Konfiguration Ihres AWS-Konto - Amazon Redshift
RessourcenAWS KMS SchlüsselZugreifen auf den Abfrage-Editor v2Einrichten von Prinzipal-Tags für die Verbindung eines Clusters oder einer Arbeitsgruppe

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration Ihres AWS-Konto

Wenn Sie den Abfrage-Editor v2 über die Amazon-Redshift-Konsole auswählen, öffnet sich eine neue Registerkarte in Ihrem Browser, auf der die Schnittstelle des Abfrage-Editors v2 zu sehen ist. Mit den entsprechenden Berechtigungen können Sie auf Daten in einem Amazon Redshift Redshift-Cluster oder einer Arbeitsgruppe zugreifen, deren Eigentümer Sie sind und AWS-Konto die sich in der aktuellen Version befinden. AWS-Region

Wenn ein Administrator den Query Editor v2 zum ersten Mal für Sie konfiguriert, wählt er den aus AWS-Konto, der zum Verschlüsseln der AWS KMS key Query Editor v2-Ressourcen verwendet wird. Standardmäßig wird ein AWS eigener Schlüssel zum Verschlüsseln von Ressourcen verwendet. Ein Administrator kann auch einen vom Kunden verwalteten Schlüssel verwenden, indem er den Amazon-Ressourcennamen (ARN) als Schlüssel auf der Konfigurationsseite auswählt. Nach der Konfiguration eines Kontos können die AWS KMS Verschlüsselungseinstellungen nicht geändert werden. Weitere Informationen zum Erstellen und Verwenden eines vom Kunden verwalteten Schlüssels mit dem Abfrage-Editor v2 finden Sie unter Einen vom AWS KMS Kunden verwalteten Schlüssel zur Verwendung mit dem Abfrage-Editor v2 erstellen. Der Administrator kann optional auch einen S3-Bucket und Pfad auswählen, der für einige Funktionen wie z. B. das Laden von Daten aus einer Datei verwendet wird. Weitere Informationen finden Sie unter Laden von Daten aus einer lokalen Datei – Einrichtung und Workflow.

Der Amazon-Redshift-Abfrage-Editor v2 unterstützt Authentifizierung, Verschlüsselung, Isolation und Compliance, um Data-at-Rest zu wahren und Daten während der Übertragung zu schützen. Weitere Informationen zu Datensicherheit im Abfrage-Editor v2 finden Sie hier:

AWS CloudTrail erfasst API-Aufrufe und zugehörige Ereignisse, die von Ihnen oder in Ihrem Namen getätigt wurden, AWS-Konto und übermittelt die Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Aufrufe erfolgten. Weitere Informationen zur Ausführung des Abfrage-Editors v2 in AWS CloudTrail finden Sie unter Protokollieren mit CloudTrail. Weitere Informationen zu CloudTrail finden Sie im AWS CloudTrail Benutzerhandbuch.

Der Abfrage-Editor v2 verfügt für einige seiner Ressourcen über einstellbare Kontingente. Weitere Informationen finden Sie unter Kontingente für Amazon-Redshift-Objekte.

Mit dem Abfrage-Editor v2 erstellte Ressourcen

Im Abfrage-Editor v2 können Sie Ressourcen wie gespeicherte Abfragen und Diagramme erstellen. Alle Ressourcen im Abfrage-Editor v2 sind einer IAM-Rolle oder einem Benutzer zugeordnet. Wir empfehlen, Richtlinien an eine IAM-Rolle anzufügen und die Rolle einem Benutzer zuzuweisen.

Im Abfrage-Editor v2 können Sie Tags für gespeicherte Abfragen und Diagramme hinzufügen und entfernen. Sie können diese Tags verwenden, wenn Sie benutzerdefinierte IAM-Richtlinien einrichten oder nach Ressourcen suchen. Sie können Tags auch mithilfe des AWS Resource Groups Tag-Editors verwalten.

