Übersicht

Amazon Redshift bietet den GetClusterCredentialsAPI-Vorgang zur Generierung temporärer Datenbank-Benutzeranmeldedaten. Sie können Ihren SQL-Client mit Amazon-Redshift-JDBC- oder -ODBC-Treibern konfigurieren, die den Aufruf des GetClusterCredentials-Vorgangs verwalten. Dies erreichen sie durch Abrufen der Benutzeranmeldeinformationen für die Datenbank und Herstellen einer Verbindung zwischen dem SQL-Client und der Amazon-Redshift-Datenbank. Sie können auch Ihre Datenbankanwendung dazu verwenden, programmgesteuert die Operation GetClusterCredentials aufzurufen, die Benutzeranmeldeinformationen für die Datenbank abzurufen und eine Verbindung mit der Datenbank herzustellen.

Wenn Sie Benutzeridentitäten bereits außerhalb verwalten AWS, können Sie einen Identity Provider (IdP) verwenden, der der Security Assertion Markup Language (SAML) 2.0 entspricht, um den Zugriff auf Amazon Redshift Redshift-Ressourcen zu verwalten. Sie konfigurieren einen Identitätsanbieter (IdP), um verbundenen Benutzern den Zugriff auf eine IAM-Rolle zu gewähren. Mit dieser IAM-Rolle können Sie temporäre Datenbank-Anmeldeinformationen erstellen und sich bei Amazon-Redshift-Datenbanken anmelden.

Ihr SQL-Client muss zum Aufruf der Operation GetClusterCredentials für Sie berechtigt sein. Sie verwalten diese Berechtigungen, indem Sie eine IAM-Rolle erstellen und eine IAM-Berechtigungsrichtlinie zuweisen, die den Zugriff auf die Operation GetClusterCredentials und zugehörige Aktionen gewährt bzw. einschränkt. Als bewährte Methode empfehlen wir, einer IAM-Rolle Berechtigungsrichtlinien anzufügen und sie dann nach Bedarf Benutzern und Gruppen zuzuweisen. Weitere Informationen finden Sie unter Identity and Access Management in Amazon Redshift.

Die Richtlinie gewährt auch Zugriff auf bestimmte Ressourcen, z. B. Cluster, Datenbanken, Datenbankbenutzernamen und Benutzergruppennamen von Amazon Redshift, bzw. schränkt diesen ein.

Anmerkung

Wir raten zur Verwendung der Amazon-Redshift-JDBC- oder -ODBC-Treiber zur Verwaltung des Aufrufs des GetClusterCredentials-Vorgangs und der Anmeldung bei der Datenbank. Der Einfachheit halber wird in diesem Themenabschnitt davon ausgegangen, dass Sie einen SQL-Client mit JDBC- oder ODBC-Treiber verwenden.

Spezifische Details und Beispiele zur Verwendung der GetClusterCredentials Operation oder des parallel get-cluster-credentials CLI-Befehls finden Sie unter GetClusterCredentialsund get-cluster-credentials.

Um die Authentifizierung und Autorisierung zentral zu verwalten, unterstützt Amazon Redshift die Datenbankauthentifizierung mit IAM und ermöglicht so eine Benutzerauthentifizierung über Unternehmensverbund. Statt einen Benutzer zu erstellen, können Sie vorhandene Identitäten von AWS Directory Service, aus Ihrem Unternehmens-Benutzerverzeichnis oder von einem Web-Identitätsanbieter verwenden. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn der Zugriff über einen IdP angefordert wird.

Um einem Benutzer oder einer Clientanwendung in Ihrer Organisation Verbundzugriff zum Aufrufen von Amazon-Redshift-API-Vorgängen bereitzustellen, können Sie auch den JDBC- oder ODBC-Treiber mit SAML-2.0-Unterstützung verwenden, um die Authentifizierung vom Identitätsanbieter Ihrer Organisation anzufordern. In diesem Fall haben die Benutzer Ihrer Organisation keinen direkten Zugriff auf Amazon Redshift.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden der IAM-Authentifizierung zur Erstellung von Anmeldeinformationen für Datenbankbenutzern

Erstellen temporärer IAM-Anmeldeinformationen