Autorizzazione delle connessioni da Amazon Quick Sight ai cluster Amazon Redshift - Amazon Quick Suite
Attivazione della propagazione affidabile delle identitàAbilitazione dell'accesso a un cluster Amazon Redshift in un VPCAbilitazione dell'accesso a Redshift Spectrum

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazione delle connessioni da Amazon Quick Sight ai cluster Amazon Redshift

   Si applica a: Enterprise Edition e Standard Edition 
   Destinatari: amministratori di sistema 

Puoi fornire l'accesso ai dati di Amazon Redshift utilizzando tre metodi di autenticazione: propagazione affidabile delle identità, ruolo IAM run-as o credenziali del database Amazon Redshift.

Con la propagazione affidabile delle identità, l'identità di un utente viene trasmessa ad Amazon Redshift con Single Sign-On gestito da IAM Identity Center. L'identità di un utente che accede a un pannello di controllo in Amazon Quick Sight viene propagata su Amazon Redshift. In Amazon Redshift, le autorizzazioni granulari relative ai dati vengono applicate ai dati prima che questi vengano presentati all'utente in una risorsa Amazon Quick Suite. Gli autori di Amazon Quick Suite possono anche connettersi a sorgenti dati Amazon Redshift senza inserire una password o un ruolo IAM. Se si utilizza Amazon Redshift Spectrum, tutta la gestione delle autorizzazioni è centralizzata in Amazon Redshift. La propagazione affidabile delle identità è supportata quando Amazon Quick Suite e Amazon Redshift utilizzano la stessa istanza organizzativa di IAM Identity Center. La propagazione affidabile delle identità non è attualmente supportata per le seguenti funzionalità.

  • Set di dati SPICE

  • SQL personalizzato su origini dati

  • Avvisi

  • Inviare report via e-mail

  • Amazon Quick Suite Q

  • Esportazioni in formato CSV, Excel e PDF

  • Rilevamento anomalie

Affinché Amazon Quick Suite si connetta a un'istanza Amazon Redshift, devi creare un nuovo gruppo di sicurezza per quell'istanza. Questo gruppo di sicurezza contiene una regola in entrata che autorizza l'accesso dall'intervallo di indirizzi IP appropriato per i server Amazon Quick Suite in esso contenuti. Regione AWS Per ulteriori informazioni sull'autorizzazione delle connessioni Amazon Quick Suite, consulta Abilitazione manuale dell'accesso a un cluster Amazon Redshift in un VPC.

L'abilitazione della connessione dai server Amazon Quick Suite al cluster è solo uno dei numerosi prerequisiti per la creazione di un set di dati basato su un'origine dati del AWS database. Per ulteriori informazioni su ciò che è necessario, consulta Creazione di un set di dati da un database.

Abilitazione della propagazione affidabile delle identità con Amazon Redshift

La propagazione affidabile delle identità autentica l'utente finale in Amazon Redshift quando accede agli asset di Amazon Quick Suite che sfruttano un'origine dati affidabile abilitata alla propagazione delle identità. Quando un autore crea un'origine dati con una propagazione dell'identità affidabile, l'identità dei consumatori delle fonti di dati in Amazon Quick Sight viene propagata e registrata. CloudTrail Ciò consente agli amministratori di database di gestire centralmente la sicurezza dei dati in Amazon Redshift e di applicare automaticamente tutte le regole di sicurezza dei dati ai consumatori di dati in Amazon Quick Suite. Con altri metodi di autenticazione, le autorizzazioni relative ai dati dell'autore che ha creato l'origine dati vengono applicate a tutti i consumatori di fonti di dati. L'autore dell'origine dati può scegliere di applicare una sicurezza aggiuntiva a livello di riga e colonna alle sorgenti dati che crea in Amazon Quick Sight.

Le origini dati per la propagazione affidabile delle identità sono supportate solo nei set di dati Direct Query. I set di dati SPICE al momento non supportano la propagazione affidabile delle identità.

Prerequisiti

Prima di iniziare, assicurati di disporre di tutti i prerequisiti richiesti.

  • La propagazione affidabile delle identità è supportata solo per gli account Amazon Quick Suite integrati con IAM Identity Center. Per ulteriori informazioni, consulta Configurare il tuo account Amazon Quick Suite con IAM Identity Center.

  • Un'applicazione Amazon Redshift integrata con il Centro identità IAM. Il cluster Amazon Redshift che utilizzi deve appartenere alla stessa organizzazione dell'account Amazon Quick Suite che desideri utilizzare. AWS Organizations Il cluster deve inoltre essere configurato con la stessa istanza organizzativa in IAM Identity Center su cui è configurato il tuo account Amazon Quick Suite. Per ulteriori informazioni sulla configurazione di un cluster Amazon Redshift, consulta Integrazione del Centro identità IAM.

