設定您的 AWS 帳戶 - Amazon Redshift
資源AWS KMS 金鑰存取查詢編輯器 v2設定主體標籤以連接叢集或工作群組

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定您的 AWS 帳戶

您可以執行這組任務,以設定查詢編輯器 v2 來查詢 Amazon Redshift 資料庫。若具有適當的許可,您可以存取目前 中 所擁有 AWS 帳戶 的 Amazon Redshift 叢集或工作群組中的資料 AWS 區域。

管理員第一次為您的 設定查詢編輯器 v2 時 AWS 帳戶,會選擇用來加密查詢編輯器 v2 資源 AWS KMS key 的 。根據預設, AWS 擁有的金鑰會用來加密資源。或者,管理員可以在組態頁面中選擇金鑰的 Amazon Resource Name (ARN),以使用客戶受管金鑰。

設定帳戶後,加密 AWS KMS 設定無法變更。如需以查詢編輯器 v2 建立和使用客戶受管金鑰的相關資訊,請參閱建立 AWS KMS 客戶受管金鑰以搭配查詢編輯器 v2 使用。管理員也可以選擇性地選擇用於某些功能 (例如,從檔案載入資料) 的 S3 儲存貯體和路徑。如需詳細資訊,請參閱從本機檔案設定和工作流程載入資料

Amazon Redshift 查詢編輯器 v2 支援身分驗證、加密、隔離和合規功能,以確保靜態資料和傳輸中的資料安全無虞。如需資料安全和查詢編輯器 v2 的相關資訊,請參閱下列內容:

AWS CloudTrail 會擷取由 或 代您發出的 API 呼叫和相關事件, AWS 帳戶 並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址,以及呼叫的時間。若要進一步了解查詢編輯器 v2 在 AWS CloudTrail上的執行方式,請參閱使用 CloudTrail 進行記錄。如需 CloudTrail 的相關資訊,請參閱《AWS CloudTrail 使用者指南》。

查詢編輯器 v2 對其某些資源具有可調整的配額。如需詳細資訊,請參閱Amazon Redshift 物件的配額

使用查詢編輯器 v2 所建立的資源

在查詢編輯器 v2 內,您可以建立儲存的查詢和圖表等資源。查詢編輯器 v2 中的所有資源都會與 IAM 角色或使用者相關聯。建議您將政策連接至 IAM 角色,並將該角色指派給使用者。

在查詢編輯器 v2 中,您可以為儲存的查詢和圖表新增及移除標籤。您可以在設定自訂 IAM 政策或搜尋資源時使用這些標籤。您也可以使用標籤編輯器來管理 AWS Resource Groups 標籤。

您可以使用 IAM 政策設定 IAM 角色,以與 中相同 AWS 帳戶 中的其他人共用查詢 AWS 區域。

建立 AWS KMS 客戶受管金鑰以搭配查詢編輯器 v2 使用

若要建立對稱加密的客戶受管金鑰

您可以使用 AWS KMS 主控台或 AWS KMS API 操作,建立對稱加密客戶受管金鑰來加密查詢編輯器 v2 資源。如需建立金鑰的指示,請參閱《 AWS Key Management Service 開發人員指南》中的建立對稱加密 AWS KMS 金鑰

金鑰政策

金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時,可以指定金鑰政策。如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的管理對 AWS KMS 金鑰的存取

若要將客戶受管金鑰與 Amazon Redshift 查詢編輯器 v2 搭配使用,就必須在金鑰政策中允許下列 API 操作:

  • kms:GenerateDataKey — 產生唯一一個用來加密資料的對稱資料金鑰。

  • kms:Decrypt — 解密使用客戶受管金鑰所加密的資料。

  • kms:DescribeKey — 提供客戶受管金鑰的詳細資訊,以便服務可以驗證金鑰。

以下是 AWS 帳戶 的範例 AWS KMS 政策111122223333。在第一部分中,kms:ViaService 會限制金鑰只能用於查詢編輯器 v2 服務 (在政策中名為 sqlworkbench.region.amazonaws.com)。 AWS 帳戶 使用 金鑰的 必須是 111122223333。在第二個區段中, 的 AWS 帳戶 根使用者和金鑰管理員111122223333可以存取 金鑰。

