授權從 Amazon Quick Sight 到 Amazon Redshift 叢集的連線 - Amazon Quick Suite
啟用信任的身分傳播在 VPC 中啟用對 Amazon Redshift 叢集的存取啟用 Redshift Spectrum 的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授權從 Amazon Quick Sight 到 Amazon Redshift 叢集的連線

   適用對象:企業版和標準版 
   目標對象:系統管理員 

您可以使用三種身分驗證方法授予對 Amazon Redshift 資料的存取權:受信任身分傳播、執行身分 IAM 角色或 Amazon Redshift 資料庫憑證。

透過受信任的身分傳播,使用者身分會透過由 IAM Identity Center 管理的單一登入傳遞至 Amazon Redshift。在 Amazon Quick Sight 中存取儀表板的使用者,其身分會傳播到 Amazon Redshift。在 Amazon Redshift 中,精細的資料許可會套用至資料,然後再將資料顯示在 Amazon Quick Suite 資產中給使用者。Amazon Quick Suite 作者也可以在沒有輸入密碼或 IAM 角色的情況下連線到 Amazon Redshift 資料來源。若使用 Amazon Redshift Spectrum,所有許可管理都會集中在 Amazon Redshift 中。當 Amazon Quick Suite 和 Amazon Redshift 使用 IAM Identity Center 的相同組織執行個體時,支援信任的身分傳播。下列功能目前不支援受信任身分傳播。

  • SPICE 資料集

  • 資料來源上的自訂 SQL

  • Alerts (提醒)

  • 以電子郵件傳送報告

  • Amazon Quick Suite Q

  • CSV、Excel 和 PDF 匯出

  • 異常偵測

若要讓 Amazon Quick Suite 連線到 Amazon Redshift 執行個體,您必須為該執行個體建立新的安全群組。此安全群組包含傳入規則,該規則會授權從 Amazon Quick Suite 伺服器的適當 IP 地址範圍進行存取 AWS 區域。若要進一步了解授權 Amazon Quick Suite 連線,請參閱在 VPC 中手動啟用對 Amazon Redshift 叢集的存取

啟用從 Amazon Quick Suite 伺服器到叢集的連線只是根據 AWS 資料庫資料來源建立資料集的幾個先決條件之一。如需必要項目的詳細資訊,請參閱從資料庫建立資料集

使用 Amazon Redshift 啟用受信任身分傳播

受信任身分傳播會在最終使用者存取利用受信任身分傳播啟用資料來源的 Amazon Quick Suite 資產時,對 Amazon Redshift 中的最終使用者進行身分驗證。當作者建立具有信任身分傳播的資料來源時,Amazon Quick Sight 中資料來源取用者的身分會傳播並記錄在 CloudTrail 中。這可讓資料庫管理員集中管理 Amazon Redshift 中的資料安全,並自動將所有資料安全規則套用至 Amazon Quick Suite 中的資料取用者。使用其他身分驗證方法時,建立資料來源之作者的資料許可會套用至所有資料來源取用者。資料來源作者可以選擇將額外的資料列和資料欄層級安全性套用至他們在 Amazon Quick Sight 中建立的資料來源。

受信任身分傳播資料來源僅在直接查詢資料集中受支援。SPICE 資料集目前不支援受信任身分傳播。

先決條件

開始之前,請確定您已滿足所有必要先決條件。

  • 只有與 IAM Identity Center 整合的 Amazon Quick Suite 帳戶才支援信任的身分傳播。如需詳細資訊,請參閱使用 IAM Identity Center 設定 Amazon Quick Suite 帳戶

  • Amazon Redshift 應用程式須與 IAM Identity Center 整合。您使用的 Amazon Redshift 叢集必須與您要使用的 Amazon Quick Suite AWS Organizations 帳戶位於 中的相同組織中。叢集也必須在 IAM Identity Center 中設定與您的 Amazon Quick Suite 帳戶設定相同的組織執行個體。如需有關設定 Amazon Redshift 叢集的詳細資訊,請參閱 Integrating IAM Identity Center

