Autorizzazione delle connessioni da Amazon QuickSight ai cluster Amazon Redshift - Amazon QuickSight
Abilitare la propagazione affidabile delle identità con Amazon RedshiftAbilitazione manuale dell'accesso a un cluster Amazon Redshift in un VPCAbilitazione dell'accesso ad Amazon Redshift Spectrum

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazione delle connessioni da Amazon QuickSight ai cluster Amazon Redshift

   Si applica a: Enterprise Edition e Standard Edition 
   Destinatari: amministratori di sistema 

Puoi fornire l'accesso ai dati di Amazon Redshift utilizzando tre metodi di autenticazione: propagazione dell'identità affidabile, ruolo IAM run-as o credenziali del database Amazon Redshift.

Con la propagazione affidabile delle identità, l'identità di un utente viene trasmessa ad Amazon Redshift con Single Sign-On gestito da IAM Identity Center. L'identità di un utente che accede a QuickSight una dashboard viene propagata su Amazon Redshift. In Amazon Redshift, le autorizzazioni granulari relative ai dati vengono applicate ai dati prima che questi vengano presentati all'utente in una QuickSight risorsa. QuickSight gli autori possono anche connettersi alle fonti di dati Amazon Redshift senza inserire una password o un ruolo IAM. Se si utilizza Amazon Redshift Spectrum, tutta la gestione delle autorizzazioni è centralizzata in Amazon Redshift. La propagazione affidabile delle identità è supportata quando QuickSight Amazon Redshift utilizza la stessa istanza organizzativa di IAM Identity Center. La propagazione affidabile delle identità non è attualmente supportata per le seguenti funzionalità.

  • SPICEset di dati

  • SQL personalizzato su fonti di dati

  • Avvisi

  • Rapporti via e-mail

  • Amazon QuickSight Q

  • Esportazioni in formato CSV, Excel e PDF

  • Rilevamento anomalie

Affinché Amazon possa connettersi QuickSight a un'istanza Amazon Redshift, devi creare un nuovo gruppo di sicurezza per quell'istanza. Questo gruppo di sicurezza contiene una regola in entrata che autorizza l'accesso dall'intervallo di indirizzi IP appropriato per i QuickSight server Amazon in esso contenuti. Regione AWS Per ulteriori informazioni sull'autorizzazione delle QuickSight connessioni Amazon, consultaAbilitazione manuale dell'accesso a un cluster Amazon Redshift in un VPC.

L'abilitazione della connessione dai QuickSight server Amazon al cluster è solo uno dei numerosi prerequisiti per la creazione di un set di dati basato su un'origine dati del AWS database. Per ulteriori informazioni sulle autorizzazioni richieste, consulta Creazione di set di dati da nuove origini dati di database.

Abilitare la propagazione affidabile delle identità con Amazon Redshift

La propagazione affidabile delle identità autentica l'utente finale in Amazon Redshift quando accede a QuickSight risorse che sfruttano un'origine dati affidabile abilitata alla propagazione delle identità. Quando un autore crea un'origine dati con una propagazione dell'identità affidabile, l'identità dell'utente della fonte di dati utilizzata viene propagata e registrata. QuickSight CloudTrail Ciò consente agli amministratori di database di gestire centralmente la sicurezza dei dati in Amazon Redshift e di applicare automaticamente tutte le regole di sicurezza dei dati ai consumatori di dati in. QuickSight Con altri metodi di autenticazione, le autorizzazioni relative ai dati dell'autore che ha creato l'origine dati vengono applicate a tutti i consumatori di fonti di dati. L'autore dell'origine dati può scegliere di applicare una sicurezza aggiuntiva a livello di riga e colonna alle origini dati che crea in Amazon QuickSight.

Le fonti di dati affidabili per la propagazione delle identità sono supportate solo nei set di dati Direct Query. SPICEI set di dati attualmente non supportano la propagazione affidabile delle identità.

Prerequisiti

Prima di iniziare, assicurati di avere pronti tutti i prerequisiti richiesti.

  • La propagazione affidabile delle identità è supportata solo per QuickSight gli account integrati con IAM Identity Center. Per ulteriori informazioni, consulta Configura il tuo QuickSight account Amazon con IAM Identity Center.

  • Un'applicazione Amazon Redshift integrata con IAM Identity Center. Il cluster Amazon Redshift che utilizzi deve appartenere alla stessa organizzazione dell' QuickSight account che desideri utilizzare. AWS Organizations Il cluster deve inoltre essere configurato con la stessa istanza organizzativa in IAM Identity Center su cui è configurato il tuo QuickSight account. Per ulteriori informazioni sulla configurazione di un cluster Amazon Redshift, consulta Integrating IAM Identity Center.