Sie können IAM-Rollen mit IAM-Richtlinien einrichten, um Abfragen mit anderen in Ihrem eigenen Bereich zu teilen. AWS-Konto AWS-Region

Einen vom AWS KMS Kunden verwalteten Schlüssel zur Verwendung mit dem Abfrage-Editor v2 erstellen

So erstellen Sie einen kundenverwalteten Schlüssel mit symmetrischer Verschlüsselung:

Sie können einen vom Kunden verwalteten symmetrischen Verschlüsselungsschlüssel erstellen, um die Ressourcen des Abfrageeditors v2 mithilfe der AWS KMS Konsole oder AWS KMS API-Operationen zu verschlüsseln. Anweisungen zum Erstellen eines Schlüssels finden Sie unter Erstellen eines symmetrischen AWS KMS Verschlüsselungsschlüssels im AWS Key Management Service Entwicklerhandbuch.

Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie im AWS Key Management Service Entwicklerhandbuch unter Verwaltung des Zugriffs auf AWS KMS Schlüssel.

Um Ihren vom Kunden verwalteten Schlüssel mit dem Amazon-Redshift-Abfrage-Editor v2 verwenden zu können, müssen die folgenden API-Operationen per Schlüsselrichtlinie zulässig sein:

  • kms:GenerateDataKey – Erzeugt einen eindeutigen symmetrischen Datenschlüssel zur Verschlüsselung Ihrer Daten.

  • kms:Decrypt – Entschlüsselt Daten, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt wurden.

  • kms:DescribeKey – Stellt die vom Kunden verwalteten Schlüsseldetails bereit, damit der Service den Schlüssel validieren kann.

Im Folgenden finden Sie ein Beispiel für eine AWS KMS Richtlinie für AWS-Konto 111122223333. Im ersten Abschnitt wird schränkt der kms:ViaService die Verwendung des Schlüssels auf den Service (Abfrage-Editor v2) ein (in der Richtlinie sqlworkbench.region.amazonaws.com genannt). Die AWS-Konto Verwendung des Schlüssels muss erfolgen111122223333. Im zweiten Abschnitt AWS-Konto 111122223333 können der Root-Benutzer und die Schlüsseladministratoren von auf den Schlüssel zugreifen.

Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet. Sie können darauf zugreifen, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern im IAM-Benutzerhandbuch. 

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy",
    "Statement": [
        {
            "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sqlworkbench.region.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:*"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
        }
    ]
}

In den folgenden Ressourcen finden Sie weitere Informationen zu AWS KMS Schlüsseln:

Zugreifen auf den Abfrage-Editor v2

Um den Abfrage-Editor v2 aufzurufen, benötigen Sie eine Berechtigung. Ein Administrator kann der Rolle eine der folgenden AWS verwalteten Richtlinien hinzufügen, um Berechtigungen zu erteilen. (Wir empfehlen, Richtlinien an eine IAM-Rolle anzufügen und die Rolle einem Benutzer zuzuweisen.) Diese AWS verwalteten Richtlinien verfügen über verschiedene Optionen, mit denen gesteuert wird, wie das Markieren von Ressourcen die gemeinsame Nutzung von Abfragen ermöglicht. Sie können zum Zuweisen von IAM-Richtlinien die IAM-Konsole (https://console.aws.amazon.com/iam/) verwenden.

  • AmazonRedshiftQueryEditorV2 FullAccess — Gewährt vollen Zugriff auf die Vorgänge und Ressourcen des Amazon Redshift Query Editor v2. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

  • AmazonRedshiftQueryEditorV2 NoSharing — Ermöglicht die Arbeit mit dem Amazon Redshift Query Editor v2, ohne Ressourcen gemeinsam zu nutzen. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

  • AmazonRedshiftQueryEditorV2 ReadSharing — Ermöglicht die Arbeit mit dem Amazon Redshift Query Editor v2 mit begrenzter gemeinsamer Nutzung von Ressourcen. Der Prinzipal mit der entsprechenden Berechtigung kann die mit seinem Team geteilten Ressourcen lesen, kann sie jedoch nicht ändern. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

  • AmazonRedshiftQueryEditorV2 ReadWriteSharing — Ermöglicht die Arbeit mit dem Amazon Redshift Query Editor v2 mit gemeinsamer Nutzung von Ressourcen. Der Prinzipal mit den entsprechenden Berechtigungen kann die mit seinem Team geteilten Ressourcen lesen und bearbeiten. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

