Autorisation des connexions entre Amazon Quick Sight et les clusters Amazon Redshift - Amazon Quick Suite
Permettre une propagation d'identité fiableActivation de l'accès à un cluster Amazon Redshift dans un VPCPermettre l'accès à Redshift Spectrum

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisation des connexions entre Amazon Quick Sight et les clusters Amazon Redshift

   S’applique à : édition Enterprise et édition Standard 
   Public cible : administrateurs système 

Vous pouvez fournir un accès aux données Amazon Redshift à l’aide de trois méthodes d’authentification : propagation d’identité fiable, rôle d’exécution en tant que IAM ou informations d’identification de base de données Amazon Redshift.

Avec une propagation d'identité fiable, l'identité d'un utilisateur est transmise à Amazon Redshift par le biais d'une authentification unique gérée par IAM Identity Center. L'identité d'un utilisateur qui accède à un tableau de bord dans Amazon Quick Sight est transmise à Amazon Redshift. Dans Amazon Redshift, des autorisations précises sont appliquées aux données avant que celles-ci ne soient présentées à l'utilisateur dans une ressource Amazon Quick Suite. Les auteurs d'Amazon Quick Suite peuvent également se connecter aux sources de données Amazon Redshift sans saisir de mot de passe ni rôle IAM. Si Amazon Redshift Spectrum est utilisé, toute la gestion des autorisations est centralisée dans Amazon Redshift. La propagation d'identités fiables est prise en charge lorsqu'Amazon Quick Suite et Amazon Redshift utilisent la même instance organisationnelle d'IAM Identity Center. La propagation d’identité approuvée n’est actuellement pas prise en charge pour les fonctionnalités suivantes.

  • SPICE jeux de données

  • SQL personnalisé sur les sources de données

  • Alerts (Alertes)

  • Rapports envoyés par e-mail

  • Amazon Quick Suite Q

  • Exportations au format CSV, Excel et PDF

  • Détection des anomalies

Pour qu'Amazon Quick Suite puisse se connecter à une instance Amazon Redshift, vous devez créer un nouveau groupe de sécurité pour cette instance. Ce groupe de sécurité contient une règle entrante qui autorise l'accès depuis la plage d'adresses IP appropriée pour les serveurs Amazon Quick Suite qu'il contient. Région AWS Pour en savoir plus sur l'autorisation des connexions Amazon Quick Suite, consultez Activation manuelle de l'accès à un cluster Amazon Redshift dans un VPC.

L'activation de la connexion entre les serveurs Amazon Quick Suite et votre cluster n'est qu'une des nombreuses conditions préalables à la création d'un ensemble de données basé sur une source de données AWS de base de données. Pour plus d'informations sur les éléments requis, consultez la section Création d'un jeu de données à partir d'une base de données.

Permettre une propagation d’identité fiable avec Amazon Redshift

La propagation d'identité fiable authentifie l'utilisateur final dans Amazon Redshift lorsqu'il accède aux ressources d'Amazon Quick Suite qui exploitent une source de données compatible avec la propagation d'identité fiable. Lorsqu'un auteur crée une source de données avec une propagation d'identité fiable, l'identité des consommateurs de la source de données dans Amazon Quick Sight est propagée et connectée. CloudTrail Cela permet aux administrateurs de base de données de gérer de manière centralisée la sécurité des données dans Amazon Redshift et d'appliquer automatiquement toutes les règles de sécurité des données aux consommateurs de données dans Amazon Quick Suite. Avec les autres méthodes d'authentification, les autorisations de données de l'auteur qui a créé la source de données sont appliquées à tous les consommateurs de la source de données. L'auteur de la source de données peut choisir d'appliquer une sécurité supplémentaire au niveau des lignes et des colonnes aux sources de données qu'il crée dans Amazon Quick Sight.

Les sources de données de propagation d’identité fiables ne sont prises en charge que dans les jeux de données Direct Query. Les jeux de données SPICE ne prennent actuellement pas en charge la propagation d’identités fiables.

Prérequis

Avant de commencer, assurez-vous d’avoir tous les prérequis nécessaires.

  • La propagation d'identité fiable n'est prise en charge que pour les comptes Amazon Quick Suite intégrés à IAM Identity Center. Pour plus d'informations, consultez Configurer votre compte Amazon Quick Suite avec IAM Identity Center.

  • Une application Amazon Redshift intégrée à IAM Identity Center. Le cluster Amazon Redshift que vous utilisez doit appartenir à la même organisation AWS Organizations que le compte Amazon Quick Suite que vous souhaitez utiliser. Le cluster doit également être configuré avec la même instance d'organisation dans IAM Identity Center que celle pour laquelle votre compte Amazon Quick Suite est configuré. Pour plus d’informations sur la configuration d’un cluster Amazon Redshift, consultez Integrating IAM Identity Center.

