使用 Amazon Redshift 查询编辑器 V2 设置可信身份传播

以下过程将向您介绍如何实现从 Amazon Redshift 查询编辑器 V2 到 Amazon Redshift 的可信身份传播。

先决条件

在开始学习本教程之前，你需要进行以下设置：

1. 启用 IAM 身份中心。建议使用@@ 组织实例。有关更多信息，请参阅 先决条件和注意事项。

2. 将@@ 您的身份来源中的用户和群组配置到 IAM Identity Center。

启用可信身份传播包括 IAM 身份中心管理员在 IAM 身份中心控制台中执行的任务以及由 Amazon Redshift 管理员在 Amazon Redshift 控制台中执行的任务。

由 IAM 身份中心管理员执行的任务

以下任务需要由 IAM 身份中心管理员完成：

1. 使用以下@@ 权限策略在 Amazon Redshift 集群或无服务器实例所在的账户中创建 IAM 角色。有关更多信息，请参阅 IAM 角色创建。

   1. 以下策略示例包括完成本教程所需的权限。要使用此政策，请将示例策略italicized placeholder text中的替换为您自己的信息。有关其他说明，请参阅创建策略或编辑策略。

      权限策略：

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Sid": "AllowRedshiftApplication",
                  "Effect": "Allow",
                  "Action": [
                      "redshift:DescribeQev2IdcApplications",
                      "redshift-serverless:ListNamespaces",
                      "redshift-serverless:ListWorkgroups",
                      "redshift-serverless:GetWorkgroup"
                  ],
                  "Resource": "*"
              },
              {
                  "Sid": "AllowIDCPermissions",
                  "Effect": "Allow",
                  "Action": [
                      "sso:DescribeApplication",
                      "sso:DescribeInstance"
                  ],
                  "Resource": [
                      "arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
                      "arn:aws:sso::Your-AWS-Account-ID:application/Your-IAM-Identity-Center-Instance-ID/*"
                  ]
              }
          ]
      }

      信任政策：

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "Service": [
                          "redshift-serverless.amazonaws.com",
                          "redshift.amazonaws.com"
                      ]
                  },
                  "Action": [
                      "sts:AssumeRole",
                      "sts:SetContext"
                  ]
              }
          ]
      }
                                          

2. 在启用了 IAM 身份中心的 AWS Organizations 管理账户中@@ 创建权限集。你将在下一步中使用它来允许联合用户访问 Redshift 查询编辑器 V2。

   1. 前往 IAM Identity Center 控制台，在多账户权限下，选择权限集。

   2. 选择创建权限集。

   3. 选择 “自定义” 权限集，然后选择 “下一步”。

   4. 在AWS 托管策略下，选择AmazonRedshiftQueryEditorV2ReadSharing。

   5. 在 “内联策略” 下，添加以下策略：

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "redshift:DescribeQev2IdcApplications",
                      "redshift-serverless:ListNamespaces",
                      "redshift-serverless:ListWorkgroups",
                      "redshift-serverless:GetWorkgroup"
                  ],
                  "Resource": "*"
              }
          ]
      }

   6. 选择 “下一步”，然后提供权限集名称的名称。例如，Redshift-Query-Editor-V2。

   7. 在 “中继状态” 下 — 可选，使用以下格式将默认中继状态设置为查询编辑器 V2 URL：https://your-region.console.aws.amazon.com/sqlworkbench/home。

   8. 查看设置并选择创建。

   9. 导航到 IAM Identity Center 控制面板，然后从 “设置摘要” 部分复制 AWS 访问门户 URL。

      

   10. 打开一个新的隐身浏览器窗口并粘贴 URL。

       这将带您 AWS 进入访问门户，确保您使用的是 IAM Identity Center 用户登录。

       

       有关权限集的更多信息，请参阅AWS 账户 使用权限集进行管理。

3. 允许联合用户访问 Redshift 查询编辑器 V2。

   1. 在 AWS Organizations 管理账户中，打开 IAM 身份中心控制台。

   2. 在导航窗格中的多帐户权限下，选择 AWS 账户。

   3. 在 AWS 账户 页面上，选择 AWS 账户 要为其分配访问权限的。

   4. 选择分配用户或组。

   5. 在 “分配用户和组” 页面上，选择要为其创建权限集的用户和/或组。然后选择下一步。

   6. 在 “分配权限集” 页面上，选择您在上一步中创建的权限集。然后选择下一步。

   7. 在查看并提交作业页面上，查看您的选择并选择提交。

由亚马逊 Redshift 管理员执行的任务

启用向 Amazon Redshift 的可信身份传播需要亚马逊 Redshift 集群管理员或 Amazon Redshift 无服务器管理员在亚马逊 Redshift 控制台中执行多项任务。有关更多信息，请参阅大数据博客中使用 IAM Identity Center 将身份提供商 (IdP) 与 Amazon Redshift 查询编辑器 V2 和 SQL 客户端集成以实现无缝单点登录。AWS