

 Amazon Redshift non supporterà più la creazione di nuovi Python UDFs a partire dalla Patch 198. Python esistente UDFs continuerà a funzionare fino al 30 giugno 2026. Per ulteriori informazioni, consulta il [post del blog](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione del Account AWS
<a name="query-editor-v2-getting-started"></a>

Puoi eseguire questo set di attività per configurare l'editor di query v2 per interrogare un database Amazon Redshift. Con le autorizzazioni appropriate, puoi accedere ai dati in un cluster o gruppo di lavoro Amazon Redshift di tua proprietà che si trova attualmente. Account AWS Regione AWS

La prima volta che un amministratore configura l'editor di query v2 per te Account AWS, sceglie quello da utilizzare per crittografare le risorse dell' AWS KMS key editor di query v2. Per impostazione predefinita, viene utilizzata una chiave AWS proprietaria per crittografare le risorse. In alternativa un amministratore può utilizzare una chiave gestita dal cliente scegliendo il nome della risorsa Amazon (ARN) per la chiave nella pagina di configurazione. 

Dopo aver configurato un account, le impostazioni di AWS KMS crittografia non possono essere modificate. Per ulteriori informazioni sulla creazione e l'utilizzo di una chiave gestita dal cliente con l'editor di query v2, consultare [Creazione di una chiave gestita dal AWS KMS cliente da utilizzare con Query Editor v2](#query-editor-v2-kms-key). L'amministratore può anche scegliere facoltativamente S3 bucket (Bucket S3) e un percorso utilizzati per alcune funzionalità, come il caricamento di dati da un file. Per ulteriori informazioni, consulta [Caricamento di dati da una configurazione di file e da un flusso di lavoro locali](query-editor-v2-loading-data-local.md). 

L'editor di query v2 di Amazon Redshift supporta l'autenticazione, la crittografia, l'isolamento e la conformità per mantenere al sicuro i dati a riposo e i dati in transito. Per ulteriori informazioni sulla sicurezza dei dati e sull'editor di query v2, consultare: 
+ [Crittografia dei dati a riposo](security-server-side-encryption.md)
+ [Crittografia dei dati in transito](security-encryption-in-transit.md)
+ [Analisi della configurazione e delle vulnerabilità in Amazon Redshift](security-vulnerability-analysis-and-management.md)

AWS CloudTrail acquisisce le chiamate API e gli eventi correlati effettuati da o per conto tuo Account AWS e invia i file di log a un bucket Amazon S3 da te specificato. Puoi identificare quali utenti e account hanno chiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate. Per ulteriori informazioni su come l'editor di query V2 funziona su AWS CloudTrail, consulta [Registrazione dei log con CloudTrail](logging-with-cloudtrail.md). Per ulteriori informazioni in merito CloudTrail, consulta la [Guida AWS CloudTrail per l'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html). 

L'editor di query v2 ha quote regolabili per alcune delle sue risorse. Per ulteriori informazioni, consulta [Quote per gli oggetti Amazon Redshift](amazon-redshift-limits.md#amazon-redshift-limits-quota). 

## Risorse create con l'editor di query v2
<a name="query-editor-v2-resources"></a>

All'interno dell'editor di query v2, è possibile creare risorse come query e grafici salvati. Tutte le risorse nell'editor di query v2 sono associate a un utente o un ruolo IAM. Consigliamo di collegare le policy a un ruolo IAM e di assegnare il ruolo a un utente.

Nell'editor di query v2, è possibile aggiungere e rimuovere tag per query e grafici salvati. È possibile utilizzare questi tag quando si impostano criteri IAM personalizzati o per cercare risorse. Puoi anche gestire i tag utilizzando il AWS Resource Groups Tag Editor.

Puoi configurare i ruoli IAM con le policy IAM per condividere le query con altri membri del Regione AWS tuo stesso account Account AWS in.

