本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Amazon Redshift 查詢編輯器 V2 設定受信任的身分傳播
下列程序會逐步解說如何實現從 Amazon Redshift 查詢編輯器 V2 到 Amazon Redshift 的受信任身分傳播。
## 先決條件
您必須先設定下列項目,才能開始使用本教學課程:
1. [啟用 IAM Identity Center](enable-identity-center.md)。建議使用[組織執行個體](organization-instances-identity-center.md)。如需詳細資訊,請參閱[先決條件和考量事項](trustedidentitypropagation-overall-prerequisites.md)。
1. [將使用者和群組從您的身分來源佈建至 IAM Identity Center](tutorials.md)。
啟用受信任身分傳播包括 IAM Identity Center 主控台中 IAM Identity Center 管理員執行的任務,以及 Amazon Redshift 主控台中 Amazon Redshift 管理員執行的任務。
## IAM Identity Center 管理員執行的任務
IAM Identity Center 管理員需要完成下列任務:
1. 在具有下列許可政策的 Amazon Redshift 叢集或無伺服器執行個體存在的帳戶中**建立 [IAM 角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)**。如需詳細資訊,請參閱[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
1. 下列政策範例包含完成本教學課程所需的許可。若要使用此政策,請將範例政策中的{{斜體預留位置文字}}取代為您自己的資訊。如需其他指示,請參閱[建立政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)或[編輯政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)。
**許可政策:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/{{Your-IAM-Identity-Center-Instance ID}}",
"arn:aws:sso::{{111122223333}}:application/{{Your-IAM-Identity-Center-Instance-ID}}/*"
]
}
]
}
```
------
**信任政策:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. 在啟用 IAM Identity Center 的 AWS Organizations 管理帳戶中**建立許可集**。您將在下一個步驟中使用它,以允許聯合身分使用者存取 Redshift 查詢編輯器 V2。
1. 前往 **IAM Identity Center** 主控台,在**多帳戶許可**下,選擇**許可集**。
1. 選擇 **Create permission set (建立許可集合)**。
1. 選擇**自訂許可集**,然後選擇**下一步**。
1. 在**AWS 受管政策**下,選擇 **`AmazonRedshiftQueryEditorV2ReadSharing`**。
1. 在**內嵌政策**下,新增下列政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. 選取**下一步**,然後提供許可集名稱的名稱。例如 **Redshift-Query-Editor-V2**。
1. 在**轉送狀態 - 選用**下,使用格式將預設轉送狀態設定為查詢編輯器 V2 URL:`https://{{your-region}}.console.aws.amazon.com/sqlworkbench/home`。
1. 檢閱設定,然後選擇**建立**。
1. 導覽至 IAM Identity Center Dashboard,然後從**設定摘要**區段複製 AWS 存取入口網站 URL。
1. 開啟新的 Incognito 瀏覽器視窗並貼上 URL。
這將帶您前往 AWS 存取入口網站,確保您使用 IAM Identity Center 使用者登入。
如需許可集的詳細資訊,請參閱 [AWS 帳戶 使用許可集管理](permissionsetsconcept.md)。
1. **啟用聯合身分使用者存取 Redshift 查詢編輯器 V2**。
1. 在 AWS Organizations 管理帳戶中,開啟 **IAM Identity Center** 主控台。
1. 在導覽窗格中的**多帳戶許可**下,選擇 **AWS 帳戶**。
1. 在 AWS 帳戶 頁面上,選取要為其指派存取權的 AWS 帳戶 。
1. 選擇**指派使用者或群組**。
1. 在**指派使用者和群組**頁面上,選擇要為其建立許可集的使用者和/或群組。然後選擇**下一步**。
1. 在**指派許可集**頁面上,選擇您在上一個步驟中建立的許可集。然後選擇**下一步**。
1. 在**檢閱和提交指派**頁面上,檢閱您的選擇,然後選擇**提交**。
## Amazon Redshift 管理員執行的任務
啟用 Amazon Redshift 的受信任身分傳播需要 Amazon Redshift 叢集管理員或 Amazon Redshift Serverless 管理員在 Amazon Redshift 主控台中執行許多任務。如需詳細資訊,請參閱*AWS 大數據部落格*中的[整合身分提供者 (IdP) 與使用 IAM Identity Center 的 Amazon Redshift 查詢編輯器 V2 和 SQL 用戶端,以實現無縫單一登入](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)。