Mengotorisasi koneksi dari Amazon Quick Sight ke cluster Amazon Redshift - Amazon Quick Suite
Mengaktifkan propagasi identitas tepercayaMengaktifkan akses ke cluster Amazon Redshift di VPCMengaktifkan acesss ke Redshift Spectrum

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengotorisasi koneksi dari Amazon Quick Sight ke cluster Amazon Redshift

   Berlaku untuk: Edisi Perusahaan dan Edisi Standar 
   Audiens yang dituju: Administrator sistem 

Anda dapat memberikan akses ke data Amazon Redshift menggunakan tiga metode autentikasi: propagasi identitas tepercaya, peran IAM run-as, atau kredenal database Amazon Redshift.

Dengan propagasi identitas tepercaya, identitas pengguna diteruskan ke Amazon Redshift dengan sistem masuk tunggal yang dikelola oleh IAM Identity Center. Seorang pengguna yang mengakses dasbor di Amazon Quick Sight memiliki identitas mereka disebarkan ke Amazon Redshift. Di Amazon Redshift, izin data berbutir halus diterapkan pada data sebelum data disajikan dalam aset Amazon Quick Suite kepada pengguna. Penulis Amazon Quick Suite juga dapat terhubung ke sumber data Amazon Redshift tanpa input kata sandi atau peran IAM. Jika Amazon Redshift Spectrum digunakan, semua manajemen izin terpusat di Amazon Redshift. Propagasi identitas tepercaya didukung saat Amazon Quick Suite dan Amazon Redshift menggunakan instans organisasi yang sama dari IAM Identity Center. Propagasi identitas tepercaya saat ini tidak didukung untuk fitur-fitur berikut.

  • SPICEkumpulan data

  • Kustom SQL pada sumber data

  • Pemberitahuan

  • Laporan email

  • Suite Cepat Amazon Q

  • Ekspor CSV, Excel, dan PDF

  • Deteksi anomali

Agar Amazon Quick Suite dapat terhubung ke instans Amazon Redshift, Anda harus membuat grup keamanan baru untuk instance tersebut. Grup keamanan ini berisi aturan masuk yang mengotorisasi akses dari rentang alamat IP yang sesuai untuk server Amazon Quick Suite di dalamnya. Wilayah AWS Untuk mempelajari selengkapnya tentang mengotorisasi koneksi Amazon Quick Suite, lihat Mengaktifkan akses secara manual ke klaster Amazon Redshift di VPC.

Mengaktifkan koneksi dari server Amazon Quick Suite ke klaster Anda hanyalah salah satu dari beberapa prasyarat untuk membuat kumpulan data berdasarkan sumber data database. AWS Untuk informasi selengkapnya tentang apa yang diperlukan, lihat Membuat kumpulan data dari database.

Mengaktifkan propagasi identitas tepercaya dengan Amazon Redshift

Propagasi identitas tepercaya mengautentikasi pengguna akhir di Amazon Redshift saat mereka mengakses aset Amazon Quick Suite yang memanfaatkan sumber data yang diaktifkan propagasi identitas tepercaya. Ketika seorang penulis membuat sumber data dengan propagasi identitas tepercaya, identitas konsumen sumber data di Amazon Quick Sight disebarkan dan masuk. CloudTrail Hal ini memungkinkan administrator database untuk mengelola keamanan data secara terpusat di Amazon Redshift dan secara otomatis menerapkan semua aturan keamanan data ke konsumen data di Amazon Quick Suite. Dengan metode otentikasi lainnya, izin data dari penulis yang membuat sumber data diterapkan ke semua konsumen sumber data. Penulis sumber data dapat memilih untuk menerapkan keamanan tingkat baris dan kolom tambahan ke sumber data yang mereka buat di Amazon Quick Sight.

Sumber data propagasi identitas tepercaya hanya didukung dalam kumpulan data Direct Query. SPICEkumpulan data saat ini tidak mendukung propagasi identitas tepercaya.

Prasyarat

Sebelum Anda memulai, pastikan bahwa Anda memiliki semua prasyarat yang diperlukan siap.

  • Propagasi identitas tepercaya hanya didukung untuk akun Amazon Quick Suite yang terintegrasi dengan IAM Identity Center. Untuk informasi selengkapnya, lihat Mengonfigurasi akun Amazon Quick Suite Anda dengan Pusat Identitas IAM.

  • Aplikasi Amazon Redshift yang terintegrasi dengan IAM Identity Center. Cluster Amazon Redshift yang Anda gunakan harus berada di AWS Organizations organisasi yang sama dengan akun Amazon Quick Suite yang ingin Anda gunakan. Cluster juga harus dikonfigurasi dengan instance organisasi yang sama di Pusat Identitas IAM tempat akun Amazon Quick Suite Anda dikonfigurasi. Untuk informasi selengkapnya tentang mengonfigurasi klaster Amazon Redshift, lihat Mengintegrasikan Pusat Identitas IAM.

