Konfigurieren des AWS-Konto - Amazon Redshift
RessourcenAWS KMS-SchlüsselZugreifen auf den Abfrage-Editor v2Einrichten von Prinzipal-Tags für die Verbindung eines Clusters oder einer Arbeitsgruppe

Amazon Redshift unterstützt ab dem 1. November 2025 nicht mehr die Erstellung neuer Python-UDFs. Wenn Sie Python-UDFs verwenden möchten, erstellen Sie die UDFs vor diesem Datum. Bestehende Python-UDFs funktionieren weiterhin wie gewohnt. Weitere Informationen finden Sie im Blog-Posting.

Konfigurieren des AWS-Konto

Sie können diese Aufgaben ausführen, um Query Editor v2 für die Abfrage einer Amazon-Redshift-Datenbank zu konfigurieren. Mit den entsprechenden Berechtigungen können Sie auf Daten in einem Amazon-Redshift-Cluster oder einer Arbeitsgruppe zugreifen, der/die Ihrem AWS-Konto in der aktuellen AWS-Region gehört.

Beim ersten Mal konfiguriert ein Administrator den Abfrage-Editor v2 für Ihr AWS-Konto und wählt dabei den AWS KMS key aus, mit dem die Ressourcen des Abfrage-Editors v2 verschlüsselt werden. Standardmäßig werden die Ressourcen mit einem AWS-eignen Schlüssel verschlüsselt. Alternativ dazu kann ein Administrator einen kundenseitig verwalteten Schlüssel verwenden, indem er den Amazon-Ressourcennamen (ARN) als Schlüssel auf der Konfigurationsseite auswählt.

Nach dem Konfigurieren eines Kontos können die AWS KMS-Verschlüsselungseinstellungen nicht mehr geändert werden. Weitere Informationen zum Erstellen und Verwenden eines kundenseitig verwalteten Schlüssels mit dem Abfrage-Editor v2 finden Sie unter Erstellen eines vom AWS KMS-Kunden verwalteten Schlüssels zur Verwendung mit dem Abfrage-Editor v2. Der Administrator kann optional auch einen S3-Bucket und Pfad auswählen, der für einige Funktionen wie z. B. das Laden von Daten aus einer Datei verwendet wird. Weitere Informationen finden Sie unter Laden von Daten aus einer lokalen Datei – Einrichtung und Workflow.

Der Amazon-Redshift-Abfrage-Editor v2 unterstützt Authentifizierung, Verschlüsselung, Isolation und Compliance, um Data-at-Rest zu wahren und Daten während der Übertragung zu schützen. Weitere Informationen zu Datensicherheit im Abfrage-Editor v2 finden Sie hier:

AWS CloudTrail erfasst API-Aufrufe und zugehörige Ereignisse, die von oder im Namen Ihres AWS-Konto-Kontos erfolgten, und übermittelt die Protokolldateien an einen von Ihnen angegebenen Amazon-S3-Bucket. Sie können die Benutzer und Konten, die AWS aufgerufen haben, identifizieren, sowie die Quell-IP-Adresse, von der diese Aufrufe stammen, und den Zeitpunkt der Aufrufe ermitteln. Weitere Informationen zur Ausführung des Abfrage-Editors v2 in AWS CloudTrail finden Sie unter Protokollierung mit CloudTrail. Weitere Informationen über CloudTrail finden Sie im AWS CloudTrail-Leitfaden.

Der Abfrage-Editor v2 verfügt für einige seiner Ressourcen über einstellbare Kontingente. Weitere Informationen finden Sie unter Kontingente für Amazon-Redshift-Objekte.

Mit dem Abfrage-Editor v2 erstellte Ressourcen

Im Abfrage-Editor v2 können Sie Ressourcen wie gespeicherte Abfragen und Diagramme erstellen. Alle Ressourcen im Abfrage-Editor v2 sind einer IAM-Rolle oder einem Benutzer zugeordnet. Wir empfehlen, Richtlinien an eine IAM-Rolle anzufügen und die Rolle einem Benutzer zuzuweisen.

Im Abfrage-Editor v2 können Sie Tags für gespeicherte Abfragen und Diagramme hinzufügen und entfernen. Sie können diese Tags verwenden, wenn Sie benutzerdefinierte IAM-Richtlinien einrichten oder nach Ressourcen suchen. Sie können Tags zudem mit dem auch den AWS Resource Groups-Tag-Editor verwalten.

