Amazon Redshift 將不再支援從修補程式 198 開始建立新的 Python UDFs。現有 Python UDF 將繼續正常運作至 2026 年 6 月 30 日。如需詳細資訊,請參閱[部落格文章](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定您的 AWS 帳戶
您可以執行這組任務來設定查詢編輯器 v2 來查詢 Amazon Redshift 資料庫。透過適當的許可,您可以存取 AWS 帳戶 目前 所擁有的 Amazon Redshift 叢集或工作群組中的資料 AWS 區域。
管理員第一次為您的 設定查詢編輯器 v2 時 AWS 帳戶,會選擇用來加密查詢編輯器 v2 資源 AWS KMS key 的 。根據預設, AWS 擁有的金鑰會用來加密資源。另外,管理員也可以在組態頁面中選擇金鑰的 Amazon Resource Name (ARN),以使用客戶自管金鑰。
設定帳戶之後,就無法變更 AWS KMS 加密設定。如需以查詢編輯器 v2 建立和使用客戶受管金鑰的相關資訊,請參閱[建立 AWS KMS 客戶受管金鑰以搭配查詢編輯器 v2 使用](#query-editor-v2-kms-key)。管理員也可以選擇性地選擇用於某些功能 (例如,從檔案載入資料) 的 S3 儲存貯體和路徑。如需詳細資訊,請參閱[從本機檔案設定和工作流程載入資料](query-editor-v2-loading-data-local.md)。
Amazon Redshift 查詢編輯器 v2 支援身分驗證、加密、隔離和合規功能,以確保靜態資料和傳輸中的資料安全無虞。如需資料安全和查詢編輯器 v2 的相關資訊,請參閱下列內容:
+ [靜態加密](security-server-side-encryption.md)
+ [傳輸中加密](security-encryption-in-transit.md)
+ [Amazon Redshift 中的組態與漏洞分析](security-vulnerability-analysis-and-management.md)
AWS CloudTrail 會擷取由 發出或代表發出的 API 呼叫和相關事件, AWS 帳戶 並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 地址,以及呼叫的時間。若要進一步了解查詢編輯器 v2 在 AWS CloudTrail上的執行方式,請參閱[使用 CloudTrail 進行記錄](logging-with-cloudtrail.md)。如需 CloudTrail 的相關資訊,請參閱《[AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)》。
查詢編輯器 v2 對其某些資源具有可調整的配額。如需詳細資訊,請參閱[Amazon Redshift 物件的配額](amazon-redshift-limits.md#amazon-redshift-limits-quota)。
## 使用查詢編輯器 v2 所建立的資源
在查詢編輯器 v2 內,您可以建立儲存的查詢和圖表等資源。查詢編輯器 v2 中的所有資源都會與 IAM 角色或使用者相關聯。建議您將政策連接至 IAM 角色,並將該角色指派給使用者。
在查詢編輯器 v2 中,您可以為儲存的查詢和圖表新增及移除標籤。您可以在設定自訂 IAM 政策或搜尋資源時使用這些標籤。您也可以使用標籤編輯器來管理 AWS Resource Groups 標籤。
您可以使用 IAM 政策設定 IAM 角色,在 中與相同 AWS 帳戶 中的其他人共用查詢 AWS 區域。
## 建立 AWS KMS 客戶受管金鑰以搭配查詢編輯器 v2 使用
**若要建立對稱加密的客戶受管金鑰**:
您可以使用 AWS KMS 主控台或 AWS KMS API 操作,建立對稱加密客戶受管金鑰來加密查詢編輯器 v2 資源。如需建立金鑰的指示,請參閱《 *AWS Key Management Service 開發人員指南*》中的[建立對稱加密 AWS KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)。
**金鑰政策**
金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時,可以指定金鑰政策。如需詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[管理對 AWS KMS 金鑰的存取](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access)。
若要將客戶受管金鑰與 Amazon Redshift 查詢編輯器 v2 搭配使用,就必須在金鑰政策中允許下列 API 操作:
+ `kms:GenerateDataKey` — 產生唯一一個用來加密資料的對稱資料金鑰。
+ `kms:Decrypt` — 解密使用客戶受管金鑰所加密的資料。
+ `kms:DescribeKey` — 提供客戶受管金鑰的詳細資訊,以便服務可以驗證金鑰。
以下是 AWS 帳戶 的範例 AWS KMS 政策`111122223333`。在第一部分中,`kms:ViaService` 會限制金鑰只能用於查詢編輯器 v2 服務 (在政策中名為 `sqlworkbench.{{region}}.amazonaws.com`)。 AWS 帳戶 使用 金鑰的 必須是 `111122223333`。在第二個區段中, 的 AWS 帳戶 根使用者和金鑰管理員`111122223333`可以存取金鑰。
當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和 資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy",
"Statement": [
{
"Sid": "Allow access to principals authorized to use Amazon Redshift Query Editor V2",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "sqlworkbench.{{us-east-1}}.amazonaws.com",
"kms:CallerAccount": "{{111122223333}}"
}
}
},
{
"Sid": "Allow access for key administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"kms:*"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/key_ID"
}
]
}
```
------
下列資源提供有關 AWS KMS 金鑰的詳細資訊:
+ 如需 AWS KMS 政策的詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[在政策中指定許可](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements)。
+ 如需對 AWS KMS 政策進行故障診斷的資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[對金鑰存取進行故障診斷](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam)。
+ 如需金鑰的相關資訊,請參閱《AWS Key Management Service 開發人員指南》**中的 [AWS KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)。
## 存取查詢編輯器 v2
若要存取查詢編輯器 v2,您需要獲得許可。管理員可以將下列其中一個 AWS 受管政策連接至角色,以授予許可。(建議您將政策連接至 IAM 角色,並將該角色指派給使用者。) 這些 AWS 受管政策是以不同的選項撰寫,這些選項可控制標記資源如何允許共用查詢。您可以使用 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) 來連接 IAM 政策。
+ **AmazonRedshiftQueryEditorV2FullAccess** – 授予 Amazon Redshift 查詢編輯器 v2 操作和資源的完整存取權。此政策也會授予其他必要服務的存取權。
+ **AmazonRedshiftQueryEditorV2NoSharing** – 授予使用 Amazon Redshift 查詢編輯器 v2 的能力,而不共用資源。此政策也會授予其他必要服務的存取權。
+ **AmazonRedshiftQueryEditorV2ReadSharing** – 授予使用 Amazon Redshift 查詢編輯器 v2 的能力,並可有限度地共用資源。獲得授予的主體可以讀取與其團隊共用的資源,但無法更新這些資源。此政策也會授予其他必要服務的存取權。
+ **AmazonRedshiftQueryEditorV2ReadWriteSharing** – 授予使用 Amazon Redshift 查詢編輯器 v2 的能力,並可共用資源。獲得授予的主體可以讀取和更新與其團隊共用的資源。此政策也會授予其他必要服務的存取權。
您也可以根據所提供受控政策中允許和拒絕的許可來建立自己的政策。如果您使用 IAM 主控台政策編輯器建立自己的政策,請選擇 **SQL Workbench** 作為您在視覺化編輯器中為其建立政策的服務。查詢編輯器 v2 會在視覺化編輯器和 IAM 政策模擬器中使用服務名稱 AWS SQL Workbench。
若要讓主體 (已獲派 IAM 角色的使用者) 能夠連線到 Amazon Redshift 叢集,就需要其中一個查詢編輯器 v2 受管政策中的許可。他們還需要叢集的其中一個 `redshift:GetClusterCredentialsWithIAM`或 `redshift:GetClusterCredentials`許可。若要獲得此許可,具有系統管理許可的人員可以使用臨時憑證,將政策連接至用來連線到叢集的 IAM 角色。您可以將政策的範圍限定在特定叢集或更為普遍的範圍。如需使用臨時登入資料之許可的詳細資訊,請參閱[建立具有呼叫 GetClusterCredentialsWithIAM 或 GetClusterCredentials 許可的 IAM 角色或使用者 GetClusterCredentials](generating-iam-credentials-steps.md#generating-iam-credentials-role-permissions)。
若要讓主體 (一般是已獲派 IAM 角色的使用者) 能夠在**帳戶設定**頁面中為帳戶中的其他使用者開啟**匯出結果集**的功能,他們需要該角色連接的 `sqlworkbench:UpdateAccountExportSettings` 許可。此許可包含在 `AmazonRedshiftQueryEditorV2FullAccess` AWS 受管政策中。
