Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi Akun AWS
Anda dapat melakukan serangkaian tugas ini untuk mengonfigurasi editor kueri v2 untuk menanyakan database Amazon Redshift. Dengan izin yang tepat, Anda dapat mengakses data di klaster Amazon Redshift atau grup kerja yang dimiliki oleh Anda yang ada di saat ini. Akun AWS Wilayah AWS
Pertama kali administrator mengonfigurasi editor kueri v2 untuk Anda Akun AWS, mereka memilih AWS KMS key yang digunakan untuk mengenkripsi sumber daya editor kueri v2. Secara default, kunci yang AWS dimiliki digunakan untuk mengenkripsi sumber daya. Atau, administrator dapat menggunakan kunci yang dikelola pelanggan dengan memilih Amazon Resource Name (ARN) untuk kunci di halaman konfigurasi.
Setelah mengonfigurasi akun, pengaturan AWS KMS enkripsi tidak dapat diubah. Untuk informasi selengkapnya tentang membuat dan menggunakan kunci yang dikelola pelanggan dengan editor kueri v2, lihatMembuat kunci yang dikelola AWS KMS pelanggan untuk digunakan dengan editor kueri v2. Administrator juga dapat secara opsional memilih bucket dan jalur S3 yang digunakan untuk beberapa fitur, seperti memuat data dari file. Untuk informasi selengkapnya, lihat Memuat data dari pengaturan file lokal dan alur kerja.
Editor kueri Amazon Redshift v2 mendukung autentikasi, enkripsi, isolasi, dan kepatuhan untuk menjaga data Anda tetap diam dan data dalam transit aman. Untuk informasi selengkapnya tentang keamanan data dan editor kueri v2, lihat berikut ini:
AWS CloudTrail menangkap API panggilan dan peristiwa terkait yang dibuat oleh atau atas nama Anda Akun AWS dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. Untuk mempelajari selengkapnya tentang bagaimana editor kueri v2 berjalan AWS CloudTrail, lihatLogging dengan CloudTrail. Untuk informasi selengkapnya CloudTrail, lihat Panduan AWS CloudTrail Pengguna.
Editor kueri v2 memiliki kuota yang dapat disesuaikan untuk beberapa sumber dayanya. Untuk informasi selengkapnya, lihat Kuota untuk objek Amazon Redshift.
Sumber daya dibuat dengan editor kueri v2
Dalam editor kueri v2, Anda dapat membuat sumber daya seperti kueri dan bagan yang disimpan. Semua sumber daya di editor kueri v2 dikaitkan dengan IAM peran atau dengan pengguna. Sebaiknya Anda melampirkan kebijakan ke IAM peran dan menetapkan peran tersebut ke pengguna.
Di editor kueri v2, Anda dapat menambahkan dan menghapus tag untuk kueri dan bagan yang disimpan. Anda dapat menggunakan tag ini saat menyiapkan IAM kebijakan khusus atau untuk mencari sumber daya. Anda juga dapat mengelola tag dengan menggunakan Editor AWS Resource Groups Tag.
Anda dapat mengatur IAM peran dengan IAM kebijakan untuk berbagi kueri dengan orang lain yang sama Akun AWS di. Wilayah AWS
Membuat kunci yang dikelola AWS KMS pelanggan untuk digunakan dengan editor kueri v2
Untuk membuat kunci terkelola enkripsi simetris pelanggan:
Anda dapat membuat kunci terkelola pelanggan enkripsi simetris untuk mengenkripsi sumber daya editor kueri v2 menggunakan AWS KMS konsol atau AWS KMS API operasi. Untuk petunjuk tentang membuat kunci, lihat Membuat AWS KMS kunci enkripsi simetris di Panduan AWS Key Management Service Pengembang.
Kebijakan utama
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke AWS KMS kunci di Panduan AWS Key Management Service Pengembang.
Untuk menggunakan kunci terkelola pelanggan Anda dengan editor kueri Amazon Redshift v2, API operasi berikut harus diizinkan dalam kebijakan kunci:
-
kms:GenerateDataKey
— Menghasilkan kunci data simetris yang unik untuk mengenkripsi data Anda. -
kms:Decrypt
— Mendekripsi data yang dienkripsi dengan kunci yang dikelola pelanggan. -
kms:DescribeKey
— Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan layanan memvalidasi kunci.
Berikut ini adalah contoh AWS KMS kebijakan untuk Akun AWS
111122223333
. Di bagian pertama, kms:ViaService
batas penggunaan kunci untuk layanan editor kueri v2 (yang dinamai sqlworkbench.
dalam kebijakan). Akun AWS Menggunakan kunci harusregion
.amazonaws.com.rproxy.goskope.com111122223333
. Di bagian kedua, pengguna root dan administrator kunci Akun AWS
111122223333
dapat mengakses ke kunci.