在 Amazon Quick Sight 中啟用受信任身分傳播

若要將 Amazon Quick Sight 設定為使用信任的身分傳播連線至 Amazon Redshift 資料來源,請將 Amazon Redshift OAuth 範圍設定為您的 Amazon Quick Suite 帳戶。

若要新增允許 Amazon Quick Suite 授權身分傳播到 Amazon Redshift 的範圍,請指定 Amazon Quick Suite 帳戶的 AWS 帳戶 ID 和您要授權身分傳播的服務,在此情況下為 'REDSHIFT'

指定您授權 Amazon Quick Suite 傳播使用者身分之 Amazon Redshift 叢集的 IAM Identity Center 應用程式 ARN。可在 Amazon Redshift 主控台中找到此資訊。如果您未指定 Amazon Redshift 範圍的授權目標,Amazon Quick Suite 會授權共用相同 IAM Identity Center 執行個體之任何 Amazon Redshift 叢集的使用者。以下範例設定 Amazon Quick Suite 以使用信任的身分傳播連線至 Amazon Redshift 資料來源。

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

下列範例會從 Amazon Quick Suite 帳戶刪除 OAuth 範圍。

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

下列範例列出目前在 Amazon Quick Suite 帳戶上的所有 OAuth 範圍。

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

使用受信任身分傳播連線至 Amazon Redshift

請依下列程序,連線至 Amazon Redshift 受信任身分傳播。

使用受信任身分傳播連線至 Amazon Redshift

  1. 在 Amazon Quick Suite 中建立新的資料集。如需建立資料集的詳細資訊,請參閱建立資料集

  2. 選擇 Amazon Redshift 作為新資料集的資料來源。

    注意

    現有資料來源的身分驗證類型無法變更為受信任身分傳播

  3. 選擇 IAM Identity Center 作為資料來源的身分選項,然後選擇建立資料來源

手動允許存取 VPC 中的 Amazon Redshift 叢集

 適用於:企業版 

使用下列程序來啟用 Amazon Quick Sight 存取 VPC 中的 Amazon Redshift 叢集。

在 VPC 中啟用 Amazon Quick Sight 存取 Amazon Redshift 叢集

  1. 登入 AWS 管理主控台 ,並在 https://console.aws.amazon.com/redshiftv2/:// 開啟 Amazon Redshift 主控台。

