Beschränken Sie den Zugriff auf Rollen IAM - Amazon Redshift

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beschränken Sie den Zugriff auf Rollen IAM

Standardmäßig sind IAM Rollen, die für einen Amazon Redshift Redshift-Cluster verfügbar sind, für alle Benutzer in diesem Cluster verfügbar. Sie können wählen, ob Sie IAM Rollen auf bestimmte Amazon Redshift Redshift-Datenbankbenutzer in bestimmten Clustern oder auf bestimmte Regionen beschränken möchten.

Gehen Sie wie folgt vor, um nur bestimmten Datenbankbenutzern die Verwendung einer IAM Rolle zu gestatten.

Um bestimmte Datenbankbenutzer mit Zugriff auf eine IAM Rolle zu identifizieren

  1. Identifizieren Sie den Amazon-Ressourcennamen (ARN) für die Datenbankbenutzer in Ihrem Amazon Redshift-Cluster. Der ARN für einen Datenbankbenutzer hat das Format:arn:aws:redshift:region:account-id:dbuser:cluster-name/user-name.

    Verwenden Sie für Amazon Redshift Serverless das folgende ARN Format. arn:aws:redshift:region:account-id:dbuser:workgroup-name/user-name

  2. Öffne die IAMKonsole.

  3. Wählen Sie im Navigationsbereich Rollen aus.

  4. Wählen Sie die IAM Rolle aus, die Sie auf bestimmte Amazon Redshift Redshift-Datenbankbenutzer beschränken möchten.

  5. Wählen Sie die Registerkarte Trust Relationships (Vertrauensstellungen) und anschließend Edit Trust Relationship (Vertrauensstellung bearbeiten) aus. Eine neue IAM Rolle, die es Amazon Redshift ermöglicht, in Ihrem Namen auf andere AWS Dienste zuzugreifen, hat ein Vertrauensverhältnis wie folgt:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Fügen Sie dem Aktionsabschnitt sts:AssumeRole des Vertrauensverhältnisses eine Bedingung hinzu, die das Feld sts:ExternalId auf die von Ihnen angegebenen Werte beschränkt. Fügen Sie ARN für jeden Datenbankbenutzer, dem Sie Zugriff auf die Rolle gewähren möchten, eine hinzu. Die externe ID kann eine beliebige eindeutige Zeichenfolge sein.

    Die folgende Vertrauensstellung gibt beispielsweise an, dass nur Datenbankbenutzer user1 und user2 Clusterbenutzer my-cluster in der Region us-west-2 berechtigt sind, diese IAM Rolle zu verwenden.

    {
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": { 
      "Service": "redshift.amazonaws.com" 
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "StringEquals": {
        "sts:ExternalId": [
          "arn:aws:redshift:us-west-2:123456789012:dbuser:my-cluster/user1",
          "arn:aws:redshift:us-west-2:123456789012:dbuser:my-cluster/user2"
        ]
      }
    }
  }]
}

  7. Wählen Sie Update Trust Policy (Trust Policy aktualisieren).