Abilitazione della propagazione affidabile delle identità in Amazon Quick Sight

Per configurare Amazon Quick Sight per connettersi a fonti di dati Amazon Redshift con propagazione affidabile delle identità, configura gli ambiti Amazon Redshift sul tuo account Amazon Quick OAuth Suite.

Per aggiungere un ambito che consenta ad Amazon Quick Suite di autorizzare la propagazione delle identità su Amazon Redshift, specifica Account AWS l'ID dell'account Amazon Quick Suite e il servizio con cui desideri autorizzare la propagazione delle identità, in questo caso. 'REDSHIFT'

Specificate l'ARN dell'applicazione IAM Identity Center del cluster Amazon Redshift a cui autorizzate Amazon Quick Suite a propagare le identità degli utenti. Queste informazioni sono disponibili nella console Amazon Redshift. Se non specifichi obiettivi autorizzati per l'ambito di Amazon Redshift, Amazon Quick Suite autorizza gli utenti di qualsiasi cluster Amazon Redshift che condividono la stessa istanza di IAM Identity Center. L'esempio seguente configura Amazon Quick Suite per la connessione a sorgenti di dati Amazon Redshift con una propagazione di identità affidabile.

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

L'esempio seguente elimina OAuth gli ambiti da un account Amazon Quick Suite.

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

L'esempio seguente elenca tutti gli OAuth ambiti attualmente presenti su un account Amazon Quick Suite.

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

Connessione ad Amazon Redshift con la propagazione affidabile delle identità

Utilizza la procedura seguente per connetterti alla propagazione affidabile delle identità di Amazon Redshift.

Per connettersi ad Amazon Redshift con la propagazione affidabile delle identità

  1. Crea un nuovo set di dati in Amazon Quick Suite. Per ulteriori informazioni sulla creazione di un set di dati, consulta Creazione di set di dati.

  2. Scegli Amazon Redshift come origine dati per il nuovo set di dati.

    Nota

    Il tipo di autenticazione di una origine dati esistente non può essere modificato nella propagazione affidabile delle identità.

  3. Scegli il Centro identità IAM come opzione di identità per l'origine dati, quindi scegli Crea origine dati.

Abilitazione manuale dell'accesso a un cluster Amazon Redshift in un VPC

 Si applica a: Enterprise Edition 

Utilizza la seguente procedura per abilitare l'accesso di Amazon Quick Sight a un cluster Amazon Redshift in un VPC.

Per abilitare l'accesso di Amazon Quick Sight a un cluster Amazon Redshift in un VPC

  1. Accedi a Console di gestione AWS e apri la console Amazon Redshift all'indirizzo. https://console.aws.amazon.com/redshiftv2/

  2. Passa al cluster che desideri rendere disponibile in Amazon Quick Suite.

  3. Nella sezione Proprietà del cluster, trova Porta. Prendere nota del valore per Port (Porta).

  4. Nella sezione Cluster Properties (Proprietà cluster) individuare VPC ID (ID VPC) e prendere nota del valore VPC ID (ID VPC). Scegli ID VPC per aprire la console di Amazon VPC.

  5. Nel riquadro di navigazione della console di Amazon VPC, scegli Gruppi di sicurezza.

  6. Scegli Crea gruppo di sicurezza.

  7. Nella pagina Create Security Group (Crea gruppo di sicurezza) immettere le informazioni sul gruppo di sicurezza come descritto di seguito:

    • In Security group name (Nome gruppo di sicurezza) immettere redshift-security-group.

    • Per Descrizione, inserisci redshift-security-group.

    • Per VPC, scegli il VPC per il cluster Amazon Redshift. Questo VPC è quello associato all'ID VPC precedentemente annotato.

  8. Scegliere Create Security Group (Crea gruppo di sicurezza).

    Dovrebbe essere visualizzato il nuovo gruppo di sicurezza.

  9. Crea un secondo gruppo di sicurezza con le seguenti proprietà.

    • In Security group name (Nome gruppo di sicurezza) immettere quicksight-security-group.

    • Per Descrizione, inserisci quicksight-security-group.

    • Per VPC, scegli il VPC per il cluster Amazon Redshift. Questo VPC è quello associato all'ID VPC precedentemente annotato.

  10. Scegliere Create Security Group (Crea gruppo di sicurezza).

  11. Dopo aver creato i nuovi gruppi di sicurezza, crea le regole in entrata per i nuovi gruppi.

    Scegli il nuovo gruppo di sicurezza redshift-security-group e inserisci i seguenti valori.

    • Per Tipo, scegli Amazon Redshift.

    • Per Protocol (Protocollo), selezionare TCP.

    • Per Intervallo di porte, immettere il numero di porta del cluster Amazon Redshift a cui si desidera fornire l'accesso. Si tratta del numero di porta annotato in un passaggio precedente.

    • Per Origine, immetti l'ID del gruppo di sicurezza di quicksight-security-group.

