Paso 1. Crear un rol de IAM para Amazon Redshift

El clúster necesita autorización para obtener acceso al catálogo de datos externo de AWS Glue o Amazon Athena, y a los archivos de datos de Amazon S3. Para proporcionar esa autorización, se referencia un rol de AWS Identity and Access Management (IAM) que se adjunta a su clúster. Para obtener más información acerca del uso de roles con Amazon Redshift, consulte Autorización de uso de las operaciones COPY y UNLOAD mediante roles de IAM.

nota

En ciertos casos, puede migrar su catálogo de datos de Athena a un catálogo de datos de AWS Glue. Puede hacer esto si su clúster está en una región de AWS donde se admite AWS Glue y tiene tablas externas de Redshift Spectrum en el catálogo de datos de Athena. Para usar el catálogo de datos de AWS Glue con Redshift Spectrum, es posible que tenga que cambiar las políticas de IAM. Para obtener más información, consulte Actualización al catálogo de datos de AWS Glue en la Guía del usuario de Athena.

Cuando cree un rol para Amazon Redshift, elija uno de los siguientes enfoques:

Si está utilizando Redshift Spectrum con un catálogo de datos de Athena o un catálogo de datos de AWS Glue, siga los pasos descritos en Para crear un rol de IAM para Amazon Redshift.
Si está utilizando Redshift Spectrum con un AWS Glue Data Catalog que está habilitado para AWS Lake Formation, siga los pasos descritos en estos procedimientos:
- Para crear un rol de IAM para Amazon Redshift mediante un AWS Glue Data Catalog habilitado para AWS Lake Formation
- Para otorgar permisos SELECT en la tabla para realizar consultas en la base de datos de Lake Formation

Para crear un rol de IAM para Amazon Redshift

Abra la consola de IAM.
Seleccione Roles en el panel de navegación.
Elija Create role (Crear rol).
Elija Servicio de AWS como entidad de confianza y, a continuación, elija Redshift como caso de uso.
En Caso de uso para otros Servicios de AWS, elija Redshift - Personalizable y, a continuación, elija Siguiente.
Aparece la página Add permissions policy (Agregar política de permisos). Elija AmazonS3ReadOnlyAccess y AWSGlueConsoleFullAccess, si está utilizando el catálogo de datos AWS Glue. O bien, elija AmazonAthenaFullAccess si está utilizando el catálogo de datos de Athena. Elija Next (Siguiente).
nota
La política AmazonS3ReadOnlyAccess proporciona al clúster acceso de solo lectura a todos los buckets de Amazon S3. Para conceder acceso solo al bucket de datos de muestra de AWS, cree una política nueva y agregue los siguientes permisos.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::redshift-downloads/*"
        }
    ]
}
```
En Role Name (Nombre de la función), escriba un nombre para la función; por ejemplo, myspectrum_role.
Revise la información y seleccione Create role (Crear función).
Seleccione Roles en el panel de navegación. Elija el nombre de la nueva función para ver el resumen y copie el ARN de función en el portapapeles. Esta valor es el nombre de recurso de Amazon (ARN) de la función que acaba de crear. Usa ese valor cuando crea tablas externas para referenciar sus archivos de datos en Amazon S3.

Para crear un rol de IAM para Amazon Redshift mediante un AWS Glue Data Catalog habilitado para AWS Lake Formation

Abra la consola de IAM en https://console.aws.amazon.com/iam/.
En el panel de navegación, seleccione Policies (Políticas).

Si es la primera vez que elige Policies (Políticas), aparecerá la página Welcome to Managed Policies (Bienvenido a políticas administradas). Elija Get Started (Comenzar).
Elija Create Policy (Crear política).
Elija crear la política en la pestaña JSON.

Pegue el siguiente documento de política JSON, el cual concede acceso al catálogo de datos, pero deniega el permiso de administrador para Lake Formation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RedshiftPolicyForLF",
            "Effect": "Allow",
            "Action": [
                "glue:*",
                "lakeformation:GetDataAccess"
            ],
            "Resource": "*"
        }
    ]
}

Cuando haya terminado, seleccione Review (Revisar) para revisar la política. El validador de políticas notifica los errores de sintaxis.
En la página Review policy (Revisar política), en el campo Name (Nombre), ingrese myspectrum_policy para asignarle un nombre a la política que está creando. (Opcional) Introduzca una descripción. Revise el Summary (Resumen) de la política para ver los permisos concedidos por su política. A continuación, elija Create policy (Crear política) para guardar su trabajo.

Después de crear una política, puede proporcionar acceso a los clientes.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center.
Usuarios administrados en IAM a través de un proveedor de identidades:

Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
Usuarios de IAM:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.

Para otorgar permisos SELECT en la tabla para realizar consultas en la base de datos de Lake Formation

Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/.
En el panel de navegación, elija Permisos de lago de datos y, a continuación, elija Otorgar.
Siga las instrucciones de Otorgar permisos de tabla mediante el método de recurso designado de la Guía para desarrolladores de AWS Lake Formation. Proporcione la información siguiente:
- En IAM role (Rol de IAM), elija el rol de IAM que creó, myspectrum_role. Cuando se ejecuta el editor de consultas de Amazon Redshift, este utiliza el rol de IAM para dar permiso a los datos.
  nota
  Si desea otorgar permisos SELECT en la tabla de un catálogo de datos habilitado para Lake Formation para realizar consultas, haga lo siguiente:
  
  Registre la ruta para los datos en Lake Formation.
  Otorgue a los usuarios permisos para la ruta en Lake Formation.
  Las tablas creadas se pueden encontrar en la ruta registrada en Lake Formation.
Elija Conceder.

importante

Como práctica recomendada, permita el acceso únicamente a los objetos de Amazon S3 subyacentes a través de permisos de Lake Formation. Para evitar accesos no aprobados, quite cualquier permiso que haya otorgado a los objetos de Amazon S3 fuera de Lake Formation. Si ya ha accedido a objetos de Amazon S3 antes de configurar Lake Formation, quite las políticas de IAM o los permisos de los buckets que se hayan configurado con anterioridad. Para obtener más información, consulte Actualización de permisos de datos de AWS Glue en el modelo de AWS Lake Formation y Permisos de Lake Formation.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Introducción a Amazon Redshift Spectrum

Paso 2: Asociar el rol de IAM a su clúster