Konfigurieren des AWS-Konto - Amazon Redshift

Konfigurieren des AWS-Konto

Wenn Sie den Abfrage-Editor v2 über die Amazon-Redshift-Konsole auswählen, öffnet sich eine neue Registerkarte in Ihrem Browser, auf der die Schnittstelle des Abfrage-Editors v2 zu sehen ist. Mit den entsprechenden Berechtigungen können Sie auf Daten in einem Amazon-Redshift-Cluster zugreifen, AWS-Konto der zu Ihrem AWS-Konto in der aktuellen AWS-Region gehört.

Beim ersten Mal konfiguriert ein Administrator den Abfrage-Editor v2 für Ihr AWS-Konto und wählt dabei den AWS KMS key aus, mit dem die Ressourcen des Abfrage-Editors v2 verschlüsselt werden. Standardmäßig werden die Ressourcen mit einem AWS-eignen Schlüssel verschlüsselt. Ein Administrator kann auch einen vom Kunden verwalteten Schlüssel verwenden, indem er den Amazon-Ressourcennamen (ARN) als Schlüssel auf der Konfigurationsseite auswählt. Nach dem Konfigurieren eines Kontos können die AWS KMS-Verschlüsselungseinstellungen nicht mehr geändert werden.

Weitere Informationen zum Erstellen und Verwenden eines vom Kunden verwalteten Schlüssels mit dem Abfrage-Editor v2 finden Sie unter Erstellen eines vom AWS KMS-Kunden verwalteten Schlüssels zur Verwendung mit dem Abfrage-Editor v2.

Der Amazon-Redshift-Abfrage-Editor v2 unterstützt Authentifizierung, Verschlüsselung, Isolation und Compliance, um Data-at-Rest zu wahren und Daten während der Übertragung zu schützen. Weitere Informationen zu Datensicherheit im Abfrage-Editor v2 finden Sie hier:

Der Abfrage-Editor v2 verfügt für einige seiner Ressourcen über einstellbare Kontingente. Weitere Informationen finden Sie unter Amazon-Redshift-Kontingente.

Mit dem Abfrage-Editor v2 erstellte Ressourcen

Im Abfrage-Editor v2 können Sie Ressourcen wie gespeicherte Abfragen und Diagramme erstellen. Alle Ressourcen im Abfrage-Editor v2 sind einer IAM-Rolle oder einem IAM-Benutzer zugeordnet.

Im Abfrage-Editor v2 können Sie Tags für gespeicherte Abfragen und Diagramme hinzufügen und entfernen. Sie können diese Tags verwenden, wenn Sie benutzerdefinierte IAM-Richtlinien einrichten oder nach Ressourcen suchen. Sie können Tags zudem mit dem auch den AWS Resource Groups-Tag-Editor verwalten.

IAM-Rollen und IAM-Benutzer lassen sich mit IAM-Richtlinien einrichten, damit Abfragen mit anderen Personen im selben AWS-Konto und in derselben AWS-Region geteilt werden können.

Erstellen eines vom AWS KMS-Kunden verwalteten Schlüssels zur Verwendung mit dem Abfrage-Editor v2

Einen symmetrischen kundenverwalteten Schlüssel erstellen:

Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, und so die Ressourcen des Abfrage-Editors v2 verschlüsseln. Dazu verwenden Sie die AWS KMS-Konsole oder AWS KMS-API-Operationen. Anweisungen zum Erstellen eines Schlüssels finden Sie unter Erstellen symmetrischer AWS KMS-Schlüssel im AWS Key Management Service-Entwicklerhandbuch.

Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf AWS KMS-Schlüssel im AWS Key Management Service-Entwicklerhandbuch.

Um Ihren vom Kunden verwalteten Schlüssel mit dem Amazon-Redshift-Abfrage-Editor v2 verwenden zu können, müssen die folgenden API-Operationen per Schlüsselrichtlinie zulässig sein:

  • kms:GenerateDataKey – Erzeugt einen eindeutigen symmetrischen Datenschlüssel zur Verschlüsselung Ihrer Daten.

  • kms:Decrypt – Entschlüsselt Daten, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt wurden.

  • kms:DescribeKey – Stellt die vom Kunden verwalteten Schlüsseldetails bereit, damit der Service den Schlüssel validieren kann.

