Autorisieren von Verbindungen von Amazon Quick Sight zu Amazon Redshift Redshift-Clustern - Amazon Quick Suite
Die Verbreitung vertrauenswürdiger Identitäten aktivierenAktivieren des Zugriffs auf einen Amazon Redshift Redshift-Cluster in einer VPCZugriff auf Redshift Spectrum aktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisieren von Verbindungen von Amazon Quick Sight zu Amazon Redshift Redshift-Clustern

   Gilt für: Enterprise Edition und Standard Edition 
   Zielgruppe: Systemadministratoren 

Sie können mithilfe von drei Authentifizierungsmethoden Zugriff auf Amazon Redshift-Daten gewähren: Weitergabe vertrauenswürdiger Identitäten, Ausführung als IAM-Rolle oder Amazon Redshift-Datenbankanmeldeinformationen.

Bei Trusted Identity Propagation wird die Identität eines Benutzers mit Single Sign-On, das vom IAM Identity Center verwaltet wird, an Amazon Redshift weitergegeben. Die Identität eines Benutzers, der auf ein Dashboard in Amazon Quick Sight zugreift, wird an Amazon Redshift weitergegeben. In Amazon Redshift werden detaillierte Datenberechtigungen auf die Daten angewendet, bevor die Daten dem Benutzer in einem Amazon Quick Suite-Asset präsentiert werden. Amazon Quick Suite-Autoren können sich auch ohne Passworteingabe oder IAM-Rolle mit Amazon Redshift Redshift-Datenquellen verbinden. Wenn Amazon Redshift Spectrum verwendet wird, ist die gesamte Berechtigungsverwaltung in Amazon Redshift zentralisiert. Die Weitergabe vertrauenswürdiger Identitäten wird unterstützt, wenn Amazon Quick Suite und Amazon Redshift dieselbe Organisationsinstanz von IAM Identity Center verwenden. Die Weitergabe von vertrauenswürdigen Identitäten wird derzeit für die folgenden Features nicht unterstützt.

  • SPICE-Datensätze

  • Benutzerdefiniertes SQL für Datenquellen

  • Benachrichtigungen

  • E-Mail-Berichte

  • Amazon Quick Suite Q

  • CSV-, Excel- und PDF-Exporte

  • Anomalie-Erkennung

Damit Amazon Quick Suite eine Verbindung zu einer Amazon Redshift Redshift-Instance herstellen kann, müssen Sie eine neue Sicherheitsgruppe für diese Instance erstellen. Diese Sicherheitsgruppe enthält eine eingehende Regel, die den Zugriff aus dem entsprechenden IP-Adressbereich für die darin enthaltenen Amazon Quick Suite-Server autorisiert. AWS-Region Weitere Informationen zur Autorisierung von Amazon Quick Suite-Verbindungen finden Sie unter Manuelles Aktivieren des Zugriffs auf einen Amazon Redshift Redshift-Cluster in einer VPC.

Die Aktivierung der Verbindung von Amazon Quick Suite-Servern zu Ihrem Cluster ist nur eine von mehreren Voraussetzungen für die Erstellung eines Datensatzes auf der Grundlage einer AWS Datenbankdatenquelle. Weitere Informationen darüber, was erforderlich ist, finden Sie unter Einen Datensatz aus einer Datenbank erstellen.

Aktivierung der Weitergabe vertrauenswürdiger Identitäten mit Amazon Redshift

Trusted Identity Propagation authentifiziert den Endbenutzer in Amazon Redshift, wenn er auf Amazon Quick Suite-Ressourcen zugreift, die eine vertrauenswürdige Identitätsverbreitung aktivierte Datenquelle nutzen. Wenn ein Autor eine Datenquelle mit vertrauenswürdiger Identitätsweitergabe erstellt, wird die Identität der Datenquellennutzer in Amazon Quick Sight weitergegeben und angemeldet. CloudTrail Auf diese Weise können Datenbankadministratoren die Datensicherheit in Amazon Redshift zentral verwalten und automatisch alle Datensicherheitsregeln auf Datenverbraucher in Amazon Quick Suite anwenden. Bei anderen Authentifizierungsmethoden gelten die Datenberechtigungen des Autors, der die Datenquelle erstellt hat, für alle Nutzer der Datenquelle. Der Autor der Datenquelle kann sich dafür entscheiden, zusätzliche Sicherheit auf Zeilen- und Spaltenebene auf die Datenquellen anzuwenden, die er in Amazon Quick Sight erstellt.

