配置您的 AWS 帳戶 - Amazon Redshift

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

配置您的 AWS 帳戶

當您從 Amazon Redshift 主控台選擇查詢編輯器 v2 時,瀏覽器中會開啟一個新的標籤,內有查詢編輯器 v2 的介面。有了適當的許可,您就可以存取 Amazon Redshift 叢集中的資料,或您目前 AWS 區域擁有 AWS 帳戶 的工作群組中的資料。

系統管理員第一次為您設定查詢編輯器 v2 時 AWS 帳戶,他們會選擇用 AWS KMS key 來加密查詢編輯器 v2 資源的。依預設, AWS 擁有的金鑰會用來加密資源。或者,管理員也可以在組態頁面中選擇金鑰的 Amazon Resource Name (ARN),以使用客戶受管金鑰。設定帳戶後,無法變更 AWS KMS 加密設定。如需以查詢編輯器 v2 建立和使用客戶受管金鑰的相關資訊,請參閱建立要與查詢編輯器搭配使用的 AWS KMS 客戶管理金鑰 v2。管理員也可以選擇性地選擇用於某些功能 (例如,從檔案載入資料) 的 S3 儲存貯體和路徑。如需詳細資訊,請參閱 從本機檔案設定和工作流程載入資料

Amazon Redshift 查詢編輯器 v2 支援身分驗證、加密、隔離和合規功能,以確保靜態資料和傳輸中的資料安全無虞。如需資料安全和查詢編輯器 v2 的相關資訊,請參閱下列內容:

AWS CloudTrail 擷取由您或代表您發出的 API 呼叫和相關事件, AWS 帳戶 並將日誌檔傳遞到您指定的 Amazon S3 儲存貯體。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址,以及呼叫發生的時間。若要進一步了解查詢編輯器 v2 在 AWS CloudTrail上的執行方式,請參閱使用記錄 CloudTrail。若要取得有關的更多資訊 CloudTrail,請參閱AWS CloudTrail 使用者指南

查詢編輯器 v2 對其某些資源具有可調整的配額。如需詳細資訊,請參閱 Amazon Redshift 物件的配額

使用查詢編輯器 v2 所建立的資源

在查詢編輯器 v2 內,您可以建立儲存的查詢和圖表等資源。查詢編輯器 v2 中的所有資源都會與 IAM 角色或使用者相關聯。建議您將政策連接至 IAM 角色,並將該角色指派給使用者。

在查詢編輯器 v2 中,您可以為儲存的查詢和圖表新增及移除標籤。您可以在設定自訂 IAM 政策或搜尋資源時使用這些標籤。您也可以使用 AWS Resource Groups 標籤編輯器來管理標籤。

您可以使用 IAM 政策設定 IAM 角色,以便與中的其他人共用查詢 AWS 區域。 AWS 帳戶

建立要與查詢編輯器搭配使用的 AWS KMS 客戶管理金鑰 v2

若要建立對稱加密的客戶受管金鑰

您可以建立對稱加密客戶受管金鑰,使用 AWS KMS 主控台或 AWS KMS API 作業來加密查詢編輯器 v2 資源。如需有關建立金鑰的指示,請參閱AWS Key Management Service 開發人員指南中的建立對稱加密 AWS KMS 金鑰

金鑰政策

金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時,可以指定金鑰政策。如需詳細資訊,請參閱AWS Key Management Service 開發人員指南中的管理 AWS KMS 金鑰存取權。

若要將客戶受管金鑰與 Amazon Redshift 查詢編輯器 v2 搭配使用,就必須在金鑰政策中允許下列 API 操作:

  • kms:GenerateDataKey — 產生唯一一個用來加密資料的對稱資料金鑰。

  • kms:Decrypt — 解密使用客戶受管金鑰所加密的資料。

  • kms:DescribeKey — 提供客戶受管金鑰的詳細資訊,以便服務可以驗證金鑰。

以下是的範例 AWS KMS 政策 AWS 帳戶 111122223333。在第一部分中,kms:ViaService 會限制金鑰只能用於查詢編輯器 v2 服務 (在政策中名為 sqlworkbench.region.amazonaws.com)。使 AWS 帳戶 用密鑰必須是111122223333。在第二節中,的 root 使用者和金鑰管理員 AWS 帳戶 111122223333可以存取金鑰。