Sie können auch Ihre eigene Richtlinie erstellen, basierend auf den zulässigen und verweigerten Berechtigungen in den bereitgestellten verwalteten Richtlinien. Wenn Sie den IAM-Konsolenrichtlinien-Editor verwenden, um Ihre eigene Richtlinie zu erstellen, wählen Sie SQL Workbench als Service aus, für den Sie die Richtlinie im visuellen Editor erstellen. Der Abfrage-Editor v2 verwendet den Dienstnamen AWS SQL Workbench im visuellen Editor und im IAM-Richtliniensimulator.

Damit ein Prinzipal (ein Benutzer mit einer zugewiesenen IAM-Rolle) eine Verbindung mit einem Amazon-Redshift-Cluster herstellen kann, benötigt er die Berechtigungen in einer der verwalteten Richtlinien des Abfrage-Editors v2. Sie brauchen auch die Berechtigung redshift:GetClusterCredentials für den Cluster. Um diese Berechtigung zu erhalten, kann jemand mit Administratorberechtigung eine Richtlinie an die IAM-Rollen anfügen, mit denen mithilfe temporärer Anmeldeinformationen eine Verbindung zum Cluster hergestellt wird. Sie können die Richtlinie auf bestimmte Cluster eingrenzen oder sie allgemeiner formulieren. Weitere Informationen zur Berechtigung zur Verwendung temporärer Anmeldeinformationen finden Sie unter Erstellen einer IAM-Rolle oder eines IAM-Benutzers mit Anrufberechtigungen. GetClusterCredentials

Damit ein Prinzipal (in der Regel ein Benutzer mit einer zugewiesenen IAM-Rolle) auf der Seite Kontoeinstellungen die Funktion Ergebnissatz exportieren für andere im Konto aktivieren kann, benötigt er die Berechtigung sqlworkbench:UpdateAcountExportSettings, die der Rolle angefügt ist. Diese Berechtigung ist in der AmazonRedshiftQueryEditorV2FullAccess AWS verwalteten Richtlinie enthalten.

Wenn dem Abfrage-Editor v2 neue Funktionen hinzugefügt werden, werden die AWS verwalteten Richtlinien nach Bedarf aktualisiert. Wenn Sie basierend auf den zulässigen und verweigerten Berechtigungen in den bereitgestellten verwalteten Richtlinien Ihre eigene Richtlinie erstellen, bearbeiten Sie Ihre Richtlinien, sodass sie den Änderungen an den verwalteten Richtlinien entsprechen. Weitere Informationen zu verwalteten Richtlinien für Amazon Redshift finden Sie unter AWS verwaltete Richtlinien für Amazon Redshift.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Anmerkung

Wenn ein AWS IAM Identity Center -Administrator alle Berechtigungssatzzuordnungen für einen bestimmten Berechtigungssatz im gesamten Konto entfernt, ist der Zugriff auf alle Query-Editor-Ressourcen, die ursprünglich dem entfernten Berechtigungssatz zugeordnet waren, nicht mehr möglich. Wenn dieselben Berechtigungen später erneut erstellt werden, wird eine neue interne Kennung erstellt. Da sich die interne Kennung geändert hat, kann auf Query-Editor-Ressourcen, die zuvor einem Benutzer gehört haben, nicht zugegriffen werden. Bevor Administratoren einen Berechtigungssatz löschen, empfehlen wir, dass Benutzer des betreffenden Berechtigungssatzes Query-Editor-Ressourcen wie Notebooks und Abfragen als Backup exportieren.

Einrichten von Prinzipal-Tags für die Verbindung eines Clusters oder einer Arbeitsgruppe von Query Editor v2 aus

Wenn Sie mithilfe der Verbundbenutzeroption eine Verbindung zu Ihrem Cluster oder Ihrer Arbeitsgruppe herstellen möchten, richten Sie entweder Ihre IAM-Rolle oder einen Benutzer mit Prinzipal-Tags ein. Sie können auch Ihren Identitätsanbieter (IDP) für die Weitergabe in RedshiftDbUser und (optional) RedshiftDbGroups einrichten. Weitere Informationen zur Verwendung von IAM zum Verwalten von Tags finden Sie unter Übergeben von Sitzungs-Tags in AWS Security Token Service im IAM-Benutzerhandbuch. Um den Zugriff einzurichten AWS Identity and Access Management, kann ein Administrator mithilfe der IAM-Konsole (https://console.aws.amazon.com/iam/) Tags hinzufügen.

