Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione del Account AWS
Quando scegli l'editor di query v2 dalla console Amazon Redshift, si apre una nuova scheda del browser con l'interfaccia dell'editor di query v2. Con le autorizzazioni appropriate, puoi accedere ai dati in un cluster o gruppo di lavoro Amazon Redshift di Account AWS tua proprietà che si trova attualmente. Regione AWS
La prima volta che un amministratore configura l'editor di query v2 per te Account AWS, sceglie AWS KMS key quello da utilizzare per crittografare le risorse dell'editor di query v2. Per impostazione predefinita, viene utilizzata una chiave AWS proprietaria per crittografare le risorse. In alternativa, un amministratore può utilizzare una chiave gestita dal cliente scegliendo l'ARN (Amazon Resource Name) per la chiave nella pagina di configurazione. Dopo aver configurato un account, le impostazioni di AWS KMS crittografia non possono essere modificate. Per ulteriori informazioni sulla creazione e l'utilizzo di una chiave gestita dal cliente con l'editor di query v2, consultare Creazione di una chiave gestita dal AWS KMS cliente da utilizzare con Query Editor v2. L'amministratore può anche scegliere facoltativamente S3 bucket (Bucket S3) e un percorso utilizzati per alcune funzionalità, come il caricamento di dati da un file. Per ulteriori informazioni, consulta Caricamento di dati da una configurazione di file e da un flusso di lavoro locali.
L'editor di query v2 di Amazon Redshift supporta l'autenticazione, la crittografia, l'isolamento e la conformità per mantenere al sicuro i dati a riposo e i dati in transito. Per ulteriori informazioni sulla sicurezza dei dati e sull'editor di query v2, consultare:
AWS CloudTrail acquisisce le chiamate API e gli eventi correlati effettuati da o per conto tuo Account AWS e invia i file di log a un bucket Amazon S3 da te specificato. Puoi identificare quali utenti e account hanno chiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. Per ulteriori informazioni su come l'editor di query V2 funziona su AWS CloudTrail, consulta Registrazione con CloudTrail. Per ulteriori informazioni in merito CloudTrail, consulta la Guida AWS CloudTrail per l'utente.
L'editor di query v2 ha quote regolabili per alcune delle sue risorse. Per ulteriori informazioni, consulta Quote per gli oggetti Amazon Redshift.
Risorse create con l'editor di query v2
All'interno dell'editor di query v2, è possibile creare risorse come query e grafici salvati. Tutte le risorse nell'editor di query v2 sono associate a un utente o un ruolo IAM. Consigliamo di collegare le policy a un ruolo IAM e di assegnare il ruolo a un utente.
Nell'editor di query v2, è possibile aggiungere e rimuovere tag per query e grafici salvati. È possibile utilizzare questi tag quando si impostano criteri IAM personalizzati o per cercare risorse. Puoi anche gestire i tag utilizzando il AWS Resource Groups Tag Editor.
Puoi configurare i ruoli IAM con le policy IAM per condividere le query con altri membri del Regione AWS tuo stesso account Account AWS in.
Creazione di una chiave gestita dal AWS KMS cliente da utilizzare con Query Editor v2
Per creare una chiave di crittografia simmetrica gestita dal cliente:
È possibile creare una chiave di crittografia simmetrica gestita dal cliente per crittografare le risorse dell'editor di query v2 utilizzando le operazioni della AWS KMS console o dell'API. AWS KMS Per istruzioni sulla creazione di una chiave, consulta Creazione di una chiave di crittografia AWS KMS simmetrica nella Guida per gli sviluppatori.AWS Key Management Service
Policy della chiave
Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestire l'accesso alle AWS KMS chiavi nella Guida per gli AWS Key Management Service sviluppatori.
Per utilizzare la chiave gestita dal cliente con Amazon Redshift query editor v2, è necessario che le seguenti operazioni API siano consentite nella policy chiave:
kms:GenerateDataKey— Genera una chiave dati simmetrica univoca per crittografare i tuoi dati.kms:Decrypt— Decritta i dati crittografati con la chiave gestita dal cliente.kms:DescribeKey— Fornisce i dettagli della chiave gestiti dal cliente per consentire al servizio di convalidare la chiave.
Di seguito è riportato un esempio di AWS KMS politica per Account AWS 111122223333. Nella prima sezione, il kms:ViaService limita l'uso della chiave al servizio dell'editor di query v2 (che è denominato sqlworkbench. nella policy). L' Account AWS utilizzo della chiave deve essereregion.amazonaws.com111122223333. Nella seconda sezione, l'utente root e gli amministratori chiave di Account AWS 111122223333 possono accedere alla chiave.
