IAM Identity Center Integrationを使用して、Amazon Redshiftデータを安全にアクセス、視覚化、分析する

今日のデータ駆動型の世界では、情報に基づいたビジネス上の意思決定を行うには、データに安全にアクセス、視覚化、分析することが不可欠です。

In today’s data-driven world, securely accessing, visualizing, and analyzing data is essential for making informed business decisions. Tens of thousands of customers use Amazon Redshift for modern data analytics at scale, delivering up to three times better price-performance and seven times better throughput than other cloud data warehouses.

今日のデータ駆動型の世界では、情報に基づいたビジネス上の意思決定を行うには、データに安全にアクセス、視覚化、分析することが不可欠です。数万人の顧客が、大規模な最新のデータ分析にAmazon Redshiftを使用しており、他のクラウドデータウェアハウスよりも最大3倍優れた価格パフォーマンスと7倍優れたスループットを提供しています。

The Amazon Redshift Data API simplifies access to your Amazon Redshift data warehouse by removing the need to manage database drivers, connections, network configurations, data buffering, and more.

Amazon Redshift Data APIは、データベースドライバー、接続、ネットワーク構成、データバッファリングなどを管理する必要性を削除することにより、Amazon Redshiftデータウェアハウスへのアクセスを簡素化します。

With the newly released feature of Amazon Redshift Data API support for single sign-on and trusted identity propagation, you can build data visualization applications that integrate single sign-on (SSO) and role-based access control (RBAC), simplifying user management while enforcing appropriate access to sensitive information.

Amazon Redshift Data APIサポートの新しくリリースされた機能シングルサインオンおよび信頼できるID伝播のサポートにより、シングルサインオン（SSO）とロールベースのアクセス制御（RBAC）を統合するデータ視覚化アプリケーションを構築し、ユーザー管理を簡素化しながら、敏感な情報への適切なアクセスを施行できます。

For instance, a global sports gear company selling products across multiple regions needs to visualize its sales data, which includes country-level details. To maintain the right level of access, the company wants to restrict data visibility based on the user’s role and region. Regional sales managers should only see sales data for their specific region, such as North America or Europe. Conversely, the global sales executives require full access to the entire dataset, covering all countries.

たとえば、複数の地域で製品を販売するグローバルなスポーツ用品会社は、国レベルの詳細を含む販売データを視覚化する必要があります。適切なレベルのアクセスを維持するために、会社はユーザーの役割と地域に基づいてデータの可視性を制限したいと考えています。地域の営業マネージャーは、北米やヨーロッパなど、特定の地域の販売データのみを見る必要があります。逆に、世界の販売幹部は、すべての国をカバーするデータセット全体への完全なアクセスを必要とします。

In this post, we dive into the newly released feature of Amazon Redshift Data API support for SSO, Amazon Redshift RBAC for row-level security (RLS) and column-level security (CLS), and trusted identity propagation with AWS Identity and Access Management Identity Center to let corporate identities connect to AWS services more easily and securely. We demonstrate how to integrate these services to create a data visualization application using Streamlit, providing secure, role-based access that simplifies user management while making sure that your organization can make data-driven decisions with enhanced security and ease.

この投稿では、SSOのAmazon Redshift Data Supportの新しくリリースされた機能、Row-Level Security（RLS）および列レベルのセキュリティ（CLS）のAmazon Redshift RBAC、およびAWS IDおよびアクセス管理のアイデンティティセンターとの信頼できるIDの伝播のためのAmazon Redshift RBACに飛び込み、企業のアイデンティティがAWSサービスに簡単に接続できるようにします。これらのサービスを統合して、Streamlittを使用してデータ視覚化アプリケーションを作成する方法を示し、ユーザー管理を簡素化する安全でロールベースのアクセスを提供しながら、組織がセキュリティと容易さを強化してデータ駆動型の意思決定を行うことができるようにします。

We use multiple AWS services and open source tools to build a simple data visualization application with SSO to access data in Amazon Redshift with RBAC. The key components that power the solution are as follows:

複数のAWSサービスとオープンソースツールを使用して、SSOを使用したシンプルなデータ視覚化アプリケーションを構築して、RBACを使用してAmazon Redshiftのデータにアクセスします。ソリューションに電力を供給する重要なコンポーネントは次のとおりです。

The following diagram illustrates the solution architecture for SSO with the Redshift Data API using Identity and Access Management Identity Center.

次の図は、IDとアクセス管理のアイデンティティセンターを使用して、Redshift Data APIを使用したSSOのソリューションアーキテクチャを示しています。

The user workflow for the data visualization application consists of the following steps:

データ視覚化アプリケーションのユーザーワークフローは、次の手順で構成されています。

The setup consists of two main steps:

セットアップは、2つの主要なステップで構成されています。

You should have the following prerequisites:

次の前提条件が必要です。

In this section, we walk through the steps to provision the resources for Identity and Access Management Identity Center, Amazon Redshift, and Okta.

