Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Gestion des autorisations pour un partage de données dans Amazon Redshift - Amazon Redshift
Partage granulaire à l'aide de WITH PERMISSIONS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des autorisations pour un partage de données dans Amazon Redshift

PDFRSS

En tant qu'administrateur producteur, vous gardez le contrôle des ensembles de données que vous partagez. Vous pouvez ajouter de nouveaux objets à l’unité de partage des données ou en supprimer. Vous pouvez également accorder ou révoquer l'accès aux partages de données dans leur ensemble pour les clusters de consommateurs, les AWS comptes ou les régions. AWS Lorsque les autorisations sont révoquées, les clusters consommateur perdent immédiatement l’accès aux objets partagés et cessent de les voir dans la liste des unités de partage des données INBOUND dans SVV_DATASHARES.

L'exemple suivant crée le partage de donnéessalesshare, ajoute le schéma public et ajoute la table public.tickit_sales_redshift à. salesshare Il accorde également des autorisations d'utilisation sur salesshare l'espace de noms spécifié.

CREATE DATASHARE salesshare;
            
ALTER DATASHARE salesshare ADD SCHEMA public;

ALTER DATASHARE salesshare ADD TABLE public.tickit_sales_redshift; 

GRANT USAGE ON DATASHARE salesshare TO NAMESPACE '13b8833d-17c6-4f16-8fe4-1a018f5ed00d';

Pour CREATE DATASHARE, les super-utilisateurs et les propriétaires de bases de données peuvent créer des unités de partage des données. Pour plus d'informations, consultez CREATE DATASHARE. Pour ALTER DATASHARE, le propriétaire de l’unité de partage des données disposant des autorisations requises sur les objets d’unité de partage des données à ajouter ou à supprimer peut modifier l’unité de partage des données. Pour plus d'informations, veuillez consulter ALTER DATASHARE.

En tant qu’administrateur de producteurs, lorsque vous supprimez une unité de partage des données, il cesse d’être répertorié sur les clusters consommateur. Les bases de données et les références de schéma créées sur le cluster consommateur à partir de l’unité de partage des données supprimé continuent d’exister sans objet. L'administrateur du client doit supprimer ces bases de données manuellement.

Du côté du consommateur, un administrateur du consommateur peut déterminer quels utilisateurs et quels rôles doivent avoir accès aux données partagées en créant une base de données à partir du partage de données. En fonction des options que vous choisissez lors de la création de la base de données, vous pouvez contrôler l’accès à celle-ci comme suit. Pour plus d’informations sur la création d’une base de données à partir d’une unité de partage des données, consultez CREATE DATABASE.

Pour plus d'informations sur la configuration d'un partage de données et la lecture des données d'un consommateur, voir Partage de l'accès en lecture aux données d'un AWS compte.

Création de la base de données sans la clause WITH PERMISSIONS

Un administrateur peut contrôler l’accès au niveau de la base de données ou du schéma. Pour contrôler l’accès au niveau du schéma, l’administrateur doit créer un schéma externe à partir de la base de données Amazon Redshift créée à partir de l’unité de partage des données.

L’exemple suivant accorde des autorisations pour accéder à une table partagée au niveau de la base de données et du schéma.

GRANT USAGE ON DATABASE sales_db TO Bob;

CREATE EXTERNAL SCHEMA sales_schema FROM REDSHIFT DATABASE sales_db SCHEMA 'public';

GRANT USAGE ON SCHEMA sales_schema TO ROLE Analyst_role;

Pour restreindre davantage l’accès, vous pouvez créer des vues au-dessus des objets partagés, en exposant uniquement les données nécessaires. Vous pouvez ensuite utiliser ces vues pour donner accès aux utilisateurs et aux rôles.

Une fois que les utilisateurs ont obtenu l'accès à la base de données ou au schéma, ils auront accès à tous les objets partagés de cette base de données ou de ce schéma.

Création de la base de données avec la clause WITH PERMISSIONS

Après avoir accordé des droits d’utilisation sur la base de données ou le schéma, un administrateur peut contrôler davantage l’accès en utilisant le même processus d’octroi d’autorisations que sur une base de données ou un schéma local. Sans autorisations sur les objets individuels, les utilisateurs ne peuvent accéder à aucun objet de la base de données de l’unité de partage des données ou du schéma, même après avoir obtenu l’autorisation USAGE.

L’exemple suivant octroie des autorisations pour accéder à une table partagée au niveau de la base de données.

GRANT USAGE ON DATABASE sales_db TO Bob;
GRANT USAGE FOR SCHEMAS IN DATABASE sales_db TO Bob;
GRANT SELECT ON sales_db.public.tickit_sales_redshift TO Bob;

Après avoir obtenu l’accès à la base de données ou au schéma, les utilisateurs doivent toujours disposer des autorisations appropriées pour tous les objets de la base de données ou du schéma auxquels vous souhaitez qu’ils accèdent.

Partage granulaire à l'aide de WITH PERMISSIONS

Vous pouvez utiliser le partage granulaire à l'aide de WITH PERMISSIONS pour permettre aux clusters ou aux groupes de travail sans serveur d'interroger le partage de données. Ce processus suppose que le partage de données provient d'un autre cluster ou d'un autre espace de noms Amazon Redshift Serverless de votre compte, ou qu'il provient d'un autre compte et a été associé à l'espace de noms que vous utilisez.

  1. L’administrateur de la base de données consommateur peut créer une base de données à partir de l’unité de partage des données.

    CREATE DATABASE my_ds_db [WITH PERMISSIONS] FROM DATASHARE my_datashare OF NAMESPACE 'abc123def';

    Si vous créez une base de données AVEC PERMISSIONS, vous pouvez accorder des autorisations granulaires sur les objets de partage de données à différents utilisateurs et rôles. Sans cela, tous les utilisateurs et rôles disposant de l’autorisation USAGE sur la base de données de l’unité de partage des données obtiennent toutes les autorisations sur tous les objets celle-ci.

  2. Voici comment accorder des autorisations à un rôle ou à un utilisateur de base de données Redshift. Vous devez être connecté à une base de données locale pour exécuter ces instructions. Vous ne pouvez pas exécuter ces instructions si vous exécutez une commande USE sur la base de données de l’unité de partage des données avant d’exécuter les instructions GRANT.

    GRANT USAGE ON DATABASE my_ds_db TO ROLE data_eng;
GRANT CREATE, USAGE ON SCHEMA my_ds_db.my_shared_schema TO ROLE data_eng;
GRANT ALL ON ALL TABLES IN SCHEMA my_ds_db.my_shared_schema TO ROLE data_eng;
 
GRANT USAGE ON DATABASE my_ds_db TO bi_user;
GRANT USAGE ON SCHEMA my_ds_db.my_shared_schema TO bi_user;
GRANT SELECT ON my_ds_db.my_shared_schema.table1 TO bi_user;

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.