Autorizando conexões da Amazon QuickSight para clusters do Amazon Redshift - Amazon QuickSight
Habilitando a propagação de identidade confiável com o Amazon RedshiftHabilitar manualmente o acesso a um cluster do Amazon Redshift em uma VPCHabilitar o acesso ao Amazon Redshift Spectrum

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autorizando conexões da Amazon QuickSight para clusters do Amazon Redshift

   Aplica-se a: Enterprise Edition e Standard Edition 
   Público-alvo: administradores de sistemas 

Você pode fornecer acesso aos dados do Amazon Redshift usando três métodos de autenticação: propagação de identidade confiável, função run-as IAM ou credenciais do banco de dados Amazon Redshift.

Com a propagação de identidade confiável, a identidade de um usuário é passada para o Amazon Redshift com login único gerenciado pelo IAM Identity Center. Um usuário que acessa um painel em QuickSight tem sua identidade propagada para o Amazon Redshift. No Amazon Redshift, permissões de dados refinadas são aplicadas aos dados antes que eles sejam apresentados em um QuickSight ativo ao usuário. QuickSight os autores também podem se conectar às fontes de dados do Amazon Redshift sem uma entrada de senha ou função do IAM. Se o Amazon Redshift Spectrum for usado, todo o gerenciamento de permissões será centralizado no Amazon Redshift. A propagação de identidade confiável é suportada quando QuickSight o Amazon Redshift usa a mesma instância organizacional do IAM Identity Center. Atualmente, a propagação de identidade confiável não é suportada pelos seguintes recursos.

  • SPICEconjuntos de dados

  • SQL personalizado em fontes de dados

  • Alertas

  • Relatórios por e-mail

  • Amazon QuickSight Q

  • Exportações de CSV, Excel e PDF

  • Detecção de anomalias

Para QuickSight que a Amazon se conecte a uma instância do Amazon Redshift, você deve criar um novo grupo de segurança para essa instância. Esse grupo de segurança contém uma regra de entrada que autoriza o acesso a partir do intervalo de endereços IP apropriado para QuickSight os servidores da Amazon. Região da AWS Para saber mais sobre como autorizar QuickSight conexões com a Amazon, consulteHabilitar manualmente o acesso a um cluster do Amazon Redshift em uma VPC.

Habilitar a conexão dos QuickSight servidores da Amazon com seu cluster é apenas um dos vários pré-requisitos para criar um conjunto de dados com base em uma fonte de dados de AWS banco de dados. Para obter mais informações o que é necessário, consulte Como criar conjuntos de dados de novas fontes de dados de bancos de dados.

Habilitando a propagação de identidade confiável com o Amazon Redshift

A propagação de identidade confiável autentica o usuário final no Amazon Redshift quando ele QuickSight acessa ativos que utilizam uma fonte de dados confiável habilitada para propagação de identidade. Quando um autor cria uma fonte de dados com propagação de identidade confiável, a identidade dos consumidores da fonte de dados QuickSight é propagada e conectada. CloudTrail Isso permite que os administradores de banco de dados gerenciem centralmente a segurança dos dados no Amazon Redshift e apliquem automaticamente todas as regras de segurança de dados aos consumidores de dados em. QuickSight Com outros métodos de autenticação, as permissões de dados do autor que criou a fonte de dados são aplicadas a todos os consumidores da fonte de dados. O autor da fonte de dados pode optar por aplicar segurança adicional em nível de linha e coluna às fontes de dados que eles criam na Amazon QuickSight.

Fontes de dados confiáveis de propagação de identidade são suportadas somente em conjuntos de dados do Direct Query. SPICENo momento, os conjuntos de dados não oferecem suporte à propagação de identidade confiável.

Pré-requisitos

Antes de começar, verifique se você tem todos os pré-requisitos necessários prontos.

  • A propagação de identidade confiável só é compatível com QuickSight contas integradas ao IAM Identity Center. Para ter mais informações, consulte Configure sua QuickSight conta da Amazon com o IAM Identity Center.

  • Um aplicativo do Amazon Redshift integrado ao IAM Identity Center. O cluster do Amazon Redshift que você usa deve estar na mesma organização da QuickSight conta que você deseja usar. AWS Organizations O cluster também deve ser configurado com a mesma instância da organização no IAM Identity Center para a qual sua QuickSight conta está configurada. Para obter mais informações sobre a configuração de um cluster do Amazon Redshift, consulte Integração do IAM Identity Center.