このセクションでは、IDおよびアクセス管理管理のIDセンター、Amazon Redshift、およびOktaのリソースを提供するための手順を進めます。

Complete the following steps to enable Identity and Access Management Identity Center and configure Okta as the IdP to manage user authentication and group provisioning:

アイデンティティとアクセス管理のアイデンティティセンターを有効にするための次の手順を完了し、OKTAをIDPとして構成してユーザー認証とグループプロビジョニングを管理します。

The following screenshot shows the users synced in Identity and Access Management Identity Center using SCIM protocol.

次のスクリーンショットは、SCIMプロトコルを使用してIDおよびアクセス管理のIDセンターで同期したユーザーを示しています。

Complete the following steps to create an Okta application to authenticate users accessing the Streamlit application:

次の手順を完了して、OKTAアプリケーションを作成して、ライトアプリケーションにアクセスするユーザーに認証されています。

Complete the following steps to create an Amazon Redshift Identity and Access Management Identity Center connection application to enable trusted identity propagation for secure authentication:

次の手順を完了して、Amazon Redshift IDおよびAccess Management Identity Center Center Connectionアプリケーションを作成して、安全な認証のための信頼できるID伝播を可能にします。

We will enable trusted identity propagation and third-party IdP (Okta) on the customer managed application for the Redshift Data API in a later step instead of configuring it in the Amazon Redshift connection application.

Amazon Redshift Connectionアプリケーションで構成する代わりに、後のステップでRedshift Data APIの顧客管理アプリケーションで、信頼できるID伝播とサードパーティIDP（OKTA）を有効にします。

The following screenshot shows the Identity and Access Management Identity Center connection application created on the Amazon Redshift console.

次のスクリーンショットは、Amazon Redshiftコンソールで作成されたIDおよびアクセス管理IDセンター接続アプリケーションを示しています。

The following screenshot shows groups assigned to the Amazon Redshift Identity and Access Management Identity Center connection for the managed application.

次のスクリーンショットには、マネージドアプリケーションのAmazon Redshift IDおよびAccess Management Identity Center Center Connectionに割り当てられたグループが表示されます。

Provision a Redshift Serverless workgroup. For more details, refer to Creating a workgroup with a namespace.

Redshift Serverless Workgroupを提供します。詳細については、名前空間のあるワークグループの作成を参照してください。

Wait until the workgroup is available before continuing to the next steps.

次のステップに進む前に、ワークグループが利用可能になるまで待ちます。

Next, you use the Amazon Redshift Query Editor V2 on the Amazon Redshift console to connect to the workgroup you just created. You create the tables and configure the Amazon Redshift roles corresponding to Okta groups for the groups in Identity and Access Management Identity Center and use the RBAC policy to grant users privileges to view data only for their regions. Complete the following steps:

次に、Amazon RedshiftコンソールのAmazon RedshiftクエリエディターV2を使用して、作成したワークグループに接続します。テーブルを作成し、アイデンティティおよびアクセス管理のアイデンティティセンターのグループに対してOKTAグループに対応するAmazon Redshiftの役割を構成し、RBACポリシーを使用して、ユーザーの特権に地域のデータのみを表示する特権を付与します。次の手順を完了します。

Identity and Access Management will map the groups into the Redshift roles in the format of Namespace:IDCGroupName. For example, create the role name as AWSIDC:emea-sales and so on to match them with Okta group names synced in Identity and Access Management Identity Center. The users will be created automatically within the groups as they log in using SSO into Amazon Redshift.

IDとアクセス管理は、名前空間の形式であるRedshiftの役割にグループをマッピングします：idcgroupName。たとえば、AWSIDC：EMEA-SALESなどのロール名を作成して、IDとアクセス管理のIDセンターで同期したOKTAグループ名と一致させます。ユーザーは、SSOをAmazon Redshiftにログインするときに、グループ内で自動的に作成されます。

In this section, we walk through the steps to download, configure, and run the Streamlit application.

このセクションでは、手順を進めて、rietimlitアプリケーションをダウンロード、構成、および実行します。

In order to start a trusted identity propagation workflow and allow Amazon Redshift to make authorization decisions based on the users and groups from Identity and Access Management (provisioned from the external IdP), you need an identity-enhanced IAM role session.

信頼できるID伝播ワークフローを開始し、Amazon RedshiftがIDおよびアクセス管理（外部IDPからプロビジョニング）からユーザーとグループに基づいて認可決定を下すことができるようにするには、IDで強化されたIAMロールセッションが必要です。

This requires a couple of IAM roles and a customer managed application in Identity and Access Management to handle the trust relationship between the external IdP and Identity and Access Management and control access for the Redshift Data API client, in this case, the Streamlit application.

これには、IAMの役割とIDとアクセス管理の顧客管理アプリケーションが必要です。これは、外部IDPとIDとアクセス管理とコントロールアクセスの間の信頼関係を処理し、この場合はStreemlitアプリケーションです。

First, you create two IAM roles, then you create a customer managed application for the Streamlit application. Complete the following

最初に、2つのIAMロールを作成し、次に、retrylidアプリケーション用の顧客管理アプリケーションを作成します。以下を完了してください