Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im [Blog-Posting](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Autorisieren des Zugriffs auf die Amazon Redshift Data API
<a name="data-api-access"></a>

Ein Benutzer muss zum Zugriff auf die Data API autorisiert sein. Sie können einen Benutzer zum Zugriff auf die Data API autorisieren, indem Sie dem betreffenden Benutzer eine verwaltete Richtlinie, eine vordefinierte AWS Identity and Access Management (IAM)-Richtlinie, hinzufügen. Als bewährte Methode empfehlen wir, einer IAM-Rolle Berechtigungsrichtlinien anzufügen und sie dann nach Bedarf Benutzern und Gruppen zuzuweisen. Weitere Informationen finden Sie unter [Identity and Access Management in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-authentication-access-control.html). In der IAM-Konsole ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) finden Sie Informationen zu den Berechtigungen, die durch verwaltete Richtlinien zugelassen und verweigert wurden. 

# Konfigurieren von IAM-Berechtigungen
<a name="data-api-iam"></a>

Amazon Redshift stellt die von `AmazonRedshiftDataFullAccess` verwaltete Richtlinie bereit. Diese Richtlinie bietet vollständigen Zugriff auf die Amazon-Redshift-Data-API-Vorgänge. Diese Richtlinie ermöglicht auch den bereichsbezogenen Zugriff auf bestimmte Amazon Redshift- und IAM-API-Operationen AWS Secrets Manager, die für die Authentifizierung und den Zugriff auf einen Amazon Redshift Redshift-Cluster oder eine Redshift Serverless-Arbeitsgruppe erforderlich sind. 

Sie können auch eine eigene IAM-Richtlinie erstellen, die den Zugriff auf bestimmte Ressourcen ermöglicht. Um Ihre Richtlinie zu erstellen, verwenden Sie die `AmazonRedshiftDataFullAccess`-Richtlinie als Ausgangspunkt. Nach dem Erstellen Ihrer Richtlinie können Sie diese jedem Benutzer hinzufügen, der Zugriff auf die Data API benötigt.

Berücksichtigen Sie die folgenden Anforderungen der IAM-Richtlinie, die mit dem Benutzer verknüpft ist:
+ Wenn Sie die Authentifizierung verwenden, vergewissern Sie AWS Secrets Manager sich, dass die Richtlinie die Verwendung der Aktion zum Abrufen des mit dem Schlüssel markierten Geheimnisses `secretsmanager:GetSecretValue` zulässt. `RedshiftDataFullAccess`
+ Wenn Sie temporäre Anmeldeinformationen für die Authentifizierung verwenden, prüfen Sie, ob die Richtlinie die Verwendung der `redshift:GetClusterCredentials`-Aktion für den Datenbankbenutzernamen `redshift_data_api_user` für jede Datenbank im Cluster erlaubt. Dieser Benutzername muss bereits in Ihrer Datenbank erstellt worden sein.
+ Wenn Sie temporäre Anmeldeinformationen verwenden, um sich bei einer Serverless-Arbeitsgruppe zu authentifizieren, bestätigen Sie, dass die Richtlinie die Verwendung der Aktion `redshift-serverless:GetCredentials` zum Abrufen der mit dem Schlüssel `RedshiftDataFullAccess` gekennzeichneten Arbeitsgruppe zulässt. Der Datenbankbenutzer wird der Quellidentität AWS Identity and Access Management (IAM) 1:1 zugeordnet. Der Benutzer sample\$1user ist beispielsweise einem Datenbankbenutzer `IAM:sample_user` und die IAM-Rolle sample\$1role ist `IAMR:sample_role` zugeordnet. Weitere Informationen zu unterschiedlichen IAM-Identitäten finden Sie unter [IAM-Identitäten (Benutzer, Benutzergruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im IAM-Benutzerhandbuch.
+ Die IAM-Aktion `redshift-data:GetStatementResult` ermöglicht den Zugriff auf die API-Operationen `GetStatementResult` und `GetStatementResultV2`.

Unter den folgenden Links finden Sie weitere Informationen zum AWS Identity and Access Management *IAM-Benutzerhandbuch*.
+ Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter [Erstellen von IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html). 
+ Informationen zum Erstellen einer IAM-Richtlinie finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html).
+ Informationen zum Hinzufügen einer IAM-Richtlinie zu einem Benutzer finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html). 

## Ausführen einer Abfrage auf einem Cluster, der einem anderen Konto gehört
<a name="data-api-run-query-on-others-cluster"></a>

Um eine Abfrage in einem Cluster auszuführen, der einem anderen Konto gehört, muss das besitzende Konto eine IAM-Rolle bereitstellen, die die Data API im aufrufenden Konto übernehmen kann. Angenommen, Konto B besitzt einen Cluster, auf den Konto A zugreifen muss. Konto B kann die AWS verwaltete Richtlinie `AmazonRedshiftDataFullAccess` der IAM-Rolle von Konto B zuordnen. Dann vertraut Konto B Konto A mit einer Vertrauensrichtlinie wie der folgenden: ``

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/someRoleA"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

Schließlich muss die IAM-Rolle von Konto A die IAM-Rolle von Konto B übernehmen können.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::111122223333:role/someRoleB"
    }
}
```

------

## Geben Sie eine IAM-Rolle an, die Ressourcen auf Redshift Serverless-Arbeitsgruppen und Amazon Redshift Redshift-Cluster in einem beschränkt AWS-Konto
<a name="data-api-restrict-to-account"></a>

Sie können ARNs in Ihrer identitätsbasierten Richtlinie eine Ressource angeben, um den Zugriff auf Redshift Serverless-Arbeitsgruppen und Amazon Redshift Redshift-Cluster in einem zu kontrollieren. AWS-Konto In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen können, die den Zugriff auf die Data API nur für die Arbeitsgruppe und die Cluster in dem angegebenen AWS-Konto ermöglicht.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "redshift-data:CancelStatement",
                "redshift-data:DescribeStatement",
                "redshift-data:GetStatementResult",
                "redshift-data:ListStatements"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "redshift-data:*",
            "Resource": [
                "arn:aws:redshift:us-east-1:111122223333:workgroup/*",
                "arn:aws:redshift:us-east-1:111122223333:cluster:*"
            ]
        }
    ]
}
```

------

## Konfigurieren Sie eine IAM-Richtlinie, die den Zugriff auf SQL-Anweisungsinformationen auf den Eigentümer der Anweisung beschränkt
<a name="data-api-restrict-to-statement-owner"></a>

Standardmäßig behandelt die Amazon Redshift Data API die IAM-Rolle, die beim Aufrufen von `ExecuteStatement` und `BatchExecuteStatement` verwendet wird, als Eigentümer der SQL-Anweisung. Jeder, der die Rolle übernehmen darf, kann auf Informationen über die SQL-Anweisung zugreifen, einschließlich ihrer Ergebnisse. Um den Zugriff auf Informationen zu SQL-Anweisungen auf eine IAM-Rollensitzung mit einem bestimmten Eigentümer zu beschränken, fügen Sie eine Bedingung `redshift-data:statement-owner-iam-userid: "${aws:userid}"` hinzu. Die folgende IAM-Richtlinie beschränkt den Zugriff.

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "redshift-data:CancelStatement",
                "redshift-data:DescribeStatement",
                "redshift-data:GetStatementResult",
                "redshift-data:ListStatements"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "redshift-data:statement-owner-iam-userid": "${aws:userid}"
                }
            }
        }
    ]
}
```

------

Sie können die Bedingung `statement-owner-iam-userid` mit `CancelStatement`, `DescribeStatement`, `GetStatementResult` und `ListStatements` verwenden. Weitere Informationen finden Sie unter [Actions defined by Amazon Redshift Data API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshiftdataapi.html#amazonredshiftdataapi-redshift-data_statement-owner-iam-userid).

## Konfigurieren Sie eine IAM-Richtlinie, die den Zugriff auf SQL-Ergebnisse auf den Sitzungseigentümer beschränkt
<a name="data-api-restrict-session-owner"></a>

Standardmäßig behandelt die Amazon Redshift Data API die IAM-Rolle, die beim Aufrufen von `ExecuteStatement` und `BatchExecuteStatement` verwendet wird, als Eigentümer der Datenbanksitzung, in der die SQL-Anweisung ausgeführt wird. Jeder, der berechtigt ist, die Rolle anzunehmen, kann Abfragen an die Datenbanksitzung stellen. Um den Sitzungszugriff auf eine IAM-Rollensitzung mit einem bestimmten Eigentümer zu beschränken, fügen Sie eine Bedingung ` redshift-data:session-owner-iam-userid: "${aws:userid}"` hinzu. Die folgende IAM-Richtlinie beschränkt den Zugriff.

Die folgende IAM-Richtlinie ermöglicht es nur dem Sitzungseigentümer, Anweisungsergebnisse abzurufen. Die Bedingung `session-owner-iam-userid` wird verwendet, um den Ressourcenzugriff auf die angegebene `userid` zu beschränken.

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ 
                "redshift-data:ExecuteStatement",
                "redshift-data:BatchExecuteStatement"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "redshift-data:session-owner-iam-userid": "${aws:userid}"
                }
            }
        }
    ]
}
```

------

Sie können die Bedingung `session-owner-iam-userid` mit `ExecuteStatement` und `BatchExecuteStatement` verwenden. Weitere Informationen finden Sie unter [Actions defined by Amazon Redshift Data API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonredshiftdataapi.html#amazonredshiftdataapi-redshift-data_statement-owner-iam-userid).

# Speichern von Datenbankanmeldedaten in AWS Secrets Manager
<a name="data-api-secrets"></a>

Wenn Sie die Data API aufrufen, können Sie die Anmeldeinformationen für den Cluster oder die Serverless-Arbeitsgruppe unter Verwendung eines Secrets in AWS Secrets Managerübergeben. Zum Übermitteln der Anmeldeinformationen auf diese Weise geben Sie den Namen des Secrets oder den Amazon-Ressourcennamen (ARN) des Secrets an. 

Um Anmeldeinformationen mit Secrets Manager zu speichern, benötigen Sie eine von `SecretManagerReadWrite` verwaltete Richtlinienberechtigung. Weitere Informationen zu den Mindestberechtigungen finden Sie unter [Creating and Managing AWS Secrets with Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets.html) im *AWS Secrets Manager Benutzerhandbuch*. 

**So speichern Sie Ihre Anmeldeinformationen in einem Secret für einen Amazon-Redshift-Cluster**

1. Verwenden Sie die AWS Secrets Manager Konsole, um einen geheimen Schlüssel zu erstellen, der Anmeldeinformationen für Ihren Cluster enthält:
   + Wenn Sie **Store a new secret** (Neues Secret speichern) auswählen, wählen Sie **Credentials for Redshift cluster** (Anmeldeinformationen für Redshift-Cluster) aus. 
   + Speichern Sie Ihre Werte für **User name (Benutzername)** (Datenbankbenutzer),**Password (Passwort)** und **DB cluster (DB-Cluster)** (Cluster-ID) in Ihrem Secret. 
   + Markieren Sie das Secret mit dem Schlüssel `RedshiftDataFullAccess`. Die AWS verwaltete Richtlinie erlaubt die Aktion `AmazonRedshiftDataFullAccess` nur `secretsmanager:GetSecretValue` für Geheimnisse, die mit dem Schlüssel gekennzeichnet sind`RedshiftDataFullAccess`. 

   Anweisungen finden Sie unter [Erstellen eines Basis-Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_create-basic-secret.html) im *AWS Secrets Manager -Benutzerhandbuch*.

1. Verwenden Sie die AWS Secrets Manager Konsole, um die Details für das von Ihnen erstellte Geheimnis anzuzeigen, oder führen Sie den `aws secretsmanager describe-secret` AWS CLI Befehl aus.

   Notieren Sie sich den Namen und den ARN des Secrets. Sie können diese in Aufrufen an die Data API verwenden.

**So speichern Sie Ihre Anmeldeinformationen in einem Secret für eine Serverless-Arbeitsgruppe**

1. Verwenden Sie AWS Secrets Manager AWS CLI Befehle, um ein Geheimnis zu speichern, das Anmeldeinformationen für Ihre serverlose Arbeitsgruppe enthält:
   + Erstellen Sie Ihr Secret in einer Datei, zum Beispiel einer JSON-Datei mit dem Namen `mycreds.json`. Geben Sie die Werte für **User name** (Benutzername) (d. h. den Namen des Datenbankbenutzers) und **Password** (Kennwort) in der Datei an.

     ```
     {
           "username": "myusername",
           "password": "mypassword"
     }
     ```
   + Speichern Sie Ihre Werte in Ihrem Secret und markieren Sie das Secret mit dem Schlüssel `RedshiftDataFullAccess`.

     ```
     aws secretsmanager create-secret --name MyRedshiftSecret  --tags Key="RedshiftDataFullAccess",Value="serverless" --secret-string file://mycreds.json
     ```

     Nachfolgend sehen Sie die Ausgabe.

     ```
     {
         "ARN": "arn:aws:secretsmanager:region:accountId:secret:MyRedshiftSecret-mvLHxf",
         "Name": "MyRedshiftSecret",
         "VersionId": "a1603925-e8ea-4739-9ae9-e509eEXAMPLE"
     }
     ```

   Weitere Informationen finden Sie unter [Erstellen eines Basis-Secrets mit der AWS CLI](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_create-basic-secret.html#proc-create-api) im *AWS Secrets Manager -Benutzerhandbuch*.

1. Verwenden Sie die AWS Secrets Manager Konsole, um die Details für das von Ihnen erstellte Geheimnis anzuzeigen, oder führen Sie den `aws secretsmanager describe-secret` AWS CLI Befehl aus.

   Notieren Sie sich den Namen und den ARN des Secrets. Sie können diese in Aufrufen an die Data API verwenden.

# Erstellen eines Amazon-VPC-Endpunkts (AWS PrivateLink) für die Data API
<a name="data-api-vpc-endpoint"></a>

Mit Amazon Virtual Private Cloud (Amazon VPC) können Sie AWS Ressourcen wie Amazon Redshift Redshift-Cluster und -Anwendungen in einer Virtual Private Cloud (VPC) starten. AWS PrivateLink bietet private Konnektivität zwischen virtuellen privaten Clouds (VPCs) und sicheren AWS Diensten im Amazon-Netzwerk. Mithilfe AWS PrivateLink können Sie VPC-Endpunkte erstellen, mit denen Sie Verbindungen zu Diensten herstellen können, die über verschiedene Konten hinweg und auf Amazon VPC VPCs basieren. Weitere Informationen AWS PrivateLink finden Sie unter [VPC Endpoint Services (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.

Sie können die Daten-API mit Amazon VPC-Endpunkten aufrufen. Die Verwendung eines Amazon-VPC-Endpunkts hält den Datenverkehr zwischen Anwendungen in Ihrer Amazon VPC und der Data API im AWS -Netzwerk aufrecht, ohne öffentliche IP-Adressen zu verwenden. Amazon-VPC-Endpunkte können Ihnen dabei helfen, Compliance- und behördliche Anforderungen im Zusammenhang mit der Einschränkung der öffentlichen Internetkonnektivität zu erfüllen. Wenn Sie beispielsweise einen Amazon VPC-Endpunkt verwenden, können Sie den Verkehr zwischen einer Anwendung, die auf einer Amazon EC2 EC2-Instance ausgeführt wird, und der Daten-API in der VPCs , die sie enthält, aufrechterhalten.

Nachdem Sie den Amazon VPC-Endpunkt erstellt haben, können Sie ihn verwenden, ohne Code- oder Konfigurationsänderungen in der Anwendung vorzunehmen.

**So erstellen Sie einen Amazon VPC-Endpunkt für die Daten-API**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie **Endpunkte** und dann **Endpunkt erstellen** aus.

1. Wählen Sie auf der Seite **Create Endpoint (Endpunkt erstellen)** für **Service category (Servicekategorie)** die Option **AWS -Services** aus. Wählen Sie bei **Service Name** **redshift-data** (`com.amazonaws.region.redshift-data`) aus.

1. Wählen Sie für **VPC** die VPC aus, in der der Endpunkt erstellt werden soll.

   Wählen Sie die VPC aus, die die Anwendung enthält, die Daten-API-Aufrufe ausführt.

1. Wählen Sie für **Subnetze** das Subnetz für jede Availability Zone (AZ) aus, die von dem AWS Service verwendet wird, auf dem Ihre Anwendung ausgeführt wird.

