Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Configuration d'une propagation d'identité fiable avec Amazon Redshift Query Editor V2 La procédure suivante explique comment assurer une propagation d'identité fiable depuis Amazon Redshift Query Editor V2 vers Amazon Redshift. ## Conditions préalables Avant de commencer ce didacticiel, vous devez configurer les éléments suivants : 1. [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md). 1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md). L'activation de la propagation fiable des identités inclut les tâches effectuées par un administrateur IAM Identity Center dans la console IAM Identity Center et les tâches effectuées par un administrateur Amazon Redshift dans la console Amazon Redshift. ## Tâches effectuées par l'administrateur de l'IAM Identity Center Les tâches suivantes devaient être effectuées par l'administrateur de l'IAM Identity Center : 1. **Créez un [rôle IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** dans le compte où se trouve le cluster Amazon Redshift ou l'instance Serverless avec la politique d'autorisation suivante. Pour plus d'informations, consultez la section [Création d'un rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html). 1. Les exemples de politique suivants incluent les autorisations nécessaires pour terminer ce didacticiel. Pour utiliser cette politique, remplacez celle de {{italicized placeholder text}} l'exemple de politique par vos propres informations. Pour obtenir des instructions supplémentaires, voir [Créer une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Modifier une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html). **Politique d'autorisation :** ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRedshiftApplication", "Effect": "Allow", "Action": [ "redshift:DescribeQev2IdcApplications", "redshift-serverless:ListNamespaces", "redshift-serverless:ListWorkgroups", "redshift-serverless:GetWorkgroup" ], "Resource": "*" }, { "Sid": "AllowIDCPermissions", "Effect": "Allow", "Action": [ "sso:DescribeApplication", "sso:DescribeInstance" ], "Resource": [ "arn:aws:sso:::instance/{{Your-IAM-Identity-Center-Instance ID}}", "arn:aws:sso::{{111122223333}}:application/{{Your-IAM-Identity-Center-Instance-ID}}/*" ] } ] } ``` ------ **Politique de confiance :** ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "redshift-serverless.amazonaws.com", "redshift.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` ------ 1. **Créez un ensemble d'autorisations** dans le compte AWS Organizations de gestion sur lequel IAM Identity Center est activé. Vous l'utiliserez à l'étape suivante pour autoriser les utilisateurs fédérés à accéder à Redshift Query Editor V2. 1. **Accédez à la console **IAM Identity Center**, sous Autorisations **multi-comptes, choisissez Ensembles d'autorisations**.** 1. Choisissez **Create permission set (Créer un jeu d'autorisations)**. 1. Choisissez **Ensemble d'autorisations personnalisé**, puis cliquez sur **Suivant**. 1. Dans **Politiques AWS gérées**, sélectionnez **`AmazonRedshiftQueryEditorV2ReadSharing`**. 1. Sous **Stratégie intégrée**, ajoutez la politique suivante : ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "redshift:DescribeQev2IdcApplications", "redshift-serverless:ListNamespaces", "redshift-serverless:ListWorkgroups", "redshift-serverless:GetWorkgroup" ], "Resource": "*" } ] } ``` ------ 1. Sélectionnez **Suivant**, puis attribuez un nom au nom de l'ensemble d'autorisations. Par exemple, **Redshift-Query-Editor-V2**. 1. Sous **État du relais — facultatif**, définissez l'état du relais par défaut sur l'URL de l'éditeur de requêtes V2, en utilisant le format :`https://{{your-region}}.console.aws.amazon.com/sqlworkbench/home`. 1. Vérifiez les paramètres et choisissez **Créer**. 1. Accédez au tableau de bord du centre d'identité IAM et copiez l'URL du portail AWS d'accès depuis la section **Récapitulatif des paramètres**. ![Étape i, Copier AWS l'URL du portail d'accès depuis la console IAM Identity Center.](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png) 1. Ouvrez une nouvelle fenêtre de navigation privée et collez l'URL. Cela vous redirigera vers votre portail AWS d'accès, garantissant que vous vous connectez avec un utilisateur d'IAM Identity Center. ![Étape j, Connectez-vous pour AWS accéder au portail.](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png) Pour plus d'informations sur l'ensemble d'autorisations, consultez[Gérer Comptes AWS avec des ensembles d'autorisations](permissionsetsconcept.md). 1. **Permettez aux utilisateurs fédérés d'accéder à Redshift Query** Editor V2. 1. Dans le compte AWS Organizations de gestion, ouvrez la console **IAM Identity Center**. 1. Dans le volet de navigation, sous **Autorisations multi-comptes**, sélectionnez **Comptes AWS**. 1. Sur la Comptes AWS page, sélectionnez Compte AWS celui auquel vous souhaitez attribuer l'accès. 1. Choisissez **Attribuer des utilisateurs ou des groupes**. 1. Sur la page **Attribuer des utilisateurs et des groupes**, choisissez les utilisateurs et/ou les groupes pour lesquels vous souhaitez créer l'ensemble d'autorisations. Ensuite, choisissez **Suivant**. 1. Sur la page **Attribuer des ensembles d'autorisations**, choisissez le jeu d'autorisations que vous avez créé à l'étape précédente. Ensuite, choisissez **Suivant**. 1. Sur la page **Réviser et soumettre les devoirs**, passez en revue vos sélections et choisissez **Soumettre**. ## Tâches effectuées par un administrateur Amazon Redshift Pour permettre une propagation d'identité fiable vers Amazon Redshift, un administrateur de cluster Amazon Redshift ou un administrateur Amazon Redshift Serverless doit effectuer un certain nombre de tâches dans la console Amazon Redshift. *Pour plus d'informations, consultez [Intégrer le fournisseur d'identité (IdP) à Amazon Redshift Query Editor V2 et au client SQL à l'aide d'IAM Identity Center pour une authentification unique fluide](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) sur le blog Big Data.AWS *