Langkah 1. Buat peran IAM untuk Amazon Redshift

Cluster Anda memerlukan otorisasi untuk mengakses Katalog Data eksternal Anda di AWS Glue atau Amazon Athena dan file data Anda di Amazon S3. Untuk memberikan otorisasi tersebut, Anda mereferensikan peran AWS Identity and Access Management (IAM) yang dilampirkan ke klaster Anda. Untuk informasi selengkapnya tentang penggunaan peran dengan Amazon Redshift, lihat Mengotorisasi Operasi COPY dan UNLOAD Menggunakan Peran IAM.

catatan

Dalam kasus tertentu, Anda dapat memigrasikan Katalog Data Athena ke AWS Glue Katalog Data. Anda dapat melakukan ini jika klaster Anda berada di AWS Wilayah yang AWS Glue didukung dan Anda memiliki tabel eksternal Redshift Spectrum di Katalog Data Athena. Untuk menggunakan Katalog AWS Glue Data dengan Redshift Spectrum, Anda mungkin perlu mengubah kebijakan IAM Anda. Untuk informasi selengkapnya, lihat Memutakhirkan ke Katalog AWS Glue Data di Panduan Pengguna Athena.

Saat Anda membuat peran untuk Amazon Redshift, pilih salah satu pendekatan berikut:

Jika Anda menggunakan Redshift Spectrum dengan Katalog Data Athena atau AWS Glue Katalog Data, ikuti langkah-langkah yang diuraikan dalam. Untuk membuat peran IAM untuk Amazon Redshift
Jika Anda menggunakan Redshift Spectrum dengan AWS Glue Data Catalog yang diaktifkan AWS Lake Formation, ikuti langkah-langkah yang diuraikan dalam prosedur ini:
- Untuk membuat peran IAM untuk Amazon Redshift menggunakan AWS Glue Data Catalog diaktifkan untuk AWS Lake Formation
- Untuk memberikan izin SELECT pada tabel untuk kueri dalam database Lake Formation

Untuk membuat peran IAM untuk Amazon Redshift

Buka konsol IAM.
Di panel navigasi, pilih Peran.
Pilih Buat peran.
Pilih AWS layanan sebagai entitas tepercaya, lalu pilih Redshift sebagai kasus penggunaan.
Di bawah Use case for other Layanan AWS, pilih Redshift - Customizable dan kemudian pilih Next.
Halaman kebijakan Tambah izin akan muncul. Pilih AmazonS3ReadOnlyAccess danAWSGlueConsoleFullAccess, jika Anda menggunakan Katalog AWS Glue Data. Atau pilih AmazonAthenaFullAccess apakah Anda menggunakan Katalog Data Athena. Pilih Berikutnya.
catatan
AmazonS3ReadOnlyAccessKebijakan ini memberikan akses hanya-baca klaster Anda ke semua bucket Amazon S3. Untuk memberikan akses hanya ke bucket data AWS sampel, buat kebijakan baru dan tambahkan izin berikut.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:Get*",
                "s3:List*"
            ],
            "Resource": "arn:aws:s3:::redshift-downloads/*"
        }
    ]
}
```
Untuk nama Peran, masukkan nama untuk peran Anda, misalnyamyspectrum_role.
Tinjau informasi, lalu pilih Buat peran.
Di panel navigasi, pilih Peran. Pilih nama peran baru Anda untuk melihat ringkasan, lalu salin ARN Peran ke clipboard Anda. Nilai ini adalah Nama Sumber Daya Amazon (ARN) untuk peran yang baru saja Anda buat. Anda menggunakan nilai tersebut saat membuat tabel eksternal untuk mereferensikan file data Anda di Amazon S3.

Untuk membuat peran IAM untuk Amazon Redshift menggunakan AWS Glue Data Catalog diaktifkan untuk AWS Lake Formation

Buka konsol IAM di https://console.aws.amazon.com/iam/.
Di panel navigasi, pilih Kebijakan.

Jika ini pertama kalinya Anda memilih Kebijakan, akan muncul halaman Selamat Datang di Kebijakan Terkelola. Pilih Memulai.
Pilih Buat kebijakan.
Pilih untuk membuat kebijakan di tab JSON.

Tempel di dokumen kebijakan JSON berikut, yang memberikan akses ke Katalog Data tetapi menolak izin administrator untuk Lake Formation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RedshiftPolicyForLF",
            "Effect": "Allow",
            "Action": [
                "glue:*",
                "lakeformation:GetDataAccess"
            ],
            "Resource": "*"
        }
    ]
}

Setelah selesai, pilih Tinjau untuk meninjau kebijakan. Validator kebijakan melaporkan kesalahan sintaksis.
Pada halaman Kebijakan tinjauan, untuk Nama masukkan myspectrum_policy untuk memberi nama kebijakan yang Anda buat. Masukkan Deskripsi (opsional). Ulas Ringkasan kebijakan untuk melihat izin yang diberikan oleh kebijakan Anda. Kemudian pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Setelah membuat kebijakan, Anda dapat memberikan akses ke pengguna.

Untuk memberikan akses, tambahkan izin ke pengguna, grup, atau peran Anda:

Pengguna dan grup di AWS IAM Identity Center:

Buat rangkaian izin. Ikuti petunjuk dalam Buat set izin dalam Panduan Pengguna AWS IAM Identity Center .
Pengguna yang dikelola di IAM melalui penyedia identitas:

Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.
Pengguna IAM:
- Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
- (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.

Untuk memberikan izin SELECT pada tabel untuk kueri dalam database Lake Formation

Buka konsol Lake Formation dihttps://console.aws.amazon.com/lakeformation/.
Di panel navigasi, pilih Izin data lake, lalu pilih Grant.
Ikuti petunjuk dalam Pemberian izin tabel menggunakan metode sumber daya bernama di Panduan AWS Lake Formation Pengembang. Saat diminta, berikan informasi berikut:
- Untuk peran IAM, pilih peran IAM yang Anda buat,. myspectrum_role Saat Anda menjalankan Amazon Redshift Query Editor, ia menggunakan peran IAM ini untuk izin ke data.
  catatan
  Untuk memberikan izin SELECT pada tabel dalam Katalog Data yang diaktifkan Formasi Danau untuk kueri, lakukan hal berikut:
  
  Daftarkan jalur untuk data di Lake Formation.
  Berikan izin pengguna ke jalur itu di Lake Formation.
  Tabel yang dibuat dapat ditemukan di jalur yang terdaftar di Lake Formation.
PilihIzin.

penting

Sebagai praktik terbaik, izinkan akses hanya ke objek Amazon S3 yang mendasarinya melalui izin Lake Formation. Untuk mencegah akses yang tidak disetujui, hapus izin apa pun yang diberikan ke objek Amazon S3 di luar Lake Formation. Jika sebelumnya Anda mengakses objek Amazon S3 sebelum menyiapkan Lake Formation, hapus kebijakan IAM atau izin bucket yang sebelumnya telah disiapkan. Untuk informasi selengkapnya, lihat Memutakhirkan Izin AWS Glue Data ke Izin AWS Lake Formation Model dan Lake Formation.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memulai dengan Amazon Redshift Spectrum

Langkah 2: Kaitkan peran IAM dengan cluster Anda