我不希望使用者使用臨時憑證連線至 Amazon Redshift 查詢編輯器。如何停用查詢編輯器的臨時憑據存取?
簡短描述
可以使用以下方式,藉助查詢編輯器連線至 Amazon Redshift 叢集:
AWS Secrets Manager。
-或-
AWS Identity and Access Management (IAM) 臨時憑證。
如需詳細資訊,請參閱使用查詢編輯器連線。
解決方案
按照以下說明建立 IAM 政策,以使用臨時憑證限制查詢編輯器的存取權。
1. 開啟 IAM 主控台。
2. 建立 IAM 使用者 (如果您尚未建立)。
3. 在導覽窗格中,選擇 Users (使用者)。
4. 在 User name (使用者名稱) 中,選擇您要用來阻止存取查詢編輯器的 IAM 使用者。
5. 選擇 Permissions (許可) 索引標籤,然後選擇 Add inline policy (新增內嵌政策)。
6. 選擇 JSON policy (JSON 政策) 索引標籤,然後貼上下列政策:
注意:用您的變數取代帳戶 ID、叢集名稱、db-name、db-group 和 db-user。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:<region>:<account ID>cluster:<cluster name>"
"arn:aws:redshift:<region>:<account ID>:dbname:<cluster name>/<db-name>",
"arn:aws:redshift:<region>:<account ID>:dbgroup:<cluster name>/<db-group>",
"arn:aws:redshift:<region>:<account ID>:dbuser:<cluster name>/<db-user>"
]
}
]
}
7. 選擇 Review policy (檢閱政策)。
8. 對於 Name (名稱),輸入政策的名稱,然後選擇 Create policy (建立政策)。
嘗試使用具有臨時憑證的 IAM 使用者存取查詢編輯器會收到類似下列內容的錯誤:
"Databases couldn't be listed" (無法列出資料庫)。
如需詳細資訊,請參閱建立 IAM 角色或具有呼叫 GetClusterCredentials 之許可的使用者。
相關資訊
為什麼我無法連線到 Amazon Redshift 查詢編輯器?
GetClusterCredentials 的資源政策