Amazon Redshift 中的 Identity and Access Management
访问 Amazon Redshift 时需要可供 AWS 用来验证您的请求的凭证。这些凭证必须有权访问 AWS 资源,如 Amazon Redshift 集群。下面几节提供详细信息来说明如何使用 AWS Identity and Access Management (IAM) 和 Amazon Redshift 控制谁能访问您的资源,从而对这些资源进行保护:
重要
本主题包含有关管理权限、身份和安全访问的一系列最佳实践。我们建议您熟悉掌握将 IAM 与 Amazon Redshift 结合使用的最佳实践。这些最佳实践包括使用 IAM 角色应用权限。充分了解这些部分有助于您维护更安全的 Amazon Redshift 数据仓库。
使用身份进行身份验证
身份验证是您使用身份凭证登录 AWS 的方法。您必须作为 AWS 账户根用户、IAM 用户或通过代入 IAM 角色进行身份验证(登录到 AWS)。
您可以使用通过身份源提供的凭证以联合身份登录到 AWS。AWS IAM Identity Center(IAM Identity Center)用户、您公司的单点登录身份验证以及您的 Google 或 Facebook 凭证都是联合身份的示例。当您以联合身份登录时,您的管理员以前使用 IAM 角色设置了身份联合验证。当您使用联合身份验证访问 AWS 时,您就是在间接代入角色。
根据您的用户类型,您可以登录 AWS Management Console 或 AWS 访问门户。有关登录到 AWS 的更多信息,请参阅《AWS 登录 用户指南》中的 如何登录到您的 AWS 账户。
如果您以编程方式访问 AWS,则 AWS 将提供软件开发工具包(SDK)和命令行界面(CLI),以便使用您的凭证以加密方式签署您的请求。如果您不使用 AWS 工具,则必须自行对请求签名。有关使用推荐的方法自行签署请求的更多信息,请参阅《IAM 用户指南》中的签署 AWS API 请求。
无论使用何种身份验证方法,您可能需要提供其他安全信息。例如,AWS 建议您使用多重身份验证(MFA)来提高账户的安全性。要了解更多信息,请参阅《AWS IAM Identity Center 用户指南》中的 多重身份验证 和《IAM 用户指南》中的 在 AWS 中使用多重身份验证(MFA)。
AWS 账户 根用户
当您创建 AWS 账户 时,最初使用的是一个对账户中所有 AWS 服务 和资源拥有完全访问权限的登录身份。此身份称为 AWS 账户 根用户,使用您创建账户时所用的电子邮件地址和密码登录,即可获得该身份。强烈建议您不要使用根用户执行日常任务。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。有关需要您以根用户身份登录的任务的完整列表,请参阅 IAM 用户指南 中的 需要根用户凭证的任务。
IAM 用户和群组
IAM 用户是 AWS 账户 内对某个人员或应用程序具有特定权限的一个身份。在可能的情况下,我们建议使用临时凭证,而不是创建具有长期凭证(如密码和访问密钥)的 IAM 用户。但是,如果您有一些特定的使用场景需要长期凭证以及 IAM 用户,我们建议您轮换访问密钥。有关更多信息,请参阅《IAM 用户指南》中的对于需要长期凭证的使用场景定期轮换访问密钥。
IAM 组是一个指定一组 IAM 用户的身份。您不能使用组的身份登录。您可以使用组来一次性为多个用户指定权限。如果有大量用户,使用组可以更轻松地管理用户权限。例如,您可能具有一个名为 IAMAdmins 的组,并为该组授予权限以管理 IAM 资源。
用户与角色不同。用户唯一地与某个人员或应用程序关联,而角色旨在让需要它的任何人代入。用户具有永久的长期凭证,而角色提供临时凭证。要了解更多信息,请参阅 IAM 用户指南中的何时创建 IAM 用户(而不是角色)。
IAM 角色
