Informazioni su Redshift Spectrum e accesso ai bucket Amazon S3 - Amazon Redshift
Configurazione della politica delle autorizzazioni quando si utilizza Amazon Redshift Spectrum

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Informazioni su Redshift Spectrum e accesso ai bucket Amazon S3

Amazon Redshift Spectrum non supporta il routing VPC avanzato con cluster forniti. Il VPC routing avanzato di Amazon Redshift indirizza il traffico specifico attraverso il tuo. VPC Tutto il traffico tra il cluster e i bucket Amazon S3 viene forzato a passare attraverso Amazon. VPC Redshift Spectrum viene eseguito su risorse AWS gestite di proprietà di Amazon Redshift. Poiché queste risorse sono esterne alle tueVPC, Redshift Spectrum non utilizza un routing avanzatoVPC.

Il traffico tra Redshift Spectrum e Amazon S3 viene instradato in modo sicuro attraverso AWS la rete privata, all'esterno del tuo. VPC Il traffico in volo viene firmato utilizzando il protocollo Amazon Signature versione 4 (SIGv4) e crittografato utilizzandoHTTPS. Questo traffico è autorizzato in base al IAM ruolo associato al tuo cluster Amazon Redshift. Per gestire ulteriormente il traffico Redshift Spectrum, puoi modificare il IAM ruolo del cluster e la policy allegata al bucket Amazon S3. Potrebbe anche essere necessario configurare l'opzione VPC per consentire l'accesso al cluster AWS Glue o Athena, come descritto di seguito.

Tieni presente che, poiché il VPC routing avanzato influisce sul modo in cui Amazon Redshift accede ad altre risorse, le query potrebbero avere esito negativo se non configurate correttamente. VPC Per ulteriori informazioni, consultaUtilizzo del VPC routing avanzato per controllare il traffico di rete con Redshift, che illustra in modo più dettagliato la creazione di un VPC endpoint, un NAT gateway e altre risorse di rete per indirizzare il traffico verso i bucket Amazon S3.

Nota

Amazon Redshift Serverless supporta il VPC routing avanzato per le query su tabelle esterne su Amazon S3. Per ulteriori informazioni sulla configurazione, consulta Caricamento di dati da Amazon S3 nella Amazon Redshift Serverless Getting Started Guide.

Configurazione della politica delle autorizzazioni quando si utilizza Amazon Redshift Spectrum

Di seguito sono riportate alcune considerazioni da tenere presenti durante l'utilizzo di Redshift Spectrum:

Politiche e ruoli di accesso ai bucket Amazon S3 IAM

Puoi controllare l'accesso ai dati nei tuoi bucket Amazon S3 utilizzando una policy bucket allegata al bucket e utilizzando un IAM ruolo collegato a un cluster fornito.

Redshift Spectrum sui cluster con provisioning non può accedere ai dati archiviati nei bucket Amazon S3 che utilizzano una policy di bucket che limita l'accesso solo a endpoint specifici. VPC Utilizza invece una bucket policy che limiti l'accesso solo a principali specifici, come un account specifico o utenti specifici. AWS

Per il IAM ruolo a cui è concesso l'accesso al bucket, utilizza una relazione di fiducia che consenta di assumere il ruolo solo dal responsabile del servizio Amazon Redshift. Se collegato al cluster, il ruolo può essere utilizzato solo nel contesto di Amazon Redshift e non può essere condiviso esternamente al cluster. Per ulteriori informazioni, consulta Limitazione dell'accesso ai ruoli IAM. È inoltre possibile utilizzare una policy di controllo del servizio (SCP) per limitare ulteriormente il ruolo, vedi Impedire a IAM utenti e ruoli di apportare modifiche specifiche, con un'eccezione per un ruolo di amministratore specificato nella Guida per l'AWS Organizations utente.

Nota

Per utilizzare Redshift Spectrum, non è possibile IAM adottare politiche che blocchino l'uso di Amazon S3 URLs presigned. I URLs prefirmati generati da Amazon Redshift Spectrum sono validi per 1 ora, in modo che Amazon Redshift abbia abbastanza tempo per caricare tutti i file dal bucket Amazon S3. URLViene generato un prefirmato univoco per ogni file scansionato da Redshift Spectrum. Per le policy bucket che includono un's3:signatureAgeazione, assicurati di impostare il valore su almeno 3.600.000 millisecondi.