  2. 導覽至您要在 Amazon Quick Suite 中提供使用的叢集。

  3. 叢集屬性區段中,尋找連接埠。請記下 Port (連接埠) 值。

  4. 叢集屬性區段中,尋找 VPC ID 並記下 VPC ID 值。選擇 VPC ID 以開啟 Amazon VPC 主控台。

  5. 在 Amazon VPC 主控台的導覽窗格中,選擇安全群組

  6. 選擇建立安全群組

  7. Create Security Group (建立安全群組) 頁面,輸入安全群組資訊,如下所示:

    • 針對 Security group name (安全群組名稱),輸入 redshift-security-group

    • 對於 Description (說明),輸入 redshift-security-group

    • 對於 VPC,請為 Amazon Redshift 叢集選擇 VPC。這個 VPC 具有您記下的 VPC ID。

  8. 選擇建立安全群組

    您的新安全群組應該會出現在螢幕上。

  9. 建立第二個安全群組,其屬性如下。

    • 針對 Security group name (安全群組名稱),輸入 quicksight-security-group

    • 對於 Description (說明),輸入 quicksight-security-group

    • 對於 VPC,請為 Amazon Redshift 叢集選擇 VPC。這個 VPC 具有您記下的 VPC ID。

  10. 選擇建立安全群組

  11. 建立新的安全群組後,為新群組建立傳入規則。

    選擇新的 redshift-security-group 安全群組,然後輸入下列值。

    • 對於類型,選擇 Amazon Redshift

    • 針對 Protocol (通訊協定),選擇 TCP

    • 針對連接埠範圍,輸入您要允許存取的 Amazon Redshift 叢集的連接埠號碼。這是您在稍早步驟中記下的連接埠號碼。

    • 對於來源,請輸入 quicksight-security-group 的安全群組 ID。

  12. 選擇 Save rules (儲存規則) 以儲存新的傳入規則。

  13. quicksight-security-group 重複上一步驟,然後輸入下列值。

    • 針對類型,選擇所有流量

    • 對於通訊協定,請選擇全部

    • 對於連接埠範圍,請選擇全部

    • 對於來源,請輸入 redshift-security-group 的安全群組 ID。

  14. 選擇 Save rules (儲存規則) 以儲存新的傳入規則。

  15. 在 Amazon Quick Suite 中,導覽至管理 Amazon Quick Suite 功能表。

  16. 選擇管理 VPC 連線,然後選擇新增 VPC 連線

  17. 使用下列值設定新的 VPC 連線。

    • 對於 VPC 連線名稱,請為 VPC 連線選擇一個有意義的名稱。

    • 對於 VPC ID,選擇 Amazon Redshift 叢集所在的 VPC。

    • 對於子網路 ID,選擇用於 Amazon Redshift 的可用區域 (AZ) 子網路。

    • 對於安全群組 ID,複製並貼上 quicksight-security-group 的安全群組 ID。

  18. 選擇建立。新的 VPC 可能需要幾分鐘時間才能產生。

  19. 在 Amazon Redshift 主控台中,導覽至設定為 redshift-security-group 的 Amazon Redshift 叢集。選擇屬性,在網路和安全性設定下,輸入安全群組的名稱。

  20. 在 Amazon Quick Suite 中,選擇資料集,然後選擇新增資料集。使用下列值建立新資料集。

    • 對於資料來源,選擇自動探索的 Amazon Redshift

    • 為資料來源指定一個有意義的名稱。

    • 執行個體 ID 應該會自動填入您在 Amazon Quick Suite 中建立的 VPC 連線。如果執行個體 ID 欄位未自動填入,請從下拉式清單中選擇所建立的 VPC。

    • 輸入資料庫憑證。如果您的 Amazon Quick Suite 帳戶使用信任的身分傳播,請選擇單一登入

  21. 驗證連線,然後選擇建立資料來源

若要進一步限制預設傳出規則,請將 quicksight-security-group 傳出規則更新為僅允許 Amazon Redshift 流量傳送至 redshift-security-group。您也可以刪除位於 redshift-security-group 中的傳出規則。

啟用對 Amazon Redshift Spectrum 的存取

使用 Amazon Redshift Spectrum,您可以使用 Amazon Redshift 將 Amazon Quick Suite 連接到外部目錄。例如,您可以存取 Amazon Athena 目錄。然後,您可以使用 Amazon Redshift 叢集而不是 Athena 查詢引擎,查詢 Amazon S3 資料湖上的非結構化資料。

您也可以結合資料集,包括存放在 Amazon Redshift 和 S3 中的資料。然後,您可以在 Amazon Redshift 中使用 SQL 語法來存取它們。

註冊資料目錄 (適用於 Athena) 或外部結構描述 (適用於 Hive 中繼存放區) 之後,您可以使用 Amazon Quick Suite 選擇外部結構描述和 Amazon Redshift Spectrum 資料表。此程序適用於叢集中的任何其他 Amazon Redshift 資料表。您不需要載入或轉換您的資料。

如需有關使用 Amazon Redshift Spectrum 的詳細資訊,請參閱《Amazon Redshift 資料庫開發人員指南》中的使用 Amazon Redshift Spectrum 以查詢外部資料

若要使用 Redshift Spectrum 進行連線,請執行下列動作:

  • 建立或識別與 Amazon Redshift 叢集關聯的 IAM 角色。

  • 將 IAM 政策 AmazonS3ReadOnlyAccessAmazonAthenaFullAccess 新增至 IAM 角色。

  • 針對您打算使用的表格,註冊外部結構描述或資料目錄。

Redshift Spectrum 可讓將儲存和運算分離,以分開擴展。您只需就所執行的查詢付費。

若要連線至 Redshift Spectrum 資料表,您不需要授予 Amazon Quick Suite 對 Amazon S3 或 Athena 的存取權。Amazon Quick Suite 只需要存取 Amazon Redshift 叢集。如需有關設定 Redshift Spectrum 的完整詳細資訊,請參閱《Amazon Redshift 資料庫開發人員指南》中的開始使用 Amazon Redshift Spectrum