Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon Redshift autorisieren, in Ihrem Namen auf AWS Services zuzugreifen
Für einige Amazon Redshift-Funktionen muss Amazon Redshift in Ihrem Namen auf andere AWS Dienste zugreifen. Mit den UNLOADBefehlen COPYund können beispielsweise Daten mithilfe eines Amazon S3-Buckets in Ihren Amazon Redshift Redshift-Cluster geladen oder entladen werden. Der CREATEEXTERNALFUNCTIONBefehl kann eine AWS Lambda-Funktion mithilfe einer skalaren benutzerdefinierten Lambda-Funktion () aufrufen. UDF Amazon Redshift Spectrum kann einen Datenkatalog in Amazon Athena oder verwenden. AWS Glue Damit Ihre Amazon-Redshift-Cluster in Ihrem Namen agieren können, stellen Sie ihnen Sicherheitsanmeldeinformationen bereit. Die bevorzugte Methode zur Bereitstellung von Sicherheitsanmeldedaten ist die Angabe einer Rolle AWS Identity and Access Management (IAM). Für COPY und UNLOAD können Sie temporäre Anmeldeinformationen angeben.
Benutzer benötigen programmgesteuerten Zugriff, wenn sie mit AWS außerhalb von interagieren möchten. AWS Management Console Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt von der Art des Benutzers ab, der zugreift. AWS
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von |
|---|---|---|
|
Mitarbeiteridentität (In IAM Identity Center verwaltete Benutzer) |
Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren. |
Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
|
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren. | Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen im IAMBenutzerhandbuch. |
| IAM | (Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren. |
Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
|
Im Folgenden erfahren Sie, wie Sie eine IAM Rolle mit den entsprechenden Berechtigungen für den Zugriff auf andere AWS Dienste erstellen. Sie müssen die Rolle auch Ihrem Cluster zuordnen und den Amazon-Ressourcennamen (ARN) der Rolle angeben, wenn Sie den Amazon Redshift-Befehl ausführen. Weitere Informationen finden Sie unter Autorisieren von COPYUNLOAD, und CREATE EXTERNAL FUNCTION CREATE EXTERNAL SCHEMA Vorgängen mithilfe von Rollen IAM.
Darüber hinaus kann ein Superuser bestimmten Benutzern und ASSUMEROLE Gruppen das Recht gewähren, Zugriff auf eine Rolle COPY und UNLOAD Operationen zu gewähren. Weitere Informationen finden Sie GRANTim Amazon Redshift Database Developer Guide.
Eine IAM Rolle erstellen, um Ihrem Amazon Redshift Redshift-Cluster den Zugriff auf AWS Services zu ermöglichen
Eine IAM Rolle mit Berechtigungen erstellen
Gehen Sie wie folgt vor, um eine IAM Rolle zu erstellen, die es Ihrem Amazon Redshift Redshift-Cluster ermöglicht, in Ihrem Namen mit anderen AWS Services zu kommunizieren. Die in diesem Abschnitt verwendeten Werte sind Beispiele. Sie können Werte basierend auf Ihren Anforderungen auswählen.
Um eine IAM Rolle zu erstellen, die Amazon Redshift den Zugriff AWS auf Services ermöglicht
-
Öffnen Sie die IAMKonsole
. -
Wählen Sie im Navigationsbereich Rollen aus.
-
Wählen Sie Create role (Rolle erstellen) aus.
-
Wählen Sie AWS service und anschließend Redshift aus.
-
Wählen Sie unter Select your use case (Auswahl Ihres Anwendungsfalls) Redshift - Customizable (Redshift - Anpassbar) und dann Next: Permissions (Weiter: Berechtigungen) aus. Die Seite Attach permissions policy (Berechtigungsrichtlinie anfügen) wird angezeigt.
-
Für den Zugriff auf Amazon S3 können Sie beispielsweise verwenden
AmazonS3ReadOnlyAccessund anhängen. COPY Für den Zugriff auf Amazon S3 mit COPY oder empfehlen wirUNLOAD, verwaltete Richtlinien zu erstellen, die den Zugriff auf den gewünschten Bucket und das Präfix entsprechend einschränken. Für Lese- und Schreibvorgänge empfehlen wir, die minimalen Berechtigungen zu aktivieren und den Zugriff auf die Amazon S3 Buckets und Schlüsselpräfixe zu beschränken, die Amazon Redshift erfordert.Um Zugriff auf das Aufrufen von Lambda-Funktionen für den CREATE EXTERNAL FUNCTION Befehl zu erhalten, fügen Sie hinzu.
AWSLambdaRoleFür Redshift Spectrum, zusätzlich zum Zugriff auf Amazon S3, fügen Sie
AWSGlueConsoleFullAccessoderAmazonAthenaFullAccesshinzu.Wählen Sie Next: Markierungen (Weiter: Markierungen).
-
Die Seite Add tags (Tags hinzufügen) wird angezeigt. Sie können optional Tags hinzufügen. Klicken Sie auf Next: Review (Weiter: Prüfen).
-
Geben Sie in Role name (Rollenname) einen Namen für die Rolle ein, z. B.
RedshiftCopyUnload. Wählen Sie Create role (Rolle erstellen) aus. -
Die neue Rolle ist für alle Benutzer auf Clustern verfügbar, die diese Rolle verwenden. Um den Zugriff auf bestimmte Benutzer auf bestimmten Clustern oder auf Clustern in bestimmten Regionen zu beschränken, bearbeiten Sie das Vertrauensverhältnis für die Rolle. Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf Rollen IAM.
-
Weisen Sie die Rolle zu Ihrem Cluster zu. Sie können eine IAM Rolle einem Cluster zuordnen, wenn Sie den Cluster erstellen, oder Sie fügen die Rolle einem vorhandenen Cluster hinzu. Weitere Informationen finden Sie unter IAMRollen Clustern zuordnen.
Anmerkung
Um den Zugriff auf bestimmte Daten einzuschränken, verwenden Sie eine IAM Rolle, die die geringsten erforderlichen Rechte gewährt.
