步骤 4:创建数据库用户和数据库组
(可选)您可以创建一个用于登录到集群数据库的数据库用户。如果您为现有用户创建临时用户凭证,则可禁用此用户的密码以强制用户使用临时密码进行登录。(可选)您可以使用 GetClusterCredentials 选项自动创建新的数据库用户。
您可以创建希望 IAM 数据库用户在登录时加入的数据库用户组并提供相应的权限。在调用 GetClusterCredentials 操作时,您可以指定新用户在登录时加入的用户组名称列表。这些组成员资格仅对特定请求生成的凭证所创建的会话有效。
创建数据库用户和数据库组
-
登录到 Amazon Redshift 数据库,并使用 CREATE USER 创建数据库用户或使用 ALTER USER 修改现有用户。
-
(可选)指定 PASSWORD DISABLE 选项可阻止用户使用密码。在禁用用户的密码后,用户只能使用临时凭证进行登录。如果未禁用密码,用户可以使用密码或临时凭证进行登录。您不能禁用超级用户的密码。
如果用户需要在 AWS Management Console 之外与 AWS 交互,则需要编程式访问权限。授予编程式访问权限的方法取决于访问 AWS 的用户类型。
要向用户授予编程式访问权限,请选择以下选项之一。
哪个用户需要编程式访问权限? 目的 方式 人力身份
(在 IAM Identity Center 中管理的用户)
使用临时凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 按照您希望使用的界面的说明进行操作。
-
有关 AWS CLI 的更多信息,请参阅《AWS Command Line Interface 用户指南》中的配置 AWS CLI 以使用 AWS IAM Identity Center。
-
有关 AWS SDK、工具和 AWS API 的更多信息,请参阅《AWS SDK 和工具参考指南》中的 IAM Identity Center 身份验证。
IAM 使用临时凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 按照《IAM 用户指南》中将临时凭证用于 AWS 资源中的说明进行操作。 IAM (不推荐使用)
使用长期凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。按照您希望使用的界面的说明进行操作。
-
有关 AWS CLI 的更多信息,请参阅《AWS Command Line Interface 用户指南》中的使用 IAM 用户凭证进行身份验证。
-
有关 AWS SDK 和工具的更多信息,请参阅《AWS SDK 和工具参考指南》中的使用长期凭证进行身份验证。
-
有关 AWS API 的更多信息,请参阅《IAM 用户指南》中的管理 IAM 用户的访问密钥。
以下示例创建一个已禁用密码的用户。
create user temp_creds_user password disable;以下示例禁用现有用户的密码。
alter user temp_creds_user password disable; -
-
使用 CREATE GROUP 创建数据库用户组。
-
使用 GRANT 命令为组定义访问权限。
