Recursos Clave de AWS KMS Acceso al editor de consultas v2 Configuración de etiquetas de entidad principal para conectar un clúster o grupo de trabajo

Configuración de su Cuenta de AWS

Cuando elige el editor de consultas v2 desde la consola de Amazon Redshift, se abre una pestaña nueva en el navegador con la interfaz del editor de consultas v2. Con los permisos adecuados, puede acceder a los datos de un clúster o grupo de trabajo de Amazon Redshift propiedad de su Cuenta de AWS en la Región de AWS actual.

La primera vez que un administrador configura el editor de consultas v2 para su Cuenta de AWS, este elige la AWS KMS key que se utiliza para cifrar los recursos del editor de consultas v2. De manera predeterminada, se utiliza una clave propia de AWS para cifrar los recursos. O bien, un administrador puede utilizar una clave administrada por el cliente seleccionando el nombre de recurso de Amazon (ARN) para la clave en la página de configuración. Luego de configurar una cuenta, la configuración de cifrado AWS KMS no se puede cambiar. Para obtener más información sobre cómo crear y utilizar una clave administrada por el cliente con el editor de consultas v2, consulte Creación de una clave AWS KMS administrada por el cliente para usar con el editor de consultas v2. El administrador también puede elegir opcionalmente un S3 bucket (Bucket de S3) y una ruta que se utilice para algunas características, como carga de datos de un archivo. Para obtener más información, consulte Configuración y flujo de trabajo de la carga de datos desde un archivo local.

El editor de consultas v2 de Amazon Redshift admite la autenticación, el cifrado, el aislamiento y la conformidad para mantener los datos en reposo y los datos en tránsito protegidos. Para obtener más información sobre la seguridad de datos y el editor de consultas v2, consulte lo siguiente:

AWS CloudTrail captura las llamadas a la API y otros eventos relacionados que realiza la Cuenta de AWS o que se realizan en nombre de esta. Además, entrega los archivos de registro a un bucket de Amazon S3 especificado. También pueden identificar qué usuarios y cuentas llamaron a AWS, la dirección IP de origen de las llamadas y el momento en que estas se realizaron. Para obtener más información sobre cómo se ejecuta el editor de consultas v2 en AWS CloudTrail, consulte Registro con CloudTrail. Para obtener más información acerca de CloudTrail, consulte la Guía del usuario de AWS CloudTrail.

El editor de consultas v2 tiene cuotas ajustables para algunos de sus recursos. Para obtener más información, consulte Cuotas para objetos de Amazon Redshift.

Recursos creados con el editor de consultas v2

En el editor de consultas v2, puede crear recursos como consultas y gráficos guardados. Todos los recursos del editor de consultas v2 están asociados a un rol de IAM o a un usuario. Recomendamos adjuntar políticas a un rol de IAM y asignar el rol a un usuario.

En el editor de consultas v2, puede agregar y eliminar etiquetas para consultas y gráficos guardados. Puede utilizar estas etiquetas al momento de configurar políticas de IAM personalizadas o para buscar recursos. También puede administrar las etiquetas mediante el editor de etiquetas de AWS Resource Groups.

Puede configurar roles de IAM con políticas de IAM para compartir consultas con otros usuarios en la misma Cuenta de AWS en la Región de AWS.

Creación de una clave AWS KMS administrada por el cliente para usar con el editor de consultas v2

Para crear una clave de cifrado simétrica administrada por el cliente:

Puede crear una clave de cifrado simétrica administrada por el cliente para cifrar los recursos del editor de consultas v2 mediante la consola de AWS KMS o las operaciones de la API de AWS KMS. Para obtener instrucciones sobre cómo crear una clave, consulte Creación de una clave de AWS KMS de cifrado simétrica en la Guía para desarrolladores de AWS Key Management Service.

Política de claves

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves AWS KMS en la Guía para desarrolladores de AWS Key Management Service.

Para utilizar la clave administrada por el cliente con el editor de consultas v2 de Amazon Redshift, se deben permitir las siguientes operaciones de API en la política de clave:

kms:GenerateDataKey: genera una clave de datos simétrica única para cifrar los datos.
kms:Decrypt: descifra los datos cifrados con la clave administrada por el cliente.
kms:DescribeKey: proporciona los detalles de la clave administrada por el cliente para permitir que el servicio valide la clave.