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya di akun. Identitas ini disebut pengguna Akun AWS root dan diakses dengan masuk dengan alamat email dan kata sandi yang Anda gunakan untuk membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Lindungi kredensial pengguna root Anda dan gunakan kredensial tersebut untuk melakukan tugas yang hanya dapat dilakukan pengguna root. Untuk daftar lengkap tugas yang mengharuskan Anda masuk sebagai pengguna root, lihat Tugas yang memerlukan kredensi pengguna root di IAMPanduan Pengguna.
{ "Version": "2012-10-17", "Id": "key-consolepolicy", "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "sqlworkbench.
region
.amazonaws.com", "kms:CallerAccount": "111122223333
" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333
:root" }, "Action": [ "kms:*" ], "Resource": "arn:aws:kms:region
:111122223333
:key/key_ID" } ] }
Sumber daya berikut memberikan informasi lebih lanjut tentang AWS KMS kunci:
-
Untuk informasi selengkapnya tentang AWS KMS kebijakan, lihat Menentukan izin dalam kebijakan di Panduan AWS Key Management Service Pengembang.
-
Untuk informasi tentang AWS KMS kebijakan pemecahan masalah, lihat Memecahkan masalah akses kunci di Panduan Pengembang.AWS Key Management Service
-
Untuk informasi selengkapnya tentang kunci, lihat AWS KMSkunci di Panduan AWS Key Management Service Pengembang.
Mengakses editor kueri v2
Untuk mengakses editor kueri v2, Anda memerlukan izin. Administrator dapat melampirkan salah satu kebijakan AWS terkelola berikut ke peran untuk memberikan izin. (Kami menyarankan untuk melampirkan kebijakan ke IAM peran dan menetapkan peran ke pengguna.) Kebijakan AWS terkelola ini ditulis dengan opsi berbeda yang mengontrol bagaimana sumber daya penandaan memungkinkan berbagi kueri. Anda dapat menggunakan IAM console (https://console.aws.amazon.com/iam/
-
AmazonRedshiftQueryEditorV2 FullAccess - Memberikan akses penuh ke operasi dan sumber daya editor kueri Amazon Redshift v2. Kebijakan ini juga memberikan akses ke layanan lain yang diperlukan.
-
AmazonRedshiftQueryEditorV2 NoSharing - Memberikan kemampuan untuk bekerja dengan editor kueri Amazon Redshift v2 tanpa berbagi sumber daya. Kebijakan ini juga memberikan akses ke layanan lain yang diperlukan.
-
AmazonRedshiftQueryEditorV2 ReadSharing - Memberikan kemampuan untuk bekerja dengan editor kueri Amazon Redshift v2 dengan berbagi sumber daya yang terbatas. Prinsipal yang diberikan dapat membaca sumber daya yang dibagikan dengan timnya tetapi tidak dapat memperbaruinya. Kebijakan ini juga memberikan akses ke layanan lain yang diperlukan.
-
AmazonRedshiftQueryEditorV2 ReadWriteSharing - Memberikan kemampuan untuk bekerja dengan editor kueri Amazon Redshift v2 dengan berbagi sumber daya. Kepala sekolah yang diberikan dapat membaca dan memperbarui sumber daya yang dibagikan dengan timnya. Kebijakan ini juga memberikan akses ke layanan lain yang diperlukan.
Anda juga dapat membuat kebijakan sendiri berdasarkan izin yang diizinkan dan ditolak dalam kebijakan terkelola yang disediakan. Jika Anda menggunakan editor kebijakan IAM konsol untuk membuat kebijakan Anda sendiri, pilih SQLWorkbench sebagai layanan yang Anda buat kebijakan di editor visual. Editor kueri v2 menggunakan nama layanan AWS SQL Workbench di editor visual dan Simulator IAM Kebijakan.
Untuk prinsipal (pengguna dengan IAM peran yang ditetapkan) untuk terhubung ke klaster Amazon Redshift, mereka memerlukan izin di salah satu kebijakan terkelola editor kueri v2. Mereka juga membutuhkan redshift:GetClusterCredentials
izin ke cluster. Untuk mendapatkan izin ini, seseorang dengan izin administratif dapat melampirkan kebijakan ke IAM peran yang digunakan untuk terhubung ke klaster dengan menggunakan kredenal sementara. Anda dapat membuat cakupan kebijakan ke kluster tertentu atau lebih umum. Untuk informasi selengkapnya tentang izin untuk menggunakan kredenal sementara, lihat Membuat IAM peran atau pengguna dengan izin untuk menelepon. GetClusterCredentials
Agar prinsipal (biasanya pengguna dengan IAM peran yang ditetapkan) mengaktifkan kemampuan di halaman Pengaturan akun untuk orang lain di akun ke set hasil Ekspor, mereka memerlukan sqlworkbench:UpdateAccountExportSettings
izin yang dilampirkan peran tersebut. Izin ini termasuk dalam kebijakan yang AmazonRedshiftQueryEditorV2FullAccess
AWS dikelola.