Quando si crea un account Account AWS, si inizia con un'unica identità di accesso che ha accesso completo a tutte Servizi AWS le risorse dell'account. Questa identità è denominata utente Account AWS root ed è accessibile effettuando l'accesso con l'indirizzo e-mail e la password utilizzati per creare l'account. Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzale per eseguire le operazioni che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono l'accesso come utente root, consulta la sezione Attività che richiedono le credenziali dell'utente root nella Guida per l'utente IAM.
{ "Version": "2012-10-17", "Id": "key-consolepolicy", "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "sqlworkbench.region.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" } ] }
Le seguenti risorse forniscono ulteriori informazioni sulle AWS KMS chiavi:
Per ulteriori informazioni sulle AWS KMS politiche, vedere Specificare le autorizzazioni in una politica nella Guida per gli AWS Key Management Service sviluppatori.
Per informazioni sulla risoluzione dei problemi relativi alle AWS KMS politiche, consulta Risoluzione dei problemi di accesso tramite chiave nella Guida per gli AWS Key Management Service sviluppatori.
Per ulteriori informazioni sulle chiavi, consultare Chiavi KMS AWS nella Guida per gli sviluppatori di AWS Key Management Service .
Accesso all'editor di query v2
Per accedere all'editor di query v2, sono necessarie le opportune autorizzazioni. Un amministratore può allegare una delle seguenti politiche AWS gestite al ruolo per concedere l'autorizzazione. Consigliamo di collegare le policy a un ruolo IAM e di assegnare il ruolo a un utente. Queste politiche AWS gestite sono scritte con diverse opzioni che controllano il modo in cui l'etichettatura delle risorse consente la condivisione delle query. Per collegare le policy IAM è possibile utilizzare la console IAM all'indirizzo https://console.aws.amazon.com/iam/
-
AmazonRedshiftQueryEditorV2 FullAccess — Garantisce l'accesso completo alle operazioni e alle risorse dell'editor di query Amazon Redshift v2. Questa policy inoltre garantisce l'accesso ad altri servizi richiesti.
-
AmazonRedshiftQueryEditorV2 NoSharing: consente di lavorare con Amazon Redshift Query Editor v2 senza condividere risorse. Questa policy inoltre garantisce l'accesso ad altri servizi richiesti.
-
AmazonRedshiftQueryEditorV2 ReadSharing — Garantisce la possibilità di lavorare con Amazon Redshift Query Editor v2 con una condivisione limitata delle risorse. Il principale concesso può leggere le risorse condivise con il suo team ma non può aggiornarle. Questa policy inoltre garantisce l'accesso ad altri servizi richiesti.
-
AmazonRedshiftQueryEditorReadWriteCondivisione V2: consente di lavorare con Amazon Redshift Query Editor v2 con condivisione di risorse. Il principale concesso può leggere e aggiornare le risorse condivise con il suo team. Questa policy inoltre garantisce l'accesso ad altri servizi richiesti.
Puoi anche creare una policy in base alle autorizzazioni consentite e negate nelle policy gestite fornite. Se si utilizza l'editor policy della console IAM per creare le proprie policy, scegliereSQL Workbench come servizio per il quale si crea la policy nell'editor visivo. L'editor di query v2 utilizza il nome del servizio SQL Workbench di AWS nell'editor visivo e nel simulatore di policy IAM.
Affinché un principale (un utente con un ruolo IAM assegnato) si connetta a un cluster di Amazon Redshift, deve disporre delle autorizzazioni in una delle policy gestite dell'editor di query v2. Hanno anche bisogno dell'autorizzazione redshift:GetClusterCredentials per il cluster. Per ottenere questa autorizzazione, un utente con autorizzazione amministrativa può collegare una policy ai ruoli IAM utilizzati per la connessione al cluster utilizzando le credenziali temporanee. È possibile assegnare la policy a cluster specifici o essere più generici. Per ulteriori informazioni sull'autorizzazione all'uso di credenziali temporanee, consulta Creare un ruolo o un utente IAM con autorizzazioni di chiamata. GetClusterCredentials
Affinché un principale (un utente IAM con un ruolo IAM assegnato) attivi la possibilità nella pagina Impostazioni dell'account per altri nell'account impostando Esporta set di risultati, ha bisogno dell'autorizzazione sqlworkbench:UpdateAccountExportSettings collegata al ruolo. Questa autorizzazione è inclusa nella politica AmazonRedshiftQueryEditorV2FullAccess AWS gestita.
