Creazione di un segreto e di un ruolo IAM per l'utilizzo di query federate

La procedura seguente mostra come creare un segreto e un ruolo IAM da utilizzare con le query federate.

Prerequisiti

Assicurati di disporre dei seguenti prerequisiti per creare un segreto e un ruolo IAM da utilizzare con la query federata:

• Una istanza database RDS PostgreSQL, Aurora PostgreSQL, RDS MySQL o Aurora MySQL con autenticazione con nome utente e password.

• Un cluster Amazon Redshift con una versione di manutenzione cluster che supporta query federate.

Per creare un segreto (nome utente e password) con AWS Secrets Manager

1. Accedi alla console Secrets Manager con l'account che possiede l'istanza del cluster RDS o Aurora DB.

2. Scegli Archivia un nuovo segreto.

3. Scegliere il riquadro Credenziali per il database RDS . Per Nome utente e Password, immettere i valori per l'istanza. Confermare o scegliere un valore per Chiave di crittografia. Quindi scegliere il database RDS a cui avrà accesso il segreto.

   Nota

   Consigliamo di utilizzare la chiave di crittografia predefinita (DefaultEncryptionKey). Se usi una chiave di crittografia personalizzata, è necessario aggiungere il ruolo IAM utilizzato per accedere al segreto come utente chiave.

4. Immettere un nome per il segreto, continuare con la procedura di creazione con le scelte predefinite e poi scegliere Archivia.

5. Visualizzare il segreto e prendere nota del valore ARN del segreto creato per identificare il segreto.

Per creare una policy di sicurezza utilizzando il segreto

1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Creare una policy con un codice JSON simile al seguente.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AccessSecret",
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetResourcePolicy",
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret",
                   "secretsmanager:ListSecretVersionIds"
               ],
               "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:my-rds-secret-VNenFy"
           },
           {
               "Sid": "VisualEditor1",
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetRandomPassword",
                   "secretsmanager:ListSecrets"
               ],
               "Resource": "*"
           }
       ]
   }

   Per recuperare il segreto sono necessarie operazioni di elenco e lettura. Si consiglia di limitare la risorsa al segreto specifico creato. A tale scopo, utilizzare l'Amazon Resource Name (ARN) del segreto per limitare la risorsa. È inoltre possibile specificare le autorizzazioni e le risorse utilizzando l'editor visivo nella console IAM.

3. Assegnare un nome alla policy e completare la creazione.

4. Passare a IAM roles (Ruoli IAM).

5. Creare un ruolo IAM per Redshift - Customizable (Redshift - Personalizzabile).

6. Collegare la policy IAM appena creata a un ruolo IAM esistente oppure creare un nuovo ruolo IAM a cui collegarla.

7. Nella scheda Trust relationships (Relazioni attendibili) del ruolo IAM confermare che il ruolo contenga l'entità di attendibilità redshift.amazonaws.com.

8. Prendere nota del Role ARN (Ruolo ARN) creato. Questo ARN ha accesso al segreto.

Come collegare il ruolo IAM al cluster Amazon Redshift

1. Accedi AWS Management Console e apri la console Amazon Redshift all'indirizzo https://console.aws.amazon.com/redshiftv2/.

2. Dal menu di navigazione, scegliere Clusters (Cluster). Sono elencati i cluster per il tuo account nella AWS regione corrente.

3. Per visualizzare ulteriori dettagli di un cluster, scegli il nome del cluster nell'elenco.

4. In Actions (Operazioni), scegliere Manage IAM roles (Gestisci ruoli IAM). Verrà visualizzata la pagina Manage IAM roles (Gestisci ruoli IAM).

5. Aggiungere il ruolo IAM al cluster.