Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de votre Compte AWS
Vous pouvez effectuer cet ensemble de tâches pour configurer l'éditeur de requêtes v2 afin d'interroger une base de données Amazon Redshift. Avec les autorisations appropriées, vous pouvez accéder aux données d'un cluster ou d'un groupe de travail Amazon Redshift dont vous êtes propriétaire et qui se trouve actuellement dans le cluster Amazon Redshift. Compte AWS Région AWS
La première fois qu'un administrateur configure l'éditeur de requêtes v2 pour vous Compte AWS, il choisit AWS KMS key celui qui est utilisé pour chiffrer les ressources de l'éditeur de requêtes v2. Par défaut, une clé AWS détenue est utilisée pour chiffrer les ressources. Un administrateur peut également utiliser une clé gérée par le client en choisissant le nom de ressource Amazon (ARN) pour la clé sur la page de configuration.
Après avoir configuré un compte, les paramètres de AWS KMS chiffrement ne peuvent pas être modifiés. Pour plus d’informations sur la création et l’utilisation d’une clé gérée par le client avec l’éditeur de requête v2, consultez Création d'une clé gérée par le AWS KMS client à utiliser avec l'éditeur de requêtes v2. L’administrateur peut éventuellement choisir un compartiment S3 et le chemin utilisé pour certaines fonctionnalités, telles que le chargement de données à partir d’un fichier. Pour de plus amples informations, veuillez consulter Chargement de données à partir d'un fichier local : configuration et flux de travail.
L’éditeur de requête v2 Amazon Redshift prend en charge l’authentification, le chiffrement, l’isolement et la conformité pour protéger vos données au repos et en transit. Pour plus d’informations sur la sécurité des données et l’éditeur de requête v2, consultez les rubriques suivantes :
AWS CloudTrail capture les appels d'API et les événements associés effectués par vous ou en votre nom Compte AWS et envoie les fichiers journaux dans un compartiment Amazon S3 que vous spécifiez. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. Pour en savoir plus sur la manière dont l’éditeur de requête v2 s’exécute sur AWS CloudTrail, consultez Se connecter avec CloudTrail. Pour plus d'informations CloudTrail, consultez le guide de AWS CloudTrail l'utilisateur.
L’éditeur de requête v2 dispose de quotas réglables pour certaines de ses ressources. Pour plus d'informations, consultez Quotas pour les objets Amazon Redshift.
Ressources créées à l’aide de l’éditeur de requête v2
Dans l’éditeur de requête v2, vous pouvez créer des ressources telles que des requêtes enregistrées et des diagrammes. Toutes les ressources de l’éditeur de requête v2 sont associées à un rôle IAM ou à un utilisateur. Nous vous recommandons d’associer des politiques à un rôle IAM et de l’attribuer à un utilisateur.
Dans l’éditeur de requête v2, vous pouvez ajouter et supprimer des balises pour les requêtes et les diagrammes enregistrés. Vous pouvez utiliser ces balises lorsque vous configurez des politiques IAM personnalisées ou pour rechercher des ressources. Vous pouvez également gérer les balises à l'aide de l'éditeur de AWS Resource Groups balises.
Vous pouvez configurer des rôles IAM avec des politiques IAM afin de partager des requêtes avec d'autres utilisateurs du même nom Compte AWS dans le. Région AWS
Création d'une clé gérée par le AWS KMS client à utiliser avec l'éditeur de requêtes v2
Pour créer une clé de chiffrement symétrique gérée par le client :
Vous pouvez créer une clé de chiffrement symétrique gérée par le client pour chiffrer les ressources de l'éditeur de requêtes v2 à l'aide de la AWS KMS console ou des opérations de l' AWS KMS API. Pour obtenir des instructions sur la création d'une clé, consultez la section Création d'une AWS KMS clé de chiffrement symétrique dans le manuel du AWS Key Management Service développeur.
Stratégie de clé
Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez la section Gestion de l'accès aux AWS KMS clés dans le Guide du AWS Key Management Service développeur.
Pour utiliser votre clé gérée par le client avec l’éditeur de requête v2 Amazon Redshift, les opérations API suivantes doivent être autorisées dans la stratégie de clé :
-
kms:GenerateDataKey– Génère une clé de données symétrique unique pour chiffrer vos données. -
kms:Decrypt– Déchiffre les données chiffrées à l’aide de la clé gérée par le client. -
kms:DescribeKey– Fournit les détails des clés gérées par le client pour permettre au service de valider la clé.
Voici un exemple de AWS KMS politique pour Compte AWS
111122223333. Dans la première section, le kms:ViaService limite l’utilisation de la clé au service de l’éditeur de requête v2 (nommé sqlworkbench. dans la politique). L' Compte AWS utilisation de la clé doit êtreregion.amazonaws.com.rproxy.goskope.com111122223333. Dans la deuxième section, l'utilisateur root et les administrateurs clés de Compte AWS
111122223333 peuvent accéder à la clé.
Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique qui donne un accès complet à toutes Services AWS les ressources du compte. Cette identité est appelée utilisateur Compte AWS root et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu’utilisateur racine, consultez Tâches nécessitant des informations d’identification d’utilisateur racine dans le Guide de l’utilisateur IAM.
{ "Version": "2012-10-17", "Id": "key-consolepolicy", "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "sqlworkbench.region.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" } ] }
Les ressources suivantes fournissent des informations supplémentaires sur AWS KMS les clés :
-
Pour plus d'informations sur AWS KMS les politiques, consultez la section Spécification des autorisations dans une politique du Guide du AWS Key Management Service développeur.
-
Pour plus d'informations sur AWS KMS les politiques de résolution des problèmes, consultez la section Résolution des problèmes d'accès aux clés dans le Guide du AWS Key Management Service développeur.
-
Pour plus d’informations sur les clés KMS, consultez Clés AWS KMS dans le Guide du développeur AWS Key Management Service .
Accès à l’éditeur de requête v2
Pour accéder à l’éditeur de requête v2, vous avez besoin d’une autorisation. Un administrateur peut associer l'une des politiques AWS gérées suivantes au rôle pour accorder une autorisation. (Nous vous recommandons d’associer des politiques à un rôle IAM et de l’attribuer à un utilisateur.) Ces politiques AWS gérées sont rédigées avec différentes options qui contrôlent la manière dont le balisage des ressources permet le partage des requêtes. Vous pouvez utiliser la console IAM (https://console.aws.amazon.com/iam/
-
AmazonRedshiftQueryEditorV2 FullAccess — Accorde un accès complet aux opérations et aux ressources de l'éditeur de requêtes Amazon Redshift v2. Cette politique permet également d’accéder à d’autres services requis.
-
AmazonRedshiftQueryEditorV2 NoSharing — Permet de travailler avec l'éditeur de requêtes Amazon Redshift v2 sans partager de ressources. Cette politique permet également d’accéder à d’autres services requis.
-
AmazonRedshiftQueryEditorV2 ReadSharing — Permet de travailler avec l'éditeur de requêtes Amazon Redshift v2 avec un partage limité des ressources. Le principal autorisé peut lire les ressources partagées avec son équipe, mais ne peut pas les mettre à jour. Cette politique permet également d’accéder à d’autres services requis.
-
AmazonRedshiftQueryEditorV2 ReadWriteSharing — Permet de travailler avec l'éditeur de requêtes Amazon Redshift v2 avec partage de ressources. Le principal autorisé peut lire et mettre à jour les ressources partagées avec son équipe. Cette politique permet également d’accéder à d’autres services requis.
Vous pouvez également créer votre propre politique basée sur les autorisations autorisées et refusées dans les politiques gérées fournies. Si vous utilisez l’éditeur de politique de la console IAM pour créer votre propre politique, choisissez SQL Workbench en tant que service pour lequel vous créez la politique dans l’éditeur visuel. L’éditeur de requête v2 utilise le nom du service AWS SQL Workbench dans l’éditeur visuel et le simulateur de politiques IAM.
Pour qu’un principal (un utilisateur avec un rôle IAM assigné) puisse se connecter à un cluster Amazon Redshift, il doit disposer des autorisations dans l’une des politiques gérées de l’éditeur de requête v2. Il a également besoin de l’autorisation redshift:GetClusterCredentials pour le cluster. Pour obtenir cette autorisation, une personne disposant d’une autorisation administrative peut attacher une politique aux rôles IAM utilisés pour se connecter au cluster à l’aide d’informations d’identification temporaires. Vous pouvez étendre la politique à des clusters spécifiques ou être plus général. Pour plus d'informations sur l'autorisation d'utiliser des informations d'identification temporaires, voir Créer un rôle ou un utilisateur IAM autorisé à appeler GetClusterCredentials.
Pour qu’un principal (généralement un utilisateur avec un rôle IAM assigné) puisse activer, dans la page Paramètres du compte, la possibilité pour les autres membres du compte d’effectuer une opération Exporter l’ensemble des résultats, il lui faut l’autorisation sqlworkbench:UpdateAccountExportSettings attachée au rôle. Cette autorisation est incluse dans la politique AmazonRedshiftQueryEditorV2FullAccess AWS gérée.
Au fur et à mesure que de nouvelles fonctionnalités sont ajoutées à l'éditeur de requêtes v2, les politiques AWS gérées sont mises à jour selon les besoins. Si vous créez votre propre politique basée sur les autorisations autorisées et refusées dans les politiques gérées fournies, modifiez vos politiques pour les tenir à jour avec les modifications apportées aux politiques gérées. Pour plus d’informations sur les politiques gérées dans Amazon Redshift, consultez AWS politiques gérées pour Amazon Redshift.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM.
