Muchos clientes ya administran las identidades de los usuarios a través de proveedores de identidad (IdP) para el acceso de inicio de sesión único. Con un IdP como Active Directory Federation Services (AD FS), puede configurar el acceso federado a Desplazamiento al rojo de Amazon clústeres como un mecanismo para controlar los permisos para los objetos de la base de datos por parte de los grupos empresariales. Esto proporciona una experiencia de usuario perfecta y centraliza la gestión de la autenticación y los permisos para los usuarios finales. Para obtener más información, consulte la serie de publicaciones de blog "Acceso federado a su clúster de Amazon Redshift con Active Directory Federation Services (AD FS)" (parte 1, parte 2).

Debido a las diferencias en la implementación de Servicios web de Amazon en China, los clientes tienen que ajustar las configuraciones en consecuencia. Por ejemplo, las regiones de China de AWS (Pekín y Ningxia) se encuentran en un Partición AWS, por lo tanto, todos los nombres de recursos de Amazon (ARN) incluyen el sufijo -cn. Las regiones de China de AWS también están alojadas en un dominio diferente: www.amazonaws.cn.

Esta publicación presenta un procedimiento paso a paso para configurar el acceso federado a Amazon Redshift en las regiones de China de AWS. Señala las diferencias clave a las que debe prestar atención y proporciona una guía de solución de problemas para errores comunes.

Resumen de la solución

El siguiente diagrama ilustra el proceso de Lenguaje de marcado de aserción de seguridad 2.0 Acceso de federación basado en SAML a Amazon Redshift en las regiones de China de AWS. El flujo de trabajo incluye los siguientes pasos principales:

1. El cliente SQL proporciona un nombre de usuario y una contraseña para AD FS.
2. AD FS autentica la credencial y devuelve una respuesta SAML si tiene éxito.
3. El cliente SQL realiza una llamada API a Servicio de token de seguridad de AWS (AWS STS) a asumir un rol preferido con SAML.
4. AWS STS autentica la respuesta SAML en función de la confianza mutua y devuelve credenciales temporales si tiene éxito.
5. El cliente SQL se comunica con Amazon Redshift para volver un usuario de base de datos con credenciales temporales, luego lo usa para unirse a grupos de bases de datos y conectarse a la base de datos especificada.

Organizamos el tutorial en los siguientes pasos de alto nivel:

1. Configure una confianza de usuario autenticado de AD FS para las regiones de China de AWS y defina reglas de notificación básicas.
2. Aprovisionar un Gestión de identidades y accesos de AWS (IAM) proveedor de identidad y roles.
3. Complete las reglas de notificación de la relación de confianza para usuario autenticado restantes en función de los recursos de IAM.
4. Conéctese a Amazon Redshift con acceso federado a través de un cliente SQL basado en JDBC.

Requisitos previos

Esta publicación asume que usted tiene los siguientes requisitos previos:

• Windows Server 2016
• La capacidad de crear usuarios y grupos en AD
• La capacidad de configurar una relación de confianza para usuario autenticado y definir reglas de notificación en AD FS
• Una cuenta de AWS
• Permisos suficientes para aprovisionar proveedores de identidad de IAM, roles, Nube privada virtual de Amazon (Amazon VPC) recursos relacionados y un clúster de Amazon Redshift a través de Kit de desarrollo en la nube de AWS (CDK de AWS)

Configurar una relación de confianza para usuario autenticado de AD FS y definir reglas de notificación

Una confianza de usuario de confianza permite que AWS y AD FS se comuniquen entre sí. Es posible configurar dos confianzas de usuario de confianza para las regiones de China de AWS y las regiones de AWS en el mismo AD FS al mismo tiempo. Para las regiones de China de AWS, necesitamos usar un Documento de metadatos SAML at https://signin.amazonaws.cn/static/saml-metadata.xml. El identificador de la parte de confianza para las regiones de China de AWS es urn:amazon:webservices:cn-north-1, mientras que para las regiones globales de AWS es urn:amazon:webservices. Anote este identificador para usarlo más adelante en esta publicación.

Agregar grupos y usuarios de AD

Con la federación basada en SAML, los usuarios finales asumen un rol de IAM y lo utilizan para unirse a varios grupos de bases de datos (DB). Los permisos en dichos roles y grupos de base de datos pueden ser administrados de manera efectiva por grupos de AD. Usamos diferentes prefijos en los nombres de grupos de AD para distinguirlos, lo que ayuda a asignar roles y reglas de notificación de grupos de bases de datos. Es importante distinguir correctamente los dos tipos de grupos de AD porque están asignados a diferentes recursos de AWS.

Continuamos nuestro tutorial con un ejemplo. Supongamos que en los negocios hay dos roles: científico de datos e ingeniero de datos, y dos grupos de base de datos: oncología y farmacia. Los científicos de datos pueden unirse a ambos grupos y los ingenieros de datos solo pueden unirse al grupo de farmacia. En el lado de AD, definimos un grupo de AD para cada rol y grupo. En el lado de AWS, definimos un rol de IAM para cada rol y un grupo de base de datos de Amazon Redshift para cada grupo de base de datos. Supongamos que Clement es científico de datos y Jimmy es ingeniero de datos, y ambos ya están administrados por AD. El siguiente diagrama ilustra esta relación.

Usted puede crear los grupos y usuarios de AD con el Interfaz de línea de comandos de AWS (AWS CLI) o el Consola de administración de AWS. Proporcionamos comandos de muestra en el archivo README en el repositorio de GitHub.

Seguir subpasos a a o del Paso 2 en Configuración de la autenticación de inicio de sesión único de JDBC u ODBC con AD FS para configurar la parte de confianza con el documento de metadatos SAML correcto para las regiones de China de AWS y definir las primeras tres reglas de notificación (NameId, RoleSessionNamey Get AD Groups). Reanudamos después de que se aprovisionan los roles y el proveedor de identidad de IAM.

Aprovisionar un proveedor de identidad y roles de IAM

Establece la confianza para AD con AWS al aprovisionar un proveedor de identidad de IAM. El proveedor de identidad de IAM y los roles asumidos deben estar en una cuenta de AWS; de lo contrario, recibirá el siguiente mensaje de error durante el acceso federado: "El principal existe fuera de la cuenta del rol que se asume". Siga estos pasos para aprovisionar los recursos:

1. Descargue el archivo de metadatos en https://yourcompany.com/FederationMetadata/2007-06/FederationMetadata.xml desde su servidor AD FS.
2. Guárdelo localmente en /tmp/FederationMetadata.xml.
3. Check out el código de AWS CDK en GitHub.
4. Utilice AWS CDK para implementar la pila denominada redshift-cn:

export AWS_ACCOUNT=YOUR_AWS_ACCOUNT
export AWS_DEFAULT_REGION=cn-north-1
export AWS_PROFILE=YOUR_PROFILE cdk deploy redshift-cn --require-approval never

El CDK de AWS la versión debe ser 2.0 o más reciente. Con fines de prueba, puede utilizar el AdministratorAccess política administrada para la implementación. Para uso de producción, use un perfil con privilegios mínimos.

La siguiente tabla resume los recursos que aprovisiona el paquete AWS CDK.

En este ejemplo, el Públicamente Accesible la configuración del clúster de Amazon Redshift está establecida en implante por simplicidad. Sin embargo, en un entorno de producción, debe deshabilitar esta configuración y colocar el clúster dentro de un grupo de subred privado. Referirse a ¿Cómo puedo acceder a un clúster privado de Amazon Redshift desde mi máquina local? para obtener más información.

Configurar un grupo de seguridad

Agregue una regla de entrada para su dirección IP para permitir la conexión al clúster de Amazon Redshift.

1. Busque el grupo de seguridad denominado RC Default Security Group.
2. Obtenga la dirección IP pública de su máquina.
3. Agregue una regla de entrada para esta dirección IP y el puerto predeterminado para Amazon Redshift 5439.

Complete las reglas de reclamación restantes

Después de aprovisionar los roles y el proveedor de identidad de IAM, agregue una regla de notificación para definir los roles de SAML. Agregamos una regla de reclamo de cliente con el nombre Roles. Encuentra grupos AD con el prefijo role_ y lo reemplaza con una cadena de ARN combinada. Preste atención a los ARN de los recursos donde se encuentra la partición. aws-cn. Reemplazar AWS_ACCOUNT con su ID de cuenta de AWS. La siguiente tabla muestra cómo los grupos de AD seleccionados se transforman en ARN de rol de IAM.

