Comment puis-je désactiver l'accès par informations d'identification temporaires lorsque j'utilise l'éditeur de requêtes dans Amazon Redshift ?

Lecture de 2 minute(s)

Je ne souhaite pas que les utilisateurs se connectent à l'éditeur de requêtes Amazon Redshift à l'aide d'informations d'identification temporaires. Comment puis-je désactiver l'accès par informations d'identification temporaires à l'éditeur de requêtes ?

Brève description

Vous pouvez vous connecter à un cluster Amazon Redshift à l'aide de l'éditeur de requêtes en utilisant :

AWS Secrets Manager

-ou-

Des informations d'identification temporaires AWS Identity and Access Management (IAM)

Pour plus d'informations, consultez la rubrique Connexion à l'éditeur de requêtes.

Solution

Suivez les instructions suivantes afin de créer une politique IAM permettant de restreindre l'accès à l'éditeur de requêtes par le biais d'informations d'identification temporaires.

1. Ouvrez la console IAM.

2. Si vous ne l'avez pas déjà fait, créez un utilisateur IAM.

3. Dans le panneau de navigation, sélectionnez Users (Utilisateurs).

4. Dans User name (Nom d'utilisateur), choisissez l'utilisateur IAM que vous souhaitez utiliser pour empêcher l'accès à l'éditeur de requêtes.

5. Cliquez sur l'onglet Permissions (Autorisations), puis sélectionnez Add inline policy (Ajouter une politique en ligne).

6. Sélectionnez l'onglet correspond à la politique JSON, puis collez la politique suivante :

Remarque : remplacez account ID (ID de compte), cluster name (nom du cluster), db-name (nom de la base de données), db-group (groupe de base de données) et db-user(utilisateur de la base de données) par vos variables.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Deny",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:<region>:<account ID>cluster:<cluster name>"
        "arn:aws:redshift:<region>:<account ID>:dbname:<cluster name>/<db-name>",
        "arn:aws:redshift:<region>:<account ID>:dbgroup:<cluster name>/<db-group>",
        "arn:aws:redshift:<region>:<account ID>:dbuser:<cluster name>/<db-user>"
      ]
    }
  ]
}

7. Choisissez Examiner une stratégie.

8. Dans Name (Nom), saisissez un nom pour la politique, puis sélectionnez Create policy (Créer une politique).

Les tentatives d'accès à l'éditeur de requêtes à l'aide de cet utilisateur IAM avec des informations d'identification temporaires génèrent une erreur similaire à la suivante :

« Databases couldn't be listed » (Les bases de données n'ont pas pu être répertoriées).

Pour plus d'informations, consultez Créer un rôle ou un utilisateur IAM avec les autorisations nécessaires pour appeler GetClusterCredentials.

Informations connexes

Pourquoi ne puis-je pas me connecter à l'éditeur de requêtes Amazon Redshift ?

Politiques de ressources pour GetClusterCredentials

Sujets

Analytique

Balises

Amazon Redshift

Langue

Français

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

Comment s'assurer que toutes les ressources sont désactivées ?
rePost-User-2282818
demandé il y a un an
the logon attempt failed
rePost-User-7377810
demandé il y a un an
Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a un an
Création de tables SQL
yannick
demandé il y a 8 mois
problème de placement de sous titres lors de la création de fichier dans MEDIACONVERT
rePost-User-0874367
demandé il y a un an
Comment désactiver temporairement l'enregistrement des appels pour la sécurité dans Amazon Connect lorsqu'un client saisit des informations sensibles ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi Amazon Redshift exécute-t-il le processus COPY ANALYZE lorsque STATUPDATE est désactivé ?
AWS OFFICIELA mis à jour il y a un an
Comment calculer les frais de requête dans Amazon Redshift Spectrum ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment détecter et désactiver les verrous dans Amazon Redshift ?
AWS OFFICIELA mis à jour il y a 2 ans