IAM-Rollen lassen sich mit IAM-Richtlinien einrichten, damit Abfragen mit anderen Personen im selben AWS-Konto und in derselben AWS-Region geteilt werden können.

Erstellen eines vom AWS KMS-Kunden verwalteten Schlüssels zur Verwendung mit dem Abfrage-Editor v2

So erstellen Sie einen kundenverwalteten Schlüssel mit symmetrischer Verschlüsselung:

Sie können einen vom Kunden verwalteten Schlüssel mit symmetrischer Verschlüsselung erstellen, um die Ressourcen des Abfrage-Editors v2 zu verschlüsseln. Hierfür verwenden Sie die AWS KMS-Konsole oder AWS KMS-API-Operationen. Anweisungen zum Erstellen eines Schlüssels finden Sie unter Erstellen von AWS KMS-Schlüsseln mit symmetrischer Verschlüsselung im AWS Key Management Service-Entwicklerhandbuch.

Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf AWS KMS-Schlüssel im AWS Key Management Service-Entwicklerhandbuch.

Um Ihren vom Kunden verwalteten Schlüssel mit dem Amazon-Redshift-Abfrage-Editor v2 verwenden zu können, müssen die folgenden API-Operationen per Schlüsselrichtlinie zulässig sein:

  • kms:GenerateDataKey – Erzeugt einen eindeutigen symmetrischen Datenschlüssel zur Verschlüsselung Ihrer Daten.

  • kms:Decrypt – Entschlüsselt Daten, die mit dem vom Kunden verwalteten Schlüssel verschlüsselt wurden.

  • kms:DescribeKey – Stellt die vom Kunden verwalteten Schlüsseldetails bereit, damit der Service den Schlüssel validieren kann.

Im Folgenden finden Sie eine AWS KMS-Beispielrichtlinie für das AWS-Konto111122223333. Im ersten Abschnitt wird schränkt der kms:ViaService die Verwendung des Schlüssels auf den Service (Abfrage-Editor v2) ein (in der Richtlinie sqlworkbench.region.amazonaws.com genannt). Das AWS-Konto, das den Schlüssel nutzt, muss das Konto 111122223333 sein. Im zweiten Abschnitt können der Root-Benutzer und die Schlüsseladministratoren vom AWS-Konto 111122223333 auf den Schlüssel zugreifen.

Wenn Sie ein AWS-Konto neu erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die als Root-Benutzer für das AWS-Konto bezeichnet wird und über kompletten Zugriff auf sämtliche AWS-Services und Ressourcen im Konto verfügt. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Tasks that require root user credentials im IAM-Benutzerhandbuch.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "key-consolepolicy",
    "Statement": [
        {
            "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sqlworkbench.us-east-1.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:*"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key_ID"
        }
    ]
}

Die folgenden Ressourcen enthalten weitere Informationen zu AWS KMS-Schlüsseln:

Zugreifen auf den Abfrage-Editor v2

Um den Abfrage-Editor v2 aufzurufen, benötigen Sie eine Berechtigung. Ein Administrator kann diese Berechtigung erteilen, indem er eine der folgenden von AWS verwalteten Richtlinien an die Rolle anfügt. (Wir empfehlen, Richtlinien an eine IAM-Rolle anzufügen und die Rolle einem Benutzer zuzuweisen.) Diese von AWS verwalteten Richtlinien enthalten verschiedene Optionen, die steuern, wie das Markieren von Ressourcen das Teilen von Abfragen ermöglicht. Sie können zum Zuweisen von IAM-Richtlinien die IAM-Konsole (https://console.aws.amazon.com/iam/) verwenden.

  • AmazonRedshiftQueryEditorV2FullAccess – Gewährt vollen Zugriff auf die Operationen und Ressourcen des Amazon-Redshift-Abfrage-Editors v2. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

  • AmazonRedshiftQueryEditorV2NoSharing – Ermöglicht es, mit dem Amazon-Redshift-Abfrage-Editor v2 zu arbeiten, ohne Ressourcen freizugeben. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

  • AmazonRedshiftQueryEditorV2ReadSharing – Ermöglicht die eingeschränkte Freigabe von Ressourcen bei der Arbeit mit dem Amazon-Redshift-Abfrage-Editor v2. Der Prinzipal mit der entsprechenden Berechtigung kann die mit seinem Team geteilten Ressourcen lesen, kann sie jedoch nicht ändern. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

  • AmazonRedshiftQueryEditorV2ReadWriteSharing – Ermöglicht die Freigabe von Ressourcen bei der Arbeit mit dem Amazon-Redshift-Abfrage-Editor v2. Der Prinzipal mit den entsprechenden Berechtigungen kann die mit seinem Team geteilten Ressourcen lesen und bearbeiten. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.