當您建立 時 AWS 帳戶,您會從一個登入身分開始,該身分可完整存取 帳戶中的所有 AWS 服務 和資源。此身分稱為 AWS 帳戶 Theroot 使用者,可透過使用您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需這些任務的完整清單,了解需以根使用者登入的任務,請參閱 IAM 使用者指南中的需要根使用者憑證的任務

{
    "Version": "2012-10-17",
    "Id": "key-consolepolicy",
    "Statement": [
        {
            "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sqlworkbench.region.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:*"
            ],
            "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
        }
    ]
}

下列資源提供有關 AWS KMS 金鑰的詳細資訊:

  • 如需 AWS KMS 政策的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的在政策中指定許可

  • 如需疑難排解 AWS KMS 政策的詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的對金鑰存取進行疑難排解

  • 如需金鑰的相關資訊,請參閱《AWS Key Management Service 開發人員指南》中的 AWS KMS 金鑰

存取查詢編輯器 v2

若要存取查詢編輯器 v2,您需要獲得許可。管理員可以將下列其中一個 AWS 受管政策連接至角色,以授予許可。(建議您將政策連接至 IAM 角色,並將該角色指派給使用者。) 這些 AWS 受管政策的撰寫方式有不同的選項,可控制標記資源如何允許共用查詢。您可以使用 IAM 主控台 (https://console.aws.amazon.com/iam/) 來連接 IAM 政策。

  • AmazonRedshiftQueryEditorV2FullAccess – 授予 Amazon Redshift 查詢編輯器 v2 操作和資源的完整存取權。此政策也會授予其他必要服務的存取權。

  • AmazonRedshiftQueryEditorV2NoSharing – 授予使用 Amazon Redshift 查詢編輯器 v2 的能力,而不共用資源。此政策也會授予其他必要服務的存取權。

  • AmazonRedshiftQueryEditorV2ReadSharing – 授予使用 Amazon Redshift 查詢編輯器 v2 的能力,並可有限度地共用資源。獲得授予的主體可以讀取與其團隊共用的資源,但無法更新這些資源。此政策也會授予其他必要服務的存取權。

  • AmazonRedshiftQueryEditorV2ReadWriteSharing – 授予使用 Amazon Redshift 查詢編輯器 v2 的能力,並可共用資源。獲得授予的主體可以讀取和更新與其團隊共用的資源。此政策也會授予其他必要服務的存取權。

您也可以根據所提供受控政策中允許和拒絕的許可來建立自己的政策。如果您使用 IAM 主控台政策編輯器建立自己的政策,請選擇 SQL Workbench 作為您在視覺化編輯器中為其建立政策的服務。查詢編輯器 v2 會在視覺化編輯器和 IAM 政策模擬器中使用服務名稱 AWS SQL Workbench。

若要讓主體 (已獲派 IAM 角色的使用者) 能夠連線到 Amazon Redshift 叢集,就需要其中一個查詢編輯器 v2 受管政策中的許可。他們也需要叢集的redshift:GetClusterCredentials 許可。若要獲得此許可,具有系統管理許可的人員可以使用臨時憑證,將政策連接至用來連線到叢集的 IAM 角色。您可以將政策的範圍限定在特定叢集或更為普遍的範圍。如需可使用臨時憑證之許可的相關資訊,請參閱建立具有呼叫 GetClusterCredentials 之許可的 IAM 角色或使用者

若要讓主體 (一般是已獲派 IAM 角色的使用者) 能夠在帳戶設定頁面中為帳戶中的其他使用者開啟匯出結果集的功能,他們需要該角色連接的 sqlworkbench:UpdateAccountExportSettings 許可。此許可包含在 AmazonRedshiftQueryEditorV2FullAccess AWS 受管政策中。

當新功能新增至查詢編輯器 v2 時,會視需要更新 AWS 受管政策。如果您根據所提供受管策略中允許和拒絕的許可建立自己的政策,請編輯您的政策,讓政策隨著受管政策的變更進行更新以保持在最新狀態。如需 Amazon Redshift 中受管政策的相關資訊,請參閱 AWS Amazon Redshift 的 受管政策