Abilitare la propagazione affidabile delle identità in QuickSight

Per configurare la connessione QuickSight a sorgenti di dati Amazon Redshift con propagazione affidabile delle identità, configura gli ambiti OAuth di Amazon Redshift sul tuo account. QuickSight

Per aggiungere un ambito che QuickSight consenta di autorizzare la propagazione dell'identità su Amazon Redshift, specifica Account AWS l'ID dell'account e QuickSight il servizio con cui desideri autorizzare la propagazione dell'identità, in questo caso. 'REDSHIFT'

Specificate l'ARN dell'applicazione IAM Identity Center del cluster Amazon Redshift a cui state autorizzando QuickSight Amazon a propagare le identità degli utenti. Queste informazioni sono disponibili nella console Amazon Redshift. Se non specifichi obiettivi autorizzati per l'ambito di Amazon Redshift, QuickSight autorizza gli utenti di qualsiasi cluster Amazon Redshift che condivide la stessa istanza di IAM Identity Center. L'esempio seguente configura la connessione QuickSight a sorgenti di dati Amazon Redshift con una propagazione di identità affidabile.

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

L'esempio seguente elimina gli ambiti OAuth da un account. QuickSight 

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

L'esempio seguente elenca tutti gli ambiti OAuth attualmente presenti su un account. QuickSight 

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

Connessione ad Amazon Redshift con propagazione affidabile delle identità

Utilizza la procedura riportata di seguito per connetterti alla propagazione delle identità affidabili di Amazon Redshift.

Per connettersi ad Amazon Redshift con una propagazione affidabile delle identità

  1. Crea un nuovo set di dati in Amazon QuickSight. Per ulteriori informazioni sulla creazione di un set di dati, consulta. Creazione di dataset

  2. Scegli Amazon Redshift come fonte di dati per il nuovo set di dati.

    Nota

    Il tipo di autenticazione di una fonte di dati esistente non può essere modificato in propagazione di identità affidabili

  3. Scegli IAM Identity Center come opzione di identità per l'origine dati, quindi scegli Crea origine dati.

Abilitazione manuale dell'accesso a un cluster Amazon Redshift in un VPC

 Si applica a: Enterprise Edition 

Utilizza la seguente procedura per abilitare QuickSight l'accesso di Amazon a un cluster Amazon Redshift in un VPC.

Per consentire QuickSight l'accesso di Amazon a un cluster Amazon Redshift in un VPC

  1. Accedi AWS Management Console e apri la console Amazon Redshift all'indirizzo https://console.aws.amazon.com/redshiftv2/.

  2. Passa al cluster che desideri rendere disponibile in Amazon QuickSight.

  3. Nella sezione Proprietà del cluster, trova Port. Prendere nota del valore per Port (Porta).

  4. Nella sezione Cluster Properties (Proprietà cluster) individuare VPC ID (ID VPC) e prendere nota del valore VPC ID (ID VPC). Scegli VPC ID per aprire la console Amazon VPC.

  5. Sulla console Amazon VPC, scegli Security Groups nel pannello di navigazione.

  6. Scegli Crea gruppo di sicurezza.

  7. Nella pagina Create Security Group (Crea gruppo di sicurezza) immettere le informazioni sul gruppo di sicurezza come descritto di seguito:

    • In Security group name (Nome gruppo di sicurezza) immettere redshift-security-group.

    • Per Descrizione, inserisci redshift-security-group.

    • Per VPC, scegli il VPC per il tuo cluster Amazon Redshift. Questo VPC è quello associato all'ID VPC precedentemente annotato.

  8. Scegliere Create Security Group (Crea gruppo di sicurezza).

    Dovrebbe essere visualizzato il nuovo gruppo di sicurezza.

  9. Crea un secondo gruppo di sicurezza con le seguenti proprietà.

    • In Security group name (Nome gruppo di sicurezza) immettere quicksight-security-group.

    • Per Descrizione, inserisci quicksight-security-group.

    • Per VPC, scegli il VPC per il tuo cluster Amazon Redshift. Questo VPC è quello associato all'ID VPC precedentemente annotato.

  10. Scegliere Create Security Group (Crea gruppo di sicurezza).

  11. Dopo aver creato i nuovi gruppi di sicurezza, crea regole in entrata per i nuovi gruppi.

    Scegli il nuovo gruppo redshift-security-group di sicurezza e inserisci i seguenti valori.

    • Per Tipo, scegli Amazon Redshift.

    • Per Protocol (Protocollo), selezionare TCP.

    • Per Intervallo di porte, immettere il numero di porta del cluster Amazon Redshift a cui si desidera fornire l'accesso. Si tratta del numero di porta annotato in un passaggio precedente.

    • Per Source, inserisci l'ID del gruppo di sicurezza diquicksight-security-group.

