Como configurar a propagação de identidade confiável com o Editor de Consultas V2 do Amazon Redshift - AWS IAM Identity Center
Pré-requisitosTarefas executadas pelo administrador do IAM Identity CenterTarefas executadas por um administrador do Amazon Redshift

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como configurar a propagação de identidade confiável com o Editor de Consultas V2 do Amazon Redshift

O procedimento a seguir explica como obter uma propagação de identidade confiável do Editor de Consultas V2 do Amazon Redshift para o Amazon Redshift.

Pré-requisitos

Antes de começar este tutorial, você precisará configurar o seguinte:

  1. Ative o IAM Identity Center. A instância de organização é recomendada. Para obter mais informações, consulte Pré-requisitos e considerações.

  2. Provisione os usuários e grupos da fonte de identidades no IAM Identity Center.

A habilitação da propagação de identidade confiável inclui tarefas executadas por um administrador do IAM Identity Center no console do IAM Identity Center e tarefas executadas por um administrador do Amazon Redshift no console do Amazon Redshift.

Tarefas executadas pelo administrador do IAM Identity Center

As seguintes tarefas precisavam ser concluídas pelo administrador do IAM Identity Center:

  1. Crie um perfil do IAM na conta em que existe o cluster do Amazon Redshift ou a instância Serverless com a seguinte política de permissão. Para obter mais informações, consulte Criação do Perfil do IAM.

    1. Os exemplos de políticas a seguir incluem as permissões necessárias para concluir este tutorial. Para usar essa política, substitua italicized placeholder text a política do exemplo por suas próprias informações. Para obter instruções adicionais, consulte Criar uma política ou Editar uma política.

      Política de permissão:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRedshiftApplication",
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeQev2IdcApplications",
                "redshift-serverless:ListNamespaces",
                "redshift-serverless:ListWorkgroups",
                "redshift-serverless:GetWorkgroup"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIDCPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeApplication",
                "sso:DescribeInstance"
            ],
            "Resource": [
                "arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
                "arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
            ]
        }
    ]
}
      Mostrar maisMostrar menos

      Política de confiança:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "redshift-serverless.amazonaws.com",
                    "redshift.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}
      Mostrar maisMostrar menos
    Mostrar maisMostrar menos

  2. Crie um conjunto de permissões na conta gerencial do AWS Organizations em que o IAM Identity Center está habilitado. Você o usará na próxima etapa para permitir que usuários federados acessem o Editor de Consultas V2 do Redshift.

    1. Acesse o console do IAM Identity Center e, em Permissões de várias contas, escolha Conjuntos de permissões.

    2. Escolha Create permission set (Criar conjunto de permissões).

    3. Escolha Conjunto de permissões personalizado e, em seguida, escolha Avançar.

    4. Em Políticas gerenciadas pela AWS , escolha AmazonRedshiftQueryEditorV2ReadSharing.

    5. Em Política embutida, adicione a seguinte política:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeQev2IdcApplications",
                "redshift-serverless:ListNamespaces",
                "redshift-serverless:ListWorkgroups",
                "redshift-serverless:GetWorkgroup"
            ],
            "Resource": "*"
        }
    ]
}
      Mostrar maisMostrar menos

    6. Selecione Avançar e forneça um nome para o nome do conjunto de permissões. Por exemplo, .Redshift-Query-Editor-V2

    7. Em Estado de retransmissão — opcional, defina o estado de retransmissão padrão para o URL do Editor de Consultas V2, usando o formato: https://your-region.console.aws.amazon.com/sqlworkbench/home.

    8. Revise as configurações e escolha Criar.

    9. Navegue até o painel do IAM Identity Center e copie o URL do portal de acesso do AWS da seção Resumo da configuração.

      Etapa 1, Copie o URL do portal de AWS acesso do console do IAM Identity Center.

    10. Abra uma nova janela de navegador anônimo e cole o URL.

      Isso o levará ao seu portal de AWS acesso, garantindo que você esteja fazendo login com um usuário do IAM Identity Center.

      Etapa j, Faça login para AWS acessar o portal.

      Para obter mais informações sobre o conjunto de permissões, consulte Gerencie Contas da AWS com conjuntos de permissões.

    Mostrar maisMostrar menos

  3. Permita que usuários federados acessem o Editor de Consultas V2 do Redshift.

    1. Na conta AWS Organizations de gerenciamento, abra o console do IAM Identity Center.

    2. No painel de navegação, em Permissões de várias contas, escolha Contas da AWS.

    3. Na Contas da AWS página, selecione Conta da AWS aquele ao qual você deseja atribuir acesso.

    4. Escolha Atribuir usuários ou grupos.

    5. Na página Atribuir usuários e grupos, escolha os usuários e/ou grupos para os quais deseja criar o conjunto de permissões. Em seguida, escolha Próximo.

    6. Na página Atribuir conjuntos de permissões, escolha o conjunto de permissões que você criou na etapa anterior. Em seguida, escolha Próximo.

    7. Na página Revisar e enviar atribuições, revise as seleções e escolha Enviar.

    Mostrar maisMostrar menos

Tarefas executadas por um administrador do Amazon Redshift

A habilitação da propagação de identidade confiável para o Amazon Redshift exige que um administrador de cluster do Amazon Redshift ou administrador do Amazon Redshift sem servidor execute várias tarefas no console do Amazon Redshift. Para obter mais informações, consulte Integrar o provedor de identidades (IdP) com o Editor de Consultas V2 do Amazon Redshift e o cliente SQL usando o IAM Identity Center para um login único direto no Blog de big data da AWS .