IAM Identity Center 통합을 사용하여 Amazon Redshift 데이터에 대한 안전하게 액세스, 시각화 및 분석

오늘날의 데이터 중심 세계에서 데이터에 대한 정보에 대한 정보에 대한 안전한 액세스, 시각화 및 분석은 정보에 입각 한 비즈니스 결정을 내리는 데 필수적입니다.

In today’s data-driven world, securely accessing, visualizing, and analyzing data is essential for making informed business decisions. Tens of thousands of customers use Amazon Redshift for modern data analytics at scale, delivering up to three times better price-performance and seven times better throughput than other cloud data warehouses.

오늘날의 데이터 중심 세계에서 데이터에 대한 정보에 대한 정보에 대한 안전한 액세스, 시각화 및 분석은 정보에 입각 한 비즈니스 결정을 내리는 데 필수적입니다. 수만 명의 고객이 최신 데이터 분석에 Amazon Redshift를 사용하여 규모의 최신 데이터 분석을 사용하여 다른 클라우드 데이터웨어 하우스보다 최대 3 배 더 나은 가격 성능 및 7 배 더 나은 처리량을 제공합니다.

The Amazon Redshift Data API simplifies access to your Amazon Redshift data warehouse by removing the need to manage database drivers, connections, network configurations, data buffering, and more.

Amazon Redshift Data API는 데이터베이스 드라이버, 연결, 네트워크 구성, 데이터 버퍼링 등을 관리 할 필요성을 제거하여 Amazon Redshift 데이터웨어 하우스에 대한 액세스를 단순화합니다.

With the newly released feature of Amazon Redshift Data API support for single sign-on and trusted identity propagation, you can build data visualization applications that integrate single sign-on (SSO) and role-based access control (RBAC), simplifying user management while enforcing appropriate access to sensitive information.

단일 사인 온 및 신뢰할 수있는 ID 전파에 대한 Amazon Redshift Data API 지원의 새로 출시 된 기능을 사용하면 SSO (Single Sign-On) 및 역할 기반 액세스 제어 (RBAC)를 통합하는 데이터 시각화 응용 프로그램을 구축하여 사용자 관리를 단순화하면서 민감한 정보에 대한 적절한 액세스를 시행 할 수 있습니다.

For instance, a global sports gear company selling products across multiple regions needs to visualize its sales data, which includes country-level details. To maintain the right level of access, the company wants to restrict data visibility based on the user’s role and region. Regional sales managers should only see sales data for their specific region, such as North America or Europe. Conversely, the global sales executives require full access to the entire dataset, covering all countries.

예를 들어, 여러 지역에서 제품을 판매하는 글로벌 스포츠 기어 회사는 국가 수준의 세부 정보가 포함 된 판매 데이터를 시각화해야합니다. 올바른 수준의 액세스를 유지하기 위해 회사는 사용자의 역할 및 지역에 따라 데이터 가시성을 제한하려고합니다. 지역 영업 관리자는 북미 또는 유럽과 같은 특정 지역의 판매 데이터 만보아야합니다. 반대로, 글로벌 영업 경영진은 모든 국가를 다루는 전체 데이터 세트에 완전히 액세스해야합니다.

In this post, we dive into the newly released feature of Amazon Redshift Data API support for SSO, Amazon Redshift RBAC for row-level security (RLS) and column-level security (CLS), and trusted identity propagation with AWS Identity and Access Management Identity Center to let corporate identities connect to AWS services more easily and securely. We demonstrate how to integrate these services to create a data visualization application using Streamlit, providing secure, role-based access that simplifies user management while making sure that your organization can make data-driven decisions with enhanced security and ease.

이 게시물에서는 SSO에 대한 Amazon Redshift Data API 지원의 새로 출시 된 기능, RLS (Row-Level Security) 및 열 수준 보안 (CLS) 및 AWS ID 및 ACCESS 관리 아이덴티티 센터를 사용한 신뢰할 수있는 신원 전파에 대한 Amazon Redshift RBAC 및 기업 ID가 AWS 서비스에보다 쉽고 단단히 연결되도록합니다. 우리는 이러한 서비스를 통합하여 Streamlit을 사용하여 데이터 시각화 애플리케이션을 작성하는 방법을 보여주고 사용자 관리를 단순화하면서 귀하의 조직이 향상된 보안 및 편의성으로 데이터 중심 결정을 내릴 수 있도록하는 안전하고 역할 기반 액세스를 제공합니다.

We use multiple AWS services and open source tools to build a simple data visualization application with SSO to access data in Amazon Redshift with RBAC. The key components that power the solution are as follows:

우리는 여러 AWS 서비스와 오픈 소스 도구를 사용하여 SSO와 함께 간단한 데이터 시각화 애플리케이션을 구축하여 RBAC를 사용한 Amazon Redshift의 데이터에 액세스합니다. 솔루션에 전원을 공급하는 주요 구성 요소는 다음과 같습니다.

The following diagram illustrates the solution architecture for SSO with the Redshift Data API using Identity and Access Management Identity Center.

다음 다이어그램은 ID 및 액세스 관리 아이덴티티 센터를 사용하여 Redshift Data API를 사용하여 SSO 용 솔루션 아키텍처를 보여줍니다.

The user workflow for the data visualization application consists of the following steps:

데이터 시각화 응용 프로그램의 사용자 워크 플로우는 다음 단계로 구성됩니다.

The setup consists of two main steps:

설정은 두 가지 주요 단계로 구성됩니다.

You should have the following prerequisites:

다음과 같은 전제 조건이 있어야합니다.

In this section, we walk through the steps to provision the resources for Identity and Access Management Identity Center, Amazon Redshift, and Okta.