   Um einen Amazon-VPC-Endpunkt zu erstellen, geben Sie den privaten IP-Adressbereich an, in dem der Endpunkt zugänglich ist. Wählen Sie dazu das Subnetz für jede Availability Zone aus. Dadurch wird der VPC-Endpunkt auf den privaten IP-Adressbereich beschränkt, der für jede Availability Zone spezifisch ist. Außerdem wird in jeder Availability Zone ein Amazon VPC-Endpunkt erstellt.

1. Wählen Sie für **DNS-Namen aktivieren** die Option **Für diesen Endpunkt aktivieren** aus.

   Private DNS löst den standardmäßigen DNS-Hostnamen der Daten-API (`https://redshift-data.region.amazonaws.com`) in die privaten IP-Adressen auf, die mit dem für Ihren Amazon VPC-Endpunkt spezifischen DNS-Hostnamen verknüpft sind. Daher können Sie mit oder auf den Daten-API-VPC-Endpunkt zugreifen, AWS SDKs ohne Code AWS CLI - oder Konfigurationsänderungen vorzunehmen, um die Daten-API-Endpunkt-URL zu aktualisieren.

1. Wählen Sie für **Sicherheitsgruppe** eine Sicherheitsgruppe aus, die dem Amazon VPC-Endpunkt zugeordnet werden soll.

   Wählen Sie die Sicherheitsgruppe aus, die den Zugriff auf den AWS Dienst ermöglicht, auf dem Ihre Anwendung ausgeführt wird. Wenn beispielsweise eine Amazon EC2-Instance Ihre Anwendung ausführt, wählen Sie die Sicherheitsgruppe aus, die den Zugriff auf die Amazon EC2-Instance ermöglicht. Mit der Sicherheitsgruppe können Sie den Datenverkehr zum Amazon VPC-Endpunkt von Ressourcen in Ihrer VPC steuern.

1. Wählen Sie **Create endpoint**.

Nachdem der Endpunkt erstellt wurde, wählen Sie den Link in, AWS-Managementkonsole um die Endpunktdetails anzuzeigen.

Auf der Registerkarte **Details** des Endpunkts werden die DNS-Hostnamen angezeigt, die beim Erstellen des Amazon VPC-Endpunkts generiert wurden.

Sie können den Standardendpunkt (`redshift-data.region.amazonaws.com`) oder einen der VPC-spezifischen Endpunkte verwenden, um die Daten-API innerhalb der Amazon VPC aufzurufen. Der standardmäßige Daten-API-Endpunkt leitet automatisch an den Amazon VPC-Endpunkt weiter. Dieses Routing tritt auf, weil der private DNS-Hostname beim Erstellen des Amazon VPC-Endpunkts aktiviert wurde.

Wenn Sie einen Amazon VPC-Endpunkt in einem Daten-API-Aufruf verwenden, verbleibt der gesamte Datenverkehr zwischen Ihrer Anwendung und der Daten-API in dem Amazon VPCs , der sie enthält. Sie können einen Amazon VPC-Endpunkt für jeden Typ von Daten-API-Aufruf verwenden. Informationen zum Aufrufen der Daten-API finden Sie unter [Wichtige Punkte beim Aufrufen der Amazon Redshift Data API](data-api.md#data-api-calling-considerations).

# Beitreten zu Datenbankgruppen beim Herstellen einer Verbindung mit einem Cluster
<a name="data-api-dbgroups"></a>

Datenbankgruppen sind Sammlungen von Datenbankbenutzern. Datenbankberechtigungen können Gruppen gewährt werden. Ein Administrator kann eine IAM-Rolle so konfigurieren, dass diese Datenbankgruppen berücksichtigt werden, wenn Ihr SQL mit der Daten-API ausgeführt wird. Weitere Informationen über Datenbankgruppen finden Sie unter [Gruppen](https://docs.aws.amazon.com/redshift/latest/dg/r_Groups.html) im *Datenbankentwicklerhandbuch zu Amazon Redshift*. 

Sie können die IAM-Rolle eines Daten-API-Aufrufers so konfigurieren, dass der im Aufruf angegebene Datenbankbenutzer Datenbankgruppen beitritt, wenn