## Creazione di una chiave gestita dal AWS KMS cliente da utilizzare con Query Editor v2
<a name="query-editor-v2-kms-key"></a>

**Per creare una chiave di crittografia simmetrica gestita dal cliente**:

È possibile creare una chiave di crittografia simmetrica gestita dal cliente per crittografare le risorse dell'editor di query v2 utilizzando le operazioni della AWS KMS console o dell'API. AWS KMS *Per istruzioni sulla creazione di una chiave, consulta [Creazione di una chiave di crittografia AWS KMS simmetrica](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella Guida per gli sviluppatori.AWS Key Management Service *

**Policy della chiave**

Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta [Gestire l'accesso alle AWS KMS chiavi nella Guida per](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) gli *AWS Key Management Service sviluppatori*. 

Per utilizzare la chiave gestita dal cliente con Amazon Redshift query editor v2, è necessario che le seguenti operazioni API siano consentite nella policy chiave: 
+ `kms:GenerateDataKey` — Genera una chiave dati simmetrica univoca per crittografare i tuoi dati.
+ `kms:Decrypt` — Decritta i dati crittografati con la chiave gestita dal cliente.
+ `kms:DescribeKey` — Fornisce i dettagli della chiave gestiti dal cliente per consentire al servizio di convalidare la chiave. 

Di seguito è riportato un esempio di AWS KMS politica per Account AWS `111122223333`. Nella prima sezione, il `kms:ViaService` limita l'uso della chiave al servizio dell'editor di query v2 (che è denominato `sqlworkbench.{{region}}.amazonaws.com` nella policy). L' Account AWS utilizzo della chiave deve essere`111122223333`. Nella seconda sezione, l'utente root e gli amministratori chiave di Account AWS `111122223333` possono accedere alla chiave.

