Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d’un secret et d’un rôle IAM pour utiliser des requêtes fédérées
Les étapes suivantes montrent comment créer un secret et un rôle IAM à utiliser avec une requête fédérée.
Prérequis
Assurez-vous de disposer des prérequis suivants pour créer un secret et un rôle IAM à utiliser avec une requête fédérée :
Une instance de base de données RDS PostgreSQL, Aurora PostgreSQL, RDS MySQL ou Aurora MySQL avec authentification par nom d’utilisateur et mot de passe.
Un cluster Amazon Redshift avec une version de maintenance de cluster prenant en charge les requêtes fédérées.
Pour créer un secret (nom d'utilisateur et mot de passe) avec AWS Secrets Manager
Connectez-vous à la console Secrets Manager avec le compte propriétaire de votre instance de cluster de base de données RDS ou Aurora.
Choisissez Store a new secret (Stocker un nouveau secret).
Choisissez la vignette Informations d’identification pour une base de données RDS . Pour Nom d’utilisateur et Mot de passe, entrez des valeurs pour votre instance. Confirmez ou choisissez une valeur pour Encryption key (Clé de chiffrement). Choisissez ensuite la base de données RDS à laquelle votre secret accédera.
Note
Nous vous recommandons d’utiliser la clé de chiffrement par défaut (
DefaultEncryptionKey). Si vous utilisez une clé de chiffrement personnalisée, le rôle IAM utilisé pour accéder au secret doit être ajouté en tant qu’utilisateur clé.Entrez un nom pour le secret, poursuivez les étapes de création avec les options par défaut, puis choisissez Stocker.
Affichez votre secret et notez la valeur de l’ARN du secret que vous avez créé pour identifier le secret.
Pour créer une politique de sécurité à l’aide du secret
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. Créez une politique avec JSON similaire à ce qui suit.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessSecret", "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:my-rds-secret-VNenFy" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "secretsmanager:GetRandomPassword", "secretsmanager:ListSecrets" ], "Resource": "*" } ] }Vous avez besoin des actions de liste et de lecture pour récupérer le secret. Nous vous recommandons de limiter la ressource au secret spécifique que vous avez créé. Pour ce faire, utilisez l’ARN (Amazon Resource Name) du secret afin de limiter la ressource. Vous pouvez également spécifier les autorisations et les ressources à l’aide de l’éditeur visuel de la console IAM.
Donnez un nom à la politique et terminez sa création.
-
Accédez à IAM roles (Rôles IAM).
Créez un rôle IAM pour Redshift - Customizable (Redshift - Personnalisable).
Attachez la politique IAM que vous venez de créer à un rôle IAM existant ou créez un nouveau rôle IAM et attachez-lui la stratégie.
Dans l’onglet Relations d’approbation de votre rôle IAM, confirmez que le rôle contient l’entité d’approbation
redshift.amazonaws.com.Notez l’ARN de rôle que vous avez créé. Cet ARN a accès au secret.
Pour attacher le rôle IAM à votre cluster Amazon Redshift
Dans le menu de navigation, choisissez Clusters. Les clusters associés à votre compte dans la AWS région actuelle sont répertoriés.
Choisissez le nom du cluster dans la liste pour afficher plus de détails sur un cluster.
-
Sous Actions, choisissez Gérer les rôles IAM. La page Gérer les rôles IAM s’affiche.
Ajoutez votre rôle IAM au cluster.