  12. Selezionare Save rules (Salva regole) per salvare la nuova regola in entrata.

  13. Ripetete il passaggio precedente per quicksight-security-group e immettete i seguenti valori.

    • In Type (Tipo), selezionare All traffic (Tutto il traffico).

    • Per Protocollo, scegliete Tutto.

    • Per Port Range, scegli Tutto.

    • Per Source, inserisci l'ID del gruppo di sicurezza diredshift-security-group.

  14. Selezionare Save rules (Salva regole) per salvare la nuova regola in entrata.

  15. In QuickSight, vai al QuickSight menu Gestisci.

  16. Scegli Gestisci connessioni VPC, quindi scegli Aggiungi connessione VPC.

  17. Configura la nuova connessione VPC con i seguenti valori.

    • Per il nome della connessione VPC, scegli un nome significativo per la connessione VPC.

    • Per l'ID VPC, scegli il VPC in cui si trova il cluster Amazon Redshift.

    • Per Subnet ID, scegli la sottorete per la zona di disponibilità (AZ) utilizzata per Amazon Redshift.

    • Per l'ID del gruppo di sicurezza, copia e incolla l'ID del gruppo di sicurezza per. quicksight-security-group

  18. Scegli Crea. La generazione del nuovo VPC potrebbe richiedere alcuni minuti.

  19. Nella console Amazon Redshift, accedi al cluster redshift-security-group Amazon Redshift configurato per. Scegli Proprietà. In Impostazioni di rete e sicurezza, inserisci il nome del gruppo di sicurezza.

  20. In QuickSight, scegli Set di dati, quindi scegli Nuovo set di dati. Crea un nuovo set di dati con i seguenti valori.

    • Per l'origine dei dati, scegli Amazon Redshift Auto-discovered.

    • Assegna un nome significativo alla fonte di dati.

    • L'ID dell'istanza dovrebbe essere compilato automaticamente con la connessione VPC in cui hai creato. QuickSight Se l'ID dell'istanza non viene compilato automaticamente, scegli il VPC che hai creato dall'elenco a discesa.

    • Inserisci le credenziali del database. Se il tuo QuickSight account utilizza la propagazione affidabile delle identità, scegli Single sign-on.

  21. Convalida la connessione, quindi scegli Crea origine dati.

Se desideri limitare ulteriormente le regole in uscita predefinite, aggiorna la regola in uscita di quicksight-security-group per consentire solo il traffico di Amazon Redshift. redshift-security-group Puoi anche eliminare la regola in uscita che si trova in. redshift-security-group

Abilitazione dell'accesso ad Amazon Redshift Spectrum

Utilizzando Amazon Redshift Spectrum, puoi connettere QuickSight Amazon a un catalogo esterno con Amazon Redshift. Ad esempio, puoi accedere al catalogo Amazon Athena. Puoi quindi interrogare dati non strutturati sul tuo data lake Amazon S3 utilizzando un cluster Amazon Redshift anziché il motore di query Athena.

Puoi inoltre combinare set di dati contenenti i dati archiviati in Amazon Redshift e in S3. È quindi possibile accedervi tramite la sintassi SQL in Amazon Redshift.

Dopo aver registrato il tuo catalogo di dati (per Athena) o lo schema esterno (per un metastore Hive), puoi utilizzare Amazon per scegliere lo schema esterno e le QuickSight tabelle Amazon Redshift Spectrum. Questo processo funziona esattamente come per qualsiasi altra tabella Amazon Redshift nel cluster. Non è necessario caricare o trasformare i dati.

Per ulteriori informazioni sull'utilizzo di Amazon Redshift Spectrum, consulta Utilizzo di Amazon Redshift Spectrum per eseguire query su dati esterni nella Guida per gli sviluppatori di Amazon Redshift.

Per stabilire una connessione mediante Redshift Spectrum, completa le seguenti operazioni:

  • Crea o identifica un ruolo IAM associato al cluster Amazon Redshift.

  • Aggiungere le policy IAM AmazonS3ReadOnlyAccess e AmazonAthenaFullAccess al ruolo IAM.

  • Registrare uno schema o un catalogo di dati esterno per le tabelle che desideri utilizzare.

Redshift Spectrum ti consente di separare lo storage dall'elaborazione, in modo da dimensionarli separatamente. Paghi solo le query che esegui.

Per connetterti alle tabelle Redshift Spectrum, non è necessario concedere ad Amazon QuickSight l'accesso ad Amazon S3 o Athena. Amazon QuickSight deve accedere solo al cluster Amazon Redshift. Per tutti i dettagli sulla configurazione di Redshift Spectrum, consulta Nozioni di base su Amazon Redshift Spectrum nella Guida per gli sviluppatori di Amazon Redshift Database.