 Quando si crea una Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "key-consolepolicy",
    "Statement": [
        {
            "Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "sqlworkbench.{{us-east-1}}.amazonaws.com",
                    "kms:CallerAccount": "{{111122223333}}"
                }
            }
        },
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:root"
            },
            "Action": [
                "kms:*"
            ],
            "Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/key_ID"
        }
    ]
}
```

------

Le seguenti risorse forniscono ulteriori informazioni sulle AWS KMS chiavi:
+ Per ulteriori informazioni sulle AWS KMS politiche, vedere [Specificare le autorizzazioni in una politica nella Guida](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements) per gli *AWS Key Management Service sviluppatori*. 
+ Per informazioni sulla risoluzione dei problemi relativi alle AWS KMS politiche, consulta [Risoluzione dei problemi di accesso tramite chiave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam) nella Guida per gli *AWS Key Management Service sviluppatori*. 
+ Per ulteriori informazioni sulle chiavi, consultare [Chiavi KMS AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) nella *Guida per gli sviluppatori di AWS Key Management Service *.

## Accesso all'editor di query v2
<a name="query-editor-v2-configure"></a>

Per accedere all'editor di query v2, sono necessarie le opportune autorizzazioni. Un amministratore può allegare una delle seguenti politiche AWS gestite al ruolo per concedere l'autorizzazione. Consigliamo di collegare le policy a un ruolo IAM e di assegnare il ruolo a un utente. Queste politiche AWS gestite sono scritte con diverse opzioni che controllano il modo in cui l'etichettatura delle risorse consente la condivisione delle query. Puoi utilizzare la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) per allegare le policy IAM. 
+ **AmazonRedshiftQueryEditorV2 FullAccess** — Garantisce l'accesso completo alle operazioni e alle risorse dell'editor di query Amazon Redshift v2. Questa policy inoltre garantisce l'accesso ad altri servizi richiesti.
+ **AmazonRedshiftQueryEditorV2 NoSharing**: consente di lavorare con Amazon Redshift Query Editor v2 senza condividere risorse. Questa policy inoltre garantisce l'accesso ad altri servizi richiesti. 
+ **AmazonRedshiftQueryEditorV2 ReadSharing** — Garantisce la possibilità di lavorare con Amazon Redshift Query Editor v2 con una condivisione limitata delle risorse. Il principale concesso può leggere le risorse condivise con il suo team ma non può aggiornarle. Questa policy inoltre garantisce l'accesso ad altri servizi richiesti. 
+ **AmazonRedshiftQueryEditorV2 ReadWriteSharing** — Garantisce la possibilità di lavorare con Amazon Redshift Query Editor v2 con condivisione di risorse. Il principale concesso può leggere e aggiornare le risorse condivise con il suo team. Questa policy inoltre garantisce l'accesso ad altri servizi richiesti. 

Puoi anche creare una policy in base alle autorizzazioni consentite e negate nelle policy gestite fornite. Se si utilizza l'editor policy della console IAM per creare le proprie policy, scegliere**SQL Workbench** come servizio per il quale si crea la policy nell'editor visivo. L'editor di query v2 utilizza il nome del servizio SQL Workbench di AWS nell'editor visivo e nel simulatore di policy IAM. 

Affinché un principale (un utente con un ruolo IAM assegnato) si connetta a un cluster di Amazon Redshift, deve disporre delle autorizzazioni in una delle policy gestite dell'editor di query v2. Inoltre, hanno bisogno di una delle `redshift:GetClusterCredentials` autorizzazioni `redshift:GetClusterCredentialsWithIAM` o di accesso al cluster. Per ottenere questa autorizzazione, un utente con autorizzazione amministrativa può collegare una policy ai ruoli IAM utilizzati per la connessione al cluster utilizzando le credenziali temporanee. È possibile assegnare la policy a cluster specifici o essere più generici. Per ulteriori informazioni sull'autorizzazione all'uso di credenziali temporanee, consulta [Creare un ruolo o un utente IAM con autorizzazioni per chiamare GetClusterCredentialsWith IAM](generating-iam-credentials-steps.md#generating-iam-credentials-role-permissions) o. GetClusterCredentials 

Affinché un principale (un utente IAM con un ruolo IAM assegnato) attivi la possibilità nella pagina **Impostazioni dell'account** per altri nell'account impostando **Esporta set di risultati**, ha bisogno dell'autorizzazione `sqlworkbench:UpdateAccountExportSettings` collegata al ruolo. Questa autorizzazione è inclusa nella politica `AmazonRedshiftQueryEditorV2FullAccess` AWS gestita.

Man mano che vengono aggiunte nuove funzionalità all'editor di query v2, le politiche AWS gestite vengono aggiornate in base alle esigenze. Se crei policy in base alle autorizzazioni consentite e negate nelle policy gestite fornite, assicurati di includere nelle tue policy le modifiche apportate alle policy gestite. Per ulteriori informazioni sulle policy gestite in Amazon Redshift, consultare [AWS politiche gestite per Amazon Redshift](redshift-iam-access-control-identity-based.md#redshift-policy-resources.managed-policies).

Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:

  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:

  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
  + Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
  + (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.

**Nota**  
Se un AWS IAM Identity Center amministratore rimuove tutte le associazioni di set di autorizzazioni per un determinato set di autorizzazioni nell'intero account, l'accesso a tutte le risorse dell'editor di query originariamente associate al set di autorizzazioni rimosso non è più accessibile. Se in seguito vengono ricreate le stesse autorizzazioni, viene creato un nuovo identificatore interno. Poiché l'identificatore interno è cambiato, non è possibile accedere alle risorse dell'editor di query precedentemente di proprietà di un utente. Prima che gli amministratori eliminino un set di autorizzazioni, si consiglia agli utenti di tale set di autorizzazioni di esportare in un backup le risorse dell'editor di query, ad esempio notebook e query.

## Configurazione dei tag principali per la connessione a un cluster o un gruppo di lavoro dall'editor di query v2
<a name="query-editor-v2-principal-tags-iam"></a>

Per connettersi al cluster o al gruppo di lavoro utilizzando l'opzione utente federato, imposta l'utente o il ruolo IAM con i tag principali. In alternativa, configura il gestore dell'identità digitale (IdP) per passare in `RedshiftDbUser` e (facoltativamente) in `RedshiftDbGroups`. Per ulteriori informazioni sull'utilizzo di IAM per gestire i tag, consulta [Passare i tag di sessione in AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) nella *Guida per l'utente IAM*. Per configurare l'accesso utilizzando AWS Identity and Access Management, un amministratore può aggiungere tag utilizzando la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)). 

**Come aggiungere tag principali a un ruolo IAM**

1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel riquadro di navigazione scegliere **Roles (Ruoli)**.

1. Scegli il ruolo che deve accedere all'editor di query v2 utilizzando un utente federato.

1. Selezionare la scheda **Tag**.

1. Scegliere **Manage tags** (Gestisci tag). 

1. Scegli **Aggiungi tag**, inserisci la **Chiave** come `RedshiftDbUser` e inserisci un **Valore** del nome utente federato.

1. Facoltativamente scegli **Aggiungi tag**, inserisci la **Chiave** come `RedshiftDbGroups` e inserisci un **Valore** del nome del gruppo da associare all’utente.

1. Scegli **Save changes** (Salva le modifiche) per visualizzare l'elenco dei tag associati al ruolo IAM scelto. La propagazione delle modifiche potrebbe richiedere alcuni secondi.

1. Per utilizzare l'utente federato, aggiorna la pagina dell'editor di query v2 dopo la propagazione delle modifiche.

**Configurazione del gestore dell'identità digitale (IdP) per passare i tag principali**  
La procedura per configurare i tag utilizzando un gestore dell'identità digitale (IdP) varia in base all'IdP. Consulta la documentazione IdP per istruzioni su come trasferire le informazioni di utente e gruppo agli attributi SAML. Se configurati correttamente, i seguenti attributi vengono visualizzati nella risposta SAML che viene utilizzata da AWS Security Token Service per compilare i tag principali per `RedshiftDbUser` e. `RedshiftDbGroups` 

