Sumber daya AWS KMS kunci Mengakses editor kueri v2 Menyiapkan tag utama untuk menghubungkan cluster atau workgroup

Mengkonfigurasi Akun AWS

Saat Anda memilih editor kueri v2 dari konsol Amazon Redshift, tab baru di browser Anda terbuka dengan antarmuka editor kueri v2. Dengan izin yang tepat, Anda dapat mengakses data di klaster Amazon Redshift atau grup kerja milik Akun AWS Anda yang ada di saat ini. Wilayah AWS

Pertama kali administrator mengonfigurasi editor kueri v2 untuk Anda Akun AWS, mereka memilih AWS KMS key yang digunakan untuk mengenkripsi sumber daya editor kueri v2. Secara default, kunci yang AWS dimiliki digunakan untuk mengenkripsi sumber daya. Atau administrator dapat menggunakan kunci yang dikelola pelanggan dengan memilih Nama Sumber Daya Amazon (ARN) untuk kunci di halaman konfigurasi. Setelah mengonfigurasi akun, pengaturan AWS KMS enkripsi tidak dapat diubah. Untuk informasi selengkapnya tentang membuat dan menggunakan kunci yang dikelola pelanggan dengan editor kueri v2, lihatMembuat kunci yang dikelola AWS KMS pelanggan untuk digunakan dengan editor kueri v2. Administrator juga dapat secara opsional memilih bucket dan jalur S3 yang digunakan untuk beberapa fitur, seperti memuat data dari file. Untuk informasi selengkapnya, lihat Memuat data dari pengaturan file lokal dan alur kerja.

Editor kueri Amazon Redshift v2 mendukung autentikasi, enkripsi, isolasi, dan kepatuhan untuk menjaga data Anda tetap diam dan data dalam transit tetap aman. Untuk informasi selengkapnya tentang keamanan data dan editor kueri v2, lihat berikut ini:

AWS CloudTrail menangkap panggilan API dan peristiwa terkait yang dibuat oleh atau atas nama Anda Akun AWS dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. Untuk mempelajari selengkapnya tentang bagaimana editor kueri v2 berjalan AWS CloudTrail, lihatLogging dengan CloudTrail. Untuk informasi selengkapnya CloudTrail, lihat Panduan AWS CloudTrail Pengguna.

Editor kueri v2 memiliki kuota yang dapat disesuaikan untuk beberapa sumber dayanya. Untuk informasi selengkapnya, lihat Kuota untuk objek Amazon Redshift.

Sumber daya dibuat dengan editor kueri v2

Dalam editor kueri v2, Anda dapat membuat sumber daya seperti kueri dan bagan yang disimpan. Semua sumber daya di editor kueri v2 dikaitkan dengan peran IAM atau dengan pengguna. Sebaiknya Anda melampirkan kebijakan ke peran IAM dan menetapkan peran tersebut kepada pengguna.

Di editor kueri v2, Anda dapat menambahkan dan menghapus tag untuk kueri dan bagan yang disimpan. Anda dapat menggunakan tag ini saat menyiapkan kebijakan IAM khusus atau untuk mencari sumber daya. Anda juga dapat mengelola tag dengan menggunakan Editor AWS Resource Groups Tag.

Anda dapat mengatur peran IAM dengan kebijakan IAM untuk berbagi kueri dengan orang lain di bagian yang sama Akun AWS . Wilayah AWS

Membuat kunci yang dikelola AWS KMS pelanggan untuk digunakan dengan editor kueri v2

Untuk membuat kunci terkelola enkripsi simetris yang dikelola pelanggan:

Anda dapat membuat kunci terkelola pelanggan enkripsi simetris untuk mengenkripsi sumber daya editor kueri v2 menggunakan operasi AWS KMS konsol atau AWS KMS API. Untuk petunjuk tentang membuat kunci, lihat Membuat AWS KMS kunci enkripsi simetris di Panduan AWS Key Management Service Pengembang.

Kebijakan utama

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke AWS KMS kunci di Panduan AWS Key Management Service Pengembang.

Untuk menggunakan kunci terkelola pelanggan Anda dengan editor kueri Amazon Redshift v2, operasi API berikut harus diizinkan dalam kebijakan kunci:

kms:GenerateDataKey— Menghasilkan kunci data simetris yang unik untuk mengenkripsi data Anda.
kms:Decrypt— Mendekripsi data yang dienkripsi dengan kunci yang dikelola pelanggan.
kms:DescribeKey— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan layanan memvalidasi kunci.

Berikut ini adalah contoh AWS KMS kebijakan untuk Akun AWS 111122223333. Di bagian pertama, kms:ViaService batas penggunaan kunci untuk layanan editor kueri v2 (yang dinamai sqlworkbench.region.amazonaws.com dalam kebijakan). Akun AWS Menggunakan kunci harus111122223333. Di bagian kedua, pengguna root dan administrator kunci Akun AWS 111122223333 dapat mengakses ke kunci.

Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut pengguna Akun AWS root dan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat Tugas yang memerlukan kredensial pengguna root dalam Panduan Pengguna IAM.


{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy",
    "Statement": [
        {
            "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sqlworkbench.region.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:*"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
        }
    ]
}

Sumber daya berikut memberikan informasi lebih lanjut tentang AWS KMS kunci:

Untuk informasi selengkapnya tentang AWS KMS kebijakan, lihat Menentukan izin dalam kebijakan di Panduan AWS Key Management Service Pengembang.
Untuk informasi tentang AWS KMS kebijakan pemecahan masalah, lihat Memecahkan masalah akses kunci di Panduan Pengembang.AWS Key Management Service
Untuk informasi selengkapnya tentang kunci, lihat kunci AWS KMS di Panduan AWS Key Management Service Pengembang.

Mengakses editor kueri v2

Untuk mengakses editor kueri v2, Anda memerlukan izin. Administrator dapat melampirkan salah satu kebijakan AWS terkelola berikut ke peran untuk memberikan izin. (Kami merekomendasikan untuk melampirkan kebijakan ke peran IAM dan menetapkan peran tersebut kepada pengguna.) Kebijakan AWS terkelola ini ditulis dengan opsi berbeda yang mengontrol bagaimana sumber daya penandaan memungkinkan berbagi kueri. Anda dapat menggunakan konsol IAM (https://console.aws.amazon.com/iam/) untuk melampirkan kebijakan IAM.

AmazonRedshiftQueryEditorV2 FullAccess - Memberikan akses penuh ke operasi dan sumber daya editor kueri Amazon Redshift v2. Kebijakan ini juga memberikan akses ke layanan lain yang diperlukan.
AmazonRedshiftQueryEditorV2 NoSharing - Memberikan kemampuan untuk bekerja dengan editor kueri Amazon Redshift v2 tanpa berbagi sumber daya. Kebijakan ini juga memberikan akses ke layanan lain yang diperlukan.
AmazonRedshiftQueryEditorV2 ReadSharing - Memberikan kemampuan untuk bekerja dengan editor kueri Amazon Redshift v2 dengan berbagi sumber daya yang terbatas. Prinsipal yang diberikan dapat membaca sumber daya yang dibagikan dengan timnya tetapi tidak dapat memperbaruinya. Kebijakan ini juga memberikan akses ke layanan lain yang diperlukan.
AmazonRedshiftQueryEditorReadWriteBerbagi V2 - Memberikan kemampuan untuk bekerja dengan editor kueri Amazon Redshift v2 dengan berbagi sumber daya. Kepala sekolah yang diberikan dapat membaca dan memperbarui sumber daya yang dibagikan dengan timnya. Kebijakan ini juga memberikan akses ke layanan lain yang diperlukan.

Anda juga dapat membuat kebijakan sendiri berdasarkan izin yang diizinkan dan ditolak dalam kebijakan terkelola yang disediakan. Jika Anda menggunakan editor kebijakan konsol IAM untuk membuat kebijakan Anda sendiri, pilih SQL Workbench sebagai layanan yang Anda buat kebijakan di editor visual. Query editor v2 menggunakan nama layanan AWS SQL Workbench di editor visual dan IAM Policy Simulator.

Untuk prinsipal (pengguna dengan peran IAM yang ditetapkan) untuk terhubung ke klaster Amazon Redshift, mereka memerlukan izin di salah satu kebijakan terkelola editor kueri v2. Mereka juga membutuhkan redshift:GetClusterCredentials izin ke cluster. Untuk mendapatkan izin ini, seseorang dengan izin administratif dapat melampirkan kebijakan ke peran IAM yang digunakan untuk terhubung ke klaster dengan menggunakan kredenal sementara. Anda dapat membuat cakupan kebijakan ke kluster tertentu atau lebih umum. Untuk informasi selengkapnya tentang izin untuk menggunakan kredensil sementara, lihat Membuat peran IAM atau pengguna dengan izin untuk menelepon. GetClusterCredentials

Untuk prinsipal (biasanya pengguna dengan peran IAM yang ditetapkan) untuk mengaktifkan kemampuan di halaman Pengaturan akun untuk orang lain di akun ke set hasil Ekspor, mereka memerlukan sqlworkbench:UpdateAccountExportSettings izin yang dilampirkan peran tersebut. Izin ini termasuk dalam kebijakan AmazonRedshiftQueryEditorV2FullAccess AWS terkelola.

