Identity and Access Management in Amazon Redshift - Amazon Redshift

Identity and Access Management in Amazon Redshift

Für den Zugriff auf Amazon Redshift werden Anmeldeinformationen benötigt, die AWS zur Authentifizierung Ihrer Anforderungen verwenden kann. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS-Ressourcen, wie einen Amazon-Redshift-Cluster, verfügen. In den folgenden Abschnitten erfahren Sie, wie Sie Ihre Ressourcen mithilfe von AWS Identity and Access Management (IAM) und Amazon Redshift sichern können, indem Sie den Zugriff darauf kontrollieren:

Authentifizierung

Sie können mit einer der folgenden Identitäten auf AWS zugreifen:

  • AWS-Konto-Stammbenutzer – Wenn Sie ein AWS-Konto neu erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die über kompletten Zugriff auf sämtliche AWS-Services und Ressourcen im Konto verfügt. Diese Identität wird als AWS-Konto-Stammbenutzer bezeichnet. Für den Zugriff auf den Stammbenutzer müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben zu verwenden, auch nicht für administrative Aufgaben. Folgen Sie stattdessen dem bewährten Verfahren, den Stammbenutzer ausschließlich zur Erstellung des ersten IAM-Benutzers zu verwenden. Sperren Sie dann die Anmeldedaten des Stammbenutzers sicher weg und verwenden Sie sie nur für einige wenige Aufgaben der Konto- und Dienstverwaltung.

  • IAM-Benutzer – Ein IAM-Benutzer ist eine Identität in Ihrem AWS-Konto mit bestimmten benutzerdefinierten Berechtigungen (z. B. Berechtigungen zum Erstellen eines Clusters in Amazon Redshift). Sie können einen IAM-Benutzernamen und ein Passwort für die Anmeldung bei sicheren AWS-Webseiten verwenden. Dazu zählen beispielsweise die AWS Management Console, AWS -Diskussionsforen und das AWS Support Center.

    Zusätzlich zu einem Benutzernamen und Passwort können Sie Zugriffsschlüssel für jeden Benutzer erstellen. Sie können diese Schlüssel verwenden, wenn Sie auf AWS-Services programmatisch zugreifen, entweder über eines der verschiedenen SDKs oder mit der AWS Command Line Interface (CLI). Das SDK und die CLI-Tools verwenden die Zugriffsschlüssel, um Ihre Anfrage verschlüsselt zu signieren. Wenn Sie keine AWS-Tools verwenden, müssen Sie die Anforderung selbst signieren. Amazon Redshift unterstützt Signature Version 4, ein Protokoll zur Authentifizierung eingehender API-Anforderungen. Weitere Informationen zur Authentifizierung von Anforderungen Sie unter Signaturprozess mit Signaturversion 4 in der Allgemeinen AWS-Referenz.

  • IAM-Rolle – Eine IAM-Rolle ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ist einem IAM-Benutzer ähnlich, weil es sich um eine AWS-Identität mit Berechtigungsrichtlinien handelt, die festlegen, welche Aktionen die Identität in AWS ausführen kann und welche nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle annehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:

    • Verbundener Benutzerzugriff – Statt einen IAM-Benutzer zu erstellen, können Sie bereits vorhandene Identitäten von AWS Directory Service, vom Benutzerverzeichnis Ihres Unternehmens oder von einem Web-Identitätsanbieter verwenden. Diese werden als verbundene Benutzer bezeichnet. AWS weist einem verbundenen Benutzer eine Rolle zu, wenn Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu verbundenen Benutzern finden Sie unter Verbundene Benutzer und Rollen im IAM-Benutzerhandbuch.

    • Zugriff auf AWS-Service – Eine Servicerolle ist eine IAM-Rolle, die ein Service übernimmt, um Aktionen in Ihrem Konto für Sie auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-BenutzerAWS-Service im IAM-Benutzerhandbuch.

    • Anwendungen in Amazon EC2 – Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2-Instance ausgeführt werden und AWS CLI- oder AWS-API-Anforderungen durchführen. Das ist eher zu empfehlen, als Zugriffsschlüssel innerhalb der EC2-Instance zu speichern. Erstellen Sie ein Instance-Profil, das an die Instance angefügt ist, um eine AWS-Rolle einer EC2-Instance zuzuweisen und die Rolle für sämtliche Anwendungen der Instance bereitzustellen. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden im IAM-Benutzerhandbuch.

Zugriffskontrolle

Auch wenn Sie über gültige Anmeldeinformationen zur Authentifizierung Ihrer Anforderungen verfügen, können Sie nur dann Amazon-Redshift-Ressourcen erstellen oder aufrufen, wenn Sie die entsprechenden Berechtigungen haben. Sie müssen beispielsweise über eine Berechtigung zum Erstellen eines Amazon-Redshift-Clusters, zum Erstellen eines Snapshots, zum Hinzufügen eines Ereignisabonnements usw. verfügen.

In den folgenden Abschnitten wird die Verwaltung von Berechtigungen für Amazon Redshift beschrieben. Wir empfehlen Ihnen, zunächst die Übersicht zu lesen.