Im Folgenden finden Sie eine AWS KMS-Beispielrichtlinie für das AWS-Konto 111122223333. Im ersten Abschnitt wird schränkt der kms:ViaService die Verwendung des Schlüssels auf den Service (Abfrage-Editor v2) ein (in der Richtlinie sqlworkbench.region.amazonaws.com genannt). Das AWS-Konto, das den Schlüssel nutzt, muss das Konto 111122223333 sein. Im zweiten Abschnitt können der Root-Benutzer und die Schlüsseladministratoren vom AWS-Konto 111122223333 auf den Schlüssel zugreifen.

{ "Version": "2012-10-17", "Id": "key-consolepolicy", "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "sqlworkbench.region.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" } ] }

Die folgenden Ressourcen enthalten weitere Informationen zu AWS KMS-Schlüsseln:

Zugreifen auf den Abfrage-Editor v2

Um den Abfrage-Editor v2 aufzurufen, benötigen Sie eine Berechtigung. Ein Administrator kann diese Berechtigung erteilen, indem er eine der folgenden von AWS verwalteten Richtlinien an den IAM-Benutzer oder die Rolle anfügt. Diese von AWS verwalteten Richtlinien enthalten verschiedene Optionen, die steuern, wie das Markieren von Ressourcen das Teilen von Abfragen ermöglicht. Sie können zum Zuweisen von IAM-Richtlinien die IAM-Konsole (https://console.aws.amazon.com/iam/) verwenden.

  • AmazonRedshiftQueryEditorV2FullAccess – Gewährt vollen Zugriff auf die Operationen und Ressourcen des Amazon-Redshift-Abfrage-Editors v2. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

  • AmazonRedshiftQueryEditorV2NoSharing – Ermöglicht es, mit dem Amazon-Redshift-Abfrage-Editor v2 zu arbeiten, ohne Ressourcen freizugeben. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

  • AmazonRedshiftQueryEditorV2ReadSharing – Ermöglicht die eingeschränkte Freigabe von Ressourcen bei der Arbeit mit dem Amazon-Redshift-Abfrage-Editor v2. Der Prinzipal mit der entsprechenden Berechtigung kann die mit seinem Team geteilten Ressourcen lesen, kann sie jedoch nicht ändern. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

  • AmazonRedshiftQueryEditorV2ReadWriteSharing – Ermöglicht die Freigabe von Ressourcen bei der Arbeit mit dem Amazon-Redshift-Abfrage-Editor v2. Der Prinzipal mit den entsprechenden Berechtigungen kann die mit seinem Team geteilten Ressourcen lesen und bearbeiten. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

Sie können auch Ihre eigene Richtlinie erstellen, basierend auf den zulässigen und verweigerten Berechtigungen in den bereitgestellten verwalteten Richtlinien. Wenn Sie den IAM-Konsolenrichtlinien-Editor verwenden, um Ihre eigene Richtlinie zu erstellen, wählen Sie SQL Workbench als Dienst aus, für den Sie die Richtlinie im visuellen Editor erstellen. Der Abfrage-Editor v2 verwendet den Dienstnamen AWS SQL Workbench im visuellen Editor und im IAM-Richtliniensimulator.

Damit ein Prinzipal (ein IAM-Benutzer oder eine IAM-Rolle) eine Verbindung zu einem Amazon-Redshift-Cluster herstellen kann, benötigt er die Berechtigungen in einer der verwalteten Richtlinien des Abfrage-Editors v2. Sie brauchen auch die Berechtigung redshift:GetClusterCredentials für den Cluster. Um diese Berechtigung zu erhalten, kann jemand mit Administratorberechtigung eine Richtlinie an die IAM-Benutzer oder IAM-Rollen anfügen, die mithilfe temporärer Anmeldeinformationen eine Verbindung zum Cluster herstellen müssen. Sie können die Richtlinie auf bestimmte Cluster eingrenzen oder sie allgemeiner formulieren. Weitere Informationen zur Berechtigung zur Verwendung temporärer Anmeldeinformationen finden Sie unter Erstellen einer IAM-Rolle oder eines berechtigten Benutzers (User With Permissions), um „GetClusterCredentials“ aufzurufen.