이 섹션에서는 신분 및 액세스 관리 ID 센터, Amazon Redshift 및 OKTA를위한 리소스를 제공하는 단계를 진행합니다.

Complete the following steps to enable Identity and Access Management Identity Center and configure Okta as the IdP to manage user authentication and group provisioning:

ID 및 액세스 관리 아이덴티티 센터를 활성화하려면 다음 단계를 완료하고 OKTA를 IDP로 구성하여 사용자 인증 및 그룹 프로비저닝을 관리합니다.

The following screenshot shows the users synced in Identity and Access Management Identity Center using SCIM protocol.

다음 스크린 샷은 SCIM 프로토콜을 사용하여 Identity 및 Access Management Identity Center에 동기화 된 사용자를 보여줍니다.

Complete the following steps to create an Okta application to authenticate users accessing the Streamlit application:

다음 단계를 완료하여 OKTA 응용 프로그램을 작성하여 간소성 응용 프로그램에 액세스하는 사용자를 인증하십시오.

Complete the following steps to create an Amazon Redshift Identity and Access Management Identity Center connection application to enable trusted identity propagation for secure authentication:

Amazon Redshift Identity 및 Access Management Identity Center Connection Application을 작성하여 안전한 인증을위한 신뢰할 수있는 신원 전파를 가능하게하는 다음 단계를 작성하십시오.

We will enable trusted identity propagation and third-party IdP (Okta) on the customer managed application for the Redshift Data API in a later step instead of configuring it in the Amazon Redshift connection application.

Amazon Redshift 연결 애플리케이션에서 구성하는 대신 나중에 Redshift Data API에 대한 고객 관리 응용 프로그램에서 신뢰할 수있는 신원 전파 및 타사 IDP (OKTA)를 활성화합니다.

The following screenshot shows the Identity and Access Management Identity Center connection application created on the Amazon Redshift console.

다음 스크린 샷은 Amazon Redshift 콘솔에서 생성 된 Identity and Access Management Identity Connection Application을 보여줍니다.

The following screenshot shows groups assigned to the Amazon Redshift Identity and Access Management Identity Center connection for the managed application.

다음 스크린 샷은 관리되는 응용 프로그램에 대한 Amazon Redshift Identity 및 Access Management Identity Center 연결에 할당 된 그룹을 보여줍니다.

Provision a Redshift Serverless workgroup. For more details, refer to Creating a workgroup with a namespace.

Redshift Serverless Workgroup을 제공하십시오. 자세한 내용은 네임 스페이스가있는 작업 그룹 작성을 참조하십시오.

Wait until the workgroup is available before continuing to the next steps.

다음 단계를 계속하기 전에 작업 그룹을 사용할 수있을 때까지 기다리십시오.

Next, you use the Amazon Redshift Query Editor V2 on the Amazon Redshift console to connect to the workgroup you just created. You create the tables and configure the Amazon Redshift roles corresponding to Okta groups for the groups in Identity and Access Management Identity Center and use the RBAC policy to grant users privileges to view data only for their regions. Complete the following steps:

다음으로 Amazon Redshift 콘솔의 Amazon Redshift 쿼리 편집기 V2를 사용하여 방금 만든 작업 그룹에 연결합니다. 식별 및 액세스 관리 아이덴티티 센터의 그룹에 대한 OKTA 그룹에 해당하는 Amazon Redshift 역할을 구성하고 RBAC 정책을 사용하여 사용자 권한을 부여하여 해당 지역의 데이터 만 볼 수 있습니다. 다음 단계를 완료하십시오.

Identity and Access Management will map the groups into the Redshift roles in the format of Namespace:IDCGroupName. For example, create the role name as AWSIDC:emea-sales and so on to match them with Okta group names synced in Identity and Access Management Identity Center. The users will be created automatically within the groups as they log in using SSO into Amazon Redshift.

Identity and Access Management는 그룹을 네임 스페이스 형식 인 idcgroupname 형식으로 적색 편이 역할에 매핑합니다. 예를 들어, AWSIDC : EMEA-SALES로서 역할 이름을 작성하여 ID 및 ACCESS Management Identity Center에 동기화 된 OKTA 그룹 이름과 일치 시키십시오. SSO를 Amazon Redshift에 사용하여 로그인 할 때 사용자는 그룹 내에서 자동으로 생성됩니다.

In this section, we walk through the steps to download, configure, and run the Streamlit application.

이 섹션에서는 Streamlit 응용 프로그램을 다운로드, 구성 및 실행하는 단계를 살펴 봅니다.

In order to start a trusted identity propagation workflow and allow Amazon Redshift to make authorization decisions based on the users and groups from Identity and Access Management (provisioned from the external IdP), you need an identity-enhanced IAM role session.

신뢰할 수있는 신원 전파 워크 플로를 시작하고 Amazon Redshift가 ID 및 액세스 관리의 사용자 및 그룹을 기반으로 허가 결정을 내리려면 (외부 IDP에서 프로비저닝) 신원 강화 IAM 역할 세션이 필요합니다.

This requires a couple of IAM roles and a customer managed application in Identity and Access Management to handle the trust relationship between the external IdP and Identity and Access Management and control access for the Redshift Data API client, in this case, the Streamlit application.

이를 위해서는 외부 IDP와 ID의 신뢰 관계를 처리하고 Redshift Data API 클라이언트의 Access Access의 신뢰 관계를 처리하기 위해 ID 및 Access Management에서 몇 가지 IAM 역할과 고객 관리 응용 프로그램이 필요합니다.

First, you create two IAM roles, then you create a customer managed application for the Streamlit application. Complete the following

먼저 두 가지 IAM 역할을 수행 한 다음 Streamlit 응용 프로그램을위한 고객 관리 응용 프로그램을 만듭니다. 다음을 완료하십시오