Habilitando a propagação de identidade confiável em QuickSight

QuickSight Para configurar a conexão com fontes de dados do Amazon Redshift com propagação de identidade confiável, configure os escopos do Amazon Redshift OAuth em sua conta. QuickSight

Para adicionar um escopo que permita QuickSight autorizar a propagação de identidade para o Amazon Redshift, especifique Conta da AWS o ID da conta e do QuickSight serviço com o qual você deseja autorizar a propagação de identidade, nesse caso. 'REDSHIFT'

Especifique o ARN do aplicativo IAM Identity Center do cluster Amazon Redshift para o qual você está autorizando a QuickSight Amazon a propagar identidades de usuário. Essas informações podem ser encontradas no console do Amazon Redshift. Se você não especificar destinos autorizados para o escopo do Amazon Redshift, QuickSight autorize usuários de qualquer cluster do Amazon Redshift que compartilhe a mesma instância do IAM Identity Center. O exemplo abaixo configura QuickSight a conexão com fontes de dados do Amazon Redshift com propagação de identidade confiável.

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

O exemplo a seguir exclui os escopos do OAuth de uma conta. QuickSight 

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

O exemplo a seguir lista todos os escopos do OAuth que estão atualmente em uma conta. QuickSight 

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

Conectando-se ao Amazon Redshift com propagação de identidade confiável

Use o procedimento abaixo para se conectar à propagação de identidade confiável do Amazon Redshift.

Para se conectar ao Amazon Redshift com propagação de identidade confiável

  1. Crie um novo conjunto de dados na Amazon QuickSight. Para obter mais informações sobre a criação de um conjunto de dados, consulteCriar conjuntos de dados.

  2. Escolha o Amazon Redshift como fonte de dados para o novo conjunto de dados.

    nota

    O tipo de autenticação de uma fonte de dados existente não pode ser alterado para propagação de identidade confiável

  3. Escolha o IAM Identity Center como a opção de identidade para a fonte de dados e, em seguida, escolha Criar fonte de dados.

Habilitar manualmente o acesso a um cluster do Amazon Redshift em uma VPC

 Aplica-se a: Enterprise Edition 

Use o procedimento a seguir para permitir que a Amazon QuickSight acesse um cluster do Amazon Redshift em uma VPC.

Para habilitar o QuickSight acesso da Amazon a um cluster do Amazon Redshift em uma VPC

  1. Faça login no AWS Management Console e abra o console do Amazon Redshift em https://console.aws.amazon.com/redshiftv2/.

  2. Navegue até o cluster que você deseja disponibilizar na Amazon QuickSight.

  3. Na seção Propriedades do cluster, localize Port. Anote o valor de Port.

  4. Localize VPC ID (ID da VPC) na seção Cluster Properties (Propriedades do cluster) e anote o valor do VPC ID (ID da VPC). Escolha VPC ID para abrir o console Amazon VPC.

  5. No console da Amazon VPC, escolha Security Groups no painel de navegação.

  6. Escolha Criar grupo de segurança.

  7. Na página Create Security Group, insira as informações do security group da seguinte forma:

    • Em Nome do grupo de segurança, insira redshift-security-group.

    • Em Descrição, insira redshift-security-group.

    • Para VPC, escolha a VPC para seu cluster Amazon Redshift. Essa é a VPC com o ID da VPC que você anotou.

  8. Escolha Create security group (Criar grupo de segurança).

    Seu novo grupo de segurança deve aparecer na tela.

  9. Crie um segundo grupo de segurança com as propriedades a seguir.

    • Em Nome do grupo de segurança, insira quicksight-security-group.

    • Em Descrição, insira quicksight-security-group.

    • Para VPC, escolha a VPC para seu cluster Amazon Redshift. Essa é a VPC com o ID da VPC que você anotou.

  10. Escolha Create security group (Criar grupo de segurança).

  11. Depois de criar os novos grupos de segurança, crie regras de entrada para os novos grupos.

    Escolha o novo grupo redshift-security-group de segurança e insira os valores a seguir.

    • Em Tipo, escolha Amazon Redshift.

    • Para Protocolo, escolha TCP.

    • Em Intervalo de portas, insira o número da porta do cluster do Amazon Redshift ao qual você está fornecendo acesso. Esse é o número de porta que você anotou em uma etapa anterior.

    • Em Origem, insira o ID do grupo de segurança dequicksight-security-group.

