Configurazione dell'autorizzazione per il data warehouse Amazon Redshift - Amazon Redshift
Aggiunta di principali autorizzatiAggiunta di origini di integrazione autorizzateConfigurazione dell'autorizzazione usando l'API Amazon Redshift

Amazon Redshift non supporterà più la creazione di nuovi Python a UDFs partire dal 1° novembre 2025. Se vuoi usare Python UDFs, crea la UDFs data precedente a quella data. Python esistente UDFs continuerà a funzionare normalmente. Per ulteriori informazioni, consulta il post del blog.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'autorizzazione per il data warehouse Amazon Redshift

Per replicare i dati dall'origine di integrazione nel data warehouse Amazon Redshift, devi inizialmente aggiungere le due entità seguenti:

  • Principale autorizzato: identifica l'utente o il ruolo che può creare integrazioni Zero-ETL nel data warehouse.

  • Origine di integrazione autorizzata: identifica il database di origine che può aggiornare il data warehouse.

Puoi configurare i principali autorizzati e le origini dell'integrazione autorizzate dalla scheda Policy delle risorse sulla console Amazon Redshift o utilizzando l'operazione API PutResourcePolicy Amazon Redshift.

Aggiunta di principali autorizzati

Per creare un'integrazione zero-ETL nel gruppo di lavoro Redshift Serverless o nel cluster con provisioning, autorizza l'accesso allo spazio dei nomi o al cluster con provisioning associato.

Puoi ignorare questa fase se si verificano entrambe le seguenti condizioni:

  • Il Account AWS proprietario del gruppo di lavoro Redshift Serverless o del cluster provisionato possiede anche il database di origine.

  • Questo principale è associato a una policy IAM basata sull'identità con autorizzazioni per creare integrazioni Zero-ETL in questo spazio dei nomi Redshift Serverless o nel cluster con provisioning.

Aggiunta di principali autorizzati a uno spazio dei nomi Amazon Redshift Serverless

  1. Nella console Amazon Redshift, scegli Redshift serverless dal riquadro di navigazione a sinistra.

  2. Seleziona Configurazione dello spazio dei nomi, quindi scegli lo spazio dei nomi e vai alla scheda Policy delle risorse.

  3. Scegli Aggiungi principali autorizzati.

  4. Per ogni principale autorizzato che desideri aggiungere, inserisci nel namespace l'ARN AWS dell'utente o del ruolo o l'ID di chi desideri concedere l'accesso per creare Account AWS integrazioni zero-ETL. L'ID dell'account viene archiviato come ARN.

  5. Scegli Save changes (Salva modifiche).

Aggiunta di principali autorizzati a un cluster con provisioning di Amazon Redshift

  1. Nel riquadro di navigazione a sinistra della console Amazon Redshift scegli Pannello di controllo dei cluster con provisioning.

  2. Seleziona Cluster, quindi scegli il cluster e vai alla scheda Policy delle risorse.

  3. Scegli Aggiungi principali autorizzati.

  4. Per ogni principale autorizzato che desideri aggiungere, inserisci nel cluster l'ARN dell' AWS utente o del ruolo o l'ID di chi desideri concedere l' Account AWS accesso per creare integrazioni zero-ETL. L'ID dell'account viene archiviato come ARN.

  5. Scegli Save changes (Salva modifiche).

Aggiunta di origini di integrazione autorizzate

Per consentire all'origine di aggiornare il data warehouse Amazon Redshift, devi aggiungerla come origine di integrazione autorizzata allo spazio dei nomi.

Aggiunta di un'origine di integrazione autorizzata a uno spazio dei nomi Amazon Redshift Serverless

  1. Nella console Amazon Redshift, vai a Pannello di controllo serverless.

  2. Scegli il nome dello spazio dei nomi.

  3. Vai alla scheda Policy delle risorse.

  4. Scegli Aggiungi un'origine di integrazione autorizzata.

  5. Specifica l'ARN dell'origine per l'integrazione Zero-ETL.

Nota

La rimozione di un'origine di integrazione autorizzata blocca la replica dei dati nello spazio dei nomi. L'azione disattiva tutte le integrazioni Zero-ETL dall'origine nello spazio dei nomi.

