翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon Redshift Query Editor V2 で信頼できる ID の伝播を設定する 次の手順では、Amazon Redshift Query Editor V2 から Amazon Redshift への信頼できる ID の伝播を実現する方法について説明します。 ## 前提条件 このチュートリアルを開始する前に、以下を設定する必要があります。 1. [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。 1. [ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします](tutorials.md)。 信頼できる ID 伝播を有効にするには、IAM アイデンティティセンターコンソールで IAM アイデンティティセンターコンソール 管理者が実行するタスクと、Amazon Redshift コンソールで Amazon Redshift 管理者が実行するタスクが含まれます。 ## IAM アイデンティティセンター管理者が実行するタスク IAM アイデンティティセンター管理者が次のタスクを完了する必要があります。 1. Amazon Redshift クラスターまたは Serverless インスタンスが存在するアカウントに、次のアクセス許可ポリシーを使用して **[IAM ロール](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)を作成します**。詳細については、「[IAM ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)」を参照してください。 1. 次のポリシーの例には、このチュートリアルを完了するために必要なアクセス許可が含まれています。このポリシーを使用するには、サンプルポリシーの{{イタリック体のプレースホルダーテキスト}}を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。 **アクセス許可ポリシー:** ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRedshiftApplication", "Effect": "Allow", "Action": [ "redshift:DescribeQev2IdcApplications", "redshift-serverless:ListNamespaces", "redshift-serverless:ListWorkgroups", "redshift-serverless:GetWorkgroup" ], "Resource": "*" }, { "Sid": "AllowIDCPermissions", "Effect": "Allow", "Action": [ "sso:DescribeApplication", "sso:DescribeInstance" ], "Resource": [ "arn:aws:sso:::instance/{{Your-IAM-Identity-Center-Instance ID}}", "arn:aws:sso::{{111122223333}}:application/{{Your-IAM-Identity-Center-Instance-ID}}/*" ] } ] } ``` ------ **信頼ポリシー:** ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "redshift-serverless.amazonaws.com", "redshift.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` ------ 1. IAM アイデンティティセンターが有効になっている AWS Organizations 管理アカウントに**許可セットを作成します**。次のステップでこれを使用して、フェデレーティッドユーザーが Redshift クエリエディタ V2 にアクセスできるようにします。 1. **IAM アイデンティティセンター**コンソールに移動し、** [マルチアカウント許可]** で、**[アクセス許可セット]** を選択します。 1. **[Create permission set]** (アクセス許可セットの作成) を選択します。 1. **[カスタムアクセス許可セット]** を選択し、**[次へ]** を選択します。 1. **[AWS 管理ポリシー]** で、**`AmazonRedshiftQueryEditorV2ReadSharing`** を選択します。 1. **[インラインポリシー]** で、次のポリシーを追加します。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "redshift:DescribeQev2IdcApplications", "redshift-serverless:ListNamespaces", "redshift-serverless:ListWorkgroups", "redshift-serverless:GetWorkgroup" ], "Resource": "*" } ] } ``` ------ 1. **[次へ]** を選択し、アクセス許可セット名の名前を指定します。例えば、**Redshift-Query-Editor-V2**。 1. **[リレー状態 – オプション]** で、`https://{{your-region}}.console.aws.amazon.com/sqlworkbench/home` の形式を使用して、デフォルトのリレー状態をクエリエディタ V2 URL に設定します。 1. 設定を確認し、[**作成**] を選択します。 1. IAM アイデンティティセンターダッシュボードに移動し、**[概要の設定]** セクションから AWS アクセスポータル URL をコピーします。 ![ステップ i、IAM Identity Center コンソールから AWS アクセスポータル URL をコピーします。](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png) 1. 新しいシークレットブラウザウィンドウを開き、URL を貼り付けます。 これにより、 AWS アクセスポータルに移動し、IAM Identity Center ユーザーでサインインしていることを確認できます。 ![ステップ j、ポータルにアクセスするためにサインイン AWS します。](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png) アクセス許可セットの詳細については、「[アクセス許可セット AWS アカウント を使用して を管理する](permissionsetsconcept.md)」を参照してください。 1. **Redshift クエリエディタ V2 へのフェデレーティッドユーザーのアクセスを有効にします**。 1. AWS Organizations 管理アカウントで、**IAM Identity Center** コンソールを開きます。 1. ナビゲーションペインの [**マルチアカウント権限**] で、**AWS アカウント** を選択します。 1. AWS アカウント ページで、アクセスを割り当てる AWS アカウント を選択します。 1. 「**ユーザーまたはグループを割り当て**」を選択します。 1. **[ユーザーとグループの割り当て]** ページで、アクセス許可セットを作成するユーザーまたはグループを選択します。その後、**[Next]** を選択します。 1. **[アクセス許可セットの割り当て]** ページで、前のステップで作成したアクセス許可セットを選択します。その後、**[Next]** を選択します。 1. **[割り当てを確認と送信]** ページで選択内容を確認し、**[送信]** を選択します。 ## Amazon Redshift 管理者が実行するタスク Amazon Redshift への信頼できる ID の伝播を有効にするには、Amazon Redshift クラスター管理者または Amazon Redshift Serverless 管理者が Amazon Redshift コンソールで多数のタスクを実行する必要があります。詳細については、 *AWS ビッグデータブログ*の[「Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using IAM Identity Center for seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)」を参照してください。