Amazon Redshift Query Editor V2 で信頼できる ID の伝播を設定する - AWS IAM Identity Center
前提条件IAM アイデンティティセンター管理者が実行するタスクAmazon Redshift 管理者が実行するタスク

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Redshift Query Editor V2 で信頼できる ID の伝播を設定する

次の手順では、Amazon Redshift Query Editor V2 から Amazon Redshift への信頼できる ID の伝播を実現する方法について説明します。

前提条件

このチュートリアルを開始する前に、以下を設定する必要があります。

  1. IAM アイデンティティセンターを有効にします組織インスタンスが推奨されます。詳細については、「前提条件と考慮事項」を参照してください。

  2. ID のソースから IAM アイデンティティセンターにユーザーとグループをプロビジョニングします

信頼できる ID 伝播を有効にするには、IAM アイデンティティセンターコンソールで IAM アイデンティティセンターコンソール 管理者が実行するタスクと、Amazon Redshift コンソールで Amazon Redshift 管理者が実行するタスクが含まれます。

IAM アイデンティティセンター管理者が実行するタスク

IAM アイデンティティセンター管理者が次のタスクを完了する必要があります。

  1. Amazon Redshift クラスターまたは Serverless インスタンスが存在するアカウントに、次のアクセス許可ポリシーを使用して IAM ロールを作成します。詳細については、「IAM ロールの作成」を参照してください。

    1. 次のポリシーの例には、このチュートリアルを完了するために必要なアクセス許可が含まれています。このポリシーを使用するには、サンプルポリシーのイタリック体のプレースホルダーテキストを独自の情報に置き換えます。その他の手順については、「ポリシーの作成」または「ポリシーの編集」を参照してください。

      アクセス許可ポリシー:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRedshiftApplication",
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeQev2IdcApplications",
                "redshift-serverless:ListNamespaces",
                "redshift-serverless:ListWorkgroups",
                "redshift-serverless:GetWorkgroup"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIDCPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeApplication",
                "sso:DescribeInstance"
            ],
            "Resource": [
                "arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
                "arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
            ]
        }
    ]
}
      表示を増やす表示を減らす

      信頼ポリシー:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "redshift-serverless.amazonaws.com",
                    "redshift.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}
      表示を増やす表示を減らす
    表示を増やす表示を減らす

  2. IAM アイデンティティセンターが有効になっている AWS Organizations 管理アカウントに許可セットを作成します。次のステップでこれを使用して、フェデレーティッドユーザーが Redshift クエリエディタ V2 にアクセスできるようにします。

    1. IAM アイデンティティセンターコンソールに移動し、 [マルチアカウント許可] で、[アクセス許可セット] を選択します。

    2. [Create permission set] (アクセス許可セットの作成) を選択します。

    3. [カスタムアクセス許可セット] を選択し、[次へ] を選択します。

    4. [AWS 管理ポリシー] で、AmazonRedshiftQueryEditorV2ReadSharing を選択します。

    5. [インラインポリシー] で、次のポリシーを追加します。

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeQev2IdcApplications",
                "redshift-serverless:ListNamespaces",
                "redshift-serverless:ListWorkgroups",
                "redshift-serverless:GetWorkgroup"
            ],
            "Resource": "*"
        }
    ]
}
      表示を増やす表示を減らす

    6. [次へ] を選択し、アクセス許可セット名の名前を指定します。例えば、Redshift-Query-Editor-V2

    7. [リレー状態 – オプション] で、https://your-region.console.aws.amazon.com/sqlworkbench/home の形式を使用して、デフォルトのリレー状態をクエリエディタ V2 URL に設定します。

    8. 設定を確認し、[作成] を選択します。

    9. IAM アイデンティティセンターダッシュボードに移動し、[概要の設定] セクションから AWS アクセスポータル URL をコピーします。

      ステップ i、IAM Identity Center コンソールから AWS アクセスポータル URL をコピーします。

    10. 新しいシークレットブラウザウィンドウを開き、URL を貼り付けます。

      これにより、 AWS アクセスポータルに移動し、IAM Identity Center ユーザーでサインインしていることを確認できます。

      ステップ j、ポータルにアクセスするためにサインイン AWS します。

      アクセス許可セットの詳細については、「アクセス許可セット AWS アカウント を使用して を管理する」を参照してください。

    表示を増やす表示を減らす

  3. Redshift クエリエディタ V2 へのフェデレーティッドユーザーのアクセスを有効にします

    1. AWS Organizations 管理アカウントで、IAM Identity Center コンソールを開きます。

    2. ナビゲーションペインの [マルチアカウント権限] で、AWS アカウント を選択します。

    3. AWS アカウント ページで、アクセスを割り当てる AWS アカウント を選択します。

    4. ユーザーまたはグループを割り当て」を選択します。

    5. [ユーザーとグループの割り当て] ページで、アクセス許可セットを作成するユーザーまたはグループを選択します。次に、[次へ] を選択します。

    6. [アクセス許可セットの割り当て] ページで、前のステップで作成したアクセス許可セットを選択します。次に、[次へ] を選択します。

    7. [割り当てを確認と送信] ページで選択内容を確認し、[送信] を選択します。

    表示を増やす表示を減らす

Amazon Redshift 管理者が実行するタスク

Amazon Redshift への信頼できる ID の伝播を有効にするには、Amazon Redshift クラスター管理者または Amazon Redshift Serverless 管理者が Amazon Redshift コンソールで多数のタスクを実行する必要があります。詳細については、 AWS ビッグデータブログ「Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using IAM Identity Center for seamless Single Sign-On」を参照してください。