Mengotorisasi koneksi dari Amazon QuickSight ke cluster Amazon Redshift - Amazon QuickSight
Mengaktifkan propagasi identitas tepercaya dengan Amazon RedshiftMengaktifkan akses ke kluster Amazon Redshift secara manual di VPCMengaktifkan akses ke Amazon Redshift Spectrum

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengotorisasi koneksi dari Amazon QuickSight ke cluster Amazon Redshift

   Berlaku untuk: Edisi Perusahaan dan Edisi Standar 
   Audiens yang dituju: Administrator sistem 

Anda dapat memberikan akses ke data Amazon Redshift menggunakan tiga metode autentikasi: propagasi identitas tepercaya, peran run-as, IAM atau kredenal database Amazon Redshift.

Dengan propagasi identitas tepercaya, identitas pengguna diteruskan ke Amazon Redshift dengan sistem masuk tunggal yang dikelola oleh Identity Center. IAM Pengguna yang mengakses dasbor QuickSight memiliki identitas mereka disebarkan ke Amazon Redshift. Di Amazon Redshift, izin data berbutir halus diterapkan pada data sebelum data disajikan dalam QuickSight aset kepada pengguna. QuickSight penulis juga dapat terhubung ke sumber data Amazon Redshift tanpa input atau IAM peran kata sandi. Jika Amazon Redshift Spectrum digunakan, semua manajemen izin terpusat di Amazon Redshift. Propagasi identitas tepercaya didukung saat QuickSight dan Amazon Redshift menggunakan instance organisasi yang sama dari Identity CenterIAM. Propagasi identitas tepercaya saat ini tidak didukung untuk fitur-fitur berikut.

  • SPICEkumpulan data

  • Kustom SQL pada sumber data

  • Peringatan

  • Laporan email

  • Amazon QuickSight Q

  • CSV, Excel, dan PDF ekspor

  • Deteksi anomali

Agar Amazon QuickSight dapat terhubung ke instans Amazon Redshift, Anda harus membuat grup keamanan baru untuk instance tersebut. Grup keamanan ini berisi aturan masuk yang mengotorisasi akses dari rentang alamat IP yang sesuai untuk QuickSight server Amazon di dalamnya. Wilayah AWS Untuk mempelajari selengkapnya tentang otorisasi QuickSight koneksi Amazon, lihatMengaktifkan akses ke kluster Amazon Redshift secara manual di VPC.

Mengaktifkan koneksi dari QuickSight server Amazon ke klaster Anda hanyalah salah satu dari beberapa prasyarat untuk membuat kumpulan data berdasarkan sumber data database. AWS Untuk informasi lebih lanjut tentang apa yang diperlukan, lihatMembuat kumpulan data dari sumber data database baru.

Mengaktifkan propagasi identitas tepercaya dengan Amazon Redshift

Propagasi identitas tepercaya mengautentikasi pengguna akhir di Amazon Redshift saat mereka QuickSight mengakses aset yang memanfaatkan sumber data yang diaktifkan propagasi identitas tepercaya. Ketika seorang penulis membuat sumber data dengan propagasi identitas tepercaya, identitas konsumen sumber data QuickSight disebarkan dan masuk. CloudTrail Hal ini memungkinkan administrator database untuk mengelola keamanan data secara terpusat di Amazon Redshift dan secara otomatis menerapkan semua aturan keamanan data ke konsumen data di. QuickSight Dengan metode otentikasi lainnya, izin data dari penulis yang membuat sumber data diterapkan ke semua konsumen sumber data. Penulis sumber data dapat memilih untuk menerapkan keamanan tingkat baris dan kolom tambahan ke sumber data yang mereka buat di Amazon QuickSight.

Sumber data propagasi identitas tepercaya hanya didukung dalam kumpulan data Direct Query. SPICEkumpulan data saat ini tidak mendukung propagasi identitas tepercaya.

Prasyarat

Sebelum Anda memulai, pastikan bahwa Anda memiliki semua prasyarat yang diperlukan siap.

  • Propagasi identitas tepercaya hanya didukung untuk QuickSight akun yang terintegrasi dengan IAM Identity Center. Untuk informasi selengkapnya, lihat Konfigurasikan QuickSight akun Amazon Anda dengan Pusat IAM Identitas.

  • Aplikasi Amazon Redshift yang terintegrasi dengan IAM Identity Center. Cluster Amazon Redshift yang Anda gunakan harus berada di organisasi yang AWS Organizations sama dengan QuickSight akun yang ingin Anda gunakan. Cluster juga harus dikonfigurasi dengan instance organisasi yang sama di Pusat IAM Identitas tempat QuickSight akun Anda dikonfigurasi. Untuk informasi selengkapnya tentang mengonfigurasi klaster Amazon Redshift, lihat IAM Mengintegrasikan Pusat Identitas.

Mengaktifkan propagasi identitas tepercaya di QuickSight

Untuk mengonfigurasi QuickSight agar tersambung ke sumber data Amazon Redshift dengan propagasi identitas tepercaya, konfigurasikan cakupan Amazon Redshift OAuth ke akun Anda. QuickSight

Untuk menambahkan cakupan yang memungkinkan QuickSight untuk mengotorisasi propagasi identitas ke Amazon Redshift, tentukan Akun AWS ID akun dan layanan yang ingin Anda otorisasi propagasi identitas, dalam hal ini. QuickSight 'REDSHIFT'

Tentukan aplikasi Pusat IAM Identitas ARN dari cluster Amazon Redshift yang Anda otorisasi QuickSight Amazon untuk menyebarkan identitas pengguna. Informasi ini dapat ditemukan di konsol Amazon Redshift. Jika Anda tidak menentukan target resmi untuk cakupan Amazon Redshift, QuickSight memberi wewenang kepada pengguna dari klaster Amazon Redshift mana pun yang berbagi instans Pusat Identitas yang sama. IAM Contoh di bawah ini mengonfigurasi QuickSight untuk terhubung ke sumber data Amazon Redshift dengan propagasi identitas tepercaya.

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

Contoh berikut menghapus OAuth cakupan dari akun. QuickSight 

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

Contoh berikut mencantumkan semua OAuth cakupan yang saat ini ada di QuickSight akun.

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

Menghubungkan ke Amazon Redshift dengan propagasi identitas tepercaya

Gunakan prosedur di bawah ini untuk terhubung ke propagasi identitas tepercaya Amazon Redshift.

Untuk terhubung ke Amazon Redshift dengan propagasi identitas tepercaya

  1. Buat kumpulan data baru di Amazon QuickSight. Untuk informasi selengkapnya tentang membuat kumpulan data, lihatMembuat set data.

  2. Pilih Amazon Redshift sebagai sumber data untuk kumpulan data baru.

    catatan

    Jenis otentikasi sumber data yang ada tidak dapat diubah menjadi propagasi identitas tepercaya

  3. Pilih Pusat IAM Identitas sebagai opsi identitas untuk sumber data, lalu pilih Buat sumber data.

Mengaktifkan akses ke kluster Amazon Redshift secara manual di VPC

 Berlaku untuk: Enterprise Edition 

Gunakan prosedur berikut untuk mengaktifkan QuickSight akses Amazon ke klaster Amazon Redshift di file. VPC

Untuk mengaktifkan QuickSight akses Amazon ke cluster Amazon Redshift di VPC

  1. Masuk ke AWS Management Console dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Arahkan ke cluster yang ingin Anda sediakan di Amazon QuickSight.

  3. Di bagian Cluster Properties, temukan Port. Perhatikan nilai Port.

  4. Di bagian Cluster Properties, cari VPCID dan catat nilai VPCID. Pilih VPCID untuk membuka VPC konsol Amazon.

  5. Di VPC konsol Amazon, pilih Grup Keamanan di panel navigasi.

  6. Pilih Buat Grup Keamanan.

  7. Pada halaman Buat Grup Keamanan, masukkan informasi grup keamanan sebagai berikut:

    • Untuk Nama grup keamanan, masukkan redshift-security-group.

    • Untuk Deskripsi, masukkan redshift-security-group.

    • Untuk VPC, pilih VPC untuk cluster Amazon Redshift Anda. Ini adalah VPC dengan VPC ID yang Anda catat.

  8. Pilih Buat grup keamanan.

    Grup keamanan baru Anda akan muncul di layar.

  9. Buat grup keamanan kedua dengan properti berikut.

    • Untuk Nama grup keamanan, masukkan quicksight-security-group.

    • Untuk Deskripsi, masukkan quicksight-security-group.

    • Untuk VPC, pilih VPC untuk cluster Amazon Redshift Anda. Ini adalah VPC dengan VPC ID yang Anda catat.

  10. Pilih Buat grup keamanan.

  11. Setelah Anda membuat grup keamanan baru, buat aturan masuk untuk grup baru.

    Pilih grup redshift-security-group keamanan baru, dan masukkan nilai berikut.

    • Untuk Jenis, pilih Amazon Redshift.

    • Untuk Protokol, pilih TCP.

    • Untuk Rentang Port, masukkan nomor port cluster Amazon Redshift tempat Anda menyediakan akses. Ini adalah nomor port yang Anda catat pada langkah sebelumnya.

    • Untuk Sumber, masukkan ID grup keamanan dariquicksight-security-group.

  12. Pilih Simpan aturan untuk menyimpan aturan masuk baru Anda.

  13. Ulangi langkah sebelumnya untuk quicksight-security-group dan masukkan nilai berikut.

    • Untuk Tipe, pilih Semua lalu lintas.