Aggiunta di un'origine di integrazione autorizzata a un cluster con provisioning di Amazon Redshift

  1. Nella console Amazon Redshift, vai a Pannello di controllo dei cluster con provisioning.

  2. Scegli il nome del cluster con provisioning.

  3. Vai alla scheda Policy delle risorse.

  4. Scegli Aggiungi un'origine di integrazione autorizzata.

  5. Specifica l'ARN dell'origine dati per l'integrazione Zero-ETL.

Nota

La rimozione di un'origine di integrazione autorizzata blocca la replica dei dati nel cluster con provisionig. L'azione disattiva tutte le integrazioni Zero-ETL dall'origine nel cluster con provisioning Amazon Redshift.

Configurazione dell'autorizzazione usando l'API Amazon Redshift

Puoi utilizzare le operazioni API Amazon Redshift per configurare le policy delle risorse che funzionano con le integrazioni Zero-ETL.

Per controllare l'origine che può creare un'integrazione in entrata nello spazio dei nomi, crea una policy delle risorse e collegala allo spazio dei nomi. Con la policy delle risorse, puoi specificare l'origine che ha accesso all'integrazione. La policy delle risorse è collegata allo spazio dei nomi del data warehouse di destinazione per consentire all'origine di creare un'integrazione in entrata per replicare i dati in tempo reale dall'origine in Amazon Redshift.

Di seguito è riportata una policy delle risorse di esempio.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "redshift:AuthorizeInboundIntegration",
      "Condition": {
        "StringEquals": {
          "aws:SourceArn": "source_arn"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "source_principal"
      },
      "Action": "redshift:CreateInboundIntegration"
    }
  ]
}

Di seguito sono riepilogate le operazioni API Amazon Redshift applicabili alla configurazione delle policy delle risorse per le integrazioni:

  • Utilizza l'operazione PutResourcePolicyAPI per mantenere la politica delle risorse. Quando si fornisce un'altra policy delle risorse, quella precedente viene sostituita. Utilizza la policy delle risorse di esempio precedente, che assegna le autorizzazioni per le seguenti azioni:

    • CreateInboundIntegration: consente al principale di origine di creare un'integrazione in entrata per la replica dei dati dall'origine al data warehouse di destinazione.

    • AuthorizeInboundIntegration: consente ad Amazon Redshift di verificare continuamente che il data warehouse di destinazione possa ricevere dati replicati dall'ARN di origine.

  • Utilizzare l'operazione GetResourcePolicyAPI serve a visualizzare le politiche delle risorse esistenti.

  • Utilizza l'operazione DeleteResourcePolicyAPI per rimuovere una politica delle risorse dalla risorsa.

Per aggiornare una politica delle risorse, puoi anche utilizzare il put-resource-policy AWS CLI comando. Ad esempio, per inserire una policy sulle risorse nell'ARN dello spazio dei nomi Amazon Redshift per un'origine DynamoDB, esegui un comando simile al seguente. AWS CLI 

aws redshift put-resource-policy \
--policy file://rs-rp.json \
--resource-arn "arn:aws:redshift-serverless:us-east-1:123456789012:namespace/cc4ffe56-ad2c-4fd1-a5a2-f29124a56433"

Dove rs-rp.json contiene:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "redshift.amazonaws.com"
            },
            "Action": "redshift:AuthorizeInboundIntegration",
            "Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:namespace/cc4ffe56-ad2c-4fd1-a5a2-f29124a56433",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:dynamodb:us-east-1:123456789012:table/test_ddb"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": "redshift:CreateInboundIntegration",
            "Resource": "arn:aws:redshift-serverless:us-east-1:123456789012:namespace/cc4ffe56-ad2c-4fd1-a5a2-f29124a56433"
        }
    ]
}