```
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbUser">
    <AttributeValue>{{db-user-name}}</AttributeValue>
</Attribute>
<Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:RedshiftDbGroups">
    <AttributeValue>{{db-groups}}</AttributeValue>
</Attribute>
```

 L'opzione {{db\_groups}} deve essere un elenco separato da due punti, ad esempio. `group1:group2:group3`

Inoltre, è possibile impostare l'opzione `TransitiveTagKeys` per conservare i tag durante il concatenamento dei ruoli.

```
<Attribute Name="https://aws.amazon.com/SAML/Attributes/TransitiveTagKeys">
  <AttributeValue>RedshiftDbUser</AttributeValue>
  <AttributeValue>RedshiftDbGroups</AttributeValue>
</Attribute>
```

Per ulteriori informazioni su come impostare l'editor di query v2, consulta [Autorizzazioni necessarie per utilizzare l'editor della query v2](redshift-iam-access-control-identity-based.md#redshift-policy-resources.required-permissions.query-editor-v2).

Per informazioni su come configurare Active Directory Federation Services (AD FS), consulta il post del blog: [Federate access to Amazon Redshift query editor v2 with Active Directory Federation Services (AD FS)](https://aws.amazon.com/blogs//big-data/federate-access-to-amazon-redshift-query-editor-v2-with-active-directory-federation-services-ad-fs-part-3/) (Federazione dell'accesso all'editor di query v2 di Amazon Redshift con Active Directory Federation Services [AD FS]). 

Per informazioni su come configurare Okta, consulta il post del blog: [Federate single sign-on access to Amazon Redshift query editor v2 with Okta](https://aws.amazon.com/blogs//big-data/federate-single-sign-on-access-to-amazon-redshift-query-editor-v2-with-okta/) (Federazione dell'accesso Single Sign-On all'editor di query v2 di Amazon Redshift con Okta). 

**Nota**  
Quando ti connetti al cluster o al gruppo di lavoro utilizzando l'opzione di connessione **Utente federato** dell'editor di query v2, il gestore dell'identità digitale può fornire tag principali personalizzati per `RedshiftDbUser` e `RedshiftDbGroups`. Attualmente, AWS IAM Identity Center non supporta il passaggio di tag principali personalizzati direttamente all'editor di query v2.