  12. Escolha Save rules (Salvar regras) para salvar sua nova regra de entrada.

  13. Repita a etapa anterior quicksight-security-group e insira os valores a seguir.

    • Para Tipo, escolha Todo o tráfego.

    • Em Protocolo, escolha Tudo.

    • Em Port Range, escolha All.

    • Em Origem, insira o ID do grupo de segurança deredshift-security-group.

  14. Escolha Save rules (Salvar regras) para salvar sua nova regra de entrada.

  15. Em QuickSight, navegue até o QuickSight menu Gerenciar.

  16. Escolha Gerenciar conexões VPC e, em seguida, escolha Adicionar conexão VPC.

  17. Configure a nova conexão VPC com os valores a seguir.

    • Para o nome da conexão VPC, escolha um nome significativo para a conexão VPC.

    • Para VPC ID, escolha a VPC na qual o cluster do Amazon Redshift existe.

    • Para ID de sub-rede, escolha a sub-rede para a zona de disponibilidade (AZ) que é usada para o Amazon Redshift.

    • Em ID do grupo de segurança, copie e cole a ID do grupo de segurança paraquicksight-security-group.

  18. Escolha Criar. Pode levar alguns minutos para que a nova VPC seja gerada.

  19. No console do Amazon Redshift, navegue até o cluster do Amazon Redshift redshift-security-group que está configurado para. Escolha Propriedades. Em Configurações de rede e segurança, insira o nome do grupo de segurança.

  20. Em QuickSight, escolha Conjuntos de dados e, em seguida, escolha Novo conjunto de dados. Crie um novo conjunto de dados com os valores a seguir.

    • Em Fonte de dados, escolha Amazon Redshift Auto-discovered.

    • Dê à fonte de dados um nome significativo.

    • O ID da instância deve ser preenchido automaticamente com a conexão VPC que você criou. QuickSight Se o ID da instância não for preenchido automaticamente, escolha a VPC que você criou na lista suspensa.

    • Insira as credenciais do banco de dados. Se sua QuickSight conta usa propagação de identidade confiável, escolha Login único.

  21. Valide a conexão e escolha Criar fonte de dados.

Se você quiser restringir ainda mais as regras de saída padrão, atualize a regra de saída de quicksight-security-group para permitir somente o tráfego do Amazon Redshift. redshift-security-group Você também pode excluir a regra de saída localizada noredshift-security-group.

Habilitar o acesso ao Amazon Redshift Spectrum

Usando o Amazon Redshift Spectrum, você pode conectar a QuickSight Amazon a um catálogo externo com o Amazon Redshift. Por exemplo, você pode acessar o catálogo do Amazon Athena. Depois, você pode consultar dados não estruturados no data lake do Amazon S3 usando um cluster do Amazon Redshift em vez do mecanismo de consulta do Athena.

Você também pode combinar conjuntos de dados que incluam dados armazenados no Amazon Redshift e no S3. Em seguida, você pode acessá-los usando a sintaxe SQL no Amazon Redshift.

Depois de registrar seu catálogo de dados (para Athena) ou esquema externo (para uma metastore do Hive), você pode usar a Amazon para escolher o esquema externo e as tabelas do Amazon QuickSight Redshift Spectrum. Esse processo funciona como qualquer outra tabela do Amazon Redshift no seu cluster. Você não precisa carregar ou transformar seus dados.

Para obter mais informações sobre como usar o Amazon Redshift Spectrum, consulte Consultar dados externos usando o Amazon Redshift Spectrum no Guia do desenvolvedor de banco de dados do Amazon Redshift.

Para se conectar usando o Redshift Spectrum, siga os seguintes procedimentos:

  • Crie ou identifique um perfil do IAM associado ao cluster do Amazon Redshift.

  • Adicionar as políticas do IAM AmazonS3ReadOnlyAccess e AmazonAthenaFullAccess à função do IAM.

  • Registre um esquema externo ou catálogo de dados às tabelas que planeja usar.

O Redshift Spectrum permite separar o armazenamento da computação, para que você possa escalar separadamente. Você só pagará pelas consultas que executar.

Para se conectar às tabelas do Redshift Spectrum, você não precisa conceder à Amazon QuickSight acesso ao Amazon S3 ou ao Athena. A Amazon QuickSight precisa acessar somente o cluster do Amazon Redshift. Para obter detalhes completos sobre a configuração do Redshift Spectrum, consulte Conceitos básicos do Amazon Redshift Spectrum no Guia do desenvolvedor de banco de dados Amazon Redshift.