建立時 AWS 帳戶,您會從一個登入身分開始,該身分可完整存取該帳戶中的所有資源 AWS 服務 和資源。此身分稱為 AWS 帳戶 root 使用者,可透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需這些任務的完整清單,了解需以根使用者登入的任務,請參閱 IAM 使用者指南中的需要根使用者憑證的任務

{ "Version": "2012-10-17", "Id": "key-consolepolicy", "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "sqlworkbench.region.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" } ] }

下列資源提供有關 AWS KMS 金鑰的詳細資訊:

  • 如需有關原 AWS KMS 則的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的指定原則中的權限

  • 如需疑難排解 AWS KMS 原則的相關資訊,請參閱AWS Key Management Service 開發人員指南中的「疑難排解金

  • 如需金鑰的相關資訊,請參閱《AWS Key Management Service 開發人員指南》中的 AWS KMS 金鑰

存取查詢編輯器 v2

若要存取查詢編輯器 v2,您需要獲得許可。系統管理員可以將下列其中一個 AWS 受管理的原則附加至角色,以授與權限。(建議您將政策連接至 IAM 角色,並將該角色指派給使用者。) 這些 AWS 受管理的政策使用不同的選項撰寫,可控制標記資源允許共用查詢的方式。您可以使用 IAM 主控台 (https://console.aws.amazon.com/iam/) 來連接 IAM 政策。

  • AmazonRedshiftQueryEditorV2 FullAccess — 授予對 Amazon Redshift 查詢編輯器 v2 操作和資源的完整存取權。此政策也會授予其他必要服務的存取權。

  • AmazonRedshiftQueryEditorV2 NoSharing — 授予在不共用資源的情況下使用 Amazon Redshift 查詢編輯器 v2 的能力。此政策也會授予其他必要服務的存取權。

  • AmazonRedshiftQueryEditorV2 ReadSharing — 授予在有限資源共用的情況下使用 Amazon Redshift 查詢編輯器 v2 的能力。獲得授予的主體可以讀取與其團隊共用的資源,但無法更新這些資源。此政策也會授予其他必要服務的存取權。

  • AmazonRedshiftQueryEditorV2 ReadWriteSharing — 授與 Amazon Redshift 查詢編輯器 v2 搭配使用資源共用的能力。獲得授予的主體可以讀取和更新與其團隊共用的資源。此政策也會授予其他必要服務的存取權。

您也可以根據所提供受控政策中允許和拒絕的許可來建立自己的政策。如果您使用 IAM 主控台政策編輯器建立自己的政策,請選擇 SQL Workbench 作為您在視覺化編輯器中為其建立政策的服務。查詢編輯器 v2 會在視覺化編輯器和 IAM 政策模擬器中使用服務名稱 AWS SQL Workbench。

若要讓主體 (已獲派 IAM 角色的使用者) 能夠連線到 Amazon Redshift 叢集,就需要其中一個查詢編輯器 v2 受管政策中的許可。他們也需要叢集的redshift:GetClusterCredentials 許可。若要獲得此許可,具有系統管理許可的人員可以使用臨時憑證,將政策連接至用來連線到叢集的 IAM 角色。您可以將政策的範圍限定在特定叢集或更為普遍的範圍。如需有關使用臨時登入資料之權限的詳細資訊,請參閱建立 IAM 角色或具有呼叫權限的使用者 GetClusterCredentials

若要讓主體 (一般是已獲派 IAM 角色的使用者) 能夠在帳戶設定頁面中為帳戶中的其他使用者開啟匯出結果集的功能,他們需要該角色連接的 sqlworkbench:UpdateAcountExportSettings 許可。此權限包含在AmazonRedshiftQueryEditorV2FullAccess AWS 受管理的策略中。

當新功能新增至查詢編輯器 v2 時, AWS 受管理的政策會視需要更新。如果您根據所提供受管策略中允許和拒絕的許可建立自己的政策,請編輯您的政策,讓政策隨著受管政策的變更進行更新以保持在最新狀態。如需 Amazon Redshift 中受管政策的相關資訊,請參閱 AWS Amazon Redshift 的受管政策

