Mengotorisasi Amazon Redshift untuk AWS mengakses layanan atas nama Anda

Beberapa fitur Amazon Redshift memerlukan Amazon Redshift untuk mengakses layanan AWS lain atas nama Anda. Misalnya, UNLOADperintah COPYdan dapat memuat atau membongkar data ke dalam klaster Amazon Redshift menggunakan bucket Amazon S3. CREATEEXTERNALFUNCTIONPerintah dapat memanggil fungsi AWS Lambda menggunakan fungsi skalar Lambda yang ditentukan pengguna (). UDF Amazon Redshift Spectrum dapat menggunakan katalog data di Amazon AWS Glue Athena atau. Agar klaster Amazon Redshift bertindak atas nama Anda, Anda memberikan kredensi keamanan ke kluster Anda. Metode yang lebih disukai untuk menyediakan kredensional keamanan adalah dengan menentukan peran AWS Identity and Access Management (IAM). Untuk COPY danUNLOAD, Anda dapat memberikan kredensi sementara.

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. AWS Management Console Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses programatis?	Untuk	Oleh
Identitas tenaga kerja (Pengguna dikelola di Pusat IAM Identitas)	Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna. Untuk AWS SDKs, alat, dan AWS APIs, lihat otentikasi Pusat IAM Identitas di Panduan Referensi Alat AWS SDKs dan Alat.
IAM	Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk dalam Menggunakan kredensil sementara dengan AWS sumber daya di IAMPanduan Pengguna.
IAM	(Tidak direkomendasikan) Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk mengetahui AWS CLI, lihat Mengautentikasi menggunakan kredensil IAM pengguna di Panduan Pengguna.AWS Command Line Interface Untuk AWS SDKs dan alat, lihat Mengautentikasi menggunakan kredensyal jangka panjang di Panduan Referensi Alat AWS SDKs dan Alat. Untuk AWS APIs, lihat Mengelola kunci akses untuk IAM pengguna di Panduan IAM Pengguna.

Berikut ini, cari tahu cara membuat IAM peran dengan izin yang sesuai untuk mengakses AWS layanan lain. Anda juga perlu mengaitkan peran dengan klaster dan menentukan Amazon Resource Name (ARN) peran saat menjalankan perintah Amazon Redshift. Untuk informasi selengkapnya, lihat OtorisasiCOPY,UNLOAD, CREATE EXTERNALFUNCTION, dan CREATE EXTERNAL SCHEMA operasi menggunakan peran IAM.

Selain itu, pengguna super dapat memberikan ASSUMEROLE hak istimewa kepada pengguna dan grup tertentu untuk menyediakan akses ke peran COPY dan UNLOAD operasi. Untuk selengkapnya, lihat GRANTdi Panduan Pengembang Database Amazon Redshift.

Membuat IAM peran untuk memungkinkan klaster Amazon Redshift Anda mengakses layanan AWS

Membuat IAM peran dengan izin

Untuk membuat IAM peran yang memungkinkan klaster Amazon Redshift Anda berkomunikasi dengan AWS layanan lain atas nama Anda, lakukan langkah-langkah berikut. Nilai yang digunakan di bagian ini adalah contoh, Anda dapat memilih nilai berdasarkan kebutuhan Anda.

Untuk membuat IAM peran untuk memungkinkan Amazon Redshift mengakses layanan AWS

1. Buka IAMkonsol.

2. Di panel navigasi, pilih Peran.

3. Pilih Buat peran.

4. Pilih AWS layanan, lalu pilih Redshift.

5. Di bawah Pilih kasus penggunaan Anda, pilih Redshift - Customizable dan kemudian pilih Next: Permissions. Halaman kebijakan izin lampirkan akan muncul.

6. Untuk akses ke Amazon S3 menggunakanCOPY, sebagai contoh, Anda dapat menggunakan AmazonS3ReadOnlyAccess dan menambahkan. Untuk akses ke Amazon S3 menggunakan COPY atauUNLOAD, sebaiknya Anda membuat kebijakan terkelola yang membatasi akses ke bucket dan awalan yang diinginkan. Untuk operasi baca dan tulis, kami sarankan untuk menerapkan hak istimewa paling sedikit dan membatasi hanya bucket Amazon S3 dan awalan kunci yang diperlukan Amazon Redshift.

   Untuk akses untuk memanggil fungsi Lambda untuk perintah CREATE EXTERNALFUNCTION, tambahkan. AWSLambdaRole

   Untuk Redshift Spectrum, selain akses Amazon S3, tambahkan atau. AWSGlueConsoleFullAccess AmazonAthenaFullAccess

   Pilih Berikutnya: Penandaan.

7. Halaman Tambahkan penandaan akan muncul. Anda dapat menambahkan tanda secara opsional. Pilih Berikutnya: Tinjau.

8. Untuk nama Peran, ketikkan nama untuk peran Anda, misalnyaRedshiftCopyUnload. Pilih Buat peran.

9. Peran baru tersedia untuk semua pengguna di cluster yang menggunakan peran tersebut. Untuk membatasi akses hanya ke pengguna tertentu pada kluster tertentu, atau ke cluster di wilayah tertentu, edit hubungan kepercayaan untuk peran tersebut. Untuk informasi selengkapnya, lihat Membatasi akses ke peran IAM.

10. Kaitkan peran dengan cluster Anda. Anda dapat mengaitkan IAM peran dengan klaster saat membuat klaster, atau menambahkan peran tersebut ke klaster yang ada. Untuk informasi selengkapnya, lihat Mengaitkan IAM peran dengan cluster.

    catatan

    Untuk membatasi akses ke data tertentu, gunakan IAM peran yang memberikan hak istimewa paling sedikit yang diperlukan.