Langkah 1. Buat IAM peran untuk Amazon Redshift - Amazon Redshift

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 1. Buat IAM peran untuk Amazon Redshift

Cluster Anda memerlukan otorisasi untuk mengakses Katalog Data eksternal Anda di AWS Glue atau Amazon Athena dan file data Anda di Amazon S3. Untuk memberikan otorisasi tersebut, Anda mereferensikan peran AWS Identity and Access Management (IAM) yang dilampirkan ke klaster Anda. Untuk informasi selengkapnya tentang penggunaan peran dengan Amazon Redshift, lihat Otorisasi COPY dan UNLOAD Operasi Menggunakan Peran. IAM

catatan

Dalam kasus tertentu, Anda dapat memigrasikan Katalog Data Athena ke AWS Glue Katalog Data. Anda dapat melakukan ini jika klaster Anda berada di AWS Wilayah yang AWS Glue didukung dan Anda memiliki tabel eksternal Redshift Spectrum di Katalog Data Athena. Untuk menggunakan Katalog AWS Glue Data dengan Redshift Spectrum, Anda mungkin perlu mengubah kebijakan AndaIAM. Untuk informasi selengkapnya, lihat Memutakhirkan ke Katalog AWS Glue Data di Panduan Pengguna Athena.

Saat Anda membuat peran untuk Amazon Redshift, pilih salah satu pendekatan berikut:

Untuk membuat IAM peran untuk Amazon Redshift

  1. Buka IAMkonsol.

  2. Di panel navigasi, pilih Peran.

  3. Pilih Buat peran.

  4. Pilih AWS layanan sebagai entitas tepercaya, lalu pilih Redshift sebagai kasus penggunaan.

  5. Di bawah Use case for other AWS layanan, pilih Redshift - Customizable dan kemudian pilih Next.

  6. Halaman kebijakan Tambah izin muncul. Pilih AmazonS3ReadOnlyAccess danAWSGlueConsoleFullAccess, jika Anda menggunakan Katalog AWS Glue Data. Atau pilih AmazonAthenaFullAccess apakah Anda menggunakan Katalog Data Athena. Pilih Berikutnya.

    catatan

    AmazonS3ReadOnlyAccessKebijakan ini memberikan akses hanya-baca klaster Anda ke semua bucket Amazon S3. Untuk memberikan akses hanya ke bucket data AWS sampel, buat kebijakan baru dan tambahkan izin berikut.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::redshift-downloads/*"
        }
    ]
}

  7. Untuk nama Peran, masukkan nama untuk peran Anda, misalnyamyspectrum_role.

  8. Tinjau informasi, lalu pilih Buat peran.

  9. Di panel navigasi, pilih Peran. Pilih nama peran baru Anda untuk melihat ringkasan, lalu salin Peran ARN ke clipboard Anda. Nilai ini adalah Amazon Resource Name (ARN) untuk peran yang baru saja Anda buat. Anda menggunakan nilai tersebut saat membuat tabel eksternal untuk mereferensikan file data Anda di Amazon S3.

Untuk membuat IAM peran untuk Amazon Redshift menggunakan diaktifkan untuk AWS Glue Data CatalogAWS Lake Formation

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

    Jika ini pertama kalinya Anda memilih Kebijakan, akan muncul halaman Selamat Datang di Kebijakan Terkelola. Pilih Memulai.

  3. Pilih Buat kebijakan.

  4. Pilih untuk membuat kebijakan di JSONtab.

  5. Tempel di dokumen JSON kebijakan berikut, yang memberikan akses ke Katalog Data tetapi menolak izin administrator untuk Lake Formation.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RedshiftPolicyForLF",
            "Effect": "Allow",
            "Action": [
                "glue:*",
                "lakeformation:GetDataAccess"
            ],
            "Resource": "*"
        }
    ]
}

  6. Setelah selesai, pilih Tinjau untuk meninjau kebijakan. Validator kebijakan melaporkan kesalahan sintaksis.

  7. Pada halaman Kebijakan tinjauan, untuk Nama masukkan myspectrum_policy untuk memberi nama kebijakan yang Anda buat. Masukkan Deskripsi (opsional). Ulas Ringkasan kebijakan untuk melihat izin yang diberikan oleh kebijakan Anda. Kemudian pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

    Setelah membuat kebijakan, Anda dapat memberikan akses ke pengguna Anda.

Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:

Untuk memberikan SELECT izin pada tabel untuk kueri di database Lake Formation

  1. Buka konsol Lake Formation di https://console.aws.amazon.com/lakeformation/.

  2. Di panel navigasi, pilih Izin data lake, lalu pilih Grant.

  3. Ikuti petunjuk dalam Pemberian izin tabel menggunakan metode sumber daya bernama di Panduan AWS Lake Formation Pengembang. Saat diminta, berikan informasi berikut:

    • Untuk IAMperan, pilih IAM peran yang Anda buat,myspectrum_role. Saat Anda menjalankan Amazon Redshift Query Editor, ia menggunakan IAM peran ini untuk izin ke data.

      catatan

      Untuk memberikan SELECT izin pada tabel dalam Katalog Data yang diaktifkan Formasi Danau untuk kueri, lakukan hal berikut:

      • Daftarkan jalur untuk data di Lake Formation.

      • Berikan izin pengguna ke jalur itu di Lake Formation.

      • Tabel yang dibuat dapat ditemukan di jalur yang terdaftar di Lake Formation.

  4. PilihIzin.

penting

Sebagai praktik terbaik, izinkan akses hanya ke objek Amazon S3 yang mendasarinya melalui izin Lake Formation. Untuk mencegah akses yang tidak disetujui, hapus izin apa pun yang diberikan ke objek Amazon S3 di luar Lake Formation. Jika sebelumnya Anda mengakses objek Amazon S3 sebelum menyiapkan Lake Formation, hapus IAM kebijakan atau izin bucket yang sebelumnya telah disiapkan. Untuk informasi selengkapnya, lihat Memutakhirkan Izin AWS Glue Data ke Izin AWS Lake Formation Model dan Lake Formation.