  12. Selezionare Save rules (Salva regole) per salvare la nuova regola in entrata.

  13. Ripeti il passaggio precedente per quicksight-security-group e immetti i seguenti valori.

    • In Type (Tipo), selezionare All traffic (Tutto il traffico).

    • In Protocollo, scegli Tutto.

    • Per Intervallo porte, scegli Tutto.

    • Per Origine, immetti l'ID del gruppo di sicurezza di redshift-security-group.

  14. Selezionare Save rules (Salva regole) per salvare la nuova regola in entrata.

  15. In Amazon Quick Suite, accedi al menu Manage Amazon Quick Suite.

  16. Scegli Gestisci connessioni VPC, quindi scegli Aggiungi connessione VPC.

  17. Configura la nuova connessione VPC con i seguenti valori.

    • Per Nome della connessione VPC, scegli un nome significativo per la connessione VPC.

    • Per ID VPC, scegli il VPC in cui si trova il cluster Amazon Redshift.

    • Per ID sottorete, scegli la sottorete per la zona di disponibilità (AZ) utilizzata per Amazon Redshift.

    • Per ID gruppo di sicurezza, copia e incolla l'ID del gruppo di sicurezza per quicksight-security-group.

  18. Scegli Create (Crea). La generazione del nuovo VPC potrebbe impiegare diversi minuti.

  19. Nella console Amazon Redshift, passa al cluster Amazon Redshift per cui è configurato redshift-security-group. Scegli Proprietà. In Impostazioni di rete e sicurezza, inserisci il nome del gruppo di sicurezza.

  20. In Amazon Quick Suite, scegli Set di dati, quindi scegli Nuovo set di dati. Crea un nuovo set di dati con i seguenti valori.

    • Per Origine dati, scegli Amazon Redshift rilevato automaticamente.

    • Assegna un nome significativo all'origine dati.

    • L'ID dell'istanza dovrebbe essere compilato automaticamente con la connessione VPC che hai creato in Amazon Quick Suite. Se l'ID dell'istanza non viene compilato automaticamente, scegli il VPC che hai creato dall'elenco a discesa.

    • Inserisci le credenziali del database. Se il tuo account Amazon Quick Suite utilizza una propagazione di identità affidabile, scegli Single sign-on.

  21. Convalida la connessione, quindi scegli Crea origine dati.

Se desideri limitare ulteriormente le regole in uscita predefinite, aggiorna la regola in uscita di quicksight-security-group per consentire solo il traffico di Amazon Redshift a redshift-security-group. Puoi anche eliminare la regola in uscita che si trova nella redshift-security-group.

Abilitazione dell'accesso ad Amazon Redshift Spectrum

Utilizzando Amazon Redshift Spectrum, puoi connettere Amazon Quick Suite a un catalogo esterno con Amazon Redshift. Ad esempio, puoi accedere al catalogo Amazon Athena. Puoi quindi interrogare dati non strutturati sul tuo data lake Amazon S3 utilizzando un cluster Amazon Redshift anziché il motore di query Athena.

Puoi inoltre combinare set di dati contenenti i dati archiviati in Amazon Redshift e in S3. È quindi possibile accedervi tramite la sintassi SQL in Amazon Redshift.

Dopo aver registrato il catalogo di dati (per Athena) o lo schema esterno (per un metastore Hive), puoi utilizzare Amazon Quick Suite per scegliere lo schema esterno e le tabelle Amazon Redshift Spectrum. Questo processo funziona esattamente come per qualsiasi altra tabella Amazon Redshift nel cluster. Non è necessario caricare o trasformare i dati.

Per ulteriori informazioni sull'utilizzo di Amazon Redshift Spectrum, consulta Utilizzo di Amazon Redshift Spectrum per eseguire query su dati esterni nella Guida per gli sviluppatori di Amazon Redshift.

Per stabilire una connessione mediante Redshift Spectrum, completa le seguenti operazioni:

  • Crea o identifica un ruolo IAM associato al cluster Amazon Redshift.

  • Aggiungere le policy IAM AmazonS3ReadOnlyAccess e AmazonAthenaFullAccess al ruolo IAM.

  • Registrare uno schema o un catalogo di dati esterno per le tabelle che desideri utilizzare.

Redshift Spectrum ti consente di separare lo storage dall'elaborazione, in modo da dimensionarli separatamente. Paghi solo le query che esegui.

Per connetterti alle tabelle Redshift Spectrum, non è necessario concedere ad Amazon Quick Suite l'accesso ad Amazon S3 o Athena. Amazon Quick Suite richiede l'accesso solo al cluster Amazon Redshift. Per tutti i dettagli sulla configurazione di Redshift Spectrum, consulta Nozioni di base su Amazon Redshift Spectrum nella Guida per gli sviluppatori di Amazon Redshift Database.