若要提供存取權,請新增權限至您的使用者、群組或角色:

  • 中的使用者和群組 AWS IAM Identity Center:

    建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

  • 透過身分提供者在 IAM 中管理的使用者:

    建立聯合身分的角色。遵循「IAM 使用者指南」的為第三方身分提供者 (聯合) 建立角色中的指示。

  • IAM 使用者:

注意

如果 AWS IAM Identity Center 管理員移除整個帳戶中特定許可集的所有許可集關聯,則無法再存取原本與移除的許可集相關聯的任何查詢編輯器資源。如果之後重新建立了相同的許可,系統會建立新的內部識別碼。由於內部識別碼已變更,因此使用者無法再存取其先前擁有之查詢編輯器資源的存取權。我們的建議是,在管理員刪除許可集之前,該許可集的使用者先將查詢編輯器資源 (例如筆記本和查詢) 匯出為備份。

設定主體標籤以從查詢編輯器 v2 連接叢集或工作群組

若要使用聯合身分使用者選項連線到叢集或工作群組,請使用主體標籤設定 IAM 角色或使用者。或者,也可以設定身分提供者 (IdP) 以傳入 RedshiftDbUser 和 (選擇性) RedshiftDbGroups。如需使用 IAM 來管理標籤的相關資訊,請參閱《IAM 使用者指南》中的在 AWS Security Token Service中傳遞工作階段標籤。若要使用 設定存取權 AWS Identity and Access Management,管理員可以使用 IAM 主控台 (https://console.aws.amazon.com/iam/://) 新增標籤。

將主體標籤新增至 IAM 角色

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇 Roles (角色)

  3. 選擇需要使用聯合身分使用者存取查詢編輯器 v2 的角色。

  4. 選擇 Tags (標籤) 索引標籤。

  5. 選擇管理標籤

  6. 選擇新增標籤,並將索引鍵輸入為 RedshiftDbUser,然後輸入聯合身分使用者名稱的

  7. 選擇性地選擇新增標籤,並將索引鍵輸入為 RedshiftDbGroups,然後輸入要與使用者產生關聯之群組名稱的

  8. 選擇儲存變更以檢視與所選擇的 IAM 角色相關聯的標籤清單。傳播變更的過程可能需要幾秒鐘的時間。

  9. 若要使用聯合身分使用者,請在變更傳播完成後重新整理查詢編輯器 v2 的頁面。

設定您的身分提供者 (IdP) 以傳遞主體標籤

使用身分提供者 (IdP) 設定標籤的程序隨 IdP 而異。如需如何將使用者和群組資訊傳遞至 SAML 屬性的指示,請參閱您的 IdP 文件。正確設定時,下列屬性會出現在您的 SAML 回應中,供 AWS Security Token Service 用來填入 RedshiftDbUser和 的主體標籤RedshiftDbGroups

<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser">
    <AttributeValue>db-user-name</AttributeValue>
</Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups">
    <AttributeValue>db-groups</AttributeValue>
</Attribute>

選擇性的 db_group 必須是以冒號分隔的清單,例如 group1:group2:group3

此外,您也可以設定 TransitiveTagKeys 屬性以在鏈結角色期間保留標籤。

<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys">
  <AttributeValue>RedshiftDbUser</AttributeValue>
  <AttributeValue>RedshiftDbGroups</AttributeValue>
</Attribute>

如需設定查詢編輯器 v2 的相關資訊,請參閱要使用查詢編輯器 v2 所需的許可

如需有關如何設定 Active Directory Federation Services (AD FS)的資訊,請參閱部落格文章:將 Amazon Redshift 查詢編輯器 v2 的存取與 Active Directory Federation Services (AD FS) 聯合

如需有關如何設定 Okta 的資訊,請參閱部落格文章:將 Amazon Redshift 查詢編輯器 v2 的單一登入存取與 Okta 聯合

注意

當您使用查詢編輯器 v2 的聯合身分使用者連線選項連線到叢集或工作群組時,身分提供者 (IdP) 可以為 RedshiftDbUserRedshiftDbGroups 提供自訂主體標籤。目前, AWS IAM Identity Center Dimers 不支援將自訂主體標籤直接傳遞至查詢編輯器 v2。