Ich möchte nicht, dass Benutzer mit temporären Anmeldeinformationen eine Verbindung mit Amazon Redshift Query Editor herstellen. Wie kann ich den Zugriff auf den Abfrage-Editor mit temporären Anmeldeinformationen deaktivieren?
Kurzbeschreibung
Sie können eine Verbindung zu einem Amazon-Redshift-Cluster mit dem Abfrage-Editor wie folgt herstellen:
AWS Secrets Manager.
–oder–
Temporäre Anmeldeinformationen für AWS Identity and Access Management (IAM).
Weitere Informationen finden Sie unter Verbinden mit dem Abfrage-Editor.
Lösung
Folgen Sie diesen Anweisungen, um eine IAM-Richtlinie zu erstellen, um den Zugriff auf den Abfrage-Editor mit temporären Anmeldeinformationen einzuschränken.
1. Öffnen Sie die IAM-Konsole.
2. Erstellen Sie einen IAM-Benutzer, falls Sie dies noch nicht getan haben.
3. Wählen Sie im Navigationsbereich die Option Users (Benutzer) aus.
4. Wählen Sie unter User name (Benutzername) den IAM-Benutzer aus, den Sie verwenden möchten, um den Zugriff auf den Abfrage-Editor zu verhindern.
5. Wählen Sie die Registerkarte Permissions (Berechtigungen) und dann Add inline policy (Eingebundene Richtlinie hinzufügen) aus.
6. Wählen Sie die Richtlinien-Registerkarte JSON aus und fügen Sie dann die folgende Richtlinie ein:
Hinweis: Ersetzen Sie Konto-ID, Clustername, DB-Name, DB-Gruppe und DB-Benutzer durch Ihre Variablen.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:<region>:<account ID>cluster:<cluster name>"
"arn:aws:redshift:<region>:<account ID>:dbname:<cluster name>/<db-name>",
"arn:aws:redshift:<region>:<account ID>:dbgroup:<cluster name>/<db-group>",
"arn:aws:redshift:<region>:<account ID>:dbuser:<cluster name>/<db-user>"
]
}
]
}
7. Wählen Sie Richtlinie überprüfen aus.
8. Geben Sie unter Name einen Namen für die Richtlinie ein, und wählen Sie dann Create policy (Richtlinie erstellen) aus.
Bei Versuchen, mit diesem IAM-Benutzer mit temporären Anmeldeinformationen auf den Abfrage-Editor zuzugreifen, wird eine Fehlermeldung ähnlich der folgenden angezeigt:
„Datenbanken konnten nicht aufgelistet werden“.
Weitere Informationen finden Sie unter Erstellen einer IAM-Rolle oder einer Benutzerrolle mit der Berechtigung, „GetClusterCredentials“ aufzurufen.
Relevante Informationen
Warum kann ich mich nicht mit dem Abfrage-Editor von Amazon Redshift verbinden?
Ressourcenrichtlinien für GetClusterCredentials