Mengaktifkan propagasi identitas tepercaya di Amazon Quick Sight

Untuk mengonfigurasi Amazon Quick Sight agar terhubung ke sumber data Amazon Redshift dengan propagasi identitas tepercaya, konfigurasikan cakupan Amazon Redshift OAuth ke akun Amazon Quick Suite Anda.

Untuk menambahkan cakupan yang memungkinkan Amazon Quick Suite mengotorisasi propagasi identitas ke Amazon Redshift, tentukan ID Akun AWS akun Amazon Quick Suite dan layanan yang ingin Anda otorisasi propagasi identitas, dalam hal ini. 'REDSHIFT'

Tentukan ARN aplikasi Pusat Identitas IAM dari klaster Amazon Redshift yang Anda otorisasi Amazon Quick Suite untuk menyebarkan identitas pengguna. Informasi ini dapat ditemukan di konsol Amazon Redshift. Jika Anda tidak menentukan target resmi untuk cakupan Amazon Redshift, Amazon Quick Suite memberi otorisasi kepada pengguna dari klaster Amazon Redshift yang berbagi instans Pusat Identitas IAM yang sama. Contoh di bawah ini mengonfigurasi Amazon Quick Suite untuk terhubung ke sumber data Amazon Redshift dengan propagasi identitas tepercaya.

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

Contoh berikut menghapus OAuth cakupan dari akun Amazon Quick Suite.

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

Contoh berikut mencantumkan semua OAuth cakupan yang saat ini ada di akun Amazon Quick Suite.

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

Menghubungkan ke Amazon Redshift dengan propagasi identitas tepercaya

Gunakan prosedur di bawah ini untuk terhubung ke propagasi identitas tepercaya Amazon Redshift.

Untuk terhubung ke Amazon Redshift dengan propagasi identitas tepercaya

  1. Buat kumpulan data baru di Amazon Quick Suite. Untuk informasi selengkapnya tentang membuat kumpulan data, lihat Membuat kumpulan data.

  2. Pilih Amazon Redshift sebagai sumber data untuk kumpulan data baru.

    catatan

    Jenis otentikasi sumber data yang ada tidak dapat diubah menjadi propagasi identitas tepercaya

  3. Pilih Pusat Identitas IAM sebagai opsi identitas untuk sumber data, lalu pilih Buat sumber data.

Mengaktifkan akses secara manual ke cluster Amazon Redshift di VPC

 Berlaku untuk: Enterprise Edition 

Gunakan prosedur berikut untuk mengaktifkan akses Amazon Quick Sight ke cluster Amazon Redshift di VPC.

Untuk mengaktifkan akses Amazon Quick Sight ke cluster Amazon Redshift di VPC

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Arahkan ke cluster yang ingin Anda sediakan di Amazon Quick Suite.

  3. Di bagian Cluster Properties, temukan Port. Perhatikan nilai Port.

  4. Di bagian Properti Cluster, temukan ID VPC dan catat nilai ID VPC. Pilih ID VPC untuk membuka konsol VPC Amazon.

  5. Di konsol Amazon VPC, pilih Grup Keamanan di panel navigasi.

  6. Pilih Buat Grup Keamanan.

  7. Pada halaman Buat Grup Keamanan, masukkan informasi grup keamanan sebagai berikut:

    • Untuk Nama grup keamanan, masukkan redshift-security-group.

    • Untuk Deskripsi, masukkan redshift-security-group.

    • Untuk VPC, pilih VPC untuk cluster Amazon Redshift Anda. Ini adalah VPC dengan ID VPC yang Anda catat.

  8. Pilih Buat grup keamanan.

    Grup keamanan baru Anda akan muncul di layar.

  9. Buat grup keamanan kedua dengan properti berikut.

    • Untuk Nama grup keamanan, masukkan quicksight-security-group.

    • Untuk Deskripsi, masukkan quicksight-security-group.

    • Untuk VPC, pilih VPC untuk cluster Amazon Redshift Anda. Ini adalah VPC dengan ID VPC yang Anda catat.

  10. Pilih Buat grup keamanan.

  11. Setelah Anda membuat grup keamanan baru, buat aturan masuk untuk grup baru.

    Pilih grup redshift-security-group keamanan baru, dan masukkan nilai berikut.

    • Untuk Jenis, pilih Amazon Redshift.

    • Untuk Protokol, pilih TCP.

    • Untuk Rentang Port, masukkan nomor port cluster Amazon Redshift tempat Anda menyediakan akses. Ini adalah nomor port yang Anda catat pada langkah sebelumnya.

    • Untuk Sumber, masukkan ID grup keamanan dariquicksight-security-group.

  12. Pilih Simpan aturan untuk menyimpan aturan masuk baru Anda.

  13. Ulangi langkah sebelumnya untuk quicksight-security-group dan masukkan nilai berikut.

    • Untuk Tipe, pilih Semua lalu lintas.

    • Untuk Protokol, pilih Semua.

    • Untuk Port Range, pilih Semua.

    • Untuk Sumber, masukkan ID grup keamanan dariredshift-security-group.

  14. Pilih Simpan aturan untuk menyimpan aturan masuk baru Anda.

  15. Di Amazon Quick Suite, arahkan ke menu Kelola Amazon Quick Suite.

  16. Pilih Kelola koneksi VPC, lalu pilih Tambahkan koneksi VPC.

  17. Konfigurasikan koneksi VPC baru dengan nilai-nilai berikut.

    • Untuk nama koneksi VPC, pilih nama yang berarti untuk koneksi VPC.

    • Untuk ID VPC, pilih VPC tempat klaster Amazon Redshift ada.

    • Untuk Subnet ID, pilih subnet untuk Availability Zone (AZ) yang digunakan untuk Amazon Redshift.

    • Untuk ID grup Keamanan, salin dan tempel ID grup keamanan untukquicksight-security-group.

  18. Pilih Buat. Mungkin perlu beberapa menit untuk menghasilkan VPC baru.

  19. Di konsol Amazon Redshift, navigasikan ke cluster Amazon Redshift redshift-security-group yang dikonfigurasi. Pilih Properti. Di bawah Pengaturan jaringan dan keamanan, masukkan nama grup keamanan.

  20. Di Amazon Quick Suite, pilih Datasets, lalu pilih New Dataset. Buat dataset baru dengan nilai-nilai berikut.

    • Untuk sumber Data, pilih Amazon Redshift Auto-discovered.

    • Beri sumber data nama yang berarti.

    • ID instans harus diisi secara otomatis dengan koneksi VPC yang Anda buat di Amazon Quick Suite. Jika ID instans tidak terisi secara otomatis, pilih VPC yang Anda buat dari daftar tarik-turun.

    • Masukkan kredensil database. Jika akun Amazon Quick Suite Anda menggunakan propagasi identitas tepercaya, pilih Single sign-on.

  21. Validasi koneksi, lalu pilih Buat sumber data.

Jika Anda ingin membatasi aturan keluar default lebih lanjut, perbarui aturan keluar quicksight-security-group agar hanya mengizinkan lalu lintas Amazon Redshift. redshift-security-group Anda juga dapat menghapus aturan keluar yang terletak di. redshift-security-group

Mengaktifkan akses ke Amazon Redshift Spectrum

Menggunakan Amazon Redshift Spectrum, Anda dapat menghubungkan Amazon Quick Suite ke katalog eksternal dengan Amazon Redshift. Misalnya, Anda dapat mengakses katalog Amazon Athena. Anda kemudian dapat menanyakan data tidak terstruktur di danau data Amazon S3 menggunakan klaster Amazon Redshift, bukan mesin kueri Athena.

Anda juga dapat menggabungkan kumpulan data yang menyertakan data yang disimpan di Amazon Redshift dan di S3. Kemudian Anda dapat mengaksesnya menggunakan sintaks SQL di Amazon Redshift.

Setelah mendaftarkan katalog data (untuk Athena) atau skema eksternal (untuk metastore Hive), Anda dapat menggunakan Amazon Quick Suite untuk memilih skema eksternal dan tabel Amazon Redshift Spectrum. Proses ini berfungsi seperti halnya tabel Amazon Redshift lainnya di cluster Anda. Anda tidak perlu memuat atau mengubah data Anda.

Untuk informasi selengkapnya tentang penggunaan Amazon Redshift Spectrum, lihat Menggunakan Amazon Redshift Spectrum untuk menanyakan data eksternal di Panduan Pengembang Database Amazon Redshift.

Untuk terhubung menggunakan Redshift Spectrum, lakukan hal berikut:

  • Buat atau identifikasi peran IAM yang terkait dengan cluster Amazon Redshift.

  • Tambahkan kebijakan IAM AmazonS3ReadOnlyAccess dan AmazonAthenaFullAccess peran IAM.

  • Daftarkan skema eksternal atau katalog data untuk tabel yang Anda rencanakan untuk digunakan.

Redshift Spectrum memungkinkan Anda memisahkan penyimpanan dari komputasi, sehingga Anda dapat menskalakannya secara terpisah. Anda hanya membayar untuk pertanyaan yang Anda jalankan.

Untuk terhubung ke tabel Redshift Spectrum, Anda tidak perlu memberikan Amazon Quick Suite akses ke Amazon S3 atau Athena. Amazon Quick Suite hanya membutuhkan akses ke cluster Amazon Redshift. Untuk detail selengkapnya tentang mengonfigurasi Redshift Spectrum, lihat Memulai Amazon Redshift Spectrum di Panduan Pengembang Database Amazon Redshift.