IAM 角色是 AWS 账户 中具有特定权限的身份。它类似于 IAM 用户,但与特定人员不关联。您可以通过切换角色,在 AWS Management Console 中暂时代入 IAM 角色。您可以调用 AWS CLI 或 AWS API 操作或使用自定义网址以担任角色。有关使用角色的方法的更多信息,请参阅《IAM 用户指南》中的 使用 IAM 角色。
具有临时凭证的 IAM 角色在以下情况下很有用:
-
联合用户访问 – 要向联合身份分配权限,请创建角色并为角色定义权限。当联合身份进行身份验证时,该身份将与角色相关联并被授予由此角色定义的权限。有关联合身份验证的角色的信息,请参阅《IAM 用户指南》中的 为第三方身份提供商创建角色。如果您使用 IAM Identity Center,则需要配置权限集。为控制您的身份在进行身份验证后可以访问的内容,IAM Identity Center 将权限集与 IAM 中的角色相关联。有关权限集的信息,请参阅《AWS IAM Identity Center 用户指南》中的权限集。
-
临时 IAM 用户权限 – IAM 用户可代入 IAM 用户或角色,以暂时获得针对特定任务的不同权限。
-
跨账户存取 – 您可以使用 IAM 角色以允许不同账户中的某个人(可信主体)访问您的账户中的资源。角色是授予跨账户访问权限的主要方式。但是,对于某些 AWS 服务,您可以将策略直接附加到资源(而不是使用角色作为代理)。要了解用于跨账户访问的角色和基于资源的策略之间的差别,请参阅《IAM 用户指南》中的 IAM 角色与基于资源的策略有何不同。
-
跨服务访问 – 某些 AWS 服务使用其它 AWS 服务 中的特征。例如,当您在某个服务中进行调用时,该服务通常会在 Amazon EC2 中运行应用程序或在 Amazon S3 中存储对象。服务可能会使用发出调用的主体的权限、使用服务角色或使用服务相关角色来执行此操作。
-
转发访问会话:当您使用 IAM 用户或角色在 AWS 中执行操作时,您将被视为主体。使用某些服务时,您可能会执行一个操作,此操作然后在不同服务中启动另一个操作。FAS 使用主体调用 AWS 服务 的权限,结合请求的 AWS 服务,向下游服务发出请求。只有在服务收到需要与其他 AWS 服务 或资源交互才能完成的请求时,才会发出 FAS 请求。在这种情况下,您必须具有执行这两个操作的权限。有关发出 FAS 请求时的策略详情,请参阅转发访问会话。
-
服务角色 - 服务角色是服务代表您在您的账户中执行操作而分派的 IAM 角色。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》中的创建向 AWS 服务 委派权限的角色。
-
服务相关角色 – 服务相关角色是与 AWS 服务 关联的一种服务角色。服务可以代入代表您执行操作的角色。服务相关角色显示在您的 AWS 账户 中,并由该服务拥有。IAM 管理员可以查看但不能编辑服务相关角色的权限。
-
-
在 Amazon EC2 上运行的应用程序 – 您可以使用 IAM 角色管理在 EC2 实例上运行并发出 AWS CLI 或 AWS API 请求的应用程序的临时凭证。这优先于在 EC2 实例中存储访问密钥。要将 AWS 角色分配给 EC2 实例并使其对该实例的所有应用程序可用,您可以创建一个附加到实例的实例配置文件。实例配置文件包含角色,并使 EC2 实例上运行的程序能够获得临时凭证。有关更多信息,请参阅《IAM 用户指南》中的 使用 IAM 角色为 Amazon EC2 实例上运行的应用程序授予权限。
要了解是使用 IAM 角色还是 IAM 用户,请参阅 IAM 用户指南中的何时创建 IAM 角色(而不是用户)。
访问控制
您可以使用有效的凭证来对自己的请求进行身份验证,但您还必须拥有权限才能创建或访问 Amazon Redshift 资源。例如,您必须拥有权限才能创建 Amazon Redshift 集群、创建快照、添加事件订阅等。
下面几节介绍如何管理 Amazon Redshift 的权限。我们建议您先阅读概述。
