Wie kann ich den Zugriff mit temporären Anmeldeinformationen bei der Verwendung des Abfrage-Editors in Amazon Redshift deaktivieren?

Lesedauer: 2 Minute
0

Ich möchte nicht, dass Benutzer mit temporären Anmeldeinformationen eine Verbindung mit Amazon Redshift Query Editor herstellen. Wie kann ich den Zugriff auf den Abfrage-Editor mit temporären Anmeldeinformationen deaktivieren?

Kurzbeschreibung

Sie können eine Verbindung zu einem Amazon-Redshift-Cluster mit dem Abfrage-Editor wie folgt herstellen:

AWS Secrets Manager.

–oder–

Temporäre Anmeldeinformationen für AWS Identity and Access Management (IAM).

Weitere Informationen finden Sie unter Verbinden mit dem Abfrage-Editor.

Lösung

Folgen Sie diesen Anweisungen, um eine IAM-Richtlinie zu erstellen, um den Zugriff auf den Abfrage-Editor mit temporären Anmeldeinformationen einzuschränken.

1.    Öffnen Sie die IAM-Konsole.

2.    Erstellen Sie einen IAM-Benutzer, falls Sie dies noch nicht getan haben.

3.    Wählen Sie im Navigationsbereich die Option Users (Benutzer) aus.

4.    Wählen Sie unter User name (Benutzername) den IAM-Benutzer aus, den Sie verwenden möchten, um den Zugriff auf den Abfrage-Editor zu verhindern.

5.    Wählen Sie die Registerkarte Permissions (Berechtigungen) und dann Add inline policy (Eingebundene Richtlinie hinzufügen) aus.

6.    Wählen Sie die Richtlinien-Registerkarte JSON aus und fügen Sie dann die folgende Richtlinie ein:

Hinweis: Ersetzen Sie Konto-ID, Clustername, DB-Name, DB-Gruppe und DB-Benutzer durch Ihre Variablen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Deny",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:<region>:<account ID>cluster:<cluster name>"
        "arn:aws:redshift:<region>:<account ID>:dbname:<cluster name>/<db-name>",
        "arn:aws:redshift:<region>:<account ID>:dbgroup:<cluster name>/<db-group>",
        "arn:aws:redshift:<region>:<account ID>:dbuser:<cluster name>/<db-user>"
      ]
    }
  ]
}

7.    Wählen Sie Richtlinie überprüfen aus.

8.    Geben Sie unter Name einen Namen für die Richtlinie ein, und wählen Sie dann Create policy (Richtlinie erstellen) aus.

Bei Versuchen, mit diesem IAM-Benutzer mit temporären Anmeldeinformationen auf den Abfrage-Editor zuzugreifen, wird eine Fehlermeldung ähnlich der folgenden angezeigt:

„Datenbanken konnten nicht aufgelistet werden“.

Weitere Informationen finden Sie unter Erstellen einer IAM-Rolle oder einer Benutzerrolle mit der Berechtigung, „GetClusterCredentials“ aufzurufen.


Relevante Informationen

Warum kann ich mich nicht mit dem Abfrage-Editor von Amazon Redshift verbinden?

Ressourcenrichtlinien für GetClusterCredentials

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr