将亚马逊红移和思想点结合起来，将您的原始数据转换为可行的见解

将亚马逊Redshift（Amazon Redshift）与ThoughtSpot结合，可通过IAM Identity Center实现单点登录（SSO）集成，将原始数据高效转化为可行见解，同时简化访问管理并强化安全性。

1. 加速数据洞察转化

   Amazon Redshift作为高性能数据仓库，支持海量数据分析工作负载现代化，而ThoughtSpot的AI驱动分析服务可自动挖掘数据中的模式与趋势。

   集成后，业务用户可直接通过ThoughtSpot查询Redshift中的数据，无需复杂的数据迁移或额外工具，实现“从原始数据到可行见解”的端到端流程。

2. 统一身份管理与安全性

   SSO与集中式用户管理：通过IAM Identity Center集成，用户可使用单一身份凭证访问ThoughtSpot和Redshift，消除多套密码的繁琐与安全风险。

   动态访问控制：基于Redshift角色的访问权限与IAM Identity Center同步的IDP组对齐，支持细粒度权限管理（如按湖泊组定义数据访问范围）。

   审计跟踪与合规性：集成方案在Redshift和AWS CloudTrail中记录最终用户身份，提供完整的操作日志，满足合规审计需求。

3. 自动化与效率提升

   自动同步组织变更：当员工加入、调岗或离职时，IAM Identity Center自动更新其在Redshift中的访问权限，减少手动管理成本。

   可信令牌发行者（TTI）支持：Redshift作为AWS托管应用，通过TTI验证令牌真实性，确保SSO流程的安全性与可靠性。

1. 集成架构概述

   架构包含三部分：ThoughtSpot云环境（分析前端）、IAM Identity Center（身份中枢）、Amazon Redshift（数据后端）。

   用户通过IDP（如Okta或Entra ID）认证后，IAM Identity Center生成TTI令牌，ThoughtSpot凭此令牌直接访问Redshift数据，无需重复登录。

2. 关键实施步骤

   先决条件：

   拥有有效的AWS账户及Redshift集群。

   配置好的IDP（如Okta或Microsoft Entra ID）。

   ThoughtSpot云版或嵌入式分析环境。

   设置OIDC应用程序：

   在IDP中创建OpenID Connect（OIDC）应用，配置回调URL指向ThoughtSpot。

   生成客户端ID和密钥，供后续TTI设置使用。

   配置TTI（可信令牌发行者）：

   在IAM Identity Center中注册IDP为TTI，上传IDP的元数据文件（如SAML或OIDC配置）。

   定义令牌颁发策略，确保仅授权用户可获取访问Redshift的令牌。

   Redshift客户端连接配置：

   从IDP获取受众值（Audience），在Redshift中配置IAM角色，绑定特定数据访问权限。

   测试连接，验证ThoughtSpot能否通过SSO查询Redshift数据。

3. 安全增强措施

   基于角色的访问控制（RBAC）：将IDP中的用户组映射到Redshift角色，限制数据访问范围（如仅允许财务组查询财务数据）。

   湖泊组（Lake Groups）：在IDP中定义细粒度权限，控制用户对特定数据湖或表的访问。

   加密与日志记录：所有数据传输通过TLS加密，Redshift和CloudTrail记录用户操作，便于事后审计。

默克公司数据仓库架构师Dime Dimovski表示：“通过IAM Identity Center集成，我们实现了用户身份在多工具间的传播。从ThoughtSpot到Redshift的OAuth认证，不仅提供了无缝SSO体验，还支持细粒度访问控制，显著提升了安全性和效率。”

Amazon Redshift与ThoughtSpot的集成，通过IAM Identity Center实现了安全、高效、自动化的数据分析环境。企业可借此：

• 消除数据孤岛，加速洞察生成；
• 简化身份管理，降低人为错误风险；
• 满足合规要求，提升数据治理水平。

这一方案尤其适合需要处理海量数据、强调安全合规的中大型企业，助力其将数据转化为战略决策的核心驱动力。