Datenquellen zur Weitergabe vertrauenswürdiger Identitäten werden nur in Direct Query-Datensätzen unterstützt. SPICE-Datensätze unterstützen derzeit keine Weitergabe vertrauenswürdiger Identitäten.

Voraussetzungen

Bevor Sie beginnen, stellen Sie bitte sicher, dass Sie alle erforderlichen Voraussetzungen erfüllen.

  • Die Weitergabe vertrauenswürdiger Identitäten wird nur für Amazon Quick Suite-Konten unterstützt, die in IAM Identity Center integriert sind. Weitere Informationen finden Sie unter Konfigurieren Ihres Amazon Quick Suite-Kontos mit IAM Identity Center.

  • Eine Amazon Redshift-Anwendung, die in IAM Identity Center integriert ist. Der Amazon Redshift Redshift-Cluster, den Sie verwenden, muss sich in derselben Organisation AWS Organizations befinden wie das Amazon Quick Suite-Konto, das Sie verwenden möchten. Der Cluster muss auch mit derselben Organisationsinstanz in IAM Identity Center konfiguriert sein, für die Ihr Amazon Quick Suite-Konto konfiguriert ist. Weitere Informationen zur Konfiguration eines Amazon Redshift-Clusters finden Sie unter Integrieren von IAM Identity Center.

Aktivierung der Verbreitung vertrauenswürdiger Identitäten in Amazon Quick Sight

Um Amazon Quick Sight für die Verbindung zu Amazon Redshift Redshift-Datenquellen mit vertrauenswürdiger Identitätsverbreitung zu konfigurieren, konfigurieren Sie Amazon Redshift OAuth Redshift-Bereiche für Ihr Amazon Quick Suite-Konto.

Um einen Bereich hinzuzufügen, der es Amazon Quick Suite ermöglicht, die Weitergabe von Identitäten an Amazon Redshift zu autorisieren, geben Sie in diesem Fall die AWS-Konto ID des Amazon Quick Suite-Kontos und den Service an, mit dem Sie die Identitätsweitergabe autorisieren möchten. 'REDSHIFT'

Geben Sie den ARN der IAM Identity Center-Anwendung des Amazon Redshift Redshift-Clusters an, an den Sie Amazon Quick Suite autorisieren, Benutzeridentitäten weiterzugeben. Diese Informationen finden Sie in der Amazon Redshift-Konsole. Wenn Sie keine autorisierten Ziele für den Amazon Redshift Redshift-Bereich angeben, autorisiert Amazon Quick Suite Benutzer aus allen Amazon Redshift Redshift-Clustern, die dieselbe IAM Identity Center-Instance teilen. Im folgenden Beispiel wird Amazon Quick Suite so konfiguriert, dass eine Verbindung zu Amazon Redshift Redshift-Datenquellen mit vertrauenswürdiger Identitätsverbreitung hergestellt wird.

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

Im folgenden Beispiel werden OAuth Bereiche aus einem Amazon Quick Suite-Konto gelöscht.

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

Das folgende Beispiel listet alle OAuth Bereiche auf, die sich derzeit in einem Amazon Quick Suite-Konto befinden.

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

Verbinden mit Amazon Redshift mit Weitergabe vertrauenswürdiger Identitäten

Gehen Sie wie folgt vor, um eine Verbindung mit Amazon Redshift mit Weitergabe vertrauenswürdiger Identitäten herzustellen.

So stellen Sie eine Verbindung mit Amazon Redshift mit Weitergabe vertrauenswürdiger Identitäten her

  1. Erstellen Sie einen neuen Datensatz in Amazon Quick Suite. Weitere Informationen zum Erstellen eines Datensatzes finden Sie unter Datensätze erstellen.

  2. Wählen Sie Amazon Redshift als Datenquelle für den neuen Datensatz.

    Anmerkung

    Der Authentifizierungstyp einer vorhandenen Datenquelle kann nicht in der Weitergabe vertrauenswürdiger Identitäten geändert werden

  3. Wählen Sie IAM Identity Center als Identitätsoption für die Datenquelle und wählen Sie dann Datenquelle erstellen aus.

Manuelles Aktivieren des Zugriffs auf einen Amazon-Redshift-Cluster in einer VPC

 Gilt für: Enterprise Edition 

Gehen Sie wie folgt vor, um Amazon Quick Sight den Zugriff auf einen Amazon Redshift Redshift-Cluster in einer VPC zu aktivieren.

So aktivieren Sie den Amazon Quick Sight-Zugriff auf einen Amazon Redshift Redshift-Cluster in einer VPC

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Navigieren Sie zu dem Cluster, den Sie in Amazon Quick Suite verfügbar machen möchten.

  3. Suchen Sie im Bereich Clusterdatenbankeigenschaften das Objekt Port. Notieren Sie den Wert für Port.

  4. Suchen Sie VPC ID im Bereich Cluster Properties (Cluster-Eigenschaften) und notieren Sie den Wert für VPC ID. Wählen Sie die VPC-ID aus, um die Amazon VPC-Konsole zu öffnen.

  5. Wählen Sie im Navigationsbereich der Amazon VPC-Konsole Sicherheitsgruppen.

  6. Wählen Sie Sicherheitsgruppen erstellen aus.

  7. Geben Sie auf der Seite Create Security Group (Sicherheitsgruppe erstellen) die Informationen zur Sicherheitsgruppe wie folgt ein:

    • Geben Sie für Security group name (Name der Sicherheitsgruppe) redshift-security-group ein.

    • Geben Sie für Beschreibung den Text redshift-security-group ein.

    • (Optional) Wählen Sie bei VPC die VPC für Ihren Amazon Redshift-Cluster aus. Es ist die VPC mit der VPC-ID, die Sie notiert haben.

  8. Wählen Sie Sicherheitsgruppe erstellen aus.

    Ihre neue Sicherheitsgruppe sollte auf dem Bildschirm angezeigt werden.

  9. Erstellen Sie eine zweite Sicherheitsgruppe mit den folgenden Eigenschaften:

    • Geben Sie für Security group name (Name der Sicherheitsgruppe) quicksight-security-group ein.

    • Geben Sie für Beschreibung den Text quicksight-security-group ein.

    • (Optional) Wählen Sie bei VPC die VPC für Ihren Amazon Redshift-Cluster aus. Es ist die VPC mit der VPC-ID, die Sie notiert haben.

  10. Wählen Sie Sicherheitsgruppe erstellen aus.

  11. Nachdem Sie die neuen Sicherheitsgruppen erstellt haben, erstellen Sie Regeln für eingehenden Datenverkehr für die neuen Gruppen.

    Wählen Sie die neue redshift-security-group-Sicherheitsgruppe aus und geben Sie die folgenden Werte ein.

    • Wählen Sie als Typ Amazon Redshift aus.

    • Wählen Sie für Protocol TCP aus.

    • Geben Sie für Port-Bereich die Portnummer für den Amazon-Redshift-Cluster ein, dem Sie den Zugriff gewähren. Dies ist die Portnummer, die Sie in einem der gerade vorangehenden Schritte notiert haben.

    • Geben Sie bei Quelle die ID der Sicherheitsgruppe von quicksight-security-group ein.

  12. Wählen Sie Save rules (Regeln speichern), um Ihre neue Eingangsregel zu speichern.

  13. Wiederholen Sie den vorherigen Schritt für quicksight-security-group und geben Sie die folgenden Werte ein.

    • Wählen Sie für Type (Typ) die Option All traffic (Gesamter Datenverkehr) aus.

    • Wählen Sie unter Protokoll die Option Alle aus.

    • Wählen Sie für Portbereich die Option Alle aus.

    • Geben Sie bei Quelle die ID der Sicherheitsgruppe von redshift-security-group ein.

  14. Wählen Sie Save rules (Regeln speichern), um Ihre neue Eingangsregel zu speichern.

  15. Navigieren Sie in Amazon Quick Suite zum Menü Amazon Quick Suite verwalten.

  16. Wählen Sie VPC-Verbindungen verwalten und dann VPC-Verbindung hinzufügen.

  17. Konfigurieren Sie ein benutzerdefiniertes Berechtigungsprofil mit den folgenden Werten:

    • Wählen Sie als VPC-Verbindungsname einen aussagekräftigen Namen für die VPC-Verbindung.

    • Wählen Sie für VPC-ID die VPC aus, in der der Amazon Redshift-Cluster vorhanden ist.

    • Wählen Sie für Subnetz-ID das Subnetz für die Availability Zone (AZ) aus, die für Amazon Redshift verwendet wird.

    • Kopieren Sie für die Sicherheitsgruppen-ID die Sicherheitsgruppen-ID für quicksight-security-group und fügen Sie sie ein.