Karena fitur baru ditambahkan ke editor kueri v2, kebijakan AWS terkelola diperbarui sesuai kebutuhan. Jika Anda membuat kebijakan sendiri berdasarkan izin yang diizinkan dan ditolak dalam kebijakan terkelola yang disediakan, edit kebijakan Anda agar tetap up to date dengan perubahan pada kebijakan terkelola. Untuk informasi selengkapnya tentang kebijakan terkelola di Amazon Redshift, lihat. AWS kebijakan terkelola untuk Amazon Redshift
Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
-
IAMpengguna:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran bagi IAM pengguna di Panduan IAM Pengguna.
-
(Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.
-
catatan
Jika AWS IAM Identity Center administrator menghapus semua asosiasi set izin untuk set izin tertentu di seluruh akun, akses ke sumber daya editor kueri yang awalnya terkait dengan kumpulan izin yang dihapus tidak lagi dapat diakses. Jika nanti izin yang sama dibuat ulang, pengenal internal baru dibuat. Karena pengenal internal telah berubah, akses ke sumber daya editor kueri yang sebelumnya dimiliki oleh pengguna tidak dapat diakses. Sebaiknya sebelum administrator menghapus set izin, pengguna izin tersebut menetapkan sumber daya editor kueri ekspor seperti buku catatan dan kueri sebagai cadangan.
Menyiapkan tag utama untuk menghubungkan cluster atau workgroup dari editor kueri v2
Untuk terhubung ke klaster atau grup kerja menggunakan opsi pengguna federasi, siapkan IAM peran atau pengguna Anda dengan tag utama. Atau, atur penyedia identitas Anda (iDP) untuk masuk RedshiftDbUser
dan (opsional). RedshiftDbGroups
Untuk informasi selengkapnya tentang penggunaan IAM untuk mengelola tag, lihat Melewati tag sesi AWS Security Token Service di Panduan IAM Pengguna. Untuk mengatur akses menggunakan AWS Identity and Access Management, administrator dapat menambahkan tag menggunakan IAM console (https://console.aws.amazon.com/iam/
Untuk menambahkan tag utama ke IAM peran
Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Pilih Peran di panel navigasi.
-
Pilih peran yang memerlukan akses ke editor kueri v2 menggunakan pengguna federasi.
-
Pilih tab Tanda.
-
Pilih tag Kelola.
-
Pilih Tambah tag dan masukkan Kunci sebagai
RedshiftDbUser
dan masukkan Nilai nama pengguna federasi. -
Secara opsional pilih Tambahkan tag dan masukkan Kunci sebagai
RedshiftDbGroups
dan masukkan Nilai nama grup untuk dikaitkan dengan pengguna. -
Pilih Simpan perubahan untuk melihat daftar tag yang terkait dengan IAM peran yang Anda pilih. Menyebarkan perubahan mungkin memakan waktu beberapa detik.
-
Untuk menggunakan pengguna federasi, segarkan halaman v2 editor kueri Anda setelah perubahan disebarkan.
Siapkan penyedia identitas Anda (iDP) untuk meneruskan tag utama
Prosedur untuk mengatur tag menggunakan penyedia identitas (iDP) bervariasi menurut IDP. Lihat dokumentasi IDP Anda untuk petunjuk tentang cara meneruskan informasi pengguna dan grup ke SAML atribut. Ketika dikonfigurasi dengan benar, atribut berikut muncul dalam SAML respons Anda yang digunakan oleh AWS Security Token Service untuk mengisi tag utama untuk RedshiftDbUser
danRedshiftDbGroups
.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser"> <AttributeValue>
db-user-name
</AttributeValue> </Attribute> <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups"> <AttributeValue>db-groups
</AttributeValue> </Attribute>
Opsional db_groups
harus berupa daftar yang dipisahkan titik dua seperti. group1:group2:group3
Selain itu, Anda dapat mengatur TransitiveTagKeys
atribut untuk mempertahankan tag selama rantai peran.
<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys"> <AttributeValue>RedshiftDbUser</AttributeValue> <AttributeValue>RedshiftDbGroups</AttributeValue> </Attribute>
Untuk informasi selengkapnya tentang menyiapkan editor kueri v2, lihatIzin yang diperlukan untuk menggunakan editor kueri v2 .
Untuk informasi tentang cara mengatur Layanan Federasi Direktori Aktif (AD FS), lihat posting blog: Akses federasi ke editor kueri Amazon Redshift v2 dengan Layanan Federasi Direktori Aktif (AD
Untuk informasi tentang cara mengatur Okta, lihat posting blog: Akses masuk tunggal federasi ke editor kueri Amazon Redshift v2
catatan
Saat Anda terhubung ke klaster atau grup kerja menggunakan opsi koneksi pengguna Federasi dari editor kueri v2, Penyedia Identitas (iDP) dapat menyediakan tag utama khusus untuk dan. RedshiftDbUser
RedshiftDbGroups
Saat ini, AWS IAM Identity Center dosesn tidak mendukung tag utama khusus yang diteruskan langsung ke editor kueri v2.