Configuration des autorisations pour planifier une requête

Pour planifier des requêtes, l'utilisateur AWS Identity and Access Management (IAM) qui définit le calendrier et le rôle IAM associé au calendrier doit être configuré avec les autorisations IAM pour utiliser Amazon et l'API Amazon EventBridge Redshift Data. Pour recevoir des e-mails des requêtes planifiées, la notification Amazon SNS que vous spécifiez éventuellement doit également être configurée.

Ce qui suit décrit les tâches liées à l'utilisation de politiques AWS gérées pour fournir des autorisations, mais en fonction de votre environnement, vous souhaiterez peut-être limiter les autorisations autorisées.

Pour l'utilisateur IAM connecté à l'éditeur de requêtes v2, modifiez l'utilisateur IAM à l'aide de la console IAM (). https://console.aws.amazon.com/iam/

Outre les autorisations nécessaires pour exécuter les opérations Amazon Redshift et Query Editor v2, associez AmazonEventBridgeFullAccess les politiques AmazonRedshiftDataFullAccess AWS gérées à un utilisateur IAM.
Vous pouvez également attribuer les autorisations à un rôle et attribuer le rôle à l'utilisateur.

Attachez une politique qui accorde l'autorisation sts:AssumeRole à l'ARN de ressource du rôle IAM que vous spécifiez lors de la définition de la requête planifiée. Pour en savoir plus sur l'endossement de rôles, consultez Octroi d'autorisations à un utilisateur pour endosser un rôle dans le Guide de l'utilisateur IAM.

L'exemple suivant illustre une politique d'autorisation qui endosse le rôle IAM myRedshiftRole dans le compte 123456789012. Le rôle IAM myRedshiftRole est également le rôle IAM qui est attaché au cluster ou au groupe de travail où s'exécute la requête planifiée.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AssumeIAMRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::123456789012:role/myRedshiftRole"
            ]
        }
    ]
}
```
Mettez à jour la politique d'approbation du rôle IAM utilisé pour planifier la requête afin de permettre à l'utilisateur IAM de l'endosser.
```
{
            "Sid": "AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/myIAMusername"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

Pour le rôle IAM que vous spécifiez pour autoriser l'exécution de la requête planifiée, modifiez le rôle IAM à l'aide de la console IAM (). https://console.aws.amazon.com/iam/

Associez AmazonRedshiftDataFullAccess les politiques AmazonEventBridgeFullAccess AWS gérées au rôle IAM. La politique gérée AmazonRedshiftDataFullAccess accepte uniquement l'autorisation redshift-serverless:GetCredentials pour les groupes de travail Redshift sans serveur balisés avec la clé RedshiftDataFullAccess.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création d'un calendrier

Authentification d’une requête planifiée