La siguiente es una política de AWS KMS de ejemplo para la Cuenta de AWS 111122223333. En la primera sección, kms:ViaService limita el uso de la clave al servicio del editor de consultas v2 (que se denomina sqlworkbench.region.amazonaws.com en la política). La Cuenta de AWS que utiliza la clave de debe ser 111122223333. En la segunda sección, el usuario raíz y los administradores de clave de la Cuenta de AWS 111122223333 pueden acceder a la clave.

Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.


{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy",
    "Statement": [
        {
            "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sqlworkbench.region.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:*"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
        }
    ]
}

Los siguientes recursos proporcionan más información sobre claves AWS KMS:

Para obtener más información sobre las políticas de AWS KMS, consulte Especificación de permisos en una política en la Guía para desarrolladores de AWS Key Management Service.
Para obtener información sobre las políticas de solución de problemas de AWS KMS, consulte Solución de problemas de acceso a las claves en la Guía para desarrolladores de AWS Key Management Service.
Para obtener más información sobre las claves, consulte Claves KMS de AWS en la Guía para desarrolladores de AWS Key Management Service.

Acceso al editor de consultas v2

Para obtener acceso al editor de consultas v2, necesita permiso. Un administrador puede adjuntar una de las siguientes políticas administradas de AWS al rol para conceder el permiso. (Recomendamos adjuntar políticas a un rol de IAM y asignar el rol a un usuario). Estas políticas administradas de AWS se escriben con diferentes opciones que controlan cómo los recursos de etiquetado permiten compartir consultas. Puede utilizar la consola de IAM (https://console.aws.amazon.com/iam/) para adjuntar políticas de IAM.

AmazonRedshiftQueryEditorV2FullAccess: concede acceso completo a todos los recursos y las operaciones del editor de consultas v2 de Amazon Redshift. Esta política también concede acceso a otros servicios requeridos.
AmazonRedshiftQueryEditorV2NoSharing: permite trabajar con el editor de consultas v2 de Amazon Redshift sin compartir recursos. Esta política también concede acceso a otros servicios requeridos.
AmazonRedshiftQueryEditorV2ReadSharing: permite trabajar con el editor de consultas v2 de Amazon Redshift con uso compartido limitado de los recursos. La entidad principal concedida puede leer los recursos compartidos con su equipo, pero no puede actualizarlos. Esta política también concede acceso a otros servicios requeridos.
AmazonRedshiftQueryEditorV2ReadWriteSharing: permite trabajar con el editor de consultas v2 de Amazon Redshift con uso compartido de recursos. La entidad principal concedida puede leer y actualizar los recursos compartidos con su equipo. Esta política también concede acceso a otros servicios requeridos.

También puede crear su propia política en función de los permisos permitidos y denegados en las políticas administradas proporcionadas. Si utiliza el editor de políticas de la consola de IAM para crear su propia política, elija SQL Workbench como servicio para el que crea la política en el editor visual. El editor de consultas v2 utiliza el nombre del servicio AWS SQL Workbench en el editor visual y el Simulador de políticas de IAM.

Para que una entidad principal (un usuario con un rol de IAM asignado) se conecte a un clúster de Amazon Redshift, necesita los permisos de una de las políticas administradas del editor de consultas v2. También necesitan el permiso redshift:GetClusterCredentials para el clúster. Para obtener este permiso, alguien con permiso administrativo puede adjuntar una política a los roles de IAM usados para conectarse al clúster mediante credenciales temporales. Puede delimitar el alcance de la política a clústeres específicos o hacerlo más general. Para obtener más información sobre los permisos para usar credenciales temporales, consulte Crear un rol o usuario de IAM con permisos para llamar a GetClusterCredentials.

Para que una entidad principal (normalmente un usuario con un rol de IAM asignado) active la capacidad en la página Configuración de cuenta para que otras personas de la cuenta puedan Exportar conjunto de resultados, necesita el permiso sqlworkbench:UpdateAccountExportSettings asociado al rol. Este permiso está presente en la política administrada por AWS AmazonRedshiftQueryEditorV2FullAccess.

