设置 Amazon Redshift 查询编辑器 V2 的可信身份传播 - AWS IAM Identity Center
先决条件IAM Identity Center 管理员需执行的任务Amazon Redshift 管理员执行的任务

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Amazon Redshift 查询编辑器 V2 的可信身份传播

以下过程将引导您实现从 Amazon Redshift 查询编辑器 V2 到 Amazon Redshift 的可信身份传播。

先决条件

在开始本教程之前,您需要设置以下方面:

  1. 启用 IAM 身份中心。建议使用组织实例。有关更多信息,请参阅 先决条件和注意事项

  2. 将身份源中的用户和组配置到 IAM Identity Center

启用可信身份传播涉及两项操作:IAM Identity Center 管理员在 IAM Identity Center 控制台执行的任务,以及 Amazon Redshift 管理员在 Amazon Redshift 控制台执行的任务。

IAM Identity Center 管理员需执行的任务

IAM Identity Center 管理员需完成以下任务:

  1. 在 Amazon Redshift 集群或无服务器实例所在的账户中,创建 IAM 角色 并附加以下权限策略。有关更多信息,请参阅 IAM 角色创建

    1. 以下策略示例包含完成本教程所需的权限。要使用此政策,请将示例策略italicized placeholder text中的替换为您自己的信息。有关详细操作指引,请参阅创建策略编辑策略

      权限策略:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRedshiftApplication",
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeQev2IdcApplications",
                "redshift-serverless:ListNamespaces",
                "redshift-serverless:ListWorkgroups",
                "redshift-serverless:GetWorkgroup"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIDCPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeApplication",
                "sso:DescribeInstance"
            ],
            "Resource": [
                "arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
                "arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
            ]
        }
    ]
}
      显示更多显示更少

      信任政策:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "redshift-serverless.amazonaws.com",
                    "redshift.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}
      显示更多显示更少
    显示更多显示更少

  2. 在启用 IAM Identity Center 的 AWS Organizations 管理账户中创建权限集。下一步将使用该权限集允许联合用户访问 Redshift 查询编辑器 V2。

    1. 访问 IAM Identity Center 控制台,在多账户权限下选择权限集

    2. 选择创建权限集

    3. 选择自定义权限集,然后选择下一步

    4. AWS 托管策略下,选择 AmazonRedshiftQueryEditorV2ReadSharing

    5. 内联策略下,添加以下策略:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeQev2IdcApplications",
                "redshift-serverless:ListNamespaces",
                "redshift-serverless:ListWorkgroups",
                "redshift-serverless:GetWorkgroup"
            ],
            "Resource": "*"
        }
    ]
}
      显示更多显示更少

    6. 选择下一步,然后为权限集命名。例如 Redshift-Query-Editor-V2

    7. 中继状态 - 可选下,将默认中继状态设置为查询编辑器 V2 URL,格式为:https://your-region.console.aws.amazon.com/sqlworkbench/home

    8. 检查设置,然后选择创建

    9. 导航到 IAM Identity Center 仪表板,并从设置摘要部分复制 AWS 访问门户 URL。

      第 i 步,从 IAM 身份中心控制台复制 AWS 访问门户 URL。

    10. 打开一个新的隐身浏览器窗口并粘贴该 URL。

      这将带您 AWS 进入访问门户,确保您使用的是 IAM Identity Center 用户登录。

      步骤 j,登录 AWS 访问门户。

      有关权限集的更多信息,请参阅 AWS 账户 使用权限集进行管理

    显示更多显示更少

  3. 启用联合用户访问 Redshift 查询编辑器 V2

    1. 在 AWS Organizations 管理账户中,打开 IAM 身份中心控制台。

    2. 在导航窗格中的多帐户权限下,选择 AWS 账户

    3. 在 AWS 账户 页面上,选择 AWS 账户 要为其分配访问权限的。

    4. 选择分配用户或组

    5. 分配用户和组页面上,选择要为其创建权限集的用户和/或组。然后选择下一步

    6. 分配权限集页面上,选择您在上一步中创建的权限集。然后选择下一步

    7. 查看并提交分配页面上,查看您的选择,选择提交

    显示更多显示更少

Amazon Redshift 管理员执行的任务

启用面向 Amazon Redshift 的可信身份传播,需要 Amazon Redshift 集群管理员或 Amazon Redshift Serverless 管理员在 Amazon Redshift 控制台执行多项操作。有关更多信息,请参阅《AWS 大数据博客》中的使用 IAM Identity Center 将身份提供者(IdP)与 Amazon Redshift 查询编辑器 V2 和 SQL 客户端集成以实现无缝单点登录