    • Untuk Protokol, pilih Semua.

    • Untuk Port Range, pilih Semua.

    • Untuk Sumber, masukkan ID grup keamanan dariredshift-security-group.

  14. Pilih Simpan aturan untuk menyimpan aturan masuk baru Anda.

  15. Masuk QuickSight, navigasikan ke QuickSight menu Kelola.

  16. Pilih Kelola VPC koneksi, lalu pilih Tambahkan VPC koneksi.

  17. Konfigurasikan VPC koneksi baru dengan nilai-nilai berikut.

    • Untuk nama VPC koneksi, pilih nama yang berarti untuk VPC koneksi.

    • Untuk VPCID, pilih VPC di mana klaster Amazon Redshift ada.

    • Untuk Subnet ID, pilih subnet untuk Availability Zone (AZ) yang digunakan untuk Amazon Redshift.

    • Untuk ID grup Keamanan, salin dan tempel ID grup keamanan untukquicksight-security-group.

  18. Pilih Buat. Mungkin perlu beberapa menit VPC untuk menghasilkan yang baru.

  19. Di konsol Amazon Redshift, navigasikan ke cluster Amazon Redshift redshift-security-group yang dikonfigurasi. Pilih Properti. Di bawah Pengaturan jaringan dan keamanan, masukkan nama grup keamanan.

  20. Di QuickSight, pilih Datasets, lalu pilih Dataset baru. Buat dataset baru dengan nilai-nilai berikut.

    • Untuk sumber Data, pilih Amazon Redshift Auto-discovered.

    • Beri sumber data nama yang berarti.

    • ID instance harus diisi secara otomatis dengan VPC koneksi yang Anda buat. QuickSight Jika ID instance tidak terisi secara otomatis, pilih VPC yang Anda buat dari daftar tarik-turun.

    • Masukkan kredensil database. Jika QuickSight akun Anda menggunakan propagasi identitas tepercaya, pilih Single sign-on.

  21. Validasi koneksi, lalu pilih Buat sumber data.

Jika Anda ingin membatasi aturan keluar default lebih lanjut, perbarui aturan keluar quicksight-security-group agar hanya mengizinkan lalu lintas Amazon Redshift. redshift-security-group Anda juga dapat menghapus aturan keluar yang terletak di. redshift-security-group

Mengaktifkan akses ke Amazon Redshift Spectrum

Menggunakan Amazon Redshift Spectrum, Anda dapat menghubungkan QuickSight Amazon ke katalog eksternal dengan Amazon Redshift. Misalnya, Anda dapat mengakses katalog Amazon Athena. Anda kemudian dapat menanyakan data tidak terstruktur di danau data Amazon S3 menggunakan klaster Amazon Redshift, bukan mesin kueri Athena.

Anda juga dapat menggabungkan kumpulan data yang menyertakan data yang disimpan di Amazon Redshift dan di S3. Kemudian Anda dapat mengaksesnya menggunakan SQL sintaks di Amazon Redshift.

Setelah mendaftarkan katalog data (untuk Athena) atau skema eksternal (untuk metastore Hive), Anda dapat menggunakan Amazon QuickSight untuk memilih skema eksternal dan tabel Amazon Redshift Spectrum. Proses ini berfungsi seperti halnya tabel Amazon Redshift lainnya di cluster Anda. Anda tidak perlu memuat atau mengubah data Anda.

Untuk informasi selengkapnya tentang penggunaan Amazon Redshift Spectrum, lihat Menggunakan Amazon Redshift Spectrum untuk menanyakan data eksternal di Panduan Pengembang Database Amazon Redshift.

Untuk terhubung menggunakan Redshift Spectrum, lakukan hal berikut:

  • Buat atau identifikasi IAM peran yang terkait dengan cluster Amazon Redshift.

  • Tambahkan IAM kebijakan AmazonS3ReadOnlyAccess dan AmazonAthenaFullAccess IAM peran.

  • Daftarkan skema eksternal atau katalog data untuk tabel yang Anda rencanakan untuk digunakan.

Redshift Spectrum memungkinkan Anda memisahkan penyimpanan dari komputasi, sehingga Anda dapat menskalakannya secara terpisah. Anda hanya membayar untuk kueri yang Anda jalankan.

Untuk terhubung ke tabel Redshift Spectrum, Anda tidak perlu memberikan Amazon QuickSight akses ke Amazon S3 atau Athena. Amazon hanya QuickSight membutuhkan akses ke cluster Amazon Redshift. Untuk detail selengkapnya tentang mengonfigurasi Redshift Spectrum, lihat Memulai Amazon Redshift Spectrum di Panduan Pengembang Database Amazon Redshift.