使用 Amazon Redshift 查詢編輯器 V2 設定受信任的身分傳播 - AWS IAM Identity Center
先決條件IAM Identity Center 管理員執行的任務Amazon Redshift 管理員執行的任務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon Redshift 查詢編輯器 V2 設定受信任的身分傳播

下列程序會逐步解說如何實現從 Amazon Redshift 查詢編輯器 V2 到 Amazon Redshift 的受信任身分傳播。

先決條件

您必須先設定下列項目,才能開始使用本教學課程:

  1. 啟用 IAM Identity Center。建議使用組織執行個體。如需詳細資訊,請參閱先決條件和考量事項

  2. 將使用者和群組從您的身分來源佈建至 IAM Identity Center

啟用受信任身分傳播包括 IAM Identity Center 主控台中 IAM Identity Center 管理員執行的任務,以及 Amazon Redshift 主控台中 Amazon Redshift 管理員執行的任務。

IAM Identity Center 管理員執行的任務

IAM Identity Center 管理員需要完成下列任務:

  1. 在具有下列許可政策的 Amazon Redshift 叢集或無伺服器執行個體存在的帳戶中建立 IAM 角色。如需詳細資訊,請參閱建立 IAM 角色

    1. 下列政策範例包含完成本教學課程所需的許可。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。如需其他指示,請參閱建立政策編輯政策

      許可政策:

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRedshiftApplication",
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeQev2IdcApplications",
                "redshift-serverless:ListNamespaces",
                "redshift-serverless:ListWorkgroups",
                "redshift-serverless:GetWorkgroup"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIDCPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeApplication",
                "sso:DescribeInstance"
            ],
            "Resource": [
                "arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
                "arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
            ]
        }
    ]
}
      顯示較多顯示較少

      信任政策:

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "redshift-serverless.amazonaws.com",
                    "redshift.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}
      顯示較多顯示較少
    顯示較多顯示較少

  2. 在啟用 IAM Identity Center 的 AWS Organizations 管理帳戶中建立許可集。您將在下一個步驟中使用它,以允許聯合身分使用者存取 Redshift 查詢編輯器 V2。

    1. 前往 IAM Identity Center 主控台,在多帳戶許可下,選擇許可集

    2. 選擇 Create permission set (建立許可集合)

    3. 選擇自訂許可集,然後選擇下一步

    4. AWS 受管政策下,選擇 AmazonRedshiftQueryEditorV2ReadSharing

    5. 內嵌政策下,新增下列政策:

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "redshift:DescribeQev2IdcApplications",
                "redshift-serverless:ListNamespaces",
                "redshift-serverless:ListWorkgroups",
                "redshift-serverless:GetWorkgroup"
            ],
            "Resource": "*"
        }
    ]
}
      顯示較多顯示較少

    6. 選取下一步,然後提供許可集名稱的名稱。例如 Redshift-Query-Editor-V2

    7. 轉送狀態 - 選用下,使用格式將預設轉送狀態設定為查詢編輯器 V2 URL:https://your-region.console.aws.amazon.com/sqlworkbench/home

    8. 檢閱設定,然後選擇建立

    9. 導覽至 IAM Identity Center Dashboard,並從設定摘要區段複製 AWS 存取入口網站 URL。

      步驟 i,從 IAM Identity Center 主控台複製 AWS 存取入口網站 URL。

    10. 開啟新的 Incognito 瀏覽器視窗並貼上 URL。

      這將帶您前往 AWS 存取入口網站,確保您使用 IAM Identity Center 使用者登入。

      步驟 j:登入以 AWS 存取入口網站。

      如需許可集的詳細資訊,請參閱 AWS 帳戶 使用許可集管理

    顯示較多顯示較少

  3. 啟用聯合身分使用者存取 Redshift 查詢編輯器 V2

    1. 在 AWS Organizations 管理帳戶中,開啟 IAM Identity Center 主控台。

    2. 在導覽窗格中的多帳戶許可下,選擇 AWS 帳戶

    3. 在頁面上 AWS 帳戶 ,選取要為其指派存取權的 AWS 帳戶 。

    4. 選擇指派使用者或群組

    5. 指派使用者和群組頁面上,選擇要為其建立許可集的使用者和/或群組。然後選擇下一步

    6. 指派許可集頁面上,選擇您在上一個步驟中建立的許可集。然後選擇下一步

    7. 檢閱和提交指派頁面上,檢閱您的選擇,然後選擇提交

    顯示較多顯示較少

Amazon Redshift 管理員執行的任務

啟用 Amazon Redshift 的受信任身分傳播需要 Amazon Redshift 叢集管理員或 Amazon Redshift Serverless 管理員在 Amazon Redshift 主控台中執行許多任務。如需詳細資訊,請參閱AWS 大數據部落格中的整合身分提供者 (IdP) 與使用 IAM Identity Center 的 Amazon Redshift 查詢編輯器 V2 和 SQL 用戶端,以實現無縫的單一登入