Ressources AWS KMS clé Accès à l’éditeur de requête v2 Configuration de balises de principal pour connecter un cluster ou un groupe de travail

Configuration de votre Compte AWS

Lorsque vous choisissez l’éditeur de requête v2 dans la console Amazon Redshift, un nouvel onglet de votre navigateur s’ouvre avec l’interface de l’éditeur de requête v2. Avec les autorisations appropriées, vous pouvez accéder aux données d'un cluster ou d'un groupe de travail Amazon Redshift dont vous êtes propriétaire et Compte AWS qui se trouve actuellement dans le cluster. Région AWS

La première fois qu'un administrateur configure l'éditeur de requêtes v2 pour vous Compte AWS, il choisit AWS KMS key celui qui est utilisé pour chiffrer les ressources de l'éditeur de requêtes v2. Par défaut, une clé AWS détenue est utilisée pour chiffrer les ressources. Un administrateur peut également utiliser une clé gérée par le client en choisissant l’Amazon Resource Name (ARN) pour la clé dans la page de configuration. Après avoir configuré un compte, les paramètres de AWS KMS chiffrement ne peuvent pas être modifiés. Pour plus d’informations sur la création et l’utilisation d’une clé gérée par le client avec l’éditeur de requête v2, consultez Création d'une clé gérée par le AWS KMS client à utiliser avec l'éditeur de requêtes v2. L’administrateur peut éventuellement choisir un compartiment S3 et le chemin utilisé pour certaines fonctionnalités, telles que le chargement de données à partir d’un fichier. Pour plus d’informations, consultez Chargement de données à partir d'un fichier local : configuration et flux de travail.

L’éditeur de requête v2 Amazon Redshift prend en charge l’authentification, le chiffrement, l’isolement et la conformité pour protéger vos données au repos et en transit. Pour plus d’informations sur la sécurité des données et l’éditeur de requête v2, consultez les rubriques suivantes :

AWS CloudTrail capture les appels d'API et les événements associés effectués par vous ou en votre nom Compte AWS et envoie les fichiers journaux dans un compartiment Amazon S3 que vous spécifiez. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. Pour en savoir plus sur la manière dont l’éditeur de requête v2 s’exécute sur AWS CloudTrail, consultez Se connecter avec CloudTrail. Pour plus d'informations CloudTrail, consultez le guide de AWS CloudTrail l'utilisateur.

L’éditeur de requête v2 dispose de quotas réglables pour certaines de ses ressources. Pour plus d'informations, consultez Quotas pour les objets Amazon Redshift.

Ressources créées à l’aide de l’éditeur de requête v2

Dans l’éditeur de requête v2, vous pouvez créer des ressources telles que des requêtes enregistrées et des diagrammes. Toutes les ressources de l’éditeur de requête v2 sont associées à un rôle IAM ou à un utilisateur. Nous vous recommandons d’associer des politiques à un rôle IAM et de l’attribuer à un utilisateur.

Dans l’éditeur de requête v2, vous pouvez ajouter et supprimer des balises pour les requêtes et les diagrammes enregistrés. Vous pouvez utiliser ces balises lorsque vous configurez des politiques IAM personnalisées ou pour rechercher des ressources. Vous pouvez également gérer les balises à l'aide de l'éditeur de AWS Resource Groups balises.

Vous pouvez configurer des rôles IAM avec des politiques IAM afin de partager des requêtes avec d'autres utilisateurs du même nom Compte AWS dans le. Région AWS

Création d'une clé gérée par le AWS KMS client à utiliser avec l'éditeur de requêtes v2

Pour créer une clé de chiffrement symétrique gérée par le client :

Vous pouvez créer une clé de chiffrement symétrique gérée par le client pour chiffrer les ressources de l'éditeur de requêtes v2 à l'aide de la AWS KMS console ou des opérations de l' AWS KMS API. Pour obtenir des instructions sur la création d'une clé, consultez la section Création d'une AWS KMS clé de chiffrement symétrique dans le manuel du AWS Key Management Service développeur.

Stratégie de clé

Les politiques de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez la section Gestion de l'accès aux AWS KMS clés dans le Guide du AWS Key Management Service développeur.

Pour utiliser votre clé gérée par le client avec l’éditeur de requête v2 Amazon Redshift, les opérations API suivantes doivent être autorisées dans la stratégie de clé :

kms:GenerateDataKey – Génère une clé de données symétrique unique pour chiffrer vos données.
kms:Decrypt – Déchiffre les données chiffrées à l’aide de la clé gérée par le client.
kms:DescribeKey – Fournit les détails des clés gérées par le client pour permettre au service de valider la clé.

Voici un exemple de AWS KMS politique pour Compte AWS 111122223333. Dans la première section, le kms:ViaService limite l’utilisation de la clé au service de l’éditeur de requête v2 (nommé sqlworkbench.region.amazonaws.com dans la politique). L' Compte AWS utilisation de la clé doit être111122223333. Dans la deuxième section, l'utilisateur root et les administrateurs clés de Compte AWS 111122223333 peuvent accéder à la clé.

Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique qui donne un accès complet à toutes Services AWS les ressources du compte. Cette identité est appelée utilisateur Compte AWS root et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu’utilisateur racine, consultez Tâches nécessitant les informations d’identification de l’utilisateur racine dans le Guide de l’utilisateur IAM.


{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy",
    "Statement": [
        {
            "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sqlworkbench.region.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:*"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
        }
    ]
}

Les ressources suivantes fournissent des informations supplémentaires sur AWS KMS les clés :

Pour plus d'informations sur AWS KMS les politiques, consultez la section Spécification des autorisations dans une politique du Guide du AWS Key Management Service développeur.
Pour plus d'informations sur AWS KMS les politiques de résolution des problèmes, consultez la section Résolution des problèmes d'accès aux clés dans le Guide du AWS Key Management Service développeur.
Pour plus d’informations sur les clés KMS, consultez Clés AWS KMS dans le Guide du développeur AWS Key Management Service .

Accès à l’éditeur de requête v2

Pour accéder à l’éditeur de requête v2, vous avez besoin d’une autorisation. Un administrateur peut associer l'une des politiques AWS gérées suivantes au rôle pour accorder une autorisation. (Nous vous recommandons d’associer des politiques à un rôle IAM et de l’attribuer à un utilisateur.) Ces politiques AWS gérées sont rédigées avec différentes options qui contrôlent la manière dont le balisage des ressources permet le partage des requêtes. Vous pouvez attacher des politiques IAM à l’aide de la console IAM à l’adresse https://console.aws.amazon.com/iam/.

AmazonRedshiftQueryEditorV2 FullAccess — Accorde un accès complet aux opérations et aux ressources de l'éditeur de requêtes Amazon Redshift v2. Cette politique permet également d’accéder à d’autres services requis.
AmazonRedshiftQueryEditorV2 NoSharing — Permet de travailler avec l'éditeur de requêtes Amazon Redshift v2 sans partager de ressources. Cette politique permet également d’accéder à d’autres services requis.
AmazonRedshiftQueryEditorV2 ReadSharing — Permet de travailler avec l'éditeur de requêtes Amazon Redshift v2 avec un partage limité des ressources. Le principal autorisé peut lire les ressources partagées avec son équipe, mais ne peut pas les mettre à jour. Cette politique permet également d’accéder à d’autres services requis.
AmazonRedshiftQueryEditorReadWritePartage V2 — Permet de travailler avec l'éditeur de requêtes Amazon Redshift v2 avec partage de ressources. Le principal autorisé peut lire et mettre à jour les ressources partagées avec son équipe. Cette politique permet également d’accéder à d’autres services requis.

Vous pouvez également créer votre propre politique basée sur les autorisations autorisées et refusées dans les politiques gérées fournies. Si vous utilisez l’éditeur de politique de la console IAM pour créer votre propre politique, choisissez SQL Workbench en tant que service pour lequel vous créez la politique dans l’éditeur visuel. L’éditeur de requête v2 utilise le nom du service AWS SQL Workbench dans l’éditeur visuel et le simulateur de politiques IAM.

Pour qu’un principal (un utilisateur avec un rôle IAM assigné) puisse se connecter à un cluster Amazon Redshift, il doit disposer des autorisations dans l’une des politiques gérées de l’éditeur de requête v2. Il a également besoin de l’autorisation redshift:GetClusterCredentials pour le cluster. Pour obtenir cette autorisation, une personne disposant d’une autorisation administrative peut attacher une politique aux rôles IAM utilisés pour se connecter au cluster à l’aide d’informations d’identification temporaires. Vous pouvez étendre la politique à des clusters spécifiques ou être plus général. Pour plus d'informations sur l'autorisation d'utiliser des informations d'identification temporaires, voir Créer un rôle ou un utilisateur IAM autorisé à appeler GetClusterCredentials.

Pour qu’un principal (généralement un utilisateur avec un rôle IAM assigné) puisse activer, dans la page Paramètres du compte, la possibilité pour les autres membres du compte d’effectuer une opération Exporter l’ensemble des résultats, il lui faut l’autorisation sqlworkbench:UpdateAccountExportSettings attachée au rôle. Cette autorisation est incluse dans la politique AmazonRedshiftQueryEditorV2FullAccess AWS gérée.

Au fur et à mesure que de nouvelles fonctionnalités sont ajoutées à l'éditeur de requêtes v2, les politiques AWS gérées sont mises à jour selon les besoins. Si vous créez votre propre politique basée sur les autorisations autorisées et refusées dans les politiques gérées fournies, modifiez vos politiques pour les tenir à jour avec les modifications apportées aux politiques gérées. Pour plus d’informations sur les politiques gérées dans Amazon Redshift, consultez AWS politiques gérées pour Amazon Redshift.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Utilisateurs et groupes dans AWS IAM Identity Center :

Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
Utilisateurs gérés dans IAM par un fournisseur d’identité :

Créez un rôle pour la fédération d’identité. Pour plus d’informations, voir la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) du Guide de l’utilisateur IAM.
Utilisateurs IAM :
- Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM du Guide de l’utilisateur IAM.
- (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d’autorisations à un utilisateur (console) du Guide de l’utilisateur IAM.

Note

Si un administrateur AWS IAM Identity Center supprime toutes les associations d’ensembles d’autorisations pour un ensemble d’autorisations particulier dans l’ensemble du compte, l’accès aux ressources de l’éditeur de requêtes initialement associé à l’ensemble d’autorisations supprimé n’est plus disponible. Ultérieurement, si les mêmes autorisations sont recréées, un nouvel identifiant interne est créé. L’identifiant interne ayant changé, l’accès aux ressources de l’éditeur de requêtes précédemment détenues par un utilisateur n’est plus disponible. Avant que les administrateurs suppriment un ensemble d’autorisations, nous recommandons aux utilisateurs de cet ensemble d’autorisations d’exporter les ressources de l’éditeur de requêtes, telles que les blocs-notes et les requêtes, en tant que sauvegarde.

Configuration de balises de principal pour connecter un cluster ou un groupe de travail à partir de l’éditeur de requêtes v2

Pour vous connecter à votre cluster ou groupe de travail à l’aide de l’option d’utilisateur fédéré, configurez votre utilisateur ou rôle IAM avec des balises de principal. Ou bien, configurez votre fournisseur d’identité (IdP) pour qu’il transmette RedshiftDbUser et (en option) RedshiftDbGroups. Pour plus d’informations sur l’utilisation d’IAM pour gérer les balises, consultez Transmission des balises de session dans AWS Security Token Service (langue Français non garantie) dans le Guide de l’utilisateur IAM. Pour configurer l'accès à l'aide de AWS Identity and Access Management, un administrateur peut ajouter des balises à l'aide de la console IAM (https://console.aws.amazon.com/iam/).

Pour ajouter des balises relatives au principal à un rôle IAM

Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.
Choisissez Rôles dans le panneau de navigation.
Choisissez le rôle qui doit accéder à l’éditeur de requête v2 en utilisant un utilisateur fédéré.
Sélectionnez l’onglet Tags (Identifications).
Choisissez Manage tags (Gérer les balises).
Choisissez Add tag (Ajouter une balise) et entrez une valeur Key (Clé) de RedshiftDbUser, puis entrez la Value (Valeur) du nom d’utilisateur fédéré.
Vous pouvez également sélectionner Add tag (Ajouter une balise) et entrer la Key (Clé) de RedshiftDbGroups, puis entrer la Value (Valeur) du nom du groupe à associer à l’utilisateur.
Choisissez Save changes (Enregistrer les modifications) pour afficher la liste des balises associées au rôle IAM que vous avez choisi. La propagation des modifications peut prendre plusieurs secondes.
Pour utiliser l’utilisateur fédéré, actualisez votre page de l’éditeur de requêtes v2 après la propagation des modifications.

Configurez votre fournisseur d’identité (IdP) pour transmettre les balises relatives au principal

La procédure de configuration des balises à l’aide d’un fournisseur d’identité (IdP) varie selon l’IdP. Consultez la documentation de votre IdP pour savoir comment transmettre les informations sur les utilisateurs et les groupes aux attributs SAML. Lorsqu'ils sont correctement configurés, les attributs suivants apparaissent dans votre réponse SAML qui est utilisée par le AWS Security Token Service pour renseigner les balises principales pour RedshiftDbUser et. RedshiftDbGroups


<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser">
    <AttributeValue>db-user-name</AttributeValue>
</Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups">
    <AttributeValue>db-groups</AttributeValue>
</Attribute>

L’option db_groups doit être une liste séparée par le signe deux points telle que group1:group2:group3.

En outre, vous pouvez définir l’attribut TransitiveTagKeys pour que les balises persistent pendant la création de chaînes de rôles.


<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys">
  <AttributeValue>RedshiftDbUser</AttributeValue>
  <AttributeValue>RedshiftDbGroups</AttributeValue>
</Attribute>

Pour plus d’informations sur la configuration de l’éditeur de requêtes v2, consultez Autorisations requises pour utiliser l’éditeur de requête v2 .

Pour savoir comment configurer Active Directory Federation Services (AD FS), consultez le billet de blog : Federate access to Amazon Redshift query editor v2 with Active Directory Federation Services (AD FS) [Fédérer l’accès à l’éditeur de requêtes Amazon Redshift v2 avec Active Directory Federation Services (AD FS)].

Pour savoir comment configurer Okta, consultez le billet de blog : Federate single sign-on access to Amazon Redshift query editor v2 with Okta (Fédérer l’accès par authentification unique à l’éditeur de requêtes Amazon Redshift v2 avec Okta).

Note

Lorsque vous vous connectez à votre cluster ou groupe de travail à l’aide de l’option de connexion Utilisateur fédéré de l’éditeur de requêtes v2, le fournisseur d’identité (IdP) peut fournir des balises de principal personnalisées pour RedshiftDbUser et RedshiftDbGroups. Actuellement, ne AWS IAM Identity Center prend pas en charge le transfert de balises principales personnalisées directement à l'éditeur de requêtes v2.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Interrogation d’une base de données à l’aide de l’éditeur de requête v2 Amazon Redshift

Utilisation de l’éditeur de requête v2