如何在 Amazon Redshift 中使用查詢編輯器時停用臨時憑證存取?

1 分的閱讀內容
0

我不希望使用者使用臨時憑證連線至 Amazon Redshift 查詢編輯器。如何停用查詢編輯器的臨時憑據存取?

簡短描述

可以使用以下方式,藉助查詢編輯器連線至 Amazon Redshift 叢集:

AWS Secrets Manager。

-或-

AWS Identity and Access Management (IAM) 臨時憑證。

如需詳細資訊,請參閱使用查詢編輯器連線

解決方案

按照以下說明建立 IAM 政策,以使用臨時憑證限制查詢編輯器的存取權。

1.    開啟 IAM 主控台

2.    建立 IAM 使用者 (如果您尚未建立)。

3.    在導覽窗格中,選擇 Users (使用者)。

4.    在 User name (使用者名稱) 中,選擇您要用來阻止存取查詢編輯器的 IAM 使用者。

5.    選擇 Permissions (許可) 索引標籤,然後選擇 Add inline policy (新增內嵌政策)。

6.    選擇 JSON policy (JSON 政策) 索引標籤,然後貼上下列政策:

注意:用您的變數取代帳戶 ID叢集名稱db-namedb-groupdb-user

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Deny",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:<region>:<account ID>cluster:<cluster name>"
        "arn:aws:redshift:<region>:<account ID>:dbname:<cluster name>/<db-name>",
        "arn:aws:redshift:<region>:<account ID>:dbgroup:<cluster name>/<db-group>",
        "arn:aws:redshift:<region>:<account ID>:dbuser:<cluster name>/<db-user>"
      ]
    }
  ]
}

7.    選擇 Review policy (檢閱政策)。

8.    對於 Name (名稱),輸入政策的名稱,然後選擇 Create policy (建立政策)。

嘗試使用具有臨時憑證的 IAM 使用者存取查詢編輯器會收到類似下列內容的錯誤:

"Databases couldn't be listed" (無法列出資料庫)。

如需詳細資訊,請參閱建立 IAM 角色或具有呼叫 GetClusterCredentials 之許可的使用者


相關資訊

為什麼我無法連線到 Amazon Redshift 查詢編輯器?

GetClusterCredentials 的資源政策

AWS 官方
AWS 官方已更新 1 年前