Quiero desactivar el acceso con credenciales temporales al editor de consultas de Amazon Redshift.
Descripción corta
Puedes usar las credenciales temporales de AWS Secrets Manager o AWS Identity and Access Management (IAM) para acceder a un clúster de Amazon Redshift con el editor de consultas. Para conectarte con credenciales temporales, los usuarios pueden usar un nombre de usuario de base de datos o una identidad de IAM.
Para obtener más información, consulta Conexión a una base de datos de Amazon Redshift.
Resolución
Para crear una política de IAM que restrinja el acceso de credenciales temporales al editor de consultas de Amazon Redshift, sigue estos pasos:
-
Abre la consola de IAM.
-
Crea un usuario de IAM.
-
En el panel de navegación, selecciona Usuarios.
-
En Nombre de usuario, elige el usuario de IAM que quieres usar para impedir el acceso al editor de consultas.
-
Selecciona la pestaña Permisos y, a continuación, selecciona Añadir política insertada.
-
Elige la pestaña de política JSON y, a continuación, pega la siguiente política:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"redshift:GetClusterCredentialsWithIAM",
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:<account-id>:dbgroup:*/*",
"arn:aws:redshift:*:<account-id>:dbname:*/*",
"arn:aws:redshift:*:<account-id>:dbuser:*/*"
]
}
]
}
Nota: Sustituye account-id por el ID de tu cuenta de AWS.
-
Elige Revisar la política.
-
En Nombre, introduce un nombre para la política y, a continuación, selecciona Crear política.
Cuando un usuario de IAM con credenciales temporales intenta acceder al editor de consultas, recibe un error similar al siguiente: “Databases couldn't be listed”.
Información relacionada
¿Por qué no puedo conectarme a la política AmazonRedshiftQueryEditor en Amazon Redshift?