Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

使用查询编辑器查询数据库

使用查询编辑器是在由 Amazon Redshift 集群托管的数据库上运行查询的简单方法。创建集群后，可以使用 Amazon Redshift 控制台上的查询编辑器立即运行查询。

2021 年 2 月，部署了更新的查询编辑器，并更改了使用查询编辑器的授权权限。新的查询编辑器使用 Amazon Redshift 数据 API 来运行查询。作为 Amazon 托管式 Amazon Identity and Access Management（IAM）策略的 AmazonRedshiftQueryEditor 策略已更新为包含必要的权限。如果您有自定义 IAM 策略，请务必更新它。将 AmazonRedshiftQueryEditor 用作指南。对 AmazonRedshiftQueryEditor 的更改包括以下内容：

有关更多信息，请参阅使用 Amazon Redshift 控制台查询编辑器所需的权限。

从新的查询编辑器连接到集群时，您可以使用两种身份验证方法之一，如使用查询编辑器进行连接所述。

使用查询编辑器可以执行以下操作：

查询编辑器注意事项

请考虑下列有关使用查询编辑器时处理查询的事项：

启用对查询编辑器的访问

要访问查询编辑器，您需要相应权限。要启用访问，我们建议您将用于 IAM 权限的 AmazonRedshiftQueryEditor 和 AmazonRedshiftReadOnlyAccess Amazon 托管式策略附加到您用于访问集群的 IAM 角色。然后，可以将该角色分配给用户。您可以使用 IAM 控制台 (https://console.aws.amazon.com/iam/) 附加 IAM policy。有关更多信息，请参阅为 Amazon Redshift 使用基于身份的策略（IAM policy）。

如果您已创建用户来访问 Amazon Redshift，则可以通过分配的角色将 AmazonRedshiftQueryEditor 和 AmazonRedshiftReadOnlyAccess Amazon 托管式策略附加到该用户。如果您尚未创建用户，则可以创建一个，然后将策略附加到 IAM 角色并将该角色分配给该用户。

Amazon 托管式策略 AmazonRedshiftQueryEditor 允许操作 redshift:GetClusterCredentials，这在原定设置情况下提供了对数据库的超级用户访问权限。要限制访问，您可以执行下列操作之一：

有关创建具有所需权限的角色的更多信息，请参阅创建有权调用 GetClusterCredentials 的 IAM 角色。

如果通过 Amazon 托管式策略 AmazonRedshiftQueryEditor 为任何用户授予了访问 Amazon Redshift 查询编辑器的权限，则相应的用户可以列出所有密钥。但是，此策略仅允许创建和检索使用密钥 RedshiftQueryOwner 和值 ${aws:userid} 标记的密钥。如果您从 Amazon Redshift 查询编辑器创建密钥，则会自动标记该密钥。要使用不是通过 Amazon Redshift 查询编辑器创建的密钥，请确认该密钥是否使用键 RedshiftQueryOwner 和您的唯一 IAM 用户标识符的值标记，例如 AIDACKCEVSQ6C2EXAMPLE。

使用 Amazon Redshift 查询编辑器所需的权限为 AmazonRedshiftQueryEditor 和 AmazonRedshiftReadOnlyAccess。

要提供访问权限，请为您的用户、组或角色添加权限：

使用查询编辑器进行连接

在 Amazon Secrets Manager 中存储数据库凭证

调用查询编辑器时，您可以使用 Amazon Secrets Manager 中的密钥传递集群的凭证。要通过此方式传递凭证，您需要指定密钥的名称或 Amazon Resource Name (ARN)。

有关最低权限的更多信息，请参阅 Amazon Secrets Manager 用户指南中的使用 Amazon Secrets Manager 创建和管理密钥。

使用查询编辑器

在以下示例中，您使用查询编辑器执行以下任务：

要完成以下示例，您需要现有 Amazon Redshift 集群。如果您没有集群，请通过执行创建集群中所述的过程来创建一个集群。