기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Quick Sight에서 Amazon Redshift 클러스터로의 연결 권한 부여
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| 대상: 시스템 관리자 |
신뢰할 수 있는 ID 전파, IAM 역할로 실행 또는 Amazon Redshift 데이터베이스 자격 증명의 세 가지 인증 방법을 사용하여 Amazon Redshift 데이터에 대한 액세스 권한을 제공할 수 있습니다.
신뢰할 수 있는 ID 전파를 사용하면 IAM Identity Center에서 관리하는 Single Sign-On을 통해 사용자 ID가 Amazon Redshift로 전달됩니다. Amazon Quick Sight의 대시보드에 액세스하는 사용자는 자격 증명이 Amazon Redshift로 전파됩니다. Amazon Redshift에서는 데이터가 Amazon Quick Suite 자산에 사용자에게 표시되기 전에 세분화된 데이터 권한이 데이터에 적용됩니다. Amazon Quick Suite 작성자는 암호 입력 또는 IAM 역할 없이 Amazon Redshift 데이터 소스에 연결할 수도 있습니다. Amazon Redshift Spectrum을 사용하는 경우 모든 권한 관리는 Amazon Redshift에서 중앙 집중화됩니다. 신뢰할 수 있는 자격 증명 전파는 Amazon Quick Suite와 Amazon Redshift가 IAM Identity Center의 동일한 조직 인스턴스를 사용할 때 지원됩니다. 신뢰할 수 있는 ID 전파는 현재 다음 기능에 대해 지원되지 않습니다.
-
SPICE 데이터세트
-
데이터 소스의 사용자 지정 SQL
-
알림
-
이메일 보고서
-
Amazon Quick Suite Q
-
CSV, Excel 및 PDF 내보내기
-
이상 탐지
Amazon Quick Suite를 Amazon Redshift 인스턴스에 연결하려면 해당 인스턴스에 대한 새 보안 그룹을 생성해야 합니다. 이 보안 그룹에는 Amazon Quick Suite 서버의 적절한 IP 주소 범위에서 액세스를 승인하는 인바운드 규칙이 포함되어 있습니다 AWS 리전. Amazon Quick Suite 연결 권한 부여에 대한 자세한 내용은 VPC에서 Amazon Redshift 클러스터에 대한 수동 액세스 활성화를 참조하세요.
Amazon Quick Suite 서버에서 클러스터로의 연결을 활성화하는 것은 AWS 데이터베이스 데이터 소스를 기반으로 데이터 세트를 생성하기 위한 몇 가지 사전 조건 중 하나일 뿐입니다. 필요한 항목에 대한 자세한 내용은 데이터베이스에서 데이터 세트 생성을 참조하세요.
주제
Amazon Redshift를 사용하여 신뢰할 수 있는 ID 전파 활성화
신뢰할 수 있는 ID 전파는 신뢰할 수 있는 ID 전파가 활성화된 데이터 소스를 활용하는 Amazon Quick Suite 자산에 액세스할 때 Amazon Redshift의 최종 사용자를 인증합니다. 작성자가 신뢰할 수 있는 자격 증명 전파로 데이터 소스를 생성하면 Amazon Quick Sight에 있는 데이터 소스 소비자의 자격 증명이 전파되고 CloudTrail에 로깅됩니다. 이를 통해 데이터베이스 관리자는 Amazon Redshift에서 데이터 보안을 중앙에서 관리하고 Amazon Quick Suite의 데이터 소비자에게 모든 데이터 보안 규칙을 자동으로 적용할 수 있습니다. 다른 인증 방법을 사용하면 데이터 소스를 생성한 작성자의 데이터 권한이 모든 데이터 소스 소비자에게 적용됩니다. 데이터 소스 작성자는 Amazon Quick Sight에서 생성하는 데이터 소스에 추가 행 및 열 수준 보안을 적용하도록 선택할 수 있습니다.
신뢰할 수 있는 ID 전파 데이터 소스는 Direct Query 데이터세트에서만 지원됩니다. SPICE 데이터세트는 현재 신뢰할 수 있는 ID 전파를 지원하지 않습니다.
사전 조건
시작하기 전에 필요한 모든 사전 조건이 준비되었는지 확인하세요.
-
신뢰할 수 있는 자격 증명 전파는 IAM Identity Center와 통합된 Amazon Quick Suite 계정에서만 지원됩니다. 자세한 내용은 IAM Identity Center를 사용하여 Amazon Quick Suite 계정 구성을 참조하세요.
-
IAM Identity Center와 통합된 Amazon Redshift 애플리케이션입니다. 사용하는 Amazon Redshift 클러스터는 사용하려는 Amazon Quick Suite 계정 AWS Organizations 과 동일한의 조직에 있어야 합니다. 또한 클러스터는 Amazon Quick Suite 계정이 구성된 것과 동일한 IAM Identity Center의 조직 인스턴스로 구성되어야 합니다. Amazon Redshift 클러스터 구성에 대한 자세한 정보는 IAM Identity Center 통합을 참조하세요.