Man mano che vengono aggiunte nuove funzionalità all'editor di query v2, le politiche AWS gestite vengono aggiornate in base alle esigenze. Se crei policy in base alle autorizzazioni consentite e negate nelle policy gestite fornite, assicurati di includere nelle tue policy le modifiche apportate alle policy gestite. Per ulteriori informazioni sulle policy gestite in Amazon Redshift, consultare AWS politiche gestite per Amazon Redshift.
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.
-
Utenti IAM:
-
Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.
-
Nota
Se un amministratore AWS IAM Identity Center rimuove tutte le associazioni per un determinato set di autorizzazioni nell'intero account, l'accesso a tutte le risorse dell'editor di query originariamente associate al set di autorizzazioni rimosso non è più disponibile. Se in seguito vengono ricreate le stesse autorizzazioni, viene creato un nuovo identificatore interno. Poiché l'identificatore interno è cambiato, non è possibile accedere alle risorse dell'editor di query precedentemente di proprietà di un utente. Prima che gli amministratori eliminino un set di autorizzazioni, si consiglia agli utenti di tale set di autorizzazioni di esportare in un backup le risorse dell'editor di query, ad esempio notebook e query.
Configurazione dei tag principali per la connessione a un cluster o un gruppo di lavoro dall'editor di query v2
Per connettersi al cluster o al gruppo di lavoro utilizzando l'opzione utente federato, imposta l'utente o il ruolo IAM con i tag principali. In alternativa, configura il gestore dell'identità digitale (IdP) per passare in RedshiftDbUser e (facoltativamente) in RedshiftDbGroups. Per ulteriori informazioni sull'utilizzo di IAM per gestire i tag, consulta Passare i tag di sessione in AWS Security Token Service nella Guida per l'utente IAM. Per configurare l'accesso utilizzando AWS Identity and Access Management, un amministratore può aggiungere tag utilizzando la console IAM (https://console.aws.amazon.com/iam/
Come aggiungere tag principali a un ruolo IAM
Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. Nel riquadro di navigazione scegliere Roles (Ruoli).
Scegli il ruolo che deve accedere all'editor di query v2 utilizzando un utente federato.
Seleziona la scheda Tags (Tag).
Scegliere Manage tags (Gestisci tag).
Scegli Add tag (Aggiungi tag), immetti la Key (Chiave) come
RedshiftDbUsere immetti un Value (Valore) del nome utente federato.Facoltativamente, scegli Add tag (Aggiungi tag), immetti la Key (Chiave) come
RedshiftDbGroupse immetti un Value (Valore) del nome del gruppo da associare all'utente.Scegli Save changes (Salva le modifiche) per visualizzare l'elenco dei tag associati al ruolo IAM scelto. La propagazione delle modifiche potrebbe richiedere alcuni secondi.
Per utilizzare l'utente federato, aggiorna la pagina dell'editor di query v2 dopo la propagazione delle modifiche.
Configurazione del gestore dell'identità digitale (IdP) per passare i tag principali
La procedura per configurare i tag utilizzando un gestore dell'identità digitale (IdP) varia in base all'IdP. Consulta la documentazione IdP per istruzioni su come trasferire le informazioni di utente e gruppo agli attributi SAML. Se configurati correttamente, i seguenti attributi vengono visualizzati nella risposta SAML che viene utilizzata da AWS Security Token Service per compilare i tag principali per RedshiftDbUser e. RedshiftDbGroups
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser"> <AttributeValue>db-user-name</AttributeValue> </Attribute> <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups"> <AttributeValue>db-groups</AttributeValue> </Attribute>
L'opzionale db_groups deve essere un elenco separato da due punti come group1:group2:group3.
Inoltre, è possibile impostare l'opzione TransitiveTagKeys per conservare i tag durante il concatenamento dei ruoli.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys"> <AttributeValue>RedshiftDbUser</AttributeValue> <AttributeValue>RedshiftDbGroups</AttributeValue> </Attribute>
Per ulteriori informazioni su come impostare l'editor di query v2, consulta Autorizzazioni necessarie per utilizzare l'editor della query v2 .
Per informazioni su come configurare Active Directory Federation Services (AD FS), consulta il post del blog: Federate access to Amazon Redshift query editor v2 with Active Directory Federation Services (AD FS)
Per informazioni su come configurare Okta, consulta il post del blog: Federate single sign-on access to Amazon Redshift query editor v2 with Okta
Nota
Quando ti connetti al cluster o al gruppo di lavoro utilizzando l'opzione di connessione Utente federato dell'editor di query v2, il gestore dell'identità digitale può fornire tag principali personalizzati per RedshiftDbUser e RedshiftDbGroups. Attualmente, AWS IAM Identity Center non supporta il passaggio di tag principali personalizzati direttamente all'editor di query v2.
