Autorización de conexiones desde Amazon Quick Sight a clústeres de Amazon Redshift - Amazon Quick Suite
Habilitar la propagación de identidades confiableHabilitar el acceso a un clúster de Amazon Redshift en una VPCHabilitar el acceso a Redshift Spectrum

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autorización de conexiones desde Amazon Quick Sight a clústeres de Amazon Redshift

   Se aplica a: Enterprise Edition y Standard Edition 
   Público al que va dirigido: administradores de sistemas 

Puede proporcionar acceso a los datos de Amazon Redshift mediante tres métodos de autenticación: propagación de identidades de confianza, ejecución como rol de IAM o credenciales de base de datos de Amazon Redshift.

Con la propagación de identidades de confianza, la identidad del usuario se transfiere a Amazon Redshift con el inicio de sesión único administrado por IAM Identity Center. A los usuarios que acceden a un panel en Amazon Quick Sight se les propaga su identidad a Amazon Redshift. En Amazon Redshift, los permisos de datos detallados se aplican a los datos antes de presentarlos al usuario en un activo de Amazon Quick Suite. Los autores de Amazon Quick Suite también pueden conectarse a las fuentes de datos de Amazon Redshift sin necesidad de introducir una contraseña ni tener una función de IAM. Si se usa Amazon Redshift Spectrum, toda la administración de permisos se centraliza en Amazon Redshift. La propagación de identidades de confianza se admite cuando Amazon Quick Suite y Amazon Redshift utilizan la misma instancia de organización de IAM Identity Center. Actualmente, las siguientes características no admiten la propagación de identidades de confianza.

  • conjuntos de datos de SPICE

  • SQL personalizado en los orígenes de datos

  • Alertas

  • Informes por email

  • Amazon Quick Suite Q

  • Exportaciones a CSV, Excel y PDF

  • Detección de anomalías

Para que Amazon Quick Suite se conecte a una instancia de Amazon Redshift, debe crear un nuevo grupo de seguridad para esa instancia. Este grupo de seguridad contiene una regla de entrada que autoriza el acceso desde el intervalo de direcciones IP adecuado para los servidores de Amazon Quick Suite incluidos en él. Región de AWS Para obtener más información sobre la autorización de las conexiones de Amazon Quick Suite, consulte Habilitar manualmente el acceso a un clúster de Amazon Redshift en una VPC.

Habilitar la conexión desde los servidores de Amazon Quick Suite a su clúster es solo uno de los varios requisitos previos para crear un conjunto de datos basado en una fuente de datos de AWS base de datos. Para obtener más información sobre lo que se requiere, consulte Crear un conjunto de datos a partir de una base de datos.

Activación de la propagación de identidades de confianza con Amazon Redshift

La propagación de identidad confiable autentica al usuario final en Amazon Redshift cuando accede a los activos de Amazon Quick Suite que utilizan una fuente de datos confiable habilitada para la propagación de identidades. Cuando un autor crea una fuente de datos con una propagación de identidad confiable, la identidad de los consumidores de la fuente de datos en Amazon Quick Sight se propaga y se inicia sesión CloudTrail. Esto permite a los administradores de bases de datos gestionar de forma centralizada la seguridad de los datos en Amazon Redshift y aplicar automáticamente todas las normas de seguridad de datos a los consumidores de datos en Amazon Quick Suite. Con otros métodos de autenticación, los permisos de datos del autor que creó el origen de datos se aplican a todos los consumidores del origen de datos. El autor de la fuente de datos puede optar por aplicar seguridad adicional a nivel de fila y columna a las fuentes de datos que cree en Amazon Quick Sight.

Los orígenes de datos de la propagación de identidades de confianza solo se admiten en los conjuntos de datos de Direct Query. Los conjuntos de datos de SPICE no admiten actualmente la propagación de identidades de confianza.

Requisitos previos

Antes de comenzar, asegúrese de que cumple con todos los requisitos previos.

  • La propagación de identidades de confianza solo se admite en las cuentas de Amazon Quick Suite integradas con IAM Identity Center. Para obtener más información, consulte Configurar su cuenta de Amazon Quick Suite con IAM Identity Center.

  • Aplicación de Amazon Redshift integrada con IAM Identity Center. El clúster de Amazon Redshift que utilice debe estar en la misma organización que la cuenta de Amazon Quick Suite que desee utilizar. AWS Organizations El clúster también debe configurarse con la misma instancia de la organización en el Centro de identidades de IAM en la que está configurada su cuenta de Amazon Quick Suite. Para obtener más información sobre la configuración de un clúster de Amazon Redshift, consulte Integrating IAM Identity Center.

Habilitación de la propagación de identidades de confianza en Amazon Quick Sight

Para configurar Amazon Quick Sight para que se conecte a fuentes de datos de Amazon Redshift con una propagación de identidad fiable, configure los ámbitos de Amazon OAuth Redshift en su cuenta de Amazon Quick Suite.

Para añadir un ámbito que permita a Amazon Quick Suite autorizar la propagación de la identidad en Amazon Redshift, especifique el Cuenta de AWS ID de la cuenta de Amazon Quick Suite y el servicio con el que desea autorizar la propagación de la identidad, en este caso. 'REDSHIFT'

Especifique el ARN de la aplicación IAM Identity Center del clúster de Amazon Redshift al que va a autorizar a Amazon Quick Suite a propagar las identidades de los usuarios. Esta información se puede encontrar en la consola de Amazon Redshift. Si no especifica los destinos autorizados para el ámbito de Amazon Redshift, Amazon Quick Suite autoriza a los usuarios de cualquier clúster de Amazon Redshift que compartan la misma instancia de IAM Identity Center. El siguiente ejemplo configura Amazon Quick Suite para que se conecte a fuentes de datos de Amazon Redshift con propagación de identidad confiable.

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

En el siguiente ejemplo, se eliminan los OAuth ámbitos de una cuenta de Amazon Quick Suite.

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

En el siguiente ejemplo, se enumeran todos los OAuth ámbitos que se encuentran actualmente en una cuenta de Amazon Quick Suite.

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

Conexión a Amazon Redshift con propagación de identidades de confianza

Use el siguiente procedimiento para conectarse a la propagación de identidades de confianza de Amazon Redshift.

Conexión a Amazon Redshift con la propagación de identidades de confianza

  1. Cree un conjunto de datos nuevo en Amazon Quick Suite. Para obtener más información sobre la creación de un conjunto de datos, consulte Creación de conjuntos de datos.

  2. Elija Amazon Redshift como origen de datos para el nuevo conjunto de datos.

    nota

    El tipo de autenticación de un origen de datos existente no se puede cambiar por una propagación de identidad de confianza.

  3. Elija IAM Identity Center como opción de identidad para el origen de datos y, a continuación, elija Crear el origen de datos.

Habilitación manual del acceso a un clúster de Amazon Redshift en una VPC

 Se aplica a: Enterprise Edition 

Utilice el siguiente procedimiento para habilitar el acceso de Amazon Quick Sight a un clúster de Amazon Redshift en una VPC.

Para habilitar el acceso de Amazon Quick Sight a un clúster de Amazon Redshift en una VPC

  1. Inicie sesión en la consola de Amazon Redshift Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/redshiftv2/

  2. Navega hasta el clúster que quieres que esté disponible en Amazon Quick Suite.

  3. En la sección Propiedades del clúster, busque Puerto. Anote el valor de Port.

  4. En la sección Propiedades del clúster, busque ID de VPC y anote el valor de ID de VPC. Elija ID de VPC para abrir la consola de Amazon VPC.

  5. En la consola de Amazon VPC, elija Grupos de seguridad en el panel de navegación.

  6. Elija Crear grupo de seguridad.

  7. En la página Crear grupo de seguridad, escriba la información del grupo de seguridad, tal y como se indica a continuación:

    • En Nombre del grupo de seguridad, introduzca redshift-security-group.

    • En Descripción, escriba redshift-security-group.

    • Para VPC, elija la VPC para su clúster de Amazon Redshift. Esta es la VPC con el ID de VPC que anotó.

  8. Elija Creación de grupo de seguridad.

    El nuevo grupo de seguridad debe aparecer en la pantalla.

  9. Cree un segundo grupo de seguridad con las siguientes propiedades.

    • En Nombre del grupo de seguridad, introduzca quicksight-security-group.

    • En Descripción, escriba quicksight-security-group.

    • Para VPC, elija la VPC para su clúster de Amazon Redshift. Esta es la VPC con el ID de VPC que anotó.

  10. Elija Creación de grupo de seguridad.

  11. Tras crear los nuevos grupos de seguridad, cree reglas de entrada para los nuevos grupos.

    Elija el nuevo grupo de seguridad de redshift-security-group e introduzca los siguientes valores.

    • En Tipo, elija Amazon Redshift.

    • En Protocol, seleccione TCP.

    • En Rango de puertos, ingrese el número de puerto del clúster de Amazon Redshift al que proporciona acceso. Este es el número de puerto que anotó en un paso anterior.

    • En Origen, introduzca el ID del grupo de seguridad de quicksight-security-group.

  12. Elija Guardar reglas para guardar la nueva regla de entrada.

  13. Repita el paso anterior para quicksight-security-group e introduzca los valores siguientes.

    • En Tipo, seleccione Todo el tráfico.

    • En Protocolo, elija Todos.

    • En Rango de puertos, elija Todos.

    • En Origen, introduzca el ID del grupo de seguridad de redshift-security-group.

  14. Elija Guardar reglas para guardar la nueva regla de entrada.

  15. En Amazon Quick Suite, navega hasta el menú Gestionar Amazon Quick Suite.

  16. Elija Administrar conexiones VPC y, a continuación, elija Agregar conexión con VPC.

  17. Configure la nueva conexión de VPC con los siguientes valores.

    • En Nombre de la conexión VPC, elija un nombre significativo para la conexión de VPC.

    • En ID de VPC, elija la VPC en la que se encuentra el clúster de Amazon Redshift.

    • En ID de subred, elija la subred para la zona de disponibilidad (AZ) utilizada para Amazon Redshift.

    • En ID de grupo de seguridad, copie y pegue el ID del grupo de seguridad para quicksight-security-group.

  18. Seleccione Crear. La generación de la nueva VPC podría llevar varios minutos.

  19. En la consola de Amazon Redshift, navegue hasta el clúster de Amazon Redshift para el que el redshift-security-group está configurado. Elija Propiedades. En Configuración de red y seguridad, introduzca el nombre del grupo de seguridad.

  20. En Amazon Quick Suite, elija Conjuntos de datos y, a continuación, elija Nuevo conjunto de datos. Cree un nuevo conjunto de datos los valores que se indican a continuación.

    • En Origen de datos, elija Amazon Redshift con detección automática.

    • Asigne un nombre significativo al origen de datos.

    • El ID de instancia debe rellenarse automáticamente con la conexión de VPC que creó en Amazon Quick Suite. Si el ID de instancia no se rellena automáticamente, elija la VPC que creó de la lista desplegable.

    • Introduzca las credenciales de la base de datos. Si tu cuenta de Amazon Quick Suite utiliza una propagación de identidad fiable, selecciona Inicio de sesión único.

  21. Valide la conexión y, a continuación, elija Crear origen de datos.

Si desea restringir aún más las reglas de salida predeterminadas, actualice la regla de salida del quicksight-security-group para permitir solo el tráfico de Amazon Redshift a redshift-security-group. También puede eliminar la regla de salida que se encuentra en el redshift-security-group.

Habilitación de acceso a Amazon Redshift Spectrum

Con Amazon Redshift Spectrum, puede conectar Amazon Quick Suite a un catálogo externo con Amazon Redshift. Por ejemplo, puede obtener acceso al catálogo de Amazon Athena. A continuación, puede consultar datos no estructurados en su lago de datos de Amazon S3 mediante un clúster de Amazon Redshift en lugar del motor de consultas Athena.

También puede combinar los conjuntos de datos que incluyen los datos almacenados en Amazon Redshift y en S3. A continuación, puede obtener acceso a ellos mediante la sintaxis SQL en Amazon Redshift.

Tras registrar el catálogo de datos (para Athena) o el esquema externo (para un metaalmacén de Hive), puede usar Amazon Quick Suite para elegir el esquema externo y las tablas de Amazon Redshift Spectrum. Este proceso funciona como para cualquier otra tabla de Amazon Redshift del clúster. No es necesario cargar ni transformar los datos.

Para obtener más información sobre el uso de Amazon Redshift Spectrum, consulteConsulta de datos externos mediante Amazon Redshift Spectrum en la Guía para desarrolladores de bases de datos Amazon Redshift.

Para conectarse mediante Redshift Spectrum, haga lo siguiente:

  • Cree o identifique un rol de IAM asociado al clúster de Amazon Redshift.

  • Añada las políticas de IAM; AmazonS3ReadOnlyAccess y AmazonAthenaFullAccess a la función de IAM.

  • Registre un esquema externo o catálogo de datos para las tablas que tiene previsto usar.

Redshift Spectrum le permite separar el almacenamiento de la computación, por lo que puede escalarlos por separado. Solo pagará por las consultas que ejecute.

Para conectarse a las tablas de Redshift Spectrum, no necesita conceder a Amazon Quick Suite acceso a Amazon S3 o Athena. Amazon Quick Suite solo necesita acceso al clúster de Amazon Redshift. Para obtener más información sobre la configuración de Redshift Spectrum, consulte Introducción a Amazon Redshift Spectrum en la Guía para desarrolladores de bases de datos de Amazon Redshift.