Damit ein Prinzipal (ein IAM-Benutzer oder eine IAM-Rolle) seine Abfrage-Editor-v2-Ressourcen anzeigen kann (z. B. eine Abfrage), benötigt er zusätzlich zu den Berechtigungen aus einer der verwalteten Richtlinien des Abfrage-Editors v2 auch die Berechtigung tag:GetResources. Der folgende Richtlinienausschnitt ist ein Beispiel:

{ "Sid": "ResourceGroupPermissions", "Effect": "Allow", "Action": "tag:GetResources", "Resource": "*" }

Um diese Berechtigung zu erhalten, kann jemand mit Administratorberechtigung eine Richtlinie an die IAM-Benutzer oder IAM-Rollen anfügen, die von Benutzern des Abfrage-Editors v2 verwendet werden. Sie können die Richtlinie auf bestimmte Cluster eingrenzen oder sie allgemeiner formulieren. Weitere Informationen zu Berechtigungen und zum Markieren von Prinzipalen für Teams finden Sie unter Für die Verwendung des Abfrage-Editors v2 erforderliche Berechtigungen .

Damit ein Prinzipal (ein IAM-Benutzer oder eine IAM-Rolle) die Funktion „SQL Notebooks“ (Vorversion) verwenden kann, müssen Sie die folgende Richtlinie zu einer der vorhandenen verwalteten Abfrage-Editor-v2-Richtlinien des Prinzipals hinzufügen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonRedshiftQueryEditorV2NonResourceLevelPermissions", "Effect": "Allow", "Action": [ "sqlworkbench:ListNotebooks" ], "Resource": "*" }, { "Sid": "AmazonRedshiftQueryEditorV2CreateOwnedResourcePermissions", "Effect": "Allow", "Action": [ "sqlworkbench:CreateNotebook" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/sqlworkbench-resource-owner": "${aws:userid}" } } }, { "Sid": "AmazonRedshiftQueryEditorV2OwnerSpecificPermissions", "Effect": "Allow", "Action": [ "sqlworkbench:GetNotebook", "sqlworkbench:UpdateNotebook", "sqlworkbench:DeleteNotebook", "sqlworkbench:CreateNotebookCell", "sqlworkbench:DeleteNotebookCell", "sqlworkbench:UpdateNotebookCellContent", "sqlworkbench:UpdateNotebookCellLayout", "sqlworkbench:BatchGetNotebookCell", "sqlworkbench:AssociateNotebookWithTab" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/sqlworkbench-resource-owner": "${aws:userid}" } } }, { "Sid": "AmazonRedshiftQueryEditorV2TeamReadAccessPermissions", "Effect": "Allow", "Action": [ "sqlworkbench:GetNotebook", "sqlworkbench:BatchGetNotebookCell", "sqlworkbench:AssociateNotebookWithTab" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/sqlworkbench-team": "${aws:PrincipalTag/sqlworkbench-team}" } } } ] }

Weitere Informationen zu verwalteten Richtlinien für Amazon Redshift finden Sie unter AWSVon verwaltete (vordefinierte) Richtlinien für Amazon Redshift.

Sie können mit der IAM-Konsole die IAM-Richtlinien an einen IAM-Benutzer oder eine IAM-Rolle anfügen. Nachdem Sie eine Richtlinie an eine Rolle angehängt haben, können Sie die Rolle an einen IAM-Benutzer anfügen.

Die IAM-Richtlinien an einen IAM-Benutzer anfügen

  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Users (Benutzer).

  3. Wählen Sie den Benutzer aus, der Zugriff auf den Abfrage-Editor v2 haben soll.

  4. Wählen Sie Add permissions (Berechtigungen hinzufügen).

  5. Wählen Sie Vorhandene Richtlinien direkt zuordnen.

  6. Wählen Sie bei Richtliniennamen die geeigneten Richtlinien aus, wie zuvor beschrieben.

  7. Wählen Sie Next: Review (Weiter: Prüfen) aus.

  8. Wählen Sie Add permissions (Berechtigungen hinzufügen).

Die IAM-Richtlinien an eine IAM-Rolle anfügen

  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Roles.

  3. Wählen Sie die Rolle aus, die Zugriff auf den Abfrage-Editor v2 haben soll.

  4. Wählen Sie Attach Policies (Richtlinien hinzufügen).

  5. Wählen Sie bei Richtliniennamen die geeigneten Richtlinien aus, wie zuvor beschrieben.

  6. Wählen Sie Attach policy (Richtlinie anfügen) aus.

Weitere Informationen zur Verwendung von IAM zum Verwalten von Benutzern und Rollen finden Sie unter Ändern von Berechtigungen für einen IAM-Benutzer im IAM-Benutzerhandbuch.