A medida que se agregan nuevas características al editor de consultas v2, las políticas administradas de AWS se actualizan según sea necesario. Si crea su propia política basándose en los permisos permitidos y denegados en las políticas administradas proporcionadas, edite sus políticas para mantenerlas actualizadas con los cambios en las políticas administradas. Para obtener más información sobre las políticas administradas en Amazon Redshift, consulte Políticas administradas por AWS para Amazon Redshift.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center.
Usuarios administrados en IAM a través de un proveedor de identidades:

Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
Usuarios de IAM:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.

nota

Si un administrador de AWS IAM Identity Center elimina todas las asociaciones de conjuntos de permisos de un conjunto de permisos concreto en toda la cuenta, ya no se podrá acceder a los recursos del editor de consultas asociados originalmente al conjunto de permisos eliminado. Si más adelante se vuelven a crear los mismos permisos, se crea un nuevo identificador interno. Como el identificador interno ha cambiado, no se puede acceder a los recursos del editor de consultas que anteriormente eran propiedad de un usuario. Se recomienda que, antes de que los administradores eliminen un conjunto de permisos, los usuarios de ese conjunto de permisos realicen copias de seguridad de los recursos del editor de consultas, como los cuadernos y las consultas.

Configuración de etiquetas de entidad principal para conectar un clúster o grupo de trabajo desde el editor de consultas v2

Para conectarse al clúster o grupo de trabajo mediante la opción de usuario federado, configure el rol o usuario de IAM con etiquetas de entidades principales. O bien, configure el proveedor de identidades (IdP) para que pase RedshiftDbUser y (opcionalmente) RedshiftDbGroups. Para obtener más información acerca del uso de IAM para administrar etiquetas, consulte Transferencia de etiquetas de sesión en AWS Security Token Service en la Guía del usuario de IAM. Para configurar el acceso mediante AWS Identity and Access Management, un administrador puede agregar etiquetas mediante la consola de IAM (https://console.aws.amazon.com/iam/).

Para agregar etiquetas de entidades principales a un rol de IAM

Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.
Seleccione Roles en el panel de navegación.
Elija el rol que necesita acceso al editor de consultas v2 mediante un usuario federado.
Elija la pestaña Tags (Etiquetas).
Elija Manage tags (Administrar etiquetas).
Elija Add tag (Agregar etiqueta) e ingrese la Key (Clave) como RedshiftDbUser e ingrese un Value (Valor) del nombre de usuario federado.
Si lo desea, elija Add tag (Agregar etiqueta) e ingrese la Key (Clave) como RedshiftDbGroups e ingrese un Value (Valor) del nombre de grupo que se va a asociar al usuario.
Elija Save changes (Guardar cambios) para ver la lista de etiquetas asociadas al rol de IAM elegido. Es posible que la propagación de los cambios tarde varios segundos.
Para utilizar el usuario federado, actualice la página del editor de consultas v2 después de que se hayan propagado los cambios.

Configure el proveedor de identidades (IdP) para pasar etiquetas de entidades principales

El procedimiento para configurar etiquetas mediante un proveedor de identidades (IdP) varía según el IdP. Consulte la documentación del IdP para obtener instrucciones sobre cómo transferir información de usuario y grupo a los atributos de SAML. Cuando se configura correctamente, aparecen los siguientes atributos en la respuesta de SAML que utiliza AWS Security Token Service para rellenar las etiquetas de entidades principales para RedshiftDbUser y RedshiftDbGroups.


<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser">
    <AttributeValue>db-user-name</AttributeValue>
</Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups">
    <AttributeValue>db-groups</AttributeValue>
</Attribute>

El db_groups opcional debe ser una lista separada por dos puntos, como group1:group2:group3.

Además, puede configurar el atributo TransitiveTagKeys para conservar las etiquetas durante el encadenamiento de roles.


<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys">
  <AttributeValue>RedshiftDbUser</AttributeValue>
  <AttributeValue>RedshiftDbGroups</AttributeValue>
</Attribute>

Para obtener más información sobre la configuración del editor de consultas v2, consulte Permisos necesarios para usar del editor de consultas v2 .

Para obtener información acerca de cómo configurar Active Directory Federation Services (AD FS), consulte la publicación del blog: Federar el acceso al editor de consultas v2 de Amazon Redshift con Active Directory Federation Services (AD FS).

Para obtener información acerca de cómo configurar Okta, consulte la publicación del blog: Federar el acceso de inicio de sesión único al editor de consultas v2 de Amazon Redshift con Okta.

nota

Cuando se conecta a su clúster o grupo de trabajo mediante la opción de conexión Usuario federado del editor de consultas v2, el proveedor de identidades (IdP) puede proporcionar etiquetas de entidades principales personalizadas para RedshiftDbUser y RedshiftDbGroups. Actualmente, AWS IAM Identity Center no admite pasar etiquetas de entidades principales personalizadas directamente al editor de consultas v2.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Consulta de una base de datos mediante el editor de consultas v2 de Amazon Redshift

Trabajo con el editor de consultas v2