Autorizzazione di Amazon Redshift ad AWS accedere ai servizi per tuo conto

Alcune funzionalità di Amazon Redshift richiedono che Amazon Redshift acceda ad AWS altri servizi per tuo conto. Ad esempio, i UNLOADcomandi COPYand possono caricare o scaricare dati nel cluster Amazon Redshift utilizzando un bucket Amazon S3. Il CREATEEXTERNALFUNCTIONcomando può richiamare una funzione AWS Lambda utilizzando una funzione Lambda scalare definita dall'utente (). UDF Amazon Redshift Spectrum può utilizzare un catalogo di dati in Amazon AWS Glue Athena o. Affinché i cluster Amazon Redshift possano agire per tuo conto, devi fornire le credenziali di sicurezza ai tuoi cluster. Il metodo preferito per fornire le credenziali di sicurezza consiste nello specificare un ruolo AWS Identity and Access Management ()IAM. Per COPY eUNLOAD, puoi fornire credenziali temporanee.

Gli utenti necessitano dell'accesso programmatico se desiderano interagire con l' AWS esterno di. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti in IAM Identity Center)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Di seguito, scopri come creare un IAM ruolo con le autorizzazioni appropriate per accedere ad altri AWS servizi. È inoltre necessario associare il ruolo al cluster e specificare l'Amazon Resource Name (ARN) del ruolo quando si esegue il comando Amazon Redshift. Per ulteriori informazioni, consulta Autorizzazione COPY e CREATE EXTERNAL SCHEMA operazioni utilizzando i ruoli UNLOAD CREATE EXTERNAL FUNCTION IAM.

Inoltre, un superutente può concedere il ASSUMEROLE privilegio a utenti e gruppi specifici di fornire l'accesso a un ruolo e a determinate operazioni. COPY UNLOAD Per informazioni, consulta GRANTla Amazon Redshift Database Developer Guide.

Creazione di un IAM ruolo per consentire al cluster Amazon Redshift di accedere ai servizi AWS

Creazione di un IAM ruolo con autorizzazioni

Per creare un IAM ruolo che consenta al tuo cluster Amazon Redshift di comunicare con altri AWS servizi per tuo conto, procedi nel seguente modo. I valori utilizzati in questa sezione sono esempi, è possibile scegliere i valori in base alle proprie esigenze.

Creare un IAM ruolo per consentire ad Amazon Redshift di accedere ai servizi AWS

1. Apri la IAMconsole.

2. Nel pannello di navigazione, seleziona Roles (Ruoli).

3. Selezionare Create role (Crea ruolo).

4. Seleziona Servizio AWS e quindi Redshift.

5. In Select your use case (Seleziona il tuo caso d'uso) scegliere Redshift - Customizable (Redshift - Personalizzabile) e quindi scegliere Next: Permissions (Successivo: Autorizzazioni). Verrà visualizzata la pagina Attach permissions policy (Collega policy di autorizzazioni).

6. Per accedere ad Amazon S3 utilizzandoCOPY, ad esempio, puoi utilizzare AmazonS3ReadOnlyAccess e aggiungere. Per accedere ad Amazon S3 utilizzando COPY orUNLOAD, ti suggeriamo di creare policy gestite che limitino di conseguenza l'accesso al bucket e al prefisso desiderati. Per le operazioni di lettura e scrittura, consigliamo di applicare i privilegi minimi e di limitare solo i bucket Amazon S3 e i prefissi chiave richiesti da Amazon Redshift.

   Per accedere alle funzioni Lambda richiamate per CREATE EXTERNAL FUNCTION il comando, aggiungi. AWSLambdaRole

   Per Redshift Spectrum, oltre all'accesso ad Amazon S3, aggiungere AWSGlueConsoleFullAccess o AmazonAthenaFullAccess.

   Scegli Successivo: Tag.

7. Viene visualizzata la pagina Aggiungi tag. È inoltre possibile aggiungere i tag. Scegli Prossimo: Rivedi.

8. Per Role name (Nome ruolo), digitare un nome per il ruolo, ad esempio RedshiftCopyUnload. Scegliere Crea ruolo.

9. Il nuovo ruolo è disponibile per tutti gli utenti nei cluster che usano il ruolo. Per limitare l'accesso solo a utenti specifici in cluster specifici oppure a cluster in regioni specifiche, modificare la relazione di trust per il ruolo. Per ulteriori informazioni, consulta Limitazione dell'accesso ai ruoli IAM.

10. Associare il ruolo al cluster. È possibile associare un IAM ruolo a un cluster quando si crea il cluster oppure aggiungere il ruolo a un cluster esistente. Per ulteriori informazioni, consulta Associazione dei IAM ruoli ai cluster.

    Nota

    Per limitare l'accesso a dati specifici, utilizza un IAM ruolo che garantisca i privilegi minimi richiesti.