Autorizando conexões do Amazon Quick Sight para clusters do Amazon Redshift - Amazon Quick Suite
Habilitando a propagação de identidade confiávelHabilitando o acesso a um cluster do Amazon Redshift em uma VPCHabilitando o acesso ao Redshift Spectrum

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autorizando conexões do Amazon Quick Sight para clusters do Amazon Redshift

   Aplica-se a: Enterprise Edition e Standard Edition 
   Público-alvo: administradores de sistemas 

É possível conceder acesso aos dados do Amazon Redshift por meio de três métodos de autenticação: propagação de identidade confiável, perfil do IAM “execução como” ou credenciais do banco de dados do Amazon Redshift.

Com a propagação de identidade confiável, a identidade de um usuário é fornecida para o Amazon Redshift com uma autenticação única gerenciada pelo Centro de Identidade do IAM. Um usuário que acessa um painel no Amazon Quick Sight tem sua identidade propagada para o Amazon Redshift. No Amazon Redshift, permissões de dados refinadas são aplicadas aos dados antes que eles sejam apresentados ao usuário em um ativo do Amazon Quick Suite. Os autores do Amazon Quick Suite também podem se conectar às fontes de dados do Amazon Redshift sem uma entrada de senha ou função do IAM. Se o Amazon Redshift Spectrum for usado, todo o gerenciamento de permissões é realizado de forma centralizada no Amazon Redshift. A propagação de identidade confiável é suportada quando o Amazon Quick Suite e o Amazon Redshift usam a mesma instância organizacional do IAM Identity Center. No momento, a propagação de identidade confiável não é compatível com os recursos apresentados a seguir.

  • Conjuntos de dados do SPICE

  • SQL personalizado em fontes de dados

  • Alertas

  • Relatórios por e-mail

  • Amazon Quick Suite Q

  • Exportações nos formatos CSV, Excel e PDF

  • Detecção de anomalias

Para que o Amazon Quick Suite se conecte a uma instância do Amazon Redshift, você deve criar um novo grupo de segurança para essa instância. Esse grupo de segurança contém uma regra de entrada que autoriza o acesso a partir do intervalo de endereços IP apropriado para os servidores do Amazon Quick Suite. Região da AWS Para saber mais sobre como autorizar conexões do Amazon Quick Suite, consulte Habilitar manualmente o acesso a um cluster do Amazon Redshift em uma VPC.

Habilitar a conexão dos servidores do Amazon Quick Suite com seu cluster é apenas um dos vários pré-requisitos para criar um conjunto de dados com base em uma fonte de dados de AWS banco de dados. Para obter mais informações sobre o que é necessário, consulte Criação de um conjunto de dados a partir de um banco de dados.

Como habilitar a propagação de identidade confiável com o Amazon Redshift

A propagação de identidade confiável autentica o usuário final no Amazon Redshift quando ele acessa ativos do Amazon Quick Suite que utilizam uma fonte de dados confiável habilitada para propagação de identidade. Quando um autor cria uma fonte de dados com propagação de identidade confiável, a identidade dos consumidores da fonte de dados no Amazon Quick Sight é propagada e conectada. CloudTrail Isso permite que os administradores de banco de dados gerenciem centralmente a segurança dos dados no Amazon Redshift e apliquem automaticamente todas as regras de segurança de dados aos consumidores de dados no Amazon Quick Suite. Com outros métodos de autenticação, as permissões de dados do autor que criou a fonte de dados são aplicadas a todos os usuários que consomem dados usando a fonte de dados. O autor da fonte de dados pode optar por aplicar segurança adicional em nível de linha e coluna às fontes de dados que eles criam no Amazon Quick Sight.

As fontes de dados com propagação de identidade confiável são compatíveis somente com conjuntos de dados do tipo Direct Query. Os conjuntos de dados do SPICE não oferecem suporte à propagação de identidade confiável no momento.

Pré-requisitos

Antes de começar a usar, certifique-se de que você tenha cumprido todos os pré-requisitos necessários.

  • A propagação de identidade confiável só é compatível com contas do Amazon Quick Suite integradas ao IAM Identity Center. Para obter mais informações, consulte Configurar sua conta do Amazon Quick Suite com o IAM Identity Center.

  • Uma aplicação do Amazon Redshift integrada ao Centro de Identidade do IAM. O cluster do Amazon Redshift que você usa deve estar na mesma organização da conta do Amazon Quick Suite que você deseja usar. AWS Organizations O cluster também deve ser configurado com a mesma instância organizacional no IAM Identity Center para a qual sua conta do Amazon Quick Suite está configurada. Para obter mais informações sobre como configurar um cluster do Amazon Redshift, consulte Integrating IAM Identity Center.

