本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 Amazon Redshift 查询编辑器 V2 的可信身份传播
<a name="setting-up-tip-redshift"></a>

以下过程将引导您实现从 Amazon Redshift 查询编辑器 V2 到 Amazon Redshift 的可信身份传播。

## 先决条件
<a name="setting-up-tip-redshift-prereqs"></a>

在开始本教程之前，您需要设置以下方面：

1. [启用 IAM 身份中心](enable-identity-center.md)。建议使用[组织实例](organization-instances-identity-center.md)。有关更多信息，请参阅 [先决条件和注意事项](trustedidentitypropagation-overall-prerequisites.md)。

1. [将身份源中的用户和组配置到 IAM Identity Center](tutorials.md)。

启用可信身份传播涉及两项操作：IAM Identity Center 管理员在 IAM Identity Center 控制台执行的任务，以及 Amazon Redshift 管理员在 Amazon Redshift 控制台执行的任务。

## IAM Identity Center 管理员需执行的任务
<a name="setting-up-tip-redshift-ssoadmin-tasks"></a>

IAM Identity Center 管理员需完成以下任务：

1. 在 Amazon Redshift 集群或无服务器实例所在的账户中，**创建 [IAM 角色](https://docs.amazonaws.cn//IAM/latest/UserGuide/id_roles.html)** 并附加以下权限策略。有关更多信息，请参阅 [IAM 角色创建](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_create.html)。

   1. 以下策略示例包含完成本教程所需的权限。要使用此政策，请将示例策略*italicized placeholder text*中的替换为您自己的信息。有关详细操作指引，请参阅[创建策略](https://docs.amazonaws.cn//IAM/latest/UserGuide/access_policies_create.html)或[编辑策略](https://docs.amazonaws.cn//IAM/latest/UserGuide/access_policies_manage-edit.html)。

     **权限策略：**

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Sid": "AllowRedshiftApplication",
                 "Effect": "Allow",
                 "Action": [
                     "redshift:DescribeQev2IdcApplications",
                     "redshift-serverless:ListNamespaces",
                     "redshift-serverless:ListWorkgroups",
                     "redshift-serverless:GetWorkgroup"
                 ],
                 "Resource": "*"
             },
             {
                 "Sid": "AllowIDCPermissions",
                 "Effect": "Allow",
                 "Action": [
                     "sso:DescribeApplication",
                     "sso:DescribeInstance"
                 ],
                 "Resource": [
                     "arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
                     "arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
                 ]
             }
         ]
     }
     ```

------

     **信任政策：**

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": [
                         "redshift-serverless.amazonaws.com",
                         "redshift.amazonaws.com"
                     ]
                 },
                 "Action": [
                     "sts:AssumeRole",
                     "sts:SetContext"
                 ]
             }
         ]
     }
     ```

------

1. 在启用 IAM Identity Center 的 Amazon Organizations 管理账户中**创建权限集**。下一步将使用该权限集允许联合用户访问 Redshift 查询编辑器 V2。

   1. 访问 **IAM Identity Center** 控制台，在**多账户权限**下选择**权限集**。

   1. 选择**创建权限集**。

   1. 选择**自定义权限集**，然后选择**下一步**。

   1. 在 **Amazon 托管策略**下，选择 **`AmazonRedshiftQueryEditorV2ReadSharing`**。

   1. 在**内联策略**下，添加以下策略：

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "redshift:DescribeQev2IdcApplications",
                      "redshift-serverless:ListNamespaces",
                      "redshift-serverless:ListWorkgroups",
                      "redshift-serverless:GetWorkgroup"
                  ],
                  "Resource": "*"
              }
          ]
      }
      ```

------

   1. 选择**下一步**，然后为权限集命名。例如 **Redshift-Query-Editor-V2**。

   1. 在**中继状态 - 可选**下，将默认中继状态设置为查询编辑器 V2 URL，格式为：`https://your-region.console.aws.amazon.com/sqlworkbench/home`。

   1. 检查设置，然后选择**创建**。

   1. 导航到 IAM Identity Center 仪表板，并从**设置摘要**部分复制 Amazon Web Services 访问门户 URL。  
![\[第 i 步，从 IAM 身份中心控制台复制 Amazon Web Services 访问门户 URL。\]](http://docs.amazonaws.cn/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)

   1. 打开一个新的隐身浏览器窗口并粘贴该 URL。

      这将带您 Amazon Web Services 进入访问门户，确保您使用的是 IAM Identity Center 用户登录。  
![\[步骤 j，登录 Amazon Web Services 访问门户。\]](http://docs.amazonaws.cn/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)

      有关权限集的更多信息，请参阅 [Amazon Web Services 账户 使用权限集进行管理](permissionsetsconcept.md)。

1. **启用联合用户访问 Redshift 查询编辑器 V2**。

   1. 在 Amazon Organizations 管理账户中，打开 **IAM 身份中心**控制台。

   1. 在导航窗格中的**多帐户权限**下，选择 **Amazon Web Services 账户**。

   1. 在 Amazon Web Services 账户 页面上，选择 Amazon Web Services 账户 要为其分配访问权限的。

   1. 选择**分配用户或组**。

   1. 在**分配用户和组**页面上，选择要为其创建权限集的用户和/或组。然后选择**下一步**。

   1. 在**分配权限集**页面上，选择您在上一步中创建的权限集。然后选择**下一步**。

   1. 在**查看并提交分配**页面上，查看您的选择，选择**提交**。

## Amazon Redshift 管理员执行的任务
<a name="setting-up-tip-redshift-admin-tasks"></a>

启用面向 Amazon Redshift 的可信身份传播，需要 Amazon Redshift 集群管理员或 Amazon Redshift Serverless 管理员在 Amazon Redshift 控制台执行多项操作。有关更多信息，请参阅《*Amazon 大数据博客*》中的[使用 IAM Identity Center 将身份提供者（IdP）与 Amazon Redshift 查询编辑器 V2 和 SQL 客户端集成以实现无缝单点登录](https://www.amazonaws.cn/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)。