Amazon Quick Sight에서 신뢰할 수 있는 자격 증명 전파 활성화
신뢰할 수 있는 자격 증명 전파를 사용하여 Amazon Redshift 데이터 소스에 연결하도록 Amazon Quick Sight를 구성하려면 Amazon Quick Suite 계정에 Amazon Redshift OAuth 범위를 구성합니다.
Amazon Quick Suite가 Amazon Redshift로의 자격 증명 전파를 승인하도록 허용하는 범위를 추가하려면이 경우 Amazon Quick Suite 계정의 AWS 계정 ID와 자격 증명 전파를 승인할 서비스를 지정합니다'REDSHIFT'.
Amazon Quick Suite가 사용자 자격 증명을 전파하도록 승인하는 Amazon Redshift 클러스터의 IAM Identity Center 애플리케이션 ARN을 지정합니다. 이 정보는 Amazon Redshift 콘솔에서 확인할 수 있습니다. Amazon Redshift 범위에 대해 승인된 대상을 지정하지 않으면 Amazon Quick Suite는 동일한 IAM Identity Center 인스턴스를 공유하는 모든 Amazon Redshift 클러스터의 사용자에게 권한을 부여합니다. 아래 예제에서는 신뢰할 수 있는 자격 증명 전파를 사용하여 Amazon Redshift 데이터 소스에 연결하도록 Amazon Quick Suite를 구성합니다.
aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"
다음 예시에서는 Amazon Quick Suite 계정에서 OAuth 범위를 삭제합니다.
aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::"arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXXXXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"
다음 예시에서는 현재 Amazon Quick Suite 계정에 있는 모든 OAuth 범위를 나열합니다.
aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"
신뢰할 수 있는 ID 전파를 사용하여 Amazon Redshift에 연결
아래 절차에 따라 Amazon Redshift 신뢰할 수 있는 ID 전파에 연결합니다.
신뢰할 수 있는 ID 전파를 사용하여 Amazon Redshift에 연결
-
Amazon Quick Suite에서 새 데이터 세트를 생성합니다. 데이터 세트 생성에 대한 자세한 내용은 데이터 세트 생성을 참조하세요.
-
새 데이터세트의 데이터 소스로 Amazon Redshift를 선택합니다.
참고
기존 데이터 소스의 인증 유형은 신뢰할 수 있는 ID 전파로 변경할 수 없습니다.
-
IAM Identity Center를 데이터 소스의 ID 옵션으로 선택한 다음 데이터 소스 생성을 선택합니다.
VPC에서 Amazon Redshift 클러스터에 대한 액세스를 수동으로 활성화
| 적용 대상: Enterprise Edition |
다음 절차에 따라 VPC의 Amazon Redshift 클러스터에 대한 Amazon Quick Sight 액세스를 활성화합니다.
VPC의 Amazon Redshift 클러스터에 대한 Amazon Quick Sight 액세스를 활성화하려면
에 로그인 AWS Management 콘솔 하고 https://console.aws.amazon.com/redshiftv2/
Amazon Redshift 콘솔을 엽니다. -
Amazon Quick Suite에서 사용할 수 있게 하려는 클러스터로 이동합니다.
-
클러스터 속성 섹션에서 포트를 찾습니다. [Port] 값을 기록해 둡니다.
-
클러스터 속성 섹션에서 VPC ID를 찾아서 VPC ID 값을 기록해 둡니다. VPC ID를 선택하여 Amazon VPC 콘솔을 엽니다.
-
Amazon VPC 콘솔의 탐색 창에서 보안 그룹을 선택합니다.
-
보안 그룹 생성을 선택합니다.
-
[Create Security Group] 페이지에서 다음과 같이 보안 그룹 정보를 입력합니다.
-
보안 그룹 이름(Security group name)에
redshift-security-group를 입력합니다. -
설명(Description)에
redshift-security-group를 입력합니다. -
VPC에서 Amazon Redshift 클러스터용 VPC를 선택합니다. 이 VPC는 기록해 둔 VPC ID가 포함되어 있습니다.
-
-
보안 그룹 생성을 선택합니다.
새로운 보안 그룹이 화면에 표시되어야 합니다.
-
다음 속성을 사용하여 두 번째 보안 그룹을 생성합니다.
-
보안 그룹 이름(Security group name)에
quicksight-security-group를 입력합니다. -
설명(Description)에
quicksight-security-group를 입력합니다. -
VPC에서 Amazon Redshift 클러스터용 VPC를 선택합니다. 이 VPC는 기록해 둔 VPC ID가 포함되어 있습니다.
-
-
보안 그룹 생성을 선택합니다.
-
새 보안 그룹을 생성한 후 새 그룹에 대한 인바운드 규칙을 생성합니다.
새
redshift-security-group보안 그룹을 선택하고 다음 값을 입력합니다.-
유형에서 Amazon Redshift를 선택합니다.
-
프로토콜에서 TCP를 선택합니다.
-
포트 범위에 액세스를 제공하고 있는 Amazon Redshift 클러스터의 포트 번호를 입력합니다. 이 번호는 이전 단계에서 적어둔 포트 번호입니다.
-
소스에
quicksight-security-group의 보안 그룹 ID를 입력합니다.