Para agregar la regla de notificación, abra la consola de administración de AD FS en su Windows Server y complete los siguientes pasos:

1. Elige Confiando en fideicomisos de fiestay, a continuación, elija la parte de confianza para AWS China.
2. Elige Editar política de emisión de reclamos, A continuación, elija Agregar rol.
3. En Plantilla de regla de reclamación menú, seleccione Enviar reclamos usando una regla personalizada.
4. Nombre de la regla de reclamación, introduzca Roles.
5. En Regla personalizada sección, ingrese lo siguiente:

c:[Type == "http://temp/variable", Value =~ "(?i)^role_"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role",
Value = RegExReplace(c.Value, "role_", "arn:aws-cn:iam::AWS_ACCOUNT:saml-provider/rc-provider,arn:aws-cn:iam::AWS_ACCOUNT:role/rc_"));

Los parámetros opcionales of DbUser, AutoCreatey DbGroups se puede proporcionar mediante parámetros de conexión JDBC o valores de atributo SAML. El beneficio de la federación de usuarios es administrar los usuarios en un solo lugar de forma centralizada. Por lo tanto, los DbUser El valor debe ser proporcionado automáticamente por el atributo SAML. los AutoCreate El parámetro siempre debe ser true, de lo contrario, debe crear usuarios de base de datos de antemano. Finalmente, el DbGroups El parámetro podría ser proporcionado por atributos SAML siempre que dicha relación esté definida en AD.

En resumen, recomendamos proporcionar al menos DbUser y AutoCreate en atributos SAML, de modo que el usuario final pueda ahorrar tiempo al componer cadenas de conexión más cortas. En nuestro ejemplo, proporcionamos los tres parámetros mediante atributos SAML.

6. Agregue una regla de reclamo de cliente llamada DbUser. Utilizamos una dirección de correo electrónico como valor para DbUser:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory",
types = ("https://redshift.amazon.com/SAML/Attributes/DbUser"),
query = ";mail;{0}", param = c.Value);

También puede elegir un nombre de cuenta de administrador de cuentas de seguridad (SAM), que suele ser el nombre de usuario de la dirección de correo electrónico. El uso de una dirección de correo electrónico juega un papel importante en la configuración de la política de roles de IAM. Retomamos este tema más adelante.

7. Agregue la regla de notificación personalizada denominada AutoCreate:

=> issue(type = "https://redshift.amazon.com/SAML/Attributes/AutoCreate", value = "true");

8. Agregue una regla de reclamo de cliente llamada DbGroups. Encuentra todos los grupos de AD con el prefijo group_ y los enumera como valores para DbGroups:

c:[Type == "http://temp/variable", Value =~ "(?i)^group_"]
=> issue(Type = "https://redshift.amazon.com/SAML/Attributes/DbGroups", Value = c.Value);

Puede probar que la configuración anterior es correcta obtener la respuesta SAML a través de su navegador.

9. Visite https://yourcompany.com/adfs/ls/IdpInitiatedSignOn.aspx en su Windows Server, inicie sesión con el usuario clementy compruebe que existen los siguientes atributos SAML. para el usuario jimmy, el papel es rc_data_engineer y el grupo DB contiene solo group_pharmacy.

<AttributeStatement> <Attribute Name="https://aws.amazon.com/SAML/Attributes/RoleSessionName"> <AttributeValue>clement@yourcompany.com</AttributeValue> </Attribute> <Attribute Name="https://aws.amazon.com/SAML/Attributes/Role"> <AttributeValue>arn:aws-cn:iam::AWS_ACCOUNT:saml-provider/rc-provider,arn:aws-cn:iam::AWS_ACCOUNT:role/rc_data_scientist</AttributeValue> </Attribute> <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser"> <AttributeValue>clement@yourcompany.com</AttributeValue> </Attribute> <Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate"> <AttributeValue>true</AttributeValue> </Attribute> <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups"> <AttributeValue>group_pharmacy</AttributeValue> <AttributeValue>group_oncology</AttributeValue> </Attribute>
</AttributeStatement>

Se ha verificado que los nombres de atributo SAML anteriores son válidos para las regiones de China de AWS. Las URL terminan con amazon.com. Es incorrecto cambiarlos a amazonaws.cn or amazon.cn.