Sie können auch Ihre eigene Richtlinie erstellen, basierend auf den zulässigen und verweigerten Berechtigungen in den bereitgestellten verwalteten Richtlinien. Wenn Sie den IAM-Konsolenrichtlinien-Editor verwenden, um Ihre eigene Richtlinie zu erstellen, wählen Sie SQL Workbench als Service aus, für den Sie die Richtlinie im visuellen Editor erstellen. Der Abfrage-Editor v2 verwendet den Dienstnamen AWS SQL Workbench im visuellen Editor und im IAM-Richtliniensimulator.

Damit ein Prinzipal (ein Benutzer mit einer zugewiesenen IAM-Rolle) eine Verbindung mit einem Amazon-Redshift-Cluster herstellen kann, benötigt er die Berechtigungen in einer der verwalteten Richtlinien des Abfrage-Editors v2. Sie brauchen auch die Berechtigung redshift:GetClusterCredentials für den Cluster. Um diese Berechtigung zu erhalten, kann jemand mit Administratorberechtigung eine Richtlinie an die IAM-Rollen anfügen, mit denen mithilfe temporärer Anmeldeinformationen eine Verbindung zum Cluster hergestellt wird. Sie können die Richtlinie auf bestimmte Cluster eingrenzen oder sie allgemeiner formulieren. Weitere Informationen zur Berechtigung zur Verwendung temporärer Anmeldeinformationen finden Sie unter Erstellen einer IAM-Rolle oder eines berechtigten Benutzers (User With Permissions), um „GetClusterCredentials“ aufzurufen.

Damit ein Prinzipal (in der Regel ein Benutzer mit einer zugewiesenen IAM-Rolle) auf der Seite Kontoeinstellungen die Funktion Ergebnissatz exportieren für andere im Konto aktivieren kann, benötigt er die Berechtigung sqlworkbench:UpdateAccountExportSettings, die der Rolle angefügt ist. Diese Berechtigung ist in der AWS-verwalteten Richtlinie AmazonRedshiftQueryEditorV2FullAccess vorhanden.

Wenn dem Abfrage-Editor v2 neue Funktionen hinzugefügt werden, werden die von AWS verwalteten Richtlinien wie erforderlich aktualisiert. Wenn Sie basierend auf den zulässigen und verweigerten Berechtigungen in den bereitgestellten verwalteten Richtlinien Ihre eigene Richtlinie erstellen, bearbeiten Sie Ihre Richtlinien, sodass sie den Änderungen an den verwalteten Richtlinien entsprechen. Weitere Informationen zu verwalteten Richtlinien für Amazon Redshift finden Sie unter Von AWS verwaltete Richtlinien für Amazon Redshift.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Anmerkung

Wenn ein AWS IAM Identity Center-Administrator alle Berechtigungssatzzuordnungen für einen bestimmten Berechtigungssatz im gesamten Konto entfernt, ist der Zugriff auf alle Query-Editor-Ressourcen, die ursprünglich dem entfernten Berechtigungssatz zugeordnet waren, nicht mehr möglich. Wenn dieselben Berechtigungen später erneut erstellt werden, wird eine neue interne Kennung erstellt. Da sich die interne Kennung geändert hat, kann auf Query-Editor-Ressourcen, die zuvor einem Benutzer gehört haben, nicht zugegriffen werden. Bevor Administratoren einen Berechtigungssatz löschen, empfehlen wir, dass Benutzer des betreffenden Berechtigungssatzes Query-Editor-Ressourcen wie Notebooks und Abfragen als Backup exportieren.

Einrichten von Prinzipal-Tags für die Verbindung eines Clusters oder einer Arbeitsgruppe von Query Editor v2 aus

Wenn Sie mithilfe der Verbundbenutzeroption eine Verbindung zu Ihrem Cluster oder Ihrer Arbeitsgruppe herstellen möchten, richten Sie entweder Ihre IAM-Rolle oder einen Benutzer mit Prinzipal-Tags ein. Sie können auch Ihren Identitätsanbieter (IDP) für die Weitergabe in RedshiftDbUser und (optional) RedshiftDbGroups einrichten. Weitere Informationen zur Verwendung von IAM zum Verwalten von Tags finden Sie unter Übergeben von Sitzungs-Tags in AWS Security Token Service im IAM-Benutzerhandbuch. Zum Einrichten des Zugriffs mit AWS Identity and Access Management kann ein Administrator Tags über die IAM-Konsole hinzufügen (https://console.aws.amazon.com/iam/).

So fügen Sie einer IAM-Rolle Prinzipal-Tags hinzu

  1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) aus.

  3. Wählen Sie die Rolle aus, die Zugriff auf den Abfrage-Editor v2 unter Verwendung eines Verbundbenutzers benötigt.

  4. Wählen Sie die Registerkarte Tags aus.

  5. Wählen Sie Manage tags (Tags verwalten) aus.

  6. Klicken Sie auf Tag hinzufügen und geben Sie für Schlüssel RedshiftDbUser und unter Wert den Namen des Verbundbenutzers ein.

  7. Wählen Sie optional Tag hinzufügen aus und geben Sie für Schlüssel RedshiftDbGroups und unter Wert den Gruppennamen ein, der dem Benutzer zugeordnet werden soll.

  8. Klicken Sie auf Save changes (Änderungen speichern), um die Liste der Tags anzuzeigen, die mit Ihrer ausgewählten IAM-Rolle verknüpft sind. Das Weitergeben von Änderungen kann mehrere Sekunden dauern.

  9. Um den Verbundbenutzer zu verwenden, aktualisieren Sie die Seite des Abfrage-Editors v2, nachdem die Änderungen weitergegeben wurden.

Einrichten Ihres Identitätsanbieters (IDP) zur Weitergabe von Prinzipal-Tags

Die Vorgehensweise zum Einrichten von Tags mithilfe eines Identitätsanbieters (IDP) variiert je nach IDP. Anweisungen zum Übergeben von Benutzer- und Gruppeninformationen an SAML-Attribute finden Sie in der IDP-Dokumentation. Bei richtiger Konfiguration werden die folgenden Attribute in Ihrer SAML-Antwort angezeigt, die von AWS Security Token Service zum Füllen der Prinzipal-Tags für RedshiftDbUser und RedshiftDbGroups verwendet wird. 

<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser">
    <AttributeValue>db-user-name</AttributeValue>
</Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups">
    <AttributeValue>db-groups</AttributeValue>
</Attribute>

Der optionale Wert db_groups muss eine durch Doppelpunkt getrennte Liste sein, z. B. group1:group2:group3.

Darüber hinaus können Sie das Attribut TransitiveTagKeys festlegen, um die Tags während der Rollenverkettung beizubehalten.

<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys">
  <AttributeValue>RedshiftDbUser</AttributeValue>
  <AttributeValue>RedshiftDbGroups</AttributeValue>
</Attribute>

Weitere Informationen zum Einrichten des Abfrage-Editors v2 finden Sie unter Für die Verwendung des Abfrage-Editors v2 erforderliche Berechtigungen .

Weitere Informationen zum Einrichten von Active Directory Federation Services (AD FS) finden Sie im Blogbeitrag: Verbundzugriff auf Amazon-Redshift-Abfrage-Editor v2 mit Active Directory Federation Services (AD FS).

Weitere Informationen zum Einrichten von Okta finden Sie im Blogbeitrag: Single-Sign-On-Verbundzugriff auf Amazon-Redshift-Abfrage-Editor v2 mit Okta.

Anmerkung

Wenn Sie mithilfe der Verbindungsoption Verbundbenutzer von Query Editor v2 eine Verbindung zu Ihrem Cluster oder Ihrer Arbeitsgruppe herstellen, kann der Identitätsanbieter (IDP) benutzerdefinierte Prinzipal-Tags für RedshiftDbUser und RedshiftDbGroups bereitstellen. Derzeit unterstützt AWS IAM Identity Center die direkte Übergabe von benutzerdefinierten Prinzipal-Tags an Query Editor v2 nicht.