Il seguente esempio di bucket policy consente l'accesso al bucket specificato solo dal traffico originato da Redshift Spectrum di proprietà dell'account. AWS 123456789012 

{
	"Version": "2012-10-17",
	"Statement": [{
		"Sid": "BucketPolicyForSpectrum",
		"Effect": "Allow",
		"Principal": {
			"AWS": ["arn:aws:iam::123456789012:role/redshift"]
		},
		"Action": ["s3:GetObject", "s3:List*"],
		"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"],
		"Condition": {
			"StringEquals": {
				"aws:UserAgent": "AWS Redshift/Spectrum"
			}
		}
	}]
}

Autorizzazioni per l'assunzione del ruolo IAM

Il ruolo collegato al cluster deve avere una relazione di trust che gli consenta di essere assunto solo dal servizio Amazon Redshift, come illustrato di seguito.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

È possibile aggiungere una policy al ruolo del cluster che impedisca l'COPYUNLOADaccesso a un bucket specifico. La seguente policy consente il traffico al bucket specifico solo da Redshift Spectrum. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["s3:Get*", "s3:List*"],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "Condition": {"StringEquals": {"aws:UserAgent": "AWS Redshift/Spectrum"}}
    }]
}

Per ulteriori informazioni, consulta IAMPolicies for Redshift Spectrum nella Amazon Redshift Database Developer Guide.

Registrazione e verifica dell'accesso ad Amazon S3

Uno dei vantaggi dell'utilizzo del VPC routing avanzato di Amazon Redshift è che tutto COPY il UNLOAD traffico viene registrato nei log di flusso. VPC Il traffico proveniente da Redshift Spectrum verso Amazon S3 non passa attraverso VPC il tuo, quindi non viene registrato nei log di flusso. VPC Quando Redshift Spectrum accede ai dati in Amazon S3, esegue queste operazioni nel contesto dell' AWS account e dei rispettivi privilegi di ruolo. È possibile registrare e controllare l'accesso ad Amazon S3 utilizzando la registrazione degli accessi al server in AWS CloudTrail e Amazon S3.

Assicurati che gli intervalli IP S3 siano aggiunti all'elenco di indirizzi consentiti. Per ulteriori informazioni sugli intervalli IP S3 richiesti, consulta Isolamento di rete.

AWS CloudTrail Log

Per tracciare tutti gli accessi agli oggetti in Amazon S3, incluso l'accesso a Redshift Spectrum, abilita la registrazione CloudTrail per gli oggetti Amazon S3.

Puoi utilizzarlo CloudTrail per visualizzare, cercare, scaricare, archiviare, analizzare e rispondere alle attività dell'account nell'intera infrastruttura. AWS Per ulteriori informazioni, consulta Getting Started with CloudTrail.

Per impostazione predefinita, CloudTrail tiene traccia solo delle azioni a livello di bucket. Per tracciare le operazioni a livello di oggetto (come GetObject), abilitare gli eventi di dati e gestione per ciascun bucket registrato.

Registrazione degli accessi al server Amazon S3

La registrazione degli accessi al server fornisce record dettagliati per le richieste che sono effettuate a un bucket. Il log di accesso può essere utile nei controlli di accesso e di sicurezza. Per ulteriori informazioni, consultare Come abilitare la registrazione degli accessi al server nella Guida per l'utente di Amazon Simple Storage Service.

Per ulteriori informazioni, consulta il post del blog sulla AWS sicurezza How to Use Bucket Policies and Apply Defense-in-Depth to Help Protect Your Amazon S3 Data.

Accesso al nostro AWS Glue Amazon Athena

Redshift Spectrum accede al tuo catalogo di dati in o AWS Glue Athena. Un'altra opzione consiste nell'utilizzare un Hive Metastore dedicato per il catalogo dati.

Per abilitare l'accesso a AWS Glue o Athena, configura il tuo VPC con un gateway o NAT un gateway Internet. Configura i tuoi gruppi VPC di sicurezza per consentire il traffico in uscita verso gli endpoint pubblici per e AWS Glue Athena. In alternativa, puoi configurare un VPC endpoint di interfaccia per AWS Glue accedere al tuo. AWS Glue Data Catalog Quando si utilizza un endpoint di VPC interfaccia, la comunicazione tra l'utente VPC e l'utente AWS Glue avviene all'interno della AWS rete. Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia.

Puoi configurare i seguenti percorsi nel tuo: VPC

  • Gateway Internet: per connetterti a AWS servizi esterni al tuoVPC, puoi collegare un gateway Internet alla tua VPC sottorete, come descritto nella Amazon VPC User Guide. Per utilizzare un gateway Internet, un cluster fornito deve disporre di un indirizzo IP pubblico per consentire ad altri servizi di comunicare con esso.

  • NATgateway: per connetterti a un bucket Amazon S3 in AWS un'altra regione o a un altro servizio all'interno AWS della rete, configura un gateway di traduzione degli indirizzi di rete NAT (), come descritto nella Amazon VPC User Guide. Utilizzare questa configurazione anche per effettuare l'accesso a un'istanza host al di fuori dalla rete AWS .

Per ulteriori informazioni, consultare Utilizzo del VPC routing avanzato per controllare il traffico di rete con Redshift.