-
Utilisateurs IAM :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM dans le Guide de l’utilisateur IAM.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d’autorisations à un utilisateur (console) du Guide de l’utilisateur IAM.
-
Note
Si un AWS IAM Identity Center administrateur supprime toutes les associations d'ensembles d'autorisations pour un ensemble d'autorisations particulier dans l'ensemble du compte, l'accès aux ressources de l'éditeur de requêtes initialement associées au jeu d'autorisations supprimé n'est plus accessible. Ultérieurement, si les mêmes autorisations sont recréées, un nouvel identifiant interne est créé. L’identifiant interne ayant changé, l’accès aux ressources de l’éditeur de requêtes précédemment détenues par un utilisateur n’est plus disponible. Avant que les administrateurs suppriment un ensemble d’autorisations, nous recommandons aux utilisateurs de cet ensemble d’autorisations d’exporter les ressources de l’éditeur de requêtes, telles que les blocs-notes et les requêtes, en tant que sauvegarde.
Configuration de balises de principal pour connecter un cluster ou un groupe de travail à partir de l’éditeur de requêtes v2
Pour vous connecter à votre cluster ou groupe de travail à l’aide de l’option d’utilisateur fédéré, configurez votre utilisateur ou rôle IAM avec des balises de principal. Ou bien, configurez votre fournisseur d’identité (IdP) pour qu’il transmette RedshiftDbUser et (en option) RedshiftDbGroups. Pour plus d’informations sur l’utilisation d’IAM pour gérer les balises, consultez Transmission des balises de session dans AWS Security Token Service (langue Français non garantie) dans le Guide de l’utilisateur IAM. Pour configurer l'accès à l'aide de AWS Identity and Access Management, un administrateur peut ajouter des balises à l'aide de la console IAM (https://console.aws.amazon.com/iam/
Pour ajouter des balises relatives au principal à un rôle IAM
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/
l'adresse. -
Choisissez Rôles dans le panneau de navigation.
-
Choisissez le rôle qui doit accéder à l’éditeur de requête v2 en utilisant un utilisateur fédéré.
-
Sélectionnez l’onglet Tags (Identifications).
-
Choisissez Manage tags (Gérer les balises).
-
Choisissez Add tag (Ajouter une balise) et entrez une valeur Key (Clé) de
RedshiftDbUser, puis entrez la Value (Valeur) du nom d’utilisateur fédéré. -
Vous pouvez également sélectionner Add tag (Ajouter une balise) et entrer la Key (Clé) de
RedshiftDbGroups, puis entrer la Value (Valeur) du nom du groupe à associer à l’utilisateur. -
Choisissez Save changes (Enregistrer les modifications) pour afficher la liste des balises associées au rôle IAM que vous avez choisi. La propagation des modifications peut prendre plusieurs secondes.
-
Pour utiliser l’utilisateur fédéré, actualisez votre page de l’éditeur de requêtes v2 après la propagation des modifications.
Configurez votre fournisseur d’identité (IdP) pour transmettre les balises relatives au principal
La procédure de configuration des balises à l’aide d’un fournisseur d’identité (IdP) varie selon l’IdP. Consultez la documentation de votre IdP pour savoir comment transmettre les informations sur les utilisateurs et les groupes aux attributs SAML. Lorsqu'ils sont correctement configurés, les attributs suivants apparaissent dans votre réponse SAML qui est utilisée par le AWS Security Token Service pour renseigner les balises principales pour RedshiftDbUser et. RedshiftDbGroups
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser"> <AttributeValue>db-user-name</AttributeValue> </Attribute> <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups"> <AttributeValue>db-groups</AttributeValue> </Attribute>
L'option db_groups doit être une liste séparée par des virgules, telle que. group1:group2:group3
En outre, vous pouvez définir l’attribut TransitiveTagKeys pour que les balises persistent pendant la création de chaînes de rôles.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys"> <AttributeValue>RedshiftDbUser</AttributeValue> <AttributeValue>RedshiftDbGroups</AttributeValue> </Attribute>
Pour plus d’informations sur la configuration de l’éditeur de requêtes v2, consultez Autorisations requises pour utiliser l’éditeur de requête v2 .
Pour savoir comment configurer Active Directory Federation Services (AD FS), consultez le billet de blog : Federate access to Amazon Redshift query editor v2 with Active Directory Federation Services (AD FS)
Pour savoir comment configurer Okta, consultez le billet de blog : Federate single sign-on access to Amazon Redshift query editor v2 with Okta
Note
Lorsque vous vous connectez à votre cluster ou groupe de travail à l’aide de l’option de connexion Utilisateur fédéré de l’éditeur de requêtes v2, le fournisseur d’identité (IdP) peut fournir des balises de principal personnalisées pour RedshiftDbUser et RedshiftDbGroups. Actuellement, ne AWS IAM Identity Center prend pas en charge le transfert de balises principales personnalisées directement à l'éditeur de requêtes v2.