Habilitando a propagação de identidade confiável no Amazon Quick Sight

Para configurar o Amazon Quick Sight para se conectar às fontes de dados do Amazon Redshift com propagação de identidade confiável, configure os escopos do Amazon Redshift em sua conta do Amazon Quick OAuth Suite.

Para adicionar um escopo que permita que o Amazon Quick Suite autorize a propagação de identidade para o Amazon Redshift, especifique Conta da AWS o ID da conta do Amazon Quick Suite e o serviço com o qual você deseja autorizar a propagação de identidade, nesse caso. 'REDSHIFT'

Especifique o ARN do aplicativo IAM Identity Center do cluster Amazon Redshift para o qual você está autorizando o Amazon Quick Suite a propagar identidades de usuário. Essas informações podem ser encontradas no console do Amazon Redshift. Se você não especificar destinos autorizados para o escopo do Amazon Redshift, o Amazon Quick Suite autoriza usuários de qualquer cluster do Amazon Redshift que compartilhe a mesma instância do IAM Identity Center. O exemplo abaixo configura o Amazon Quick Suite para se conectar às fontes de dados do Amazon Redshift com propagação de identidade confiável.

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

O exemplo a seguir exclui OAuth escopos de uma conta do Amazon Quick Suite.

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

O exemplo a seguir lista todos os OAuth escopos que estão atualmente em uma conta do Amazon Quick Suite.

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

Conexão com o Amazon Redshift com propagação de identidade confiável

Use o procedimento apresentado abaixo para estabelecer conexão com a propagação de identidade confiável do Amazon Redshift.

Para estabelecer conexão com o Amazon Redshift com propagação de identidade confiável

  1. Crie um novo conjunto de dados no Amazon Quick Suite. Para obter mais informações sobre a criação de um conjunto de dados, consulte Criação de conjuntos de dados.

  2. Escolha o Amazon Redshift como a fonte de dados para o novo conjunto de dados.

    nota

    O tipo de autenticação de uma fonte de dados existente não pode ser alterado para a propagação de identidade confiável.

  3. Selecione o Centro de Identidade do IAM como a opção de identidade para a fonte de dados e, em seguida, escolha Criar fonte de dados.

Habilitar manualmente o acesso a um cluster do Amazon Redshift em uma VPC

 Aplica-se a: Enterprise Edition 

Use o procedimento a seguir para permitir que o Amazon Quick Sight acesse um cluster do Amazon Redshift em uma VPC.

Para permitir que o Amazon Quick Sight acesse um cluster do Amazon Redshift em uma VPC

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon Redshift em. https://console.aws.amazon.com/redshiftv2/

  2. Navegue até o cluster que você deseja disponibilizar no Amazon Quick Suite.

  3. Na seção Propriedades do cluster, localize Porta. Anote o valor de Port.

  4. Localize VPC ID (ID da VPC) na seção Cluster Properties (Propriedades do cluster) e anote o valor do VPC ID (ID da VPC). Escolha ID da VPC para abrir o console da Amazon VPC.

  5. No console da Amazon VPC, escolha Grupos de segurança no painel de navegação.

  6. Escolha Criar grupo de segurança.

  7. Na página Create Security Group, insira as informações do security group da seguinte forma:

    • Em Nome do grupo de segurança, insira redshift-security-group.

    • Em Descrição, insira redshift-security-group.

    • Em VPC, escolha a VPC para seu cluster do Amazon Redshift. Essa é a VPC com o ID da VPC que você anotou.

  8. Escolha Criar grupo de segurança.

    Seu novo grupo de segurança deve aparecer na tela.

  9. Crie um segundo grupo de segurança com as propriedades apresentadas a seguir.

    • Em Nome do grupo de segurança, insira quicksight-security-group.

    • Em Descrição, insira quicksight-security-group.

    • Em VPC, escolha a VPC para seu cluster do Amazon Redshift. Essa é a VPC com o ID da VPC que você anotou.

  10. Escolha Criar grupo de segurança.

  11. Depois de criar os novos grupos de segurança, crie as regras de entrada para os novos grupos.

    Escolha o novo grupo de segurança redshift-security-group e insira os valores apresentados a seguir.

    • Em Tipo, escolha Amazon Redshift.

    • Para Protocolo, escolha TCP.

    • Em Intervalo de portas, insira o número da porta do cluster do Amazon Redshift ao qual você está fornecendo acesso. Esse é o número de porta que você anotou em uma etapa anterior.

    • Em Origem, insira o ID do grupo de segurança quicksight-security-group.

