Configuración de la propagación de identidades de confianza con el editor de consultas V2 de Amazon Redshift - AWS IAM Identity Center
Requisitos previosTareas realizadas por el administrador de IAM Identity CenterTareas realizadas por un administrador de Amazon Redshift

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de la propagación de identidades de confianza con el editor de consultas V2 de Amazon Redshift

El siguiente procedimiento explica cómo lograr una propagación de identidades de confianza desde el editor de consultas V2 de Amazon Redshift a Amazon Redshift.

Requisitos previos

Antes de empezar con este tutorial, primero tendrá que configurar lo siguiente:

  1. Habilite el Centro de identidad de IAM. Se recomienda la instancia de organización. Para obtener más información, consulte Requisitos y consideraciones previos.

  2. Aprovisionar los usuarios y grupos de su origen de identidades en IAM Identity Center.

La activación de la propagación de identidades de confianza incluye las tareas realizadas por un administrador de IAM Identity Center en la consola de IAM Identity Center y las tareas realizadas por un administrador de Amazon Redshift en la consola de Amazon Redshift.

Tareas realizadas por el administrador de IAM Identity Center

El administrador de IAM Identity Center debía completar las siguientes tareas:

  1. Crear un rol de IAM en la cuenta en la que se encuentre el clúster de Amazon Redshift o la instancia sin servidor con la siguiente política de permisos. Para obtener más información, consulte Creación de roles de IAM.

    1. Los siguientes ejemplos de políticas incluyen los permisos necesarios para completar este tutorial. Para usar esta política, sustituya italicized placeholder text la política del ejemplo por su propia información. Para obtener instrucciones adicionales, consulte Creación de una política o Edición de una política.

      Política de permisos:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRedshiftApplication",
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeQev2IdcApplications",
                "redshift-serverless:ListNamespaces",
                "redshift-serverless:ListWorkgroups",
                "redshift-serverless:GetWorkgroup"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIDCPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeApplication",
                "sso:DescribeInstance"
            ],
            "Resource": [
                "arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
                "arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
            ]
        }
    ]
}
      Mostrar másMostrar menos

      Política de confianza:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "redshift-serverless.amazonaws.com",
                    "redshift.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}
      Mostrar másMostrar menos
    Mostrar másMostrar menos

  2. Cree un conjunto de permisos en la cuenta de administración de AWS Organizations en la que esté activado IAM Identity Center. Lo usará en el siguiente paso para permitir que los usuarios federados accedan al editor de consultas V2 de Redshift.

    1. En la consola de IAM Identity Center, en Permisos multicuenta, seleccione Conjuntos de permisos.

    2. Elija Crear conjunto de permisos.

    3. Elija Conjunto de permisos personalizado y, a continuación, elija Siguiente.

    4. En Políticas administradas por AWS , seleccione AmazonRedshiftQueryEditorV2ReadSharing.

    5. En Política insertada, agregue la siguiente política:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeQev2IdcApplications",
                "redshift-serverless:ListNamespaces",
                "redshift-serverless:ListWorkgroups",
                "redshift-serverless:GetWorkgroup"
            ],
            "Resource": "*"
        }
    ]
}
      Mostrar másMostrar menos

    6. Seleccione Siguiente y, a continuación, proporcione un nombre para el nombre del conjunto de permisos. Por ejemplo, Redshift-Query-Editor-V2.

    7. En Estado de relé (opcional), defina el estado de relé predeterminado en la URL del editor de consultas V2, con el formato: https://your-region.console.aws.amazon.com/sqlworkbench/home.

    8. Revise la configuración y seleccione Crear.

    9. Diríjase al panel de control de IAM Identity Center y copie la URL del portal de acceso de AWS de la sección Resumen de la configuración.

      Paso i: Copie la URL del portal de AWS acceso desde la consola del IAM Identity Center.

    10. Abra una nueva ventana del navegador de incógnito y pegue la URL.

      Esto lo llevará a su portal de AWS acceso, asegurándose de que está iniciando sesión con un usuario del IAM Identity Center.

      Paso j: inicie sesión para AWS acceder al portal.

      Para obtener más información sobre el conjunto de permisos, consulte Administre Cuentas de AWS con conjuntos de permisos.

    Mostrar másMostrar menos

  3. Permita que los usuarios federados accedan al editor de consultas V2 de Redshift.

    1. En la cuenta AWS Organizations de administración, abra la consola de IAM Identity Center.

    2. En el panel de navegación, en Permisos para varias cuentas, elijaCuentas de AWS.

    3. En la Cuentas de AWS página, seleccione Cuenta de AWS aquella a la que desee asignar el acceso.

    4. Seleccione Asignar usuarios o grupos.

    5. En la página Asignar usuarios y grupos, seleccione los usuarios o grupos para los que desee crear permisos. A continuación, elija Siguiente.

    6. En la página Asignar conjuntos de permisos, elija el conjunto de permisos que creó en el paso anterior. A continuación, elija Siguiente.

    7. En la página Revisar y enviar asignaciones, revise la selección y elija Enviar.

    Mostrar másMostrar menos

Tareas realizadas por un administrador de Amazon Redshift

Para habilitar la propagación de identidades de confianza en Amazon Redshift, es necesario que un administrador de clústeres de Amazon Redshift o un administrador de Amazon Redshift sin servidor realice una serie de tareas en la consola de Amazon Redshift. Para obtener más información, consulte Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using IAM Identity Center for seamless Single Sign-On en el Blog de macrodatos de AWS .