Conéctese a Amazon Redshift con un cliente SQL

Usamos JDBC basado SQL Workbench / J (cliente SQL) para conectarse al clúster de Amazon Redshift. Amazon Redshift utiliza un grupo de base de datos para recopilar usuarios de base de datos. Los privilegios de la base de datos se administran colectivamente a nivel de grupo. En esta publicación, no profundizamos en la gestión de privilegios. Sin embargo, debe crear los dos grupos de base de datos anteriores.

1. Conéctese al clúster aprovisionado y cree los grupos. Puede conectarse a la Consola de administración de AWS a través de editor de consultas con credenciales temporales, o a través de un cliente SQL con usuario de base de datos admin y contraseña. La contraseña se almacena en Director de secretos de AWS. Es posible que necesite los permisos adecuados para las operaciones anteriores.

create group group_oncology;
create group group_pharmacy;

2. Siga las instrucciones en Conéctese a su clúster mediante SQL Workbench/J para descargar e instalar el cliente SQL y el controlador JDBC de Amazon Redshift.

Recomendamos el Controlador JDBC versión 2.1 con bibliotecas dependientes del controlador AWS SDK.

3. Pruebe que el clúster se puede conectar a través de su punto final. El nombre de usuario principal es admin. Recupera el valor secreto de la contraseña del clúster a través de Secrets Manager. Especificar DSILogLevel y LogPath a recopilar registros de controladores y ayudar al diagnóstico. La cadena de conexión se parece al siguiente código. Reemplazar CLUSTER_ENDPOINT con el valor correcto y elimine todos los interruptores de línea. Dividimos la línea para facilitar la lectura.

jdbc:redshift://CLUSTER_ENDPOINT.cn-north-1.redshift.amazonaws.com.cn:5439/main
;ssl_insecure=true
;DSILogLevel=3
;LogPath=/tmp

Para las regiones de China de AWS, una opción de controlador JDBC adicional loginToRp debe establecerse al configurar una relación de confianza independiente para las regiones de China de AWS. Si un usuario de AD está asignado a más de un rol de AWS, en la cadena de conexión, utilice preferred_role para especificar el rol exacto que se asumirá para el acceso federado.

4. Copie el ARN del rol directamente y preste atención al aws-cn dividir.

Si el usuario está asignado a un solo rol, esta opción se puede omitir.

5. Reemplaza CLUSTER_ID con el identificador de clúster correcto. Para el nombre de usuario, ingrese yourcompanyclement; para la contraseña, ingrese la credencial de AD:

jdbc:redshift:iam://CLUSTER_ID:cn-north-1/main
;ssl_insecure=true
;DSILogLevel=3
;LogPath=/tmp
;loginToRp=urn:amazon:webservices:cn-north-1
;plugin_name=com.amazon.redshift.plugin.AdfsCredentialsProvider
;idp_host=adfsserver.yourcompany.com
;preferred_role=arn:aws-cn:iam::AWS_ACCOUNT:role/rc_data_scientist

6. Cuando esté conectado, ejecute la instrucción SQL como se muestra en la siguiente captura de pantalla.

El usuario con el prefijo IAMA indica que el usuario se conectó con acceso federado y se creó automáticamente.

7. Como paso opcional, en la cadena de conexión, puede configurar el DbUser, AutoCreatey DbGroups parámetros.

Los parámetros de la cadena de conexión están antes que los de los atributos SAML. Le recomendamos que establezca al menos DbUser y AutoCreate a través de atributos SAML. Si es difícil administrar grupos de base de datos en usuarios de AD o desea flexibilidad, especifique DbGroups en la cadena de conexión. Ver el siguiente código:

jdbc:redshift:iam://CLUSTER_ID:cn-north-1/main
;ssl_insecure=true
;DSILogLevel=3
;LogPath=/tmp
;loginToRp=urn:amazon:webservices:cn-north-1
;plugin_name=com.amazon.redshift.plugin.AdfsCredentialsProvider
;idp_host=adfsserver.yourcompany.com
;preferred_role=arn:aws-cn:iam::AWS_ACCOUNT:role/rc_data_scientist
;DbUser=clement@yourcompany.com
;AutoCreate=true
;DbGroups=group_oncology

Utilice un nombre de cuenta de correo electrónico o SAM como usuario de base de datos

La política de roles sigue la política de ejemplo para usar GetClusterCredentials. Además permite redshift:DescribeClusters en el clúster porque el rol consulta el punto de conexión y el puerto del clúster en función de su identificador y región. Para asegurarnos de que el usuario de DB sea el mismo que el usuario de AD, en esta publicación, usamos la siguiente condición para verificar, dónde ROLE_ID son los identificador único del papel:

{"StringEqualsIgnoreCase": {"aws:userid": "ROLD_ID:${redshift:DbUser}"}}

La política de ejemplo utiliza la siguiente condición:

{"StringEqualsIgnoreCase": {"aws:userid": "ROLD_ID:${redshift:DbUser}@yourcompany.com"}}

La diferencia es evidente. los aws:userid contiene el RoleSessionName, que es la dirección de correo electrónico. El nombre de la cuenta SAM es la cadena antes de @ en la dirección de correo electrónico. Debido a que el parámetro de la cadena de conexión está antes del parámetro del atributo SAML, resumimos los casos posibles de la siguiente manera:

• Si los atributos SAML contienen DbUser:
  • Si el valor de la condición contiene un sufijo de dominio:
    • Si el DbUser El valor del atributo SAML es una dirección de correo electrónico, DbUser debe estar en la cadena de conexión sin el sufijo de dominio.
    • Si el DbUser El valor del atributo SAML es un nombre de cuenta SAM, DbUser se puede omitir en la cadena de conexión. De lo contrario, el valor no debe contener un sufijo de dominio.
  • Si el valor de la condición no contiene un sufijo de dominio:
    • Si el DbUser El valor del atributo SAML es una dirección de correo electrónico, DbUser se puede omitir en la cadena de conexión. De lo contrario, el valor debe contener un sufijo de dominio.
    • Si el DbUser El valor del atributo SAML es un nombre de cuenta SAM, DbUser debe estar en la cadena de conexión con un sufijo de dominio.
• Si los atributos SAML no contienen DbUser:
  • Si el valor de la condición contiene un sufijo de dominio, DbUser debe estar en la cadena de conexión sin un sufijo de dominio.
  • Si el valor de la condición no contiene un sufijo de dominio, DbUser se puede omitir en la cadena de conexión, porque RoleSessionName valor que es la dirección de correo electrónico actúa como DbUser. De lo contrario, el valor debe contener un sufijo de dominio.

Solucionando Problemas

El acceso federado a Amazon Redshift no es un proceso trivial. Sin embargo, consiste en pasos más pequeños que podemos dividir y conquistar cuando surgen problemas. Consulte el diagrama de acceso en la descripción general de la solución. Podemos dividir el proceso en tres frases:

1. ¿Es exitosa la federación basada en SAML? Verifique esto visitando la página de inicio de sesión único de AD FS y asegúrese de que puede iniciar sesión en la consola con el rol federado. ¿Configura la parte de confianza con el documento de metadatos específico de AWS China? Obtenga la respuesta SAML y verifique si el destino es https://signin.amazonaws.cn/saml. ¿Son correctos el ARN del proveedor de SAML y el ARN del rol de IAM? Compruebe si la relación de confianza del rol contiene el valor correcto para SAML:aud. Para otros posibles puntos de control, consulte Solución de problemas de federación SAML 2.0 con AWS.
2. ¿Son correctas las políticas de roles? Si la federación basada en SAML es exitosa, verifique que las políticas de rol sean correctas. Compara las tuyas con las proporcionadas por este post. Usaste aws donde aws-cn ¿debería ser usado? Si la condición de la política contiene un sufijo de dominio, ¿es el sufijo de dominio correcto? Puede obtener el sufijo de dominio en uso si recibe el error de que el rol asumido no está autorizado para realizar una acción.
3. ¿Se está conectando correctamente el cliente SQL? ¿Es correcto el identificador de clúster? Asegúrese de que su cadena de conexión contenga el loginToRp opción y apunta a la parte de confianza de AWS China. Si se asignan varios roles de IAM, asegúrese de preferred_role es uno de ellos con el rol correcto ARN. Puede obtener la lista de roles en la respuesta SAML. Trate de establecer ssl_insecure a verdadero temporalmente para la depuración. Verifique la subsección anterior y asegúrese de que el DbUser se utiliza correctamente o se ajusta de acuerdo con las DbUser Atributo SAML y valor de condición para aws:user. Active los registros del controlador y obtenga sugerencias de depuración allí. A veces, es posible que deba reiniciar el cliente SQL para borrar el caché y volver a intentarlo.

Los problemas de seguridad

En un entorno de producción, sugerimos aplicar la siguiente configuración de seguridad, que no se usa en esta publicación.

