第 1 步 为 Amazon Redshift 创建一个 IAM 角色
您的集群需要授权才能访问您在 AWS Glue 或 Amazon Athena 中的外部数据目录以及您在 Amazon S3 中的数据文件。要提供授权,您需要引用附加到集群的 AWS Identity and Access Management (IAM) 角色。有关将角色用于 Amazon Redshift 的更多信息,请参阅使用 IAM 角色授权 COPY 和 UNLOAD 操作。
注意
在某些情况下,您可以将 Athena Data Catalog 迁移到 AWS Glue Data Catalog。如果您的集群在支持 AWS Glue 的 AWS 区域内,并且您在 Athena Data Catalog 中拥有 Redshift Spectrum 外部表,则可执行此操作。要将 AWS Glue 数据目录用于 Redshift Spectrum,您可能需要更改您的 IAM 策略。有关更多信息,请参阅《Athena 用户指南》中的升级到 AWS Glue Data Catalog。
为 Amazon Redshift 创建角色时,请选择以下方法之一:
如果您将 Redshift Spectrum 与 Athena Data Catalog 或 AWS Glue Data Catalog 结合使用,请按照 要为 Amazon Redshift 创建一个 IAM 角色 中概述的步骤操作。
如果您将 Redshift Spectrum 与为 AWS Lake Formation 启用的 AWS Glue Data Catalog 结合使用,请按照以下程序中概括的步骤操作:
要为 Amazon Redshift 创建一个 IAM 角色
-
打开 IAM 控制台
。 -
在导航窗格中,选择角色。
-
选择创建角色。
-
选择 AWS 服务作为可信实体,然后选择 Redshift 作为使用案例。
-
在其他 AWS 服务的使用案例下,选择 Redshift - 可自定义,然后选择下一步。
-
此时显示添加权限策略页面。选择
AmazonS3ReadOnlyAccess
和AWSGlueConsoleFullAccess
(如果使用的是 AWS Glue 数据目录)。或选择AmazonAthenaFullAccess
(如果使用的是 Athena Data Catalog)。选择下一步。注意
AmazonS3ReadOnlyAccess
策略为您的集群提供对所有 Amazon S3 桶的只读访问。要仅授予 AWS 示例数据桶的访问权限,请创建新策略并添加以下权限。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::redshift-downloads/*" } ] }
-
对于角色名称,输入您角色的名称,例如
myspectrum_role
。 -
检查信息,然后选择 Create role。
-
在导航窗格中,选择角色。选择新角色的名称以查看摘要,然后将 Role ARN 复制到剪贴板。该值是您刚创建的角色的 Amazon 资源名称 (ARN)。您将在创建用于引用 Amazon S3 上的数据文件的外部表时使用此值。
要使用为 AWS Lake Formation 启用的 AWS Glue Data Catalog 为 Amazon Redshift 创建 IAM 角色
-
通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择策略。
如果这是您首次选择 Policies,则会显示 Welcome to Managed Policies 页面。选择开始使用。
-
选择创建策略。
-
选择以在 JSON 选项卡上创建策略。
-
粘贴在以下 JSON 策略文档中,该策略授予对 Data Catalog 的访问权限,但拒绝对 Lake Formation 的管理员权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RedshiftPolicyForLF", "Effect": "Allow", "Action": [ "glue:*", "lakeformation:GetDataAccess" ], "Resource": "*" } ] }
-
完成后,选择审核对策略进行审核。策略验证程序将报告任何语法错误。
-
在查看策略页面上,为名称输入
myspectrum_policy
,以命名您正在创建的策略。输入描述(可选)。查看策略摘要以查看您的策略授予的权限。然后,选择创建策略以保存您的工作。在创建策略之后,您可以向您的用户提供访问权限。
要提供访问权限,请为您的用户、组或角色添加权限:
-
AWS IAM Identity Center 中的用户和群组:
创建权限集合。按照《AWS IAM Identity Center 用户指南》中创建权限集的说明进行操作。
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-
授予对表的 SELECT 权限以在 Lake Formation 数据库中进行查询
-
通过 https://console.aws.amazon.com/lakeformation/
中打开 Lake Formation 控制台。 -
在导航窗格中,选择数据湖权限,然后选择授予。
-
按照《AWS Lake Formation 开发人员指南》的使用命名资源方法授予表权限中的说明进行操作。提供以下信息:
-
对于 IAM 角色,选择您创建的 IAM 角色
myspectrum_role
。运行 Amazon Redshift 查询编辑器时,它使用此 IAM 角色来获取数据权限。注意
要授予对启用了 Lake Formation 的 Data Catalog 中的表的 SELECT 权限以进行查询,请执行以下操作:
在 Lake Formation 中注册数据的路径。
在 Lake Formation 中授予用户对该路径的权限。
创建的表可在 Lake Formation 中注册的路径中找到。
-
-
选择授权。
重要
作为最佳实践,仅允许通过 Lake Formation 权限访问底层 Amazon S3 对象。要防止未经批准的访问,请删除授予针对 Lake Formation 以外的 Amazon S3 对象的任何权限。如果您在设置 Lake Formation 之前曾访问了 Amazon S3 对象,请删除之前设置的任何 IAM 策略或桶权限。有关更多信息,请参阅将 AWS Glue 数据权限升级到 AWS Lake Formation 模型和 Lake Formation 权限。