Limitazione dell'accesso ai ruoli IAM - Amazon Redshift

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limitazione dell'accesso ai ruoli IAM

Per impostazione predefinita, IAM i ruoli disponibili per un cluster Amazon Redshift sono disponibili per tutti gli utenti di quel cluster. Puoi scegliere di limitare IAM i ruoli a utenti specifici del database Amazon Redshift su cluster specifici o a regioni specifiche.

Per consentire solo a utenti specifici del database di utilizzare un IAM ruolo, procedi nel seguente modo.

Per identificare utenti specifici del database con accesso a un IAM ruolo

  1. Identifica l'Amazon Resource Name (ARN) per gli utenti del database nel tuo cluster Amazon Redshift. Il formato ARN per un utente del database è:arn:aws:redshift:region:account-id:dbuser:cluster-name/user-name.

    Per Amazon Redshift Serverless utilizza il seguente formato. ARN arn:aws:redshift:region:account-id:dbuser:workgroup-name/user-name

  2. Apri la IAMconsole.

  3. Nel riquadro di navigazione, seleziona Ruoli.

  4. Scegli il IAM ruolo che desideri limitare a utenti specifici del database Amazon Redshift.

  5. Selezionare la scheda Trust Relationships (Relazioni di trust) e quindi scegliere Edit Trust Relationship (Modifica relazione di trust). Un nuovo IAM ruolo che consente ad Amazon Redshift di accedere ad altri AWS servizi per tuo conto ha una relazione di fiducia come segue:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Aggiungere una condizione nella sezione dell'operazione sts:AssumeRole della relazione di trust che limita il campo sts:ExternalId ai valori specificati. Includi un nome ARN per ogni utente del database a cui desideri concedere l'accesso al ruolo. L'ID esterno può essere qualsiasi stringa univoca.

    Ad esempio, la seguente relazione di trust specifica che solo gli utenti del database user1 e user2 i cluster my-cluster della regione us-west-2 sono autorizzati a utilizzare questo IAM ruolo.

    {
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": { 
      "Service": "redshift.amazonaws.com" 
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "StringEquals": {
        "sts:ExternalId": [
          "arn:aws:redshift:us-west-2:123456789012:dbuser:my-cluster/user1",
          "arn:aws:redshift:us-west-2:123456789012:dbuser:my-cluster/user2"
        ]
      }
    }
  }]
}

  7. Scegli Update Trust Policy (Aggiorna policy di trust).