Mengotorisasi Amazon Redshift untuk AWS mengakses layanan atas nama Anda

Beberapa fitur Amazon Redshift memerlukan Amazon Redshift untuk mengakses layanan AWS lain atas nama Anda. Misalnya, perintah COPY dan UNLOAD dapat memuat atau membongkar data ke cluster Amazon Redshift menggunakan bucket Amazon S3. Perintah CREATE EXTERNAL FUNCTION dapat memanggil fungsi AWS Lambda menggunakan fungsi yang ditentukan pengguna Lambda skalar (UDF). Amazon Redshift Spectrum dapat menggunakan katalog data di Amazon AWS Glue Athena atau. Agar klaster Amazon Redshift bertindak atas nama Anda, Anda memberikan kredensi keamanan ke kluster Anda. Metode yang lebih disukai untuk menyediakan kredensil keamanan adalah dengan menentukan peran AWS Identity and Access Management (IAM). Untuk COPY dan UNLOAD, Anda dapat memberikan kredensi sementara.

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. AWS Management Console Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses programatis?	Untuk	Oleh
Identitas tenaga kerja (Pengguna yang dikelola di Pusat Identitas IAM)	Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna. Untuk AWS SDKs, alat, dan AWS APIs, lihat Autentikasi Pusat Identitas IAM di Panduan Referensi Alat AWS SDKs dan Alat.
IAM	Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk dalam Menggunakan kredensil sementara dengan AWS sumber daya di Panduan Pengguna IAM.
IAM	(Tidak direkomendasikan) Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk mengetahui AWS CLI, lihat Mengautentikasi menggunakan kredensil pengguna IAM di Panduan Pengguna.AWS Command Line Interface Untuk AWS SDKs dan alat, lihat Mengautentikasi menggunakan kredensyal jangka panjang di Panduan Referensi Alat AWS SDKs dan Alat. Untuk AWS APIs, lihat Mengelola kunci akses untuk pengguna IAM di Panduan Pengguna IAM.

Berikut ini, cari tahu cara membuat peran IAM dengan izin yang sesuai untuk mengakses layanan lain AWS . Anda juga perlu mengaitkan peran dengan klaster Anda dan menentukan Nama Sumber Daya Amazon (ARN) peran saat menjalankan perintah Amazon Redshift. Untuk informasi selengkapnya, lihat Mengotorisasi operasi COPY, UNLOAD, CREATE EXTERNAL FUNCTION, dan CREATE EXTERNAL SCHEMA menggunakan peran IAM.

Selain itu, pengguna super dapat memberikan hak istimewa ASSUMEROLE kepada pengguna dan grup tertentu untuk menyediakan akses ke peran untuk operasi COPY dan UNLOAD. Untuk selengkapnya, lihat GRANT di Panduan Pengembang Database Amazon Redshift.

Membuat peran IAM untuk memungkinkan klaster Amazon Redshift Anda mengakses layanan AWS

Membuat peran IAM dengan izin

Untuk membuat peran IAM untuk mengizinkan klaster Amazon Redshift Anda berkomunikasi dengan layanan AWS lain atas nama Anda, lakukan langkah-langkah berikut. Nilai yang digunakan di bagian ini adalah contoh, Anda dapat memilih nilai berdasarkan kebutuhan Anda.

Untuk membuat peran IAM untuk memungkinkan Amazon Redshift mengakses layanan AWS

1. Buka konsol IAM.

2. Di panel navigasi, pilih Peran.

3. Pilih Buat peran.

4. Pilih AWS layanan, lalu pilih Redshift.

5. Di bawah Pilih kasus penggunaan Anda, pilih Redshift - Customizable dan kemudian pilih Next: Permissions. Halaman kebijakan izin lampirkan akan muncul.

6. Untuk akses ke Amazon S3 menggunakan COPY, sebagai contoh, Anda dapat menggunakan AmazonS3ReadOnlyAccess dan menambahkan. Untuk akses ke Amazon S3 menggunakan COPY atau UNLOAD, sebaiknya Anda membuat kebijakan terkelola yang membatasi akses ke bucket dan awalan yang diinginkan. Untuk operasi baca dan tulis, kami sarankan untuk menerapkan hak istimewa paling sedikit dan membatasi hanya bucket Amazon S3 dan awalan kunci yang diperlukan Amazon Redshift.

   Untuk akses untuk memanggil fungsi Lambda untuk perintah CREATE EXTERNAL FUNCTION, tambahkan. AWSLambdaRole

   Untuk Redshift Spectrum, selain akses Amazon S3, tambahkan atau. AWSGlueConsoleFullAccess AmazonAthenaFullAccess

   Pilih Berikutnya: Penandaan.

7. Halaman Tambahkan penandaan akan muncul. Anda dapat menambahkan tanda secara opsional. Pilih Berikutnya: Tinjauan.

8. Untuk nama Peran, ketikkan nama untuk peran Anda, misalnyaRedshiftCopyUnload. Pilih Buat peran.

9. Peran baru tersedia untuk semua pengguna di cluster yang menggunakan peran tersebut. Untuk membatasi akses hanya ke pengguna tertentu pada kluster tertentu, atau ke cluster di wilayah tertentu, edit hubungan kepercayaan untuk peran tersebut. Untuk informasi selengkapnya, lihat Membatasi akses ke peran IAM.

10. Kaitkan peran dengan cluster Anda. Anda dapat mengaitkan peran IAM dengan klaster saat membuat klaster, atau menambahkan peran tersebut ke klaster yang ada. Untuk informasi selengkapnya, lihat Mengaitkan peran IAM dengan cluster.

    catatan

    Untuk membatasi akses ke data tertentu, gunakan peran IAM yang memberikan hak istimewa paling sedikit yang diperlukan.