若要提供存取權,請新增權限至您的使用者、群組或角色:

注意

如果 AWS IAM Identity Center 管理員移除整個帳戶中特定許可集的所有許可集關聯,使用者便無法再存取原本與已移除許可集相關聯之任何查詢編輯器資源的存取權。如果之後重新建立了相同的許可,系統會建立新的內部識別碼。由於內部識別碼已變更,因此使用者無法再存取其先前擁有之查詢編輯器資源的存取權。我們的建議是,在管理員刪除許可集之前,該許可集的使用者先將查詢編輯器資源 (例如筆記本和查詢) 匯出為備份。

設定主體標籤以從查詢編輯器 v2 連接叢集或工作群組

若要使用聯合身分使用者選項連線到叢集或工作群組,請使用主體標籤設定 IAM 角色或使用者。或者,也可以設定身分提供者 (IdP) 以傳入 RedshiftDbUser 和 (選擇性) RedshiftDbGroups。如需使用 IAM 來管理標籤的相關資訊,請參閱《IAM 使用者指南》中的在 AWS Security Token Service中傳遞工作階段標籤。若要使用設定存取權 AWS Identity and Access Management,管理員可以使用 IAM 主控台 (https://console.aws.amazon.com/iam/) 新增標籤。

將主體標籤新增至 IAM 角色
  1. 登入 AWS Management Console 並開啟 IAM 主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Roles (角色)

  3. 選擇需要使用聯合身分使用者存取查詢編輯器 v2 的角色。

  4. 選擇 Tags (標籤) 索引標籤。

  5. 選擇管理標籤

  6. 選擇新增標籤,並將索引鍵輸入為 RedshiftDbUser,然後輸入聯合身分使用者名稱的

  7. 選擇性地選擇新增標籤,並將索引鍵輸入為 RedshiftDbGroups,然後輸入要與使用者產生關聯之群組名稱的

  8. 選擇儲存變更以檢視與所選擇的 IAM 角色相關聯的標籤清單。傳播變更的過程可能需要幾秒鐘的時間。

  9. 若要使用聯合身分使用者,請在變更傳播完成後重新整理查詢編輯器 v2 的頁面。

設定您的身分提供者 (IdP) 以傳遞主體標籤

使用身分提供者 (IdP) 設定標籤的程序隨 IdP 而異。如需如何將使用者和群組資訊傳遞至 SAML 屬性的指示,請參閱您的 IdP 文件。正確設定後,下列屬性會顯示在您的 SAML 回應中,由用 AWS Security Token Service 來填入和的主參RedshiftDbUserRedshiftDbGroups者標籤中。

<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser"> <AttributeValue>db-user-name</AttributeValue> </Attribute> <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups"> <AttributeValue>db-groups</AttributeValue> </Attribute>

選擇性的 db_group 必須是以冒號分隔的清單,例如 group1:group2:group3

此外,您也可以設定 TransitiveTagKeys 屬性以在鏈結角色期間保留標籤。

<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys"> <AttributeValue>RedshiftDbUser</AttributeValue> <AttributeValue>RedshiftDbGroups</AttributeValue> </Attribute>

如需設定查詢編輯器 v2 的相關資訊,請參閱要使用查詢編輯器 v2 所需的許可

如需有關如何設定 Active Directory Federation Services (AD FS)的資訊,請參閱部落格文章:將 Amazon Redshift 查詢編輯器 v2 的存取與 Active Directory Federation Services (AD FS) 聯合

如需有關如何設定 Okta 的資訊,請參閱部落格文章:將 Amazon Redshift 查詢編輯器 v2 的單一登入存取與 Okta 聯合

注意

當您使用查詢編輯器 v2 的聯合身分使用者連線選項連線到叢集或工作群組時,身分提供者 (IdP) 可以為 RedshiftDbUserRedshiftDbGroups 提供自訂主體標籤。目前, AWS IAM Identity Center dosesn 不支援將自訂主要標籤直接傳遞至查詢編輯器 v2。