  18. Wählen Sie Erstellen aus. Möglicherweise dauert es ein paar Minuten, bis die neue VPC generiert ist.

  19. Navigieren Sie in der Amazon Redshift-Konsole zu dem Amazon Redshift-Cluster, für den redshift-security-group konfiguriert ist. Wählen Sie Eigenschaften. Geben Sie unter Netzwerk- und Sicherheitseinstellungen den Namen der Sicherheitsgruppe ein.

  20. Wählen Sie in Amazon Quick Suite Datensätze und dann Neuer Datensatz aus. Erstellen Sie einen neuen Datensatz mit folgenden Werten.

    • Wählen Sie als Datenquelle Amazon Redshift automatisch erkannt aus.

    • Geben Sie der Datenquelle einen aussagekräftigen Namen.

    • Die Instance-ID sollte auto mit der VPC-Verbindung aufgefüllt werden, die Sie in Amazon Quick Suite erstellt haben. Wenn die Instance-ID nicht automatisch aufgefüllt wird, wählen Sie die VPC, die Sie erstellt haben, aus der Dropdownliste aus.

    • Geben Sie die Datenbankanmeldeinformationen ein. Wenn Ihr Amazon Quick Suite-Konto die Weitergabe vertrauenswürdiger Identitäten verwendet, wählen Sie Single Sign-On.

  21. Wurde die Verbindung überprüft, wählen Sie Datenquelle erstellen aus.

Wenn Sie die Standardregeln für ausgehenden Datenverkehr weiter einschränken möchten, aktualisieren Sie die Regel von quicksight-security-group für ausgehenden Datenverkehr, sodass nur Amazon Redshift-Datenverkehr an redshift-security-group zugelassen wird. Sie können auch die Regel für ausgehenden Datenverkehr löschen, die sich in der redshift-security-group befindet.

Aktivieren des Zugriffs auf Amazon Redshift Spectrum

Mit Amazon Redshift Spectrum können Sie Amazon Quick Suite mit einem externen Katalog mit Amazon Redshift verbinden. Sie können beispielsweise auf den Amazon-Athena-Katalog zugreifen. Anschließend können Sie unstrukturierte Daten auf Ihrem Amazon-S3-Data-Lake mithilfe eines Amazon-Redshift-Clusters anstelle der Athena-Abfrage-Engine abfragen.

Sie können auch Datensätze kombinieren, die in Amazon Redshift und in S3 gespeicherte Daten umfassen. Anschließend können Sie darauf mithilfe der SQL-Syntax in Amazon Redshift zugreifen.

Nachdem Sie Ihren Datenkatalog (für Athena) oder Ihr externes Schema (für einen Hive-Metastore) registriert haben, können Sie Amazon Quick Suite verwenden, um das externe Schema und die Amazon Redshift Spectrum-Tabellen auszuwählen. Dieser Vorgang funktioniert genauso wie für andere Amazon-Redshift-Tabellen in Ihrem Cluster. Sie müssen Ihre Daten nicht laden oder transformieren.

Weitere Informationen zur Verwendung von Amazon Redshift Spectrum finden Sie unter Verwenden von Amazon Redshift Spectrum zum Abfragen externer Daten im Datenbank-Entwicklerhandbuch für Amazon Redshift.

Um eine Verbindung unter Verwendung von Redshift Spectrum herzustellen, gehen Sie wie folgt vor:

  • Erstellen oder identifizieren Sie eine IAM-Rolle, die dem Amazon-Redshift-Cluster zugeordnet ist.

  • Fügen Sie die IAM-Richtlinien AmazonS3ReadOnlyAccess und AmazonAthenaFullAccess der IAM-Rolle hinzu.

  • Registrieren Sie ein externes Schema oder einen Datenkatalog für die Tabellen, die Sie verwenden möchten.

Mit Redshift Spectrum können Sie den Speicher von der Datenverarbeitung trennen, sodass Sie diese separat skalieren können. Berechnet werden Ihnen nur die Abfragen, die Sie tätigen.

Um eine Verbindung zu Redshift Spectrum-Tabellen herzustellen, müssen Sie Amazon Quick Suite keinen Zugriff auf Amazon S3 oder Athena gewähren. Amazon Quick Suite benötigt nur Zugriff auf den Amazon Redshift Redshift-Cluster. Vollständige Informationen zur Konfiguration von Redshift Spectrum finden Sie unter Erste Schritte mit Amazon Redshift Spectrum im Datenbank-Entwicklerhandbuch für Amazon Redshift.