设置 Amazon Redshift 查询编辑器 V2 的可信身份传播

在 Amazon Redshift 集群或无服务器实例所在的账户中，创建 IAM 角色 并附加以下权限策略。有关更多信息，请参阅 IAM 角色创建。

1. 以下策略示例包含完成本教程所需的权限。要使用此政策，请将示例策略italicized placeholder text中的替换为您自己的信息。有关详细操作指引，请参阅创建策略或编辑策略。

   权限策略：

   JSON

   {
       "Version":"2012-10-17",
       "Statement": [
           {
               "Sid": "AllowRedshiftApplication",
               "Effect": "Allow",
               "Action": [
                   "redshift:DescribeQev2IdcApplications",
                   "redshift-serverless:ListNamespaces",
                   "redshift-serverless:ListWorkgroups",
                   "redshift-serverless:GetWorkgroup"
               ],
               "Resource": "*"
           },
           {
               "Sid": "AllowIDCPermissions",
               "Effect": "Allow",
               "Action": [
                   "sso:DescribeApplication",
                   "sso:DescribeInstance"
               ],
               "Resource": [
                   "arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
                   "arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
               ]
           }
       ]
   }
   

   显示更多显示更少

   信任政策：

   JSON

   {
       "Version":"2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "redshift-serverless.amazonaws.com",
                       "redshift.amazonaws.com"
                   ]
               },
               "Action": [
                   "sts:AssumeRole",
                   "sts:SetContext"
               ]
           }
       ]
   }
                                       
   

   显示更多显示更少

在启用 IAM Identity Center 的 AWS Organizations 管理账户中创建权限集。下一步将使用该权限集允许联合用户访问 Redshift 查询编辑器 V2。

1. 前往 IAM Identity Center 控制台，在 “Multi-Account 权限” 下，选择 “权限集”。

2. 选择创建权限集。

3. 选择自定义权限集，然后选择下一步。

4. 在 AWS 托管策略下，选择 AmazonRedshiftQueryEditorV2ReadSharing。

5. 在内联策略下，添加以下策略：

   JSON

   {
       "Version":"2012-10-17",
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Action": [
                   "redshift:DescribeQev2IdcApplications",
                   "redshift-serverless:ListNamespaces",
                   "redshift-serverless:ListWorkgroups",
                   "redshift-serverless:GetWorkgroup"
               ],
               "Resource": "*"
           }
       ]
   }
   

   显示更多显示更少

6. 选择下一步，然后为权限集命名。例如 Redshift-Query-Editor-V2。

7. 在中继状态 - 可选下，将默认中继状态设置为查询编辑器 V2 URL，格式为：https://your-region.console.aws.amazon.com/sqlworkbench/home。

8. 检查设置，然后选择创建。

9. 导航到 IAM Identity Center 仪表板，并从设置摘要部分复制 AWS 访问门户 URL。

   

10. 打开一个新的隐身浏览器窗口并粘贴该 URL。

    这将带您 AWS 进入访问门户，确保您使用的是 IAM Identity Center 用户登录。

    

    有关权限集的更多信息，请参阅 AWS 账户 使用权限集进行管理。

启用联合用户访问 Redshift 查询编辑器 V2。

1. 在 AWS Organizations 管理账户中，打开 IAM 身份中心控制台。

2. 在导航窗格的 “Multi-account权限” 下，选择AWS 账户。

3. 在 AWS 账户 页面上，选择 AWS 账户 要为其分配访问权限的。

4. 选择分配用户或组。

5. 在分配用户和组页面上，选择要为其创建权限集的用户和/或组。然后选择下一步。

6. 在分配权限集页面上，选择您在上一步中创建的权限集。然后选择下一步。

7. 在查看并提交分配页面上，查看您的选择，选择提交。