot shows the Identity and Access Management Identity Center connection application created on the Amazon Redshift console.

La capture d'écran suivante affiche l'application de connexion d'identité d'identité et d'accès à l'identité créée sur la console Amazon Redshift.

The following screenshot shows groups assigned to the Amazon Redshift Identity and Access Management Identity Center connection for the managed application.

La capture d'écran suivante affiche des groupes attribués à la connexion du centre d'identité d'identité Redshift Amazon et d'accès à l'application gérée.

Provision a Redshift Serverless workgroup. For more details, refer to Creating a workgroup with a namespace.

Provision d'un groupe de travail sans serveur Redshift. Pour plus de détails, reportez-vous à la création d'un groupe de travail avec un espace de noms.

Wait until the workgroup is available before continuing to the next steps.

Attendez que le groupe de travail soit disponible avant de continuer aux étapes suivantes.

Next, you use the Amazon Redshift Query Editor V2 on the Amazon Redshift console to connect to the workgroup you just created. You create the tables and configure the Amazon Redshift roles corresponding to Okta groups for the groups in Identity and Access Management Identity Center and use the RBAC policy to grant users privileges to view data only for their regions. Complete the following steps:

Ensuite, vous utilisez l'Amazon Redshift Query Editor V2 sur la console Amazon Redshift pour vous connecter au groupe de travail que vous venez de créer. Vous créez les tables et configurez les rôles Amazon Redshift correspondant aux groupes OKTA pour les groupes dans le centre d'identité d'identité et d'accès et utilisez la politique RBAC pour accorder aux utilisateurs les privilèges de visualiser les données uniquement pour leurs régions. Effectuez les étapes suivantes:

Identity and Access Management will map the groups into the Redshift roles in the format of Namespace:IDCGroupName. For example, create the role name as AWSIDC:emea-sales and so on to match them with Okta group names synced in Identity and Access Management Identity Center. The users will be created automatically within the groups as they log in using SSO into Amazon Redshift.

La gestion de l'identité et de l'accès mappera les groupes dans les rôles Redshift dans le format de l'espace de noms: idcgroupName. Par exemple, créez le nom de rôle comme AWSIDC: EMEA-Sales et ainsi de suite pour les faire correspondre avec les noms de groupe OKTA synchronisés dans Identity and Access Management Identity Center. Les utilisateurs seront créés automatiquement au sein des groupes lorsqu'ils se connectent à l'aide de SSO dans Amazon Redshift.

In this section, we walk through the steps to download, configure, and run the Streamlit application.

Dans cette section, nous parcourons les étapes pour télécharger, configurer et exécuter l'application Streamlit.

In order to start a trusted identity propagation workflow and allow Amazon Redshift to make authorization decisions based on the users and groups from Identity and Access Management (provisioned from the external IdP), you need an identity-enhanced IAM role session.

Afin de démarrer un flux de travail de propagation d'identité de confiance et de permettre à Amazon Redshift pour prendre des décisions d'autorisation basées sur les utilisateurs et les groupes de la gestion de l'identité et de l'accès (provisionné à partir de l'IDP externe), vous avez besoin d'une session de rôle IAM améliorée à l'identité.

This requires a couple of IAM roles and a customer managed application in Identity and Access Management to handle the trust relationship between the external IdP and Identity and Access Management and control access for the Redshift Data API client, in this case, the Streamlit application.

Cela nécessite quelques rôles IAM et une application gérée par le client dans l'identité et la gestion de l'accès pour gérer la relation de confiance entre l'IDP externe et l'identité et l'accès à l'accès et à l'accès au contrôle du client API de données Redshift, dans ce cas, l'application Streamlit.

First, you create two IAM roles, then you create a customer managed application for the Streamlit application. Complete the following

Tout d'abord, vous créez deux rôles IAM, puis vous créez une application gérée par le client pour l'application Streamlit. Complétez ce qui suit