  12. Escolha Save rules (Salvar regras) para salvar sua nova regra de entrada.

  13. Repita a etapa anterior para o grupo de segurança quicksight-security-group e insira os valores apresentados a seguir.

    • Para Tipo, escolha Todo o tráfego.

    • Em Protocolo, selecione Todos.

    • Em Intervalo de portas, selecione Todos.

    • Em Origem, insira o ID do grupo de segurança redshift-security-group.

  14. Escolha Save rules (Salvar regras) para salvar sua nova regra de entrada.

  15. No Amazon Quick Suite, navegue até o menu Gerenciar o Amazon Quick Suite.

  16. Escolha Gerenciar conexões VPC e, em seguida, selecione Adicionar conexão VPC.

  17. Configure a nova conexão da VPC com os valores apresentados a seguir.

    • Em Nome da conexão VPC, escolha um nome significativo para a conexão VPC.

    • Em ID da VPC, escolha a VPC na qual o cluster do Amazon Redshift está localizado.

    • Em Sub-rede, escolha a sub-rede para a zona de disponibilidade (AZ) usada pelo Amazon Redshift.

    • Em ID do grupo de segurança, copie e cole a ID do grupo de segurança quicksight-security-group.

  18. Escolha Criar. A geração da nova VPC pode demorar vários minutos.

  19. No console do Amazon Redshift, acesse o cluster do Amazon Redshift ao qual o grupo de segurança redshift-security-group está configurado. Escolha Propriedades, em Configurações de rede e segurança, e insira o nome do grupo de segurança.

  20. No Amazon Quick Suite, escolha Datasets e, em seguida, escolha New dataset. Crie um novo conjunto de dados com os valores apresentados a seguir.

    • Em Fonte de dados, escolha Amazon Redshift descoberto automaticamente.

    • Forneça um nome significativo à fonte de dados.

    • O ID da instância deve ser preenchido automaticamente com a conexão VPC que você criou no Amazon Quick Suite. Caso o ID da instância não seja preenchido automaticamente, selecione a VPC que você criou na lista suspensa.

    • Insira as credenciais do banco de dados. Se sua conta do Amazon Quick Suite usa propagação de identidade confiável, escolha Single sign-on.

  21. Valide a conexão e, em seguida, selecione Criar fonte de dados.

Caso deseje restringir ainda mais as regras de saída padrão, atualize a regra de saída do grupo de segurança quicksight-security-group para permitir apenas o tráfego do Amazon Redshift para o grupo de segurança redshift-security-group. Você também pode excluir a regra de saída localizada no grupo redshift-security-group.

Habilitar o acesso ao Amazon Redshift Spectrum

Usando o Amazon Redshift Spectrum, você pode conectar o Amazon Quick Suite a um catálogo externo com o Amazon Redshift. Por exemplo, você pode acessar o catálogo do Amazon Athena. Depois, você pode consultar dados não estruturados no data lake do Amazon S3 usando um cluster do Amazon Redshift em vez do mecanismo de consulta do Athena.

Você também pode combinar conjuntos de dados que incluam dados armazenados no Amazon Redshift e no S3. Em seguida, você pode acessá-los usando a sintaxe SQL no Amazon Redshift.

Depois de registrar seu catálogo de dados (para Athena) ou esquema externo (para uma metastore do Hive), você pode usar o Amazon Quick Suite para escolher o esquema externo e as tabelas do Amazon Redshift Spectrum. Esse processo funciona como qualquer outra tabela do Amazon Redshift no seu cluster. Você não precisa carregar ou transformar seus dados.

Para obter mais informações sobre como usar o Amazon Redshift Spectrum, consulte Consultar dados externos usando o Amazon Redshift Spectrum no Guia do desenvolvedor de banco de dados do Amazon Redshift.

Para se conectar usando o Redshift Spectrum, siga os seguintes procedimentos:

  • Crie ou identifique um perfil do IAM associado ao cluster do Amazon Redshift.

  • Adicionar as políticas do IAM AmazonS3ReadOnlyAccess e AmazonAthenaFullAccess à função do IAM.

  • Registre um esquema externo ou catálogo de dados às tabelas que planeja usar.

O Redshift Spectrum permite separar o armazenamento da computação, para que você possa escalar separadamente. Você só pagará pelas consultas que executar.

Para se conectar às tabelas do Redshift Spectrum, você não precisa conceder ao Amazon Quick Suite acesso ao Amazon S3 ou ao Athena. O Amazon Quick Suite precisa acessar somente o cluster do Amazon Redshift. Para obter detalhes completos sobre a configuração do Redshift Spectrum, consulte Conceitos básicos do Amazon Redshift Spectrum no Guia do desenvolvedor de banco de dados Amazon Redshift.