-
-
규칙 저장을 선택하여 새로운 인바운드 규칙을 저장합니다.
-
quicksight-security-group에 대해 이전 단계를 반복하고 다음 값을 입력합니다.-
유형(Type)에서 모든 트래픽(All traffic)을 선택합니다.
-
프로토콜에서 모두를 선택합니다.
-
포트 범위에서 모두를 선택합니다.
-
소스에
redshift-security-group의 보안 그룹 ID를 입력합니다.
-
-
규칙 저장을 선택하여 새로운 인바운드 규칙을 저장합니다.
-
Amazon Quick Suite에서 Amazon Quick Suite 관리 메뉴로 이동합니다.
-
VPC 연결 관리를 선택한 다음 VPC 연결 추가를 선택합니다.
-
다음 값으로 새 VPC 연결을 구성합니다.
-
VPC 연결 이름에서 VPC 연결의 의미 있는 이름을 선택합니다.
-
VPC ID에서 Amazon Redshift 클러스터가 있는 VPC를 선택합니다.
-
서브넷 ID에서 Amazon Redshift에 사용되는 가용 영역(AZ)의 서브넷을 선택합니다.
-
보안 그룹 ID에
quicksight-security-group의 보안 그룹 ID를 복사하여 붙여넣습니다.
-
-
생성(Create)을 선택합니다. 새 VPC를 생성하는 데 몇 분 정도 걸릴 수 있습니다.
-
Amazon Redshift 콘솔에서
redshift-security-group이 구성된 Amazon Redshift 클러스터로 이동합니다. 속성을 선택하고 네트워크 및 보안 설정 아래에 보안 그룹의 이름을 입력합니다. -
Amazon Quick Suite에서 데이터 세트를 선택한 다음 새 데이터 세트를 선택합니다. 다음 값으로 새 데이터세트를 생성합니다.
-
데이터 소스 에서 Amazon Redshift 자동 감지를 선택합니다.
-
데이터 소스에 의미 있는 이름을 지정합니다.
-
인스턴스 ID는 Amazon Quick Suite에서 생성한 VPC 연결로 자동으로 채워집니다. 인스턴스 ID가 자동으로 채워지지 않으면 드롭다운 목록에서 생성한 VPC를 선택합니다.
-
데이터베이스 자격 증명을 입력합니다. Amazon Quick Suite 계정에서 신뢰할 수 있는 자격 증명 전파를 사용하는 경우 Single Sign-On을 선택합니다.
-
-
연결이 확인되면 데이터 소스 생성을 선택합니다.
기본 아웃바운드 규칙을 추가로 제한하려면 Amazon Redshift 트래픽만 redshift-security-group으로 허용하도록 quicksight-security-group의 아웃바운드 규칙을 업데이트합니다. redshift-security-group에 있는 아웃바운드 규칙을 삭제할 수도 있습니다.
Amazon Redshift Spectrum 에 대한 액세스 활성화
Amazon Redshift Spectrum을 사용하면 Amazon Redshift를 사용하여 Amazon Quick Suite를 외부 카탈로그에 연결할 수 있습니다. 예를 들어 Amazon Athena 카탈로그에 액세스할 수 있습니다. 그런 다음 Athena 쿼리 엔진 대신 Amazon Redshift 클러스터를 사용하여 Amazon S3 데이터 레이크의 비정형 데이터를 쿼리할 수 있습니다.
Amazon Redshift 및 S3에 저장된 데이터를 포함하는 데이터 세트를 결합할 수도 있습니다. 그런 다음 Amazon Redshift의 SQL 구문을 사용하여 데이터 세트에 액세스할 수 있습니다.
데이터 카탈로그(Athena용) 또는 외부 스키마(Hive 메타스토어
Amazon Redshift Spectrum 사용에 대한 자세한 내용은 Amazon Redshift 데이터베이스 개발자 안내서의 Amazon Redshift Spectrum을 사용한 외부 데이터 쿼리를 참조하십시오.
Redshift Spectrum을 사용하여 연결하려면 다음과 같이 하십시오.
-
Amazon Redshift 클러스터와 연결된 IAM 역할을 생성하거나 식별합니다.
-
IAM 정책
AmazonS3ReadOnlyAccess및AmazonAthenaFullAccess를 IAM 역할에 추가합니다. -
사용하려는 테이블에 대한 외부 스키마 또는 데이터 카탈로그를 등록합니다.
Redshift Spectrum을 사용하면 스토리지와 컴퓨팅을 분리할 수 있어 별도로 확장할 수 있습니다. 실행하는 쿼리에 대해서만 요금을 지불하면 됩니다.
Redshift Spectrum 테이블에 연결하려면 Amazon S3 또는 Athena에 대한 Amazon Quick Suite 액세스 권한을 부여할 필요가 없습니다. Amazon Quick Suite는 Amazon Redshift 클러스터에만 액세스할 수 있어야 합니다. Redshift 스펙트럼 구성에 대한 자세한 내용은 Amazon Redshift 데이터베이스 개발자 안내서의 Amazon Redshift Spectrum 시작하기를 참조하십시오.
