配置您的 AWS 帳戶 - Amazon Redshift
資源AWS KMS 鍵存取查詢編輯器 v2設定主體標籤以便連接叢集或工作群組

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

配置您的 AWS 帳戶

當您從 Amazon Redshift 主控台選擇查詢編輯器 v2 時,瀏覽器中會開啟一個新的標籤,內有查詢編輯器 v2 的介面。有了適當的許可,您就可以存取 Amazon Redshift 叢集中的資料,或目前 AWS 區域叢集中您所擁有 AWS 帳戶 的工作群組中的資料。

系統管理員第一次為您設定查詢編輯器 v2 時 AWS 帳戶,他們會選擇用 AWS KMS key 來加密查詢編輯器 v2 資源的。依預設, AWS 擁有的金鑰會用來加密資源。或者,管理員可以透過在組態頁面中選擇金鑰的 Amazon 資源名稱 (ARN) 來使用客戶受管金鑰。設定帳戶後,無法變更 AWS KMS 加密設定。如需以查詢編輯器 v2 建立和使用客戶受管金鑰的相關資訊,請參閱建立要與查詢編輯器搭配使用的 AWS KMS 客戶管理金鑰 v2。管理員也可以選擇性地選擇用於某些功能 (例如,從檔案載入資料) 的 S3 儲存貯體和路徑。如需詳細資訊,請參閱從本機檔案設定和工作流程載入資料

Amazon Redshift 查詢編輯器 v2 支援身分驗證、加密、隔離和合規功能,以確保靜態資料和傳輸中的資料安全無虞。如需資料安全和查詢編輯器 v2 的相關資訊,請參閱下列內容:

AWS CloudTrail 擷取由您或代表您發出的API呼叫和相關事件, AWS 帳戶 並將日誌檔傳遞到您指定的 Amazon S3 儲存貯體。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址,以及呼叫發生的時間。若要進一步了解查詢編輯器 v2 在 AWS CloudTrail上的執行方式,請參閱使用記錄 CloudTrail。若要取得有關的更多資訊 CloudTrail,請參閱AWS CloudTrail 使用者指南

查詢編輯器 v2 對其某些資源具有可調整的配額。如需詳細資訊,請參閱Amazon Redshift 物件的配額

使用查詢編輯器 v2 所建立的資源

在查詢編輯器 v2 內,您可以建立儲存的查詢和圖表等資源。查詢編輯器 v2 中的所有資源都與IAM角色或使用者相關聯。我們建議將策略附加到IAM角色,並將角色指派給使用者。

在查詢編輯器 v2 中,您可以為儲存的查詢和圖表新增及移除標籤。您可以在設定自訂IAM原則或搜尋資源時使用這些標籤。您也可以使用 AWS Resource Groups 標籤編輯器來管理標籤。

您可以設定具有IAM策略的IAM角色,以便與中相同 AWS 帳戶 的其他人共用查詢 AWS 區域。

建立要與查詢編輯器搭配使用的 AWS KMS 客戶管理金鑰 v2

若要建立對稱加密的客戶受管金鑰

您可以建立對稱加密客戶受管金鑰,使用 AWS KMS 主控台或 AWS KMS API作業來加密查詢編輯器 v2 資源。如需有關建立金鑰的指示,請參閱AWS Key Management Service 開發人員指南中的建立對稱加密 AWS KMS 金鑰

金鑰政策

金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時,可以指定金鑰政策。如需詳細資訊,請參閱AWS Key Management Service 開發人員指南中的管理 AWS KMS 金鑰存取權。

若要將您的客戶受管金鑰與 Amazon Redshift 查詢編輯器 v2 搭配使用,金鑰政策中必須允許下列API操作:

  • kms:GenerateDataKey — 產生唯一一個用來加密資料的對稱資料金鑰。

  • kms:Decrypt — 解密使用客戶受管金鑰所加密的資料。

  • kms:DescribeKey — 提供客戶受管金鑰的詳細資訊,以便服務可以驗證金鑰。

以下是的範例 AWS KMS 政策 AWS 帳戶 111122223333。在第一部分中,kms:ViaService 會限制金鑰只能用於查詢編輯器 v2 服務 (在政策中名為 sqlworkbench.region.amazonaws.com)。使 AWS 帳戶 用密鑰必須是111122223333。在第二節中,的 root 使用者和金鑰管理員 AWS 帳戶 111122223333可以存取金鑰。

當您建立時 AWS 帳戶,您會從一個登入身分開始,該身分可完整存取該帳戶中的所有資源 AWS 服務 和資源。此身分稱為 AWS 帳戶 root 使用者,可透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需需要您以 root 使用者身分登入的完整工作清單,請參閱《使用指南》中的〈需要 root 使用者認證的IAM工

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy",
    "Statement": [
        {
            "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sqlworkbench.region.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:*"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
        }
    ]
}

下列資源提供有關 AWS KMS 金鑰的詳細資訊:

  • 如需有關原 AWS KMS 則的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的指定原則中的權限

  • 如需疑難排解 AWS KMS 原則的相關資訊,請參閱AWS Key Management Service 開發人員指南中的「疑難排解金

  • 如需有關金鑰的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的AWS KMS金鑰

存取查詢編輯器 v2

若要存取查詢編輯器 v2,您需要獲得許可。系統管理員可以將下列其中一個 AWS 受管理的原則附加至角色,以授與權限。我們建議將策略附加到IAM角色,並將角色指派給使用者。) 這些 AWS 受管理的政策使用不同的選項撰寫,可控制標記資源允許共用查詢的方式。您可以使用IAM控制台 (https://console.aws.amazon.com/iam/) 附加IAM策略。

  • AmazonRedshiftQueryEditorV2 FullAccess — 授予對 Amazon Redshift 查詢編輯器 v2 操作和資源的完整存取權。此政策也會授予其他必要服務的存取權。

  • AmazonRedshiftQueryEditorV2 NoSharing — 授予在不共用資源的情況下使用 Amazon Redshift 查詢編輯器 v2 的能力。此政策也會授予其他必要服務的存取權。

  • AmazonRedshiftQueryEditorV2 ReadSharing — 授予在有限資源共用的情況下使用 Amazon Redshift 查詢編輯器 v2 的能力。獲得授予的主體可以讀取與其團隊共用的資源,但無法更新這些資源。此政策也會授予其他必要服務的存取權。

  • AmazonRedshiftQueryEditorV2 ReadWriteSharing — 授與 Amazon Redshift 查詢編輯器 v2 搭配使用資源共用的能力。獲得授予的主體可以讀取和更新與其團隊共用的資源。此政策也會授予其他必要服務的存取權。

您也可以根據所提供受控政策中允許和拒絕的許可來建立自己的政策。如果您使用IAM主控台原則編輯器來建立自己的原則,請選擇 SQLWorkbench 做為您在視覺化編輯器中建立原則的服務。查詢編輯器 v2 在可視化編輯器和IAM策略模擬器中使用服務名稱 AWS SQL Workbench。

對於主體 (已指派IAM角色的使用者) 連線到 Amazon Redshift 叢集,他們需要其中一個查詢編輯器 v2 受管政策中的許可。他們也需要叢集的redshift:GetClusterCredentials 許可。若要取得此權限,具有系統管理權限的使用者可以使用臨時認證,將原則附加至用來連線至叢集的IAM角色。您可以將政策的範圍限定在特定叢集或更為普遍的範圍。如需有關使用臨時登入資料之權限的詳細資訊,請參閱建立具有呼叫權限的IAM角色或使用者 GetClusterCredentials

若要讓主體 (通常是已指派IAM角色的使用者) 為帳戶中的其他使用者開啟 [帳戶設定] 頁面中的其他人的功,他們需要附加該角色的sqlworkbench:UpdateAccountExportSettings權限。此權限包含在AmazonRedshiftQueryEditorV2FullAccess AWS 受管理的策略中。

當新功能新增至查詢編輯器 v2 時, AWS 受管理的政策會視需要更新。如果您根據所提供受管策略中允許和拒絕的許可建立自己的政策,請編輯您的政策,讓政策隨著受管政策的變更進行更新以保持在最新狀態。如需 Amazon Redshift 中受管政策的相關資訊,請參閱 AWS Amazon Redshift 的受管政策

若要提供存取權,請新增權限至您的使用者、群組或角色:

  • 使用者和群組位於 AWS IAM Identity Center:

    建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

  • IAM透過身分識別提供者管理的使用者:

    建立聯合身分的角色。請遵循《使用指南》中的〈為第三方身分識別提供IAM者 (同盟) 建立角色〉中的指示進行。

  • IAM使用者:

    • 建立您的使用者可擔任的角色。請按照《用戶南》中的「為IAM用戶創建角色」中的IAM說明進行操作。

    • (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。遵循《使用者指南》中的「向使用者 (主控台) 新增權限」IAM 中的示進行。

注意

如果 AWS IAM Identity Center 管理員移除整個帳戶中特定許可集的所有許可集關聯,使用者便無法再存取原本與已移除許可集相關聯之任何查詢編輯器資源的存取權。如果之後重新建立了相同的許可,系統會建立新的內部識別碼。由於內部識別碼已變更,因此使用者無法再存取其先前擁有之查詢編輯器資源的存取權。我們的建議是,在管理員刪除許可集之前,該許可集的使用者先將查詢編輯器資源 (例如筆記本和查詢) 匯出為備份。

設定主體標籤以從查詢編輯器 v2 連接叢集或工作群組

若要使用同盟使用者選項連線到叢集或工作群組,請設定IAM角色或使用主要標籤的使用者。或者,也可以設定身分提供者 (IdP) 以傳入 RedshiftDbUser 和 (選擇性) RedshiftDbGroups。如需有關使用IAM管理標籤的詳細資訊,請參閱《使用IAM者指南》AWS Security Token Service中的〈傳遞工作階段標籤。若要使用設定存取權 AWS Identity and Access Management,管理員可以使用IAM控制台 (https://console.aws.amazon.com/iam/) 新增標籤。

若要將主參與者標籤新增至IAM角色

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Roles (角色)

  3. 選擇需要使用聯合身分使用者存取查詢編輯器 v2 的角色。

  4. 選擇 Tags (標籤) 索引標籤。

  5. 選擇管理標籤

  6. 選擇新增標籤,並將索引鍵輸入為 RedshiftDbUser,然後輸入聯合身分使用者名稱的

  7. 選擇性地選擇新增標籤,並將索引鍵輸入為 RedshiftDbGroups,然後輸入要與使用者產生關聯之群組名稱的

  8. 選擇 [儲存變更] 以檢視與所選IAM角色相關聯的標記清單。傳播變更的過程可能需要幾秒鐘的時間。

  9. 若要使用聯合身分使用者,請在變更傳播完成後重新整理查詢編輯器 v2 的頁面。

設定您的身分提供者 (IdP) 以傳遞主體標籤

使用身分提供者 (IdP) 設定標籤的程序隨 IdP 而異。如需如何將使用者和群組資訊傳遞至SAML屬性的指示,請參閱您的 IdP 文件。正確配置時,下列屬性會顯示在您的SAML回應中,由用 AWS Security Token Service 來填入和的主參RedshiftDbUser與者標籤中RedshiftDbGroups

<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser">
    <AttributeValue>db-user-name</AttributeValue>
</Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups">
    <AttributeValue>db-groups</AttributeValue>
</Attribute>

可選的 db_groups 必須是以冒號分隔的清單,例如。group1:group2:group3

此外,您也可以設定 TransitiveTagKeys 屬性以在鏈結角色期間保留標籤。

<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys">
  <AttributeValue>RedshiftDbUser</AttributeValue>
  <AttributeValue>RedshiftDbGroups</AttributeValue>
</Attribute>

如需設定查詢編輯器 v2 的相關資訊,請參閱要使用查詢編輯器 v2 所需的許可

如需有關如何設定 Active Directory Federation Services (AD FS)的資訊,請參閱部落格文章:將 Amazon Redshift 查詢編輯器 v2 的存取與 Active Directory Federation Services (AD FS) 聯合

如需有關如何設定 Okta 的資訊,請參閱部落格文章:將 Amazon Redshift 查詢編輯器 v2 的單一登入存取與 Okta 聯合

注意

當您使用查詢編輯器 v2 的聯合身分使用者連線選項連線到叢集或工作群組時,身分提供者 (IdP) 可以為 RedshiftDbUserRedshiftDbGroups 提供自訂主體標籤。目前, AWS IAM Identity Center dosesn 不支援將自訂主要標籤直接傳遞至查詢編輯器 v2。