授权从 Amazon QuickSight 连接到 Amazon Redshift 集群

您可以使用三种身份验证方法提供对 Amazon Redshift 数据的访问权限：可信身份传播、运行方式 IAM 角色或 Amazon Redshift 数据库凭证。

Trusted identity propagation 是一项 Amazon IAM Identity Center 功能，已连接的 Amazon Web Services 服务的管理员可以使用它来授予和审计对服务数据的访问权限。对这些数据的访问权限基于用户属性，例如组关联。设置可信身份传播要求已连接的 Amazon Web Services 服务的管理员和 IAM Identity Center 管理员之间进行协作。有关更多信息，请参阅 Prerequisites and considerations。

在 QuickSight 中访问控制面板的用户会将其身份传播到 Amazon Redshift。在 Amazon Redshift 中，在以 QuickSight 资产形式将数据呈现给用户之前，会对数据应用精细的数据权限。QuickSight 作者还可以无需输入密码或 IAM 角色即可连接到 Amazon Redshift 数据来源。如果使用 Amazon Redshift Spectrum，则所有权限管理都集中在 Amazon Redshift 中。当 QuickSight 和 Amazon Redshift 使用相同的 IAM Identity Center 组织实例时，支持可信身份传播。以下功能当前不支持可信身份传播。

为使 Amazon QuickSight 能够连接到 Amazon Redshift 实例，您必须为该实例创建一个新的安全组。此安全组包含一条入站规则，以授权从该 Amazon Web Services 区域 中的 Amazon QuickSight 服务器的相应 IP 地址范围中进行访问。要了解授权 Amazon QuickSight 连接的更多信息，请参阅 手动启用 VPC 中的 Amazon Redshift 集群的访问权限。

允许从 Amazon QuickSight 服务器连接到集群只是根据 Amazon 数据库数据来源创建数据集的几个先决条件之一。有关所需条件的更多信息，请参阅使用数据库创建数据集。