Erstellen eines Secrets und einer IAM-Rolle für die Verwendung von Verbundabfragen - Amazon Redshift
Voraussetzungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen eines Secrets und einer IAM-Rolle für die Verwendung von Verbundabfragen

Die folgenden Schritte zeigen, wie Sie ein Secret und eine IAM-Rolle erstellen, die mit einer Verbundabfrage verwendet werden sollen.

Voraussetzungen

Sie müssen die folgenden Voraussetzungen erfüllen, um ein Secret und eine IAM-Rolle für die Verwendung mit Verbundabfragen zu erstellen:

  • Eine RDS-PostgreSQL-, Aurora-PostgreSQL-DB-Instance, RDS-MySQL- oder Aurora MySQL-DB-Instance mit Benutzernamen- und Passwortauthentifizierung.

  • Ein Amazon-Redshift-Cluster mit einer Cluster-Wartungsversion, die Verbundabfragen unterstützt.

Um ein Geheimnis (Benutzername und Passwort) zu erstellen mit AWS Secrets Manager

  1. Melden Sie sich bei der Secrets-Manager-Konsole mit dem Konto an, das Ihre RDS- oder Aurora-Instance besitzt.

  2. Wählen Sie Store a new secret (Ein neues Secret speichern).

  3. Wählen Sie die Kachel Credentials for RDS database (Anmeldeinformationen für die RDS-Datenbank) aus. Geben Sie unter User name (Benutzername) und Password (Passwort) Entsprechendes für Ihre Instance ein. Bestätigen oder wählen Sie einen Wert für den Verschlüsselungsschlüssel aus. Wählen Sie dann die RDS-Datenbank aus, auf die Ihr Secret zugreifen soll.

    Anmerkung

    Wir raten zur Verwendung des Standard-Verschlüsselungsschlüssels (DefaultEncryptionKey). Wenn Sie einen benutzerdefinierten Verschlüsselungsschlüssel verwenden, muss die IAM-Rolle, die für den Zugriff auf den geheimen Schlüssel verwendet wird, als Schlüsselbenutzer hinzugefügt werden.

  4. Geben Sie einen Namen für das Secret ein, fahren Sie unter Verwendung der Standardoptionen mit den Erstellungsschritten fort ,und klicken Sie auf Store (Speichern).

  5. Lassen Sie sich Ihr Secret anzeigen und notieren Sie sich den Secret-ARN-Wert den Sie erstellt haben, um das Secret zu identifizieren.

So erstellen Sie mit dem Secret eine Sicherheitsrichtlinie

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Erstellen Sie eine Richtlinie mit JSON ähnlich der folgenden.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessSecret",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:my-rds-secret-VNenFy"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetRandomPassword",
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        }
    ]
}

    Zum Abrufen des Secrets benötigen Sie Listen- und Lese- Aktionen. Es wird empfohlen, die Ressource auf das bestimmte Secret zu beschränken, das Sie erstellt haben. Verwenden Sie dazu den Amazon-Ressourcennamen (ARN) des Secrets, um die Ressource zu beschränken. Sie können die Berechtigungen und Ressourcen auch mithilfe des visuellen Editors auf der IAM-Konsole angeben.

  3. Geben Sie der Richtlinie einen Namen und beenden Sie die Erstellung.

  4. Navigieren Sie zu IAM roles (IAM-Rollen).

  5. Erstellen Sie eine IAM-Rolle für Redshift – Customizable (Redshift – Anpassbar).

  6. Fügen Sie entweder die soeben erstellte IAM-Richtlinie an eine vorhandene IAM-Rolle an oder erstellen Sie eine neue IAM-Rolle und fügen Sie die Richtlinie an.

  7. Bestätigen Sie auf der Registerkarte Trust relationships (Vertrauensstellungen) Ihrer IAM-Rolle, dass sie die Vertrauensentität redshift.amazonaws.com enthält.

  8. Notieren Sie den Rollen-ARN den Sie erstellt haben. Dieser ARN hat Zugriff auf das Secret.

So fügen Sie die IAM-Rolle an Ihren Amazon-Redshift-Cluster an

  1. Melden Sie sich bei der Amazon Redshift Redshift-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/redshiftv2/.

  2. Wählen Sie im Navigationsmenü Clusters (Cluster) aus. Die Cluster für Ihr Konto in der aktuellen AWS Region werden aufgelistet.

  3. Wählen Sie den Cluster-Namen in der Liste aus, um weitere Details zu einem Cluster anzuzeigen.

  4. Wählen Sie für Actions (Aktionen) Manage IAM roles (IAM-Rollen verwalten) aus. Es wird die Seite Manage IAM roles (IAM-Rollen verwalten) angezeigt.

  5. Fügen Sie dem Cluster Ihre IAM-Rolle hinzu.