So fügen Sie einer IAM-Rolle Prinzipal-Tags hinzu

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) aus.

  3. Wählen Sie die Rolle aus, die Zugriff auf den Abfrage-Editor v2 unter Verwendung eines Verbundbenutzers benötigt.

  4. Wählen Sie die Registerkarte Tags aus.

  5. Wählen Sie Manage tags (Tags verwalten) aus.

  6. Klicken Sie auf Add tag (Tag hinzufügen) und geben Sie für den Wert Key (Schlüssel) RedshiftDbUser und unter Value (Wert) den Namen des Verbundbenutzers ein.

  7. Wählen Sie optional Add tag (Tag hinzufügen) aus und geben Sie für den Wert Key (Schlüssel) RedshiftDbGroups und unter Value (Wert) den Gruppennamen ein, der dem Benutzer zugeordnet werden soll.

  8. Klicken Sie auf Save changes (Änderungen speichern), um die Liste der Tags anzuzeigen, die mit Ihrer ausgewählten IAM-Rolle verknüpft sind. Das Weitergeben von Änderungen kann mehrere Sekunden dauern.

  9. Um den Verbundbenutzer zu verwenden, aktualisieren Sie die Seite des Abfrage-Editors v2, nachdem die Änderungen weitergegeben wurden.

Einrichten Ihres Identitätsanbieters (IDP) zur Weitergabe von Prinzipal-Tags

Die Vorgehensweise zum Einrichten von Tags mithilfe eines Identitätsanbieters (IDP) variiert je nach IDP. Anweisungen zum Übergeben von Benutzer- und Gruppeninformationen an SAML-Attribute finden Sie in der IDP-Dokumentation. Bei korrekter Konfiguration erscheinen die folgenden Attribute in Ihrer SAML-Antwort, die von verwendet wird, AWS Security Token Service um die wichtigsten Tags für und auszufüllen. RedshiftDbUser RedshiftDbGroups 

<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser">
    <AttributeValue>db-user-name</AttributeValue>
</Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups">
    <AttributeValue>db-groups</AttributeValue>
</Attribute>

Der optionale Wert db_groups muss eine durch Doppelpunkt getrennte Liste sein, z. B. group1:group2:group3.

Darüber hinaus können Sie das Attribut TransitiveTagKeys festlegen, um die Tags während der Rollenverkettung beizubehalten.

<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys">
  <AttributeValue>RedshiftDbUser</AttributeValue>
  <AttributeValue>RedshiftDbGroups</AttributeValue>
</Attribute>

Weitere Informationen zum Einrichten des Abfrage-Editors v2 finden Sie unter Für die Verwendung des Abfrage-Editors v2 erforderliche Berechtigungen .

Weitere Informationen zum Einrichten von Active Directory Federation Services (AD FS) finden Sie im Blogbeitrag: Verbundzugriff auf Amazon-Redshift-Abfrage-Editor v2 mit Active Directory Federation Services (AD FS).

Weitere Informationen zum Einrichten von Okta finden Sie im Blogbeitrag: Single-Sign-On-Verbundzugriff auf Amazon-Redshift-Abfrage-Editor v2 mit Okta.

Anmerkung

Wenn Sie mithilfe der Verbindungsoption Verbundbenutzer von Query Editor v2 eine Verbindung zu Ihrem Cluster oder Ihrer Arbeitsgruppe herstellen, kann der Identitätsanbieter (IDP) benutzerdefinierte Prinzipal-Tags für RedshiftDbUser und RedshiftDbGroups bereitstellen. Unterstützt derzeit nicht AWS IAM Identity Center die direkte Übergabe von benutzerdefinierten Prinzipal-Tags an den Abfrage-Editor v2.