隨著新功能新增至查詢編輯器 v2, AWS 受管政策會視需要更新。如果您根據所提供受管策略中允許和拒絕的許可建立自己的政策,請編輯您的政策,讓政策隨著受管政策的變更進行更新以保持在最新狀態。如需 Amazon Redshift 中受管政策的相關資訊,請參閱 [AWS Amazon Redshift 的 受管政策](redshift-iam-access-control-identity-based.md#redshift-policy-resources.managed-policies)。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
**注意**
如果 AWS IAM Identity Center 管理員移除整個帳戶中特定許可集的所有許可集關聯,則無法再存取原本與已移除許可集關聯的任何查詢編輯器資源。如果之後重新建立了相同的許可,系統會建立新的內部識別碼。由於內部識別碼已變更,因此使用者無法再存取其先前擁有之查詢編輯器資源的存取權。我們的建議是,在管理員刪除許可集之前,該許可集的使用者先將查詢編輯器資源 (例如筆記本和查詢) 匯出為備份。
## 設定主體標籤以從查詢編輯器 v2 連接叢集或工作群組
若要使用聯合身分使用者選項連線到叢集或工作群組,請使用主體標籤設定 IAM 角色或使用者。或者,也可以設定身分提供者 (IdP) 以傳入 `RedshiftDbUser` 和 (選擇性) `RedshiftDbGroups`。如需使用 IAM 來管理標籤的相關資訊,請參閱《IAM 使用者指南》**中的[在 AWS Security Token Service中傳遞工作階段標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。若要使用 設定存取 AWS Identity and Access Management,管理員可以使用 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://) 新增標籤。
**將主體標籤新增至 IAM 角色**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Roles (角色)**。
1. 選擇需要使用聯合身分使用者存取查詢編輯器 v2 的角色。
1. 選擇 **Tags** (標籤) 索引標籤。
1. 選擇**管理標籤**。
1. 選擇**新增標籤**,並以 `RedshiftDbUser` 形式輸入**索引鍵**,然後輸入聯合身分使用者名稱的**值**。
1. 選擇性地選擇**新增標籤**,並以 `RedshiftDbGroups` 形式輸入**索引鍵**,然後輸入要與使用者建立關聯之群組名稱的**值**。
1. 選擇**儲存變更**以檢視與所選擇的 IAM 角色相關聯的標籤清單。傳播變更的過程可能需要幾秒鐘的時間。
1. 若要使用聯合身分使用者,請在變更傳播完成後重新整理查詢編輯器 v2 的頁面。
**設定您的身分提供者 (IdP) 以傳遞主體標籤**
使用身分提供者 (IdP) 設定標籤的程序隨 IdP 而異。如需如何將使用者和群組資訊傳遞至 SAML 屬性的指示,請參閱您的 IdP 文件。正確設定時,下列屬性會出現在您的 SAML 回應中,供 AWS Security Token Service 用來填入 `RedshiftDbUser`和 的主體標籤`RedshiftDbGroups`。
```
{{db-user-name}}
{{db-groups}}
```
選擇性的 {{db\_group}} 必須是以冒號分隔的清單,例如 `group1:group2:group3`。
此外,您也可以設定 `TransitiveTagKeys` 屬性以在鏈結角色期間保留標籤。
```
RedshiftDbUser
RedshiftDbGroups
```
如需設定查詢編輯器 v2 的相關資訊,請參閱[要使用查詢編輯器 v2 所需的許可](redshift-iam-access-control-identity-based.md#redshift-policy-resources.required-permissions.query-editor-v2)。
如需有關如何設定 Active Directory Federation Services (AD FS)的資訊,請參閱部落格文章:[將 Amazon Redshift 查詢編輯器 v2 的存取與 Active Directory Federation Services (AD FS) 聯合](https://aws.amazon.com/blogs//big-data/federate-access-to-amazon-redshift-query-editor-v2-with-active-directory-federation-services-ad-fs-part-3/)。
如需有關如何設定 Okta 的資訊,請參閱部落格文章:[將 Amazon Redshift 查詢編輯器 v2 的單一登入存取與 Okta 聯合](https://aws.amazon.com/blogs//big-data/federate-single-sign-on-access-to-amazon-redshift-query-editor-v2-with-okta/)。
**注意**
當您使用查詢編輯器 v2 的**聯合身分使用者**連線選項連線到叢集或工作群組時,身分提供者 (IdP) 可以為 `RedshiftDbUser` 和 `RedshiftDbGroups` 提供自訂主體標籤。目前, AWS IAM Identity Center Dimions 不支援將自訂主體標籤直接傳遞至查詢編輯器 v2。