ユーザーに一時的な認証情報を使用して Amazon Redshift クエリエディタに接続させたくありません。クエリエディタへの一時的な認証情報アクセスを無効にするにはどうすればよいですか。
簡単な説明
Amazon Redshift クラスターには、以下を使用してクエリエディタで接続できます。
AWS Secrets Manager
AWS Identity と Access Management (IAM) の一時的認証情報。
詳細については、「クエリエディターとの接続」を参照してください。
解決方法
以下の手順に従って、一時的な認証情報でクエリエディターへのアクセスを制限する IAM ポリシーを作成します。
1. IAM コンソールを開きます。
2. まだ行っていない場合は、IAM ユーザーを作成します。
3. ナビゲーションペインで、[Users] (ユーザー) をクリックします。
4. [User name] (ユーザー名) で、クエリエディターへのアクセスを禁止するために使用する IAM ユーザーを選択します。
5. [Permissions] (権限) タブを選択し、[Add inline policy] (インラインポリシー) の追加を選択します。
6. JSON ポリシータブを選択し、次のポリシーを貼り付けます。
注:****[account ID] (アカウント ID)、[cluster name] (クラスター名)、[db-name]、[db-group]、および**[db-user]** を変数に置き換えてください。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:<region>:<account ID>cluster:<cluster name>"
"arn:aws:redshift:<region>:<account ID>:dbname:<cluster name>/<db-name>",
"arn:aws:redshift:<region>:<account ID>:dbgroup:<cluster name>/<db-group>",
"arn:aws:redshift:<region>:<account ID>:dbuser:<cluster name>/<db-user>"
]
}
]
}
7. [Review policy] (ポリシーの確認) を選択します。
8. ポリシーの**[Name]** (名前) を入力し、[Create policy] (ポリシーの作成) を選択します。
一時的な認証情報を持つこの IAM ユーザーを使用してクエリエディターにアクセスしようとすると、次のようなエラーが表示されます。
「AWS Identity and Access Management (IAM) 」。
詳細については、「GetClusterCredentials を呼び出す権限を持つ IAM ロールまたはユーザーを作成する」を参照してください。
関連情報
Amazon Redshift クエリエディタに接続できないのはなぜですか。
GetClusterCredentials のリソースポリシー