步骤 3:授予对查询编辑器的访问权限并运行查询 - Amazon Redshift

步骤 3:授予对查询编辑器的访问权限并运行查询

要查询 Amazon Redshift 集群托管的数据库,您有两种选择:

  1. 连接到您的集群,并使用查询编辑器在 AWS Management Console 上运行查询。

    如果您使用查询编辑器,则无需下载和设置 SQL 客户端应用程序。

  2. 通过 SQL 客户端工具(如 SQL Workbench/J)连接到您的集群。有关使用 SQL Workbench/J 的更多信息,请参阅《Amazon Redshift 管理指南》中的通过使用 SQL Workbench/J 连接到您的集群

使用 Amazon Redshift 查询编辑器是在由 Amazon Redshift 集群托管的数据库上运行查询的最简单方法。创建集群后,可以使用 Amazon Redshift 控制台立即运行查询。有关使用 Amazon Redshift 查询编辑器时注意事项的详细信息,请参阅《Amazon Redshift 管理指南》中的使用查询编辑器查询数据库

管理员第一次为您的 AWS 账户 配置查询编辑器 v2 时,他们会选择用于加密查询编辑器 v2 资源的 AWS KMS key。默认情况下,AWS 拥有的密钥用于加密资源。或者,管理员可在配置页面中为密钥选择 Amazon Resource Name(ARN)来使用客户托管式密钥。配置账户后,AWS KMS 加密设置无法更改。有关更多信息,请参阅配置您的 AWS 账户

如要访问查询编辑器 v2,您需要相应权限。管理员可以将以下 AWS 托管式策略之一附加到 IAM 角色或用户以授予权限。这些 AWS 托管式策略使用不同的选项编写,可控制标记资源允许共享查询的方式。您可以使用 IAM 控制台 (https://console.aws.amazon.com/iam/) 附加 IAM 策略。

您还可以根据提供的托管式策略中允许和拒绝的权限创建您自己的策略。如果您使用 IAM 控制台策略编辑器创建自己的策略,请选择 SQL Workbench 作为您在可视化编辑器中创建策略的服务。查询编辑器 v2 使用可视化编辑器和 IAM 策略模拟器中的服务名称 AWS SQL Workbench。

有关更多信息,请参阅访问查询编辑器 v2

要使用查询编辑器 v2 查询数据库,请参阅使用查询编辑器 v2

要使用 Amazon Redshift 查询编辑器,您需要相应权限。要设置访问权限,请将 AmazonRedshiftQueryEditorAmazonRedshiftReadOnlyAccess IAM policy 附加到 IAM 角色,然后将该角色分配给您用于访问您的集群的用户。

附加查询编辑器所需的 IAM 策略

  1. 登录AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择 Roles(角色)。

  3. 选择需要访问查询编辑器的用户。

  4. 选择 Add permissions (添加权限)

  5. 选择 Attach existing policies directly(直接附上现有策略)。

  6. 对于策略名称

  7. 选择 Next: Review(下一步:审核)。

  8. 选择 Add permissions (添加权限)

要创建 IAM 角色以允许您的 Amazon Redshift 集群代表您与其他 AWS 服务通信,请执行以下步骤。本节中使用的值是示例,您可以根据需要选择值。

要创建 IAM 角色以允许 Amazon Redshift 访问 AWS 服务

  1. 打开 IAM 控制台

  2. 在导航窗格中,选择 Roles (角色)

  3. 选择 Create role(创建角色)。

  4. 选择 AWS service(Amazon 服务),然后选择 Redshift

  5. Select your use case 下,选择 Redshift - Customizable,然后选择 Next: Permissions。此时显示 Attach permissions policy 页面。

  6. 添加 AmazonRedshiftQueryEditorAmazonRedshiftReadOnlyAccess 权限。

    选择 下一步:标签

  7. 此时将显示 Add tags (添加标签) 页面。您可以选择性地添加标签。选择 Next: Review (下一步:审核)

  8. 对于 Role name (角色名称),键入一个角色名称,例如 RedshiftQueryEditorAccess。选择 Create role(创建角色)。

  9. 使用新角色的集群中的所有用户都可使用该角色。如需限制访问,只允许特定集群中的特定用户、或特定区域中的集群访问,请编辑该角色的信任关系。有关更多信息,请参阅《Amazon Redshift 管理指南》中的限制对 IAM 角色的访问

  10. 将角色与您的集群关联。您可以在创建集群时关联 IAM 角色,或将角色添加到现有集群中。有关更多信息,请参阅《Amazon Redshift 管理指南》中的将 IAM 角色与集群关联

    注意

    要限制对特定数据的访问,请使用授予所需最少权限的 IAM 角色。

要使用查询编辑器查询数据库,请参阅使用查询编辑器查询数据库