Autorizzazione di Amazon Redshift ad AWS accedere ai servizi per tuo conto

Alcune funzionalità di Amazon Redshift richiedono che Amazon Redshift acceda ad AWS altri servizi per tuo conto. Ad esempio, i comandi COPY e UNLOAD possono caricare o scaricare dati nel cluster Amazon Redshift usando un bucket Amazon S3. Il comando CREATE EXTERNAL FUNCTION può richiamare una funzione AWS Lambda utilizzando una funzione scalare Lambda definita dall'utente (UDF). Amazon Redshift Spectrum può utilizzare un catalogo di dati in Amazon AWS Glue Athena o. Affinché i cluster Amazon Redshift possano agire per tuo conto, devi fornire le credenziali di sicurezza ai tuoi cluster. Il metodo preferito per fornire le credenziali di sicurezza consiste nello specificare un ruolo AWS Identity and Access Management (IAM). Per i comandi COPY e UNLOAD, puoi fornire le credenziali temporanee.

Gli utenti hanno bisogno di un accesso programmatico se vogliono interagire con l' AWS esterno di. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti nel centro identità IAM)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento AWS SDKs and Tools.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'utente IAM.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali utente IAM nella Guida per l'utente.AWS Command Line Interface Per gli strumenti AWS SDKs e gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta la sezione Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente IAM.

Di seguito, scopri come creare un ruolo IAM con le autorizzazioni appropriate per accedere ad altri servizi. AWS Devi anche associare il ruolo al cluster e specificare l'Amazon Resource Name (ARN) del ruolo quando esegui il comando Amazon Redshift. Per ulteriori informazioni, consulta Autorizzazione di operazioni COPY, UNLOAD, CREATE EXTERNAL FUNCTION e CREATE EXTERNAL SCHEMA utilizzando ruoli IAM.

Inoltre, un utente con privilegi avanzati può concedere il privilegio ASSUMEROLE a utenti e gruppi specifici per fornire l'accesso a un ruolo per le operazioni COPY e UNLOAD. Per ulteriori informazioni, consultare GRANT nella Guida per gli sviluppatori di database di Amazon Redshift.

Creazione di un ruolo IAM per consentire al cluster Amazon Redshift di accedere ai servizi AWS

Creazione di un ruolo IAM con autorizzazioni

Per creare un ruolo IAM che consenta al cluster Amazon Redshift di comunicare con altri servizi AWS per tuo conto, completa la procedura riportata di seguito. I valori utilizzati in questa sezione sono esempi, è possibile scegliere i valori in base alle proprie esigenze.

Creare un ruolo IAM per consentire ad Amazon Redshift di accedere ai servizi AWS

1. Aprire la console IAM.

2. Nel pannello di navigazione, selezionare Ruoli.

3. Selezionare Create role (Crea ruolo).

4. Seleziona Servizio AWS e quindi Redshift.

5. In Select your use case (Seleziona il tuo caso d'uso) scegliere Redshift - Customizable (Redshift - Personalizzabile) e quindi scegliere Next: Permissions (Successivo: Autorizzazioni). Verrà visualizzata la pagina Attach permissions policy (Collega policy di autorizzazioni).

6. Per l'accesso ad Amazon S3 tramite COPY, ad esempio, è possibile utilizzare AmazonS3ReadOnlyAccess e append. Per l'accesso ad Amazon S3 utilizzando COPY o UNLOAD, consigliamo di creare policy gestite che limitino di conseguenza l'accesso al bucket desiderato e al prefisso. Per le operazioni di lettura e scrittura, consigliamo di applicare i privilegi minimi e di limitare solo i bucket Amazon S3 e i prefissi chiave richiesti da Amazon Redshift.

   Per accedere alle funzioni Lambda per il comando CREATE EXTERNAL FUNCTION, aggiungi AWSLambdaRole.

   Per Redshift Spectrum, oltre all'accesso ad Amazon S3, aggiungere AWSGlueConsoleFullAccess o AmazonAthenaFullAccess.

   Scegli Successivo: Tag.

7. Viene visualizzata la pagina Aggiungi tag. È inoltre possibile aggiungere i tag. Scegli Prossimo: Rivedi.

8. Per Role name (Nome ruolo), digitare un nome per il ruolo, ad esempio RedshiftCopyUnload. Scegliere Crea ruolo.

9. Il nuovo ruolo è disponibile per tutti gli utenti nei cluster che usano il ruolo. Per limitare l'accesso solo a utenti specifici in cluster specifici oppure a cluster in regioni specifiche, modificare la relazione di trust per il ruolo. Per ulteriori informazioni, consulta Limitazione dell'accesso a ruoli IAM.

10. Associare il ruolo al cluster. È possibile associare un ruolo IAM a un cluster quando si crea il cluster oppure quando si aggiunge il ruolo a un cluster esistente. Per ulteriori informazioni, consulta Associazione di ruoli IAM ai cluster.

    Nota

    Per limitare l'accesso a dati specifici, utilizza un ruolo IAM che concede il minor numero di privilegi richiesti.