Configurar sua Conta da AWS - Amazon Redshift

Configurar sua Conta da AWS

Esse conjunto de tarefas pode ser usado para configurar o Editor de Consultas v2 para consultar um banco de dados do Amazon Redshift. Com as devidas permissões, você pode acessar dados em um cluster ou grupo de trabalho do Amazon Redshift pertencente à sua Conta da AWS que está na Região da AWS atual.

Na primeira vez que um administrador configura o editor de consultas v2 para sua Conta da AWS, ele escolhe a AWS KMS key que será usada para criptografar recursos do editor de consultas v2. Por padrão, uma chave de propriedade da AWS é usada para criptografar recursos. Como alternativa, um administrador pode usar uma chave gerenciada pelo cliente escolhendo o nome do recurso da Amazon (ARN) da chave na página de configuração.

Depois de configurar uma conta, as configurações de criptografia do AWS KMS não poderão ser alteradas. Para obter mais informações sobre como criar e usar uma chave gerenciada pelo cliente com o editor de consultas v2, consulte Criar uma chave AWS KMS gerenciada pelo cliente para usar com o editor de consultas v2. O administrador também pode selecionar um S3 bucket (Bucket do S3) e um caminho que é usado para alguns recursos, como carregar dados de um arquivo. Para ter mais informações, consulte Carregar dados de uma configuração e fluxo de trabalho de arquivo local.

O editor de consultas v2 do Amazon Redshift é compatível com autenticação, criptografia, isolamento e conformidade para manter seus dados em repouso e em trânsito seguros. Para obter mais informações sobre segurança de dados e o editor de consultas v2, consulte:

O AWS CloudTrail captura chamadas de API e eventos relacionados feitos por sua conta da Conta da AWS ou em nome dela e entrega os arquivos de log a um bucket do Amazon S3 que você especificar. Você pode identificar quais usuários e contas chamaram AWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. Para saber mais sobre como o editor de consultas v2 é executado no AWS CloudTrail, consulte Registrar em log com o CloudTrail. Para obter mais informações sobre o CloudTrail, consulte o Guia do usuário do AWS CloudTrail.

O editor de consultas v2 conta com cotas ajustáveis para alguns de seus recursos. Para obter mais informações, consulte Cotas para objetos do Amazon Redshift.

Recursos criados com o editor de consultas v2

No editor de consultas v2, é possível criar recursos como consultas e gráficos salvos. Todos os recursos no editor de consultas v2 estão associados a um usuário ou perfil do IAM. Recomendamos anexar políticas a um perfil do IAM e atribuir o perfil a um usuário.

No editor de consultas v2, é possível adicionar e remover etiquetas para consultas e gráficos salvos. Você pode usar essas etiquetas ao configurar políticas personalizadas do IAM ou para pesquisar recursos. Também é possível gerenciar as etiquetas coletivamente usando o Tag Editor no AWS Resource Groups.

É possível configurar perfis do IAM com políticas do IAM para compartilhar consultas com outras pessoas na mesma Conta da AWS na Região da AWS.

Criar uma chave AWS KMS gerenciada pelo cliente para usar com o editor de consultas v2

Para criar uma chave gerenciada pelo cliente de criptografia simétrica:

Você pode criar uma chave de criptografia simétrica gerenciada pelo cliente para criptografar recursos do editor de consultas v2 usando o console do AWS KMS ou operações de API do AWS KMS. Para obter instruções sobre como criar uma chave, consulte “Criar chaves do AWS KMS de criptografia simétrica” no Guia do desenvolvedor do AWS Key Management Service.

Política de chaves

As políticas de chaves controlam o acesso à chave gerenciada pelo seu cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, você pode especificar uma política de chaves. Para obter mais informações, consulte Gerenciar do acesso às chaves do AWS KMS) no Guia do desenvolvedor do AWS Key Management Service.

Para usar a chave gerenciada pelo cliente com o editor de consultas do Amazon Redshift v2, as seguintes operações de API deverão ser permitidas na política de chaves:

  • kms:GenerateDataKey: gera uma chave de dados simétrica exclusiva para criptografar seus dados.

  • kms:Decrypt: descriptografa dados que foram criptografados com a chave gerenciada pelo cliente.

  • kms:DescribeKey: fornece os principais detalhes gerenciados pelo cliente para permitir que o serviço valide a chave.