Permettre une propagation d'identité fiable dans Amazon Quick Sight

Pour configurer Amazon Quick Sight afin de se connecter aux sources de données Amazon Redshift avec une propagation d'identité fiable, configurez les étendues Amazon OAuth Redshift sur votre compte Amazon Quick Suite.

Pour ajouter une portée permettant à Amazon Quick Suite d'autoriser la propagation d'identité vers Amazon Redshift, spécifiez l' Compte AWS ID du compte Amazon Quick Suite et le service avec lequel vous souhaitez autoriser la propagation d'identité, dans ce cas. 'REDSHIFT'

Spécifiez l'ARN de l'application IAM Identity Center du cluster Amazon Redshift vers lequel vous autorisez Amazon Quick Suite à propager les identités des utilisateurs. Cette information se trouve dans la console Amazon Redshift. Si vous ne spécifiez pas de cibles autorisées pour le champ d'application Amazon Redshift, Amazon Quick Suite autorise les utilisateurs de n'importe quel cluster Amazon Redshift partageant la même instance IAM Identity Center. L'exemple ci-dessous configure Amazon Quick Suite pour qu'elle se connecte aux sources de données Amazon Redshift avec une propagation d'identité fiable.

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

L'exemple suivant supprime OAuth des étendues d'un compte Amazon Quick Suite.

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

L'exemple suivant répertorie tous les OAuth scopes actuellement enregistrés sur un compte Amazon Quick Suite.

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

Connexion à Amazon Redshift avec propagation d’identité fiable

Suivez la procédure suivante pour vous connecter à la propagation d’identité fiable Amazon Redshift.

Connexion à Amazon Redshift Servershift avec propagation d’identité fiable

  1. Créez un nouvel ensemble de données dans Amazon Quick Suite. Pour plus d'informations sur la création d'un jeu de données, consultez la section Création de jeux de données.

  2. Choisissez Amazon Redshift comme source de données pour le nouveau jeu de données.

    Note

    Le type d’authentification d’une source de données existante ne peut pas être remplacé par une propagation d’identité sécurisée

  3. Choisissez IAM Identity Center comme option d’identité pour la source de données, puis choisissez Créer une source de données.

Activation manuelle de l’accès à un cluster Amazon Redshift dans un VPC

 S’applique à : édition Enterprise 

Utilisez la procédure suivante pour activer l'accès d'Amazon Quick Sight à un cluster Amazon Redshift dans un VPC.

Pour activer l'accès d'Amazon Quick Sight à un cluster Amazon Redshift dans un VPC

  1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/redshiftv2/

  2. Accédez au cluster que vous souhaitez mettre à disposition dans Amazon Quick Suite.

  3. Localisez Port dans la section Cluster Properties (Propriétés du cluster). Notez la valeur de Port.

  4. Localisez VPC ID (ID de VPC) dans la section Cluster Properties (Propriétés du cluster) et notez la valeur VPC ID. Choisissez l’ID du VPC pour ouvrir la console Amazon VPC.

  5. Dans la console Amazon VPC, choisissez Groupes de sécurité dans le panneau de navigation.

  6. Sélectionnez Create Security Group (Créer un groupe de sécurité).

  7. Sur la page Create Security Group (Créer un groupe de sécurité), entrez les informations du groupe de sécurité comme suit :

    • Sous Security group name (Nom du groupe de sécurité), saisissez redshift-security-group.

    • Pour Description, saisissez redshift-security-group.

    • Pour VPC, choisissez l’Amazon VPC pour votre cluster Amazon Redshift. Il s’agit du VPC dont vous avez noté l’ID de VPC.

  8. Sélectionnez Create security group (Créer un groupe de sécurité).

    Votre nouveau groupe de sécurité doit figurer sur l’écran.

  9. Créez un groupe de sécurité avec les informations suivante.

    • Sous Security group name (Nom du groupe de sécurité), saisissez quicksight-security-group.

    • Pour Description, saisissez quicksight-security-group.

    • Pour VPC, choisissez l’Amazon VPC pour votre cluster Amazon Redshift. Il s’agit du VPC dont vous avez noté l’ID de VPC.

  10. Sélectionnez Create security group (Créer un groupe de sécurité).

  11. Après avoir créé les nouveaux groupes de sécurité, créez des règles entrantes pour les nouveaux groupes.

    Choisissez le nouveau groupe de sécurité redshift-security-group et entrez les valeurs suivantes.

    • Pour Type, choisissez Amazon Redshift.

    • Pour Protocol (Protocole), choisissez TCP.

    • Pour Plage de ports, saisissez le numéro de port du cluster Amazon Redshift auquel vous donnez accès. Il s’agit du numéro de port que vous avez noté à une étape antérieure.

    • Pour Source, entrez l’ID du groupe de sécurité de quicksight-security-group.

  12. Choisissez Save rules (Enregistrer les règles) pour enregistrer votre nouvelle règle de trafic entrant.

  13. Répétez l’étape précédente pour quicksight-security-group et saisissez les valeurs suivantes.

    • Pour Type, sélectionnez All traffic (Tout le trafic).

    • Pour Protocole, choisissez All (Tout).

    • Pour Plage de ports, choisissez All (Tout).

    • Pour Source, entrez l’ID du groupe de sécurité de redshift-security-group.

  14. Choisissez Save rules (Enregistrer les règles) pour enregistrer votre nouvelle règle de trafic entrant.

  15. Dans Amazon Quick Suite, accédez au menu Gérer Amazon Quick Suite.

  16. Choisissez Manage VPC connections (Gérer les connexions VPC), puis Add VPC connection (Ajouter une connexion VPC).

  17. Configurez la nouvelle connexion VPC avec les valeurs suivantes.

    • Pour le VPC connection name (nom de connexion VPC), choisissez un nom significatif pour la connexion VPC.

    • Pour l’ID VPC, choisissez le VPC dans lequel se trouve le cluster Amazon Redshift.

    • Dans le Subnet ID (ID sous-réseau), choisissez le sous-réseau de la zone de disponibilité (AZ) utilisé pour Amazon Redshift.

    • Pour l’identifiant du groupe de sécurité, copiez-collez l’identifiant du groupe de sécurité pourquicksight-security-group.

  18. Choisissez Créer. La génération du nouveau VPC peut prendre plusieurs minutes.

  19. Dans la console Amazon Redshift, accédez au cluster Amazon Redshift configuré pour redshift-security-group. Choisissez Propriétés. Sous Network and security settings (Paramètres réseau et de sécurité), entrez le nom du groupe de sécurité.

  20. Dans Amazon Quick Suite, choisissez Ensembles de données, puis choisissez Nouvel ensemble de données. Créez un nouveau jeu de données avec les valeurs suivantes.

    • Pour Data source (Source de données), choisissez Amazon Redshift Auto-discovered.

    • Donnez un nom significatif à la source de données.

    • L'ID d'instance doit être renseigné automatiquement avec la connexion VPC que vous avez créée dans Amazon Quick Suite. Si l’ID d’instance ne se remplit pas automatiquement, choisissez le VPC que vous avez créé dans la liste déroulante.

    • Entrez les informations d’identification de la base de données. Si votre compte Amazon Quick Suite utilise une propagation d'identité fiable, choisissez Single Sign-on.

  21. Validez la connexion, puis choisissez Create data source (Créer une source de données).

Si vous souhaitez restreindre davantage les règles sortantes par défaut, mettez à jour la règle sortante de quicksight-security-group pour autoriser uniquement le trafic Amazon Redshift à redshift-security-group. Vous pouvez également supprimer la règle sortante qui se trouve dans le redshift-security-group.

Activation de l’accès à Amazon Redshift Spectrum

À l'aide d'Amazon Redshift Spectrum, vous pouvez connecter Amazon Quick Suite à un catalogue externe avec Amazon Redshift. Par exemple, vous pouvez accéder au catalogue Amazon Athena. Vous pouvez alors interroger les données non structurées de votre lac de données Amazon S3 en utilisant un cluster Amazon Redshift au lieu du moteur de requête Athena.

Vous pouvez également combiner des jeux de données qui incluent des données stockées dans Amazon Redshift et dans S3. Vous pouvez ensuite y accéder en utilisant la syntaxe SQL dans Amazon Redshift.

Après avoir enregistré votre catalogue de données (pour Athena) ou votre schéma externe (pour un métastore Hive), vous pouvez utiliser Amazon Quick Suite pour choisir le schéma externe et les tables Amazon Redshift Spectrum. Ce processus fonctionne comme avec n’importe quelle autre table Amazon Redshift de votre cluster. Vous n’avez pas besoin de charger ou de transformer vos données.

Pour plus d’informations sur l’utilisation d’Amazon Redshift Spectrum, consultez la rubrique Utilisation d’Amazon Redshift Spectrum pour interroger des données externes dans le Guide du développeur de base de données Amazon Redshift.

Pour vous connecter à l’aide de Redshift Spectrum, procédez comme suit :

  • Créez ou identifiez un rôle IAM associé au cluster Amazon Redshift.

  • Ajouter les stratégies IAM AmazonS3ReadOnlyAccess et AmazonAthenaFullAccess au rôle IAM.

  • Inscrire un schéma externe ou un catalogue de données pour les tables que vous prévoyez d’utiliser.

Redshift Spectrum vous permet d’établir une séparation entre le stockage et le calcul, si bien que vous pouvez les mettre à l’échelle séparément. Vous payez uniquement pour les requêtes que vous exécutez.

Pour vous connecter aux tables Redshift Spectrum, vous n'avez pas besoin d'autoriser Amazon Quick Suite à accéder à Amazon S3 ou Athena. Amazon Quick Suite doit uniquement accéder au cluster Amazon Redshift. Pour plus de détails sur la configuration de Redshift Spectrum, consultez la rubrique Premiers pas avec Amazon Redshift Spectrum dans le Guide du développeur de base de données Amazon Redshift.