Para el clúster de Amazon Redshift, complete lo siguiente:

• Deshabilite la opción de acceso público y coloque el clúster dentro de un grupo de subred privado o aislado
• Cifrar el clúster, por ejemplo, con un cliente administrado Servicio de administración de claves de AWS (AWS KMS) clave
• Habilite el enrutamiento de VPC mejorado para que la red no abandone su VPC
• Configure el clúster para requieren capa de sockets seguros (SSL) y use la autenticación SSL unidireccional

Para los roles federados de IAM:

• Especifique los grupos de base de datos exactos para la acción redshift:JoinGroup. Si desea utilizar un comodín, asegúrese de que no permita grupos de bases de datos no deseados.
• cheque StringEquals para aws:user contra el ID de rol junto con el usuario de base de datos de Amazon Redshift. Esta condición se puede verificar GetClusterCredentials, CreateClusterUsery JoinGroup comportamiento. Consulte el código de muestra para ver los códigos detallados.

En Amazon Redshift, el grupo de base de datos se usa para administrar los privilegios de una colección de usuarios de base de datos. Un usuario de base de datos se une a algunos grupos de base de datos durante una sesión de inicio de sesión y se le otorgan los privilegios asociados a los grupos. Como discutimos antes, puede usar el valor del atributo SAML o la propiedad de conexión para especificar los grupos de bases de datos. El controlador de Amazon Redshift prefiere el valor de la cadena de conexión al del atributo SAML. Como resultado, el usuario final puede anular los grupos de base de datos en la cadena de conexión. Por lo tanto, para limitar los privilegios que se le pueden otorgar a un usuario de la base de datos, la política de roles de IAM debe restringir a qué grupos de la base de datos puede unirse el usuario de la base de datos de manera segura; de lo contrario, podría haber un riesgo de seguridad. El siguiente fragmento de política muestra dicho riesgo. Sigue siempre la principio de privilegio mínimo al definir las políticas de permisos.

{ "Effect": "Allow", "Action": "redshift:JoinGroup", "Resource": "*"
}

Limpiar

Ejecute el siguiente comando para destruir los recursos y dejar de incurrir en cargos:

cdk destroy redshift-cn --force

Quite los usuarios y grupos creados en AD FS. Por último, elimine la confianza de usuario de confianza para las regiones de China de AWS en su AD FS si ya no la necesita.

Conclusión

En esta publicación, le mostramos cómo conectarse a Amazon Redshift en China con acceso federado basado en AD FS. Las regiones de China de AWS se encuentran en una partición diferente a otras regiones de AWS, por lo que debe prestar especial atención durante la configuración. En resumen, debe verificar los ARN de los recursos de AWS con el aws-cn partición, federación basada en SAML con el documento de metadatos específico de AWS China y un controlador JDBC de Amazon Redshift con opciones de conexión adicionales. Esta publicación también analiza diferentes escenarios de uso para el redshift:Dbuser parámetro y proporciona sugerencias comunes para la solución de problemas.

Para obtener más información, consulte la Guía de administración de clústeres de Amazon Redshift. Encuentre el código utilizado para esta publicación en el siguiente Repositorio GitHub.

Acerca de los autores

Wenjun Yuan es Cloud Infra Architect en AWS Professional Services con sede en Chengdu, China. Trabaja con varios clientes, desde nuevas empresas hasta empresas internacionales, ayudándolos a crear e implementar soluciones con tecnologías de nube de última generación y lograr más en sus exploraciones de nube. Le gusta leer poesía y viajar por el mundo en su tiempo libre.

Khoa Nguyen es Arquitecto de Big Data en Servicios Profesionales de AWS. Trabaja con clientes de grandes empresas y socios de AWS para acelerar los resultados comerciales de los clientes al brindar experiencia en Big Data y servicios de AWS.

yewei li es Arquitecto de datos en Servicios profesionales de AWS con sede en Shanghái, China. Trabaja con varios clientes empresariales para diseñar y crear soluciones de lago de datos y almacenamiento de datos en AWS. En su tiempo libre le encanta leer y hacer deporte.

• Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
• CriptoHawk. Radar de altcoins. Prueba gratis.
• Fuente: https://aws.amazon.com/blogs/big-data/federated-access-to-amazon-redshift-clusters-in-aws-china-regions-with-active-directory-federation-services/