Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon Redshift autorisieren, in Ihrem Namen auf AWS Services zuzugreifen
Für einige Amazon Redshift-Funktionen muss Amazon Redshift in Ihrem Namen auf andere AWS Dienste zugreifen. Beispielsweise können mit den Befehlen COPY und UNLOAD Daten unter Verwendung eines Amazon S3 Buckets in Ihren Amazon-Redshift-Cluster geladen bzw. entladen werden. Der Befehl CREATE EXTERNAL FUNCTION kann eine AWS Lambda-Funktion mithilfe einer skalaren benutzerdefinierten Lambda-Funktion (UDF) aufrufen. Amazon Redshift Spectrum kann einen Datenkatalog in Amazon Athena oder verwenden. AWS Glue Damit Ihre Amazon-Redshift-Cluster in Ihrem Namen agieren können, stellen Sie ihnen Sicherheitsanmeldeinformationen bereit. Zur Bereitstellung von Sicherheitsanmeldeinformationen geben Sie am besten eine AWS Identity and Access Management (IAM)-Rolle an. Für COPY und UNLOAD können Sie temporäre Anmeldeinformationen angeben.
Benutzer benötigen programmatischen Zugriff, wenn sie mit AWS außerhalb des interagieren möchten. AWS Management Console Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt vom Benutzertyp ab, der zugreift. AWS
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von |
|---|---|---|
|
Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden) |
Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs |
Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
|
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen im IAM-Benutzerhandbuch. |
| IAM | (Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs |
Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
|
Im Folgenden erfahren Sie, wie Sie eine IAM-Rolle mit den entsprechenden Berechtigungen für den Zugriff auf andere AWS Dienste erstellen. Sie müssen dazu auch die Rolle Ihrem Cluster zuweisen und den Amazon-Ressourcennamen (ARN) der Rolle angeben, wenn Sie den Amazon-Redshift-Befehl ausführen. Weitere Informationen finden Sie unter Autorisieren der Vorgänge COPY, UNLOAD, CREATE EXTERNAL FUNCTION und CREATE EXTERNAL SCHEMA mithilfe von IAM-Rollen.
Darüber hinaus kann ein Superuser bestimmten Benutzern und Gruppen die Berechtigung ASSUMEROLE erteilen, um Zugriff auf eine Rolle für COPY- und UNLOAD-Vorgänge zu gewähren. Weitere Informationen finden Sie unter GRANT im Datenbankentwicklerhandbuch zu Amazon Redshift.
Erstellen einer IAM-Rolle, um Ihrem Amazon Redshift Redshift-Cluster den Zugriff auf Services zu ermöglichen AWS
Eine IAM-Rolle mit Berechtigungen erstellen
Gehen Sie wie folgt vor, um eine IAM-Rolle zu erstellen, die Ihrem Amazon-Redshift-Cluster die Kommunikation mit anderen AWS -Services für Sie ermöglicht. Die in diesem Abschnitt verwendeten Werte sind Beispiele. Sie können Werte basierend auf Ihren Anforderungen auswählen.
Um eine IAM-Rolle zu erstellen, um Amazon Redshift den Zugriff auf Services zu ermöglichen AWS
-
Öffnen Sie die IAM-Konsole
. -
Wählen Sie im Navigationsbereich Roles aus.
-
Wählen Sie Create role (Rolle erstellen) aus.
-
Wählen Sie AWS service und anschließend Redshift aus.
-
Wählen Sie unter Select your use case (Auswahl Ihres Anwendungsfalls) Redshift - Customizable (Redshift - Anpassbar) und dann Next: Permissions (Weiter: Berechtigungen) aus. Die Seite Attach permissions policy (Berechtigungsrichtlinie anfügen) wird angezeigt.
-
Zum Zugreifen auf Amazon S3 mithilfe von COPY können Sie beispielsweise
AmazonS3ReadOnlyAccessund Anhängen verwenden. Zum Zugreifen auf Amazon S3 mit COPY oder UNLOAD empfehlen wir, verwaltete Richtlinien zu erstellen, die den Zugriff auf den gewünschten Bucket und das entsprechende Präfix beschränken. Für Lese- und Schreibvorgänge empfehlen wir, die minimalen Berechtigungen zu aktivieren und den Zugriff auf die Amazon S3 Buckets und Schlüsselpräfixe zu beschränken, die Amazon Redshift erfordert.Für Zugriff zum Aufrufen von Lambda-Funktionen für den Befehl CREATE EXTERNAL FUNCTION fügen Sie hinzu
AWSLambdaRole.Für Redshift Spectrum, zusätzlich zum Zugriff auf Amazon S3, fügen Sie
AWSGlueConsoleFullAccessoderAmazonAthenaFullAccesshinzu.Wählen Sie Next: Markierungen (Weiter: Markierungen).
-
Die Seite Add tags (Tags hinzufügen) wird angezeigt. Sie können optional Tags hinzufügen. Klicken Sie auf Next: Review (Weiter: Prüfen).
-
Geben Sie in Role name (Rollenname) einen Namen für die Rolle ein, z. B.
RedshiftCopyUnload. Wählen Sie Create role (Rolle erstellen) aus. -
Die neue Rolle ist für alle Benutzer auf Clustern verfügbar, die diese Rolle verwenden. Um den Zugriff auf bestimmte Benutzer auf bestimmten Clustern oder auf Clustern in bestimmten Regionen zu beschränken, bearbeiten Sie das Vertrauensverhältnis für die Rolle. Weitere Informationen finden Sie unter Einschränken des Zugriffs auf IAM-Rollen.
-
Weisen Sie die Rolle zu Ihrem Cluster zu. Sie können eine IAM-Rolle einem Cluster zuweisen, wenn Sie den Cluster erstellen, Sie können sie aber auch einem vorhandenen Cluster zuweisen. Weitere Informationen finden Sie unter Verknüpfen von IAM-Rollen mit Clustern.
Anmerkung
Um den Zugriff auf bestimmte Daten zu beschränken, verwenden Sie eine IAM-Rolle, die die minimal erforderlichen Berechtigungen gewährt.