Karena fitur baru ditambahkan ke editor kueri v2, kebijakan AWS terkelola diperbarui sesuai kebutuhan. Jika Anda membuat kebijakan sendiri berdasarkan izin yang diizinkan dan ditolak dalam kebijakan terkelola yang disediakan, edit kebijakan Anda agar tetap up to date dengan perubahan pada kebijakan terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola di Amazon Redshift, lihat. AWS kebijakan terkelola untuk Amazon Redshift

Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:

Pengguna dan grup di AWS IAM Identity Center:

Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
Pengguna yang dikelola di IAM melalui penyedia identitas:

Buat peran untuk federasi identitas. Ikuti instruksi dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.
Pengguna IAM:
- Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam Membuat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
- (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti instruksi dalam Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.

catatan

Jika AWS IAM Identity Center administrator menghapus semua asosiasi set izin untuk set izin tertentu di seluruh akun, akses ke sumber daya editor kueri yang awalnya terkait dengan kumpulan izin yang dihapus tidak lagi dapat diakses. Jika nanti izin yang sama dibuat ulang, pengenal internal baru dibuat. Karena pengenal internal telah berubah, akses ke sumber daya editor kueri yang sebelumnya dimiliki oleh pengguna tidak dapat diakses. Sebaiknya sebelum administrator menghapus set izin, pengguna izin tersebut menetapkan sumber daya editor kueri ekspor seperti buku catatan dan kueri sebagai cadangan.

Menyiapkan tag utama untuk menghubungkan cluster atau workgroup dari editor kueri v2

Untuk terhubung ke klaster atau grup kerja menggunakan opsi pengguna federasi, siapkan peran IAM Anda atau pengguna dengan tag utama. Atau, atur penyedia identitas Anda (iDP) untuk masuk RedshiftDbUser dan (opsional). RedshiftDbGroups Untuk informasi selengkapnya tentang menggunakan IAM untuk mengelola tag, lihat Melewati tag sesi AWS Security Token Service di Panduan Pengguna IAM. Untuk mengatur akses menggunakan AWS Identity and Access Management, administrator dapat menambahkan tag menggunakan konsol IAM (https://console.aws.amazon.com/iam/).

Untuk menambahkan tag utama ke peran IAM

Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Pilih Peran di panel navigasi.
Pilih peran yang memerlukan akses ke editor kueri v2 menggunakan pengguna federasi.
Pilih tab Tanda.
Pilih tag Kelola.
Pilih Tambah tag dan masukkan Kunci sebagai RedshiftDbUser dan masukkan Nilai nama pengguna federasi.
Secara opsional pilih Tambahkan tag dan masukkan Kunci sebagai RedshiftDbGroups dan masukkan Nilai nama grup untuk dikaitkan dengan pengguna.
Pilih Simpan perubahan untuk melihat daftar tag yang terkait dengan peran IAM yang Anda pilih. Menyebarkan perubahan mungkin memakan waktu beberapa detik.
Untuk menggunakan pengguna federasi, segarkan halaman v2 editor kueri Anda setelah perubahan disebarkan.

Siapkan penyedia identitas Anda (iDP) untuk meneruskan tag utama

Prosedur untuk mengatur tag menggunakan penyedia identitas (iDP) bervariasi menurut IDP. Lihat dokumentasi IDP Anda untuk petunjuk tentang cara meneruskan informasi pengguna dan grup ke atribut SAMP. Ketika dikonfigurasi dengan benar, atribut berikut muncul dalam respons SAMP Anda yang digunakan oleh AWS Security Token Service untuk mengisi tag utama untuk RedshiftDbUser dan. RedshiftDbGroups


<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser">
    <AttributeValue>db-user-name</AttributeValue>
</Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups">
    <AttributeValue>db-groups</AttributeValue>
</Attribute>

Db_groups opsional harus berupa daftar yang dipisahkan titik dua seperti. group1:group2:group3

Selain itu, Anda dapat mengatur TransitiveTagKeys atribut untuk mempertahankan tag selama rantai peran.


<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys">
  <AttributeValue>RedshiftDbUser</AttributeValue>
  <AttributeValue>RedshiftDbGroups</AttributeValue>
</Attribute>

Untuk informasi selengkapnya tentang menyiapkan editor kueri v2, lihatIzin yang diperlukan untuk menggunakan editor kueri v2 .

Untuk informasi tentang cara mengatur Layanan Federasi Direktori Aktif (AD FS), lihat posting blog: Akses federasi ke editor kueri Amazon Redshift v2 dengan Layanan Federasi Direktori Aktif (AD FS).

Untuk informasi tentang cara mengatur Okta, lihat posting blog: Akses masuk tunggal federasi ke editor kueri Amazon Redshift v2 dengan Okta.

catatan

Saat Anda terhubung ke klaster atau grup kerja menggunakan opsi koneksi pengguna Federasi dari editor kueri v2, Penyedia Identitas (iDP) dapat menyediakan tag utama khusus untuk dan. RedshiftDbUser RedshiftDbGroups Saat ini, AWS IAM Identity Center dosesn tidak mendukung tag utama khusus yang diteruskan langsung ke editor kueri v2.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengkueri database menggunakan editor kueri Amazon Redshift v2

Bekerja dengan editor kueri v2