Veja a seguir um exemplo de política do AWS KMS para Conta da AWS 111122223333. Na primeira seção, o kms:ViaService limita o uso da chave para o serviço do editor de consultas v2 (que é chamado sqlworkbench.region.amazonaws.com na política). A Conta da AWS que usará a chave deve ser 111122223333. Na segunda seção, o usuário raiz e os principais administradores da Conta da AWS 111122223333 podem acessar a chave.

Ao criar uma Conta da AWS, você começa com uma identidade de login com acesso completo a todos os Serviços da AWS e recursos na conta. Essa identidade, chamada usuário raiz da Conta da AWS, é acessada por login com o endereço de e-mail e a senha usada para criar a conta. É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem login como usuário raiz, consulte Tarefas que exigem credenciais de usuário raiz no Guia do Usuário do IAM.

{ "Version": "2012-10-17", "Id": "key-consolepolicy", "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "sqlworkbench.region.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" } ] }

Os recursos a seguir fornecem mais informações sobre chaves do AWS KMS:

Acessar o editor de consultas v2

Para acessar o editor de consultas v2, é necessário ter permissão. Um administrador pode anexar uma das seguintes políticas gerenciadas pela AWS ao perfil para conceder permissão. (Recomendamos anexar políticas a um perfil do IAM e atribuir o perfil a um usuário.) Essas políticas gerenciadas pela AWS são redigidas com diferentes opções que controlam como os recursos de marcação permitem o compartilhamento de consultas. Você pode usar o console do IAM (https://console.aws.amazon.com/iam/) para anexar políticas do IAM.

  • AmazonRedshiftQueryEditorV2FullAccess: concede acesso total às operações e recursos do editor de consultas v2 do Amazon Redshift. Essa política também concede acesso a outros serviços necessários.

  • AmazonRedshiftQueryEditorV2NoSharing: concede a capacidade de trabalhar com o editor de consultas v2 do Amazon Redshift sem compartilhar recursos. Essa política também concede acesso a outros serviços necessários.

  • AmazonRedshiftQueryEditorV2ReadSharing: concede a capacidade de trabalhar com o editor de consultas v2 do Amazon Redshift com compartilhamento limitado de recursos. A entidade principal concedida pode ler os recursos compartilhados com sua equipe, mas não pode atualizá-los. Essa política também concede acesso a outros serviços necessários.

  • AmazonRedshiftQueryEditorV2ReadWriteSharing: concede a capacidade de trabalhar com o editor de consultas v2 do Amazon Redshift com compartilhamento de recursos. A entidade principal concedida pode ler e atualizar os recursos compartilhados com sua equipe. Essa política também concede acesso a outros serviços necessários.

Você também pode criar sua própria política com base nas permissões concedidas e negadas nas políticas gerenciadas fornecidas. Se usar o editor de políticas de console do IAM para criar sua própria política, escolha SQL Workbench como o serviço para o qual você está criando a política no editor visual. O editor de consultas v2 usa o nome do serviço AWS SQL Workbench no editor visual e no IAM Policy Simulator.

Para que uma entidade principal (um usuário ou perfil do IAM atribuído) se conecte a um cluster do Amazon Redshift, ela precisa das permissões em uma das políticas gerenciadas do editor de consultas v2. Também necessita da permissão redshift:GetClusterCredentials para o cluster. Para obter essa permissão, alguém com permissão administrativa pode anexar uma política aos perfis do IAM usados para se conectar ao cluster usando credenciais temporárias. Você pode definir o escopo da política para clusters específicos ou ser mais genérico. Para obter mais informações sobre permissão para usar credenciais temporárias, consulte Criar uma função do IAM ou um usuário com permissões para chamar GetClusterCredentials.

Para uma entidade principal (geralmente, um usuário com um perfil do IAM atribuído) ativar a capacidade na página Configurações da conta para outras pessoas na conta para Exportar o conjunto de resultados, ela precisa da permissão sqlworkbench:UpdateAccountExportSettings anexada ao perfil. Essa permissão está incluída na política gerenciada AmazonRedshiftQueryEditorV2FullAccess da AWS.

À medida que novos recursos são adicionados ao editor de consultas v2, as políticas gerenciadas da AWS são atualizadas conforme a necessidade. Se você criar sua própria política com base nas permissões concedidas e negadas nas políticas gerenciadas fornecidas, edite suas políticas para mantê-las atualizadas com as alterações nas políticas gerenciadas. Para obter mais informações sobre políticas gerenciadas no Amazon Redshift, consulte Políticas gerenciadas pela AWS para o Amazon Redshift.

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

nota

Se um administrador do AWS IAM Identity Center remover todas as associações do conjunto de permissões de um determinado conjunto de permissões em toda a conta, o acesso a qualquer recurso do editor de consultas originalmente associado ao conjunto de permissões removido deixará de estar acessível. Se, posteriormente, as mesmas permissões forem recriadas, um novo identificador interno será criado. Como o identificador interno foi alterado, o acesso aos recursos do editor de consultas anteriormente de propriedade de um usuário não pode ser acessado. Recomendamos que, antes de administradores excluírem um conjunto de permissões, os usuários desse conjunto de permissões exportem recursos do editor de consultas, como notebooks e consultas, como backup.

Configuração de etiquetas de entidade principal para se conectar a um cluster ou a um grupo de trabalho pelo editor de consultas v2

Para se conectar ao cluster ou ao grupo de trabalho usando a opção de usuário federado, configure o perfil do IAM ou o usuário com etiquetas de entidade principal. Como alternativa, configure o provedor de identidades (IdP) para transmitir RedshiftDbUser e (opcionalmente) RedshiftDbGroups. Para obter mais informações sobre como usar o IAM para gerenciar etiquetas, consulte Transmitir etiquetas de sessão no AWS Security Token Service no Guia do usuário do IAM. Para configurar o acesso usando o AWS Identity and Access Management, um administrador pode adicionar etiquetas usando o console do IAM (https://console.aws.amazon.com/iam/).

Como adicionar etiquetas de entidades principais a um perfil do IAM
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Selecione Roles (Funções) no painel de navegação.

  3. Selecione a função que precisa de acesso ao editor de consultas v2 usando um usuário federado.

  4. Escolha a guia Tags.

  5. Selecione Manage tags (Gerenciar tags).

  6. Selecione Add tag (Adicionar etiqueta), insira a Key (Chave) como RedshiftDbUser e insira um Value (Valor) do nome do usuário federado.

  7. Se preferir, escolha Add tag (Adicionar etiqueta), insira a Key (Chave) como RedshiftDbGroups e insira um Value (Valor) do nome do grupo a ser associado ao usuário.

  8. Selecione Save changes (Salvar alterações) para visualizar a lista de etiquetas associadas ao perfil do IAM escolhido. A propagação das alterações pode levar vários segundos.

  9. Para usar o usuário federado, atualize a página do editor de consultas v2 após a propagação das alterações.

Configurar o provedor de identidades (IdP) para transmitir etiquetas de entidades principais

O procedimento para configurar etiquetas usando um provedor de identidades (IdP) varia de acordo com o IdP. Consulte a documentação do IdP para obter instruções sobre como transmitir informações de usuário e grupo para atributos SAML. Quando configurado corretamente, os seguintes atributos aparecem em sua resposta SAML que é usada pelo AWS Security Token Service para preencher nas tags de entidades principais para RedshiftDbUser e RedshiftDbGroups.

<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser"> <AttributeValue>db-user-name</AttributeValue> </Attribute> <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups"> <AttributeValue>db-groups</AttributeValue> </Attribute>

O db_groups opcional deve ser uma lista separada por dois pontos, como group1:group2:group3.

Além disso, você pode definir o atributo TransitiveTagKeys para persistir as etiquetas durante o encadeamento de funções.

<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys"> <AttributeValue>RedshiftDbUser</AttributeValue> <AttributeValue>RedshiftDbGroups</AttributeValue> </Attribute>

Para obter mais informações sobre como configurar o editor de consultas v2, consulte Permissões necessárias para usar o editor de consultas v2 .

Para obter informações sobre como configurar os Serviços de Federação do Active Directory (AD FS), consulte a publicação do blog: Federate access to Amazon Redshift query editor v2 with Active Directory Federation Services (AD FS) (Acesso federado ao editor de consultas v2 do Amazon Redshift com os Serviços de Federação do Active Directory [AD FS]).

Para obter informações sobre como configurar o Okta, consulte a publicação do blog: Federate single sign-on access to Amazon Redshift query editor v2 with Okta (Acesso federado de logon único ao editor de consultas v2 do Amazon Redshift com Okta).

nota

Quando você se conecta ao cluster ou ao grupo de trabalho usando a opção de conexão de Usuário federado do editor de consultas v2, o provedor de identidades (IdP) pode fornecer etiquetas de entidade principal personalizadas para RedshiftDbUser e RedshiftDbGroups. Atualmente, o AWS IAM Identity Center não dá suporte para a passagem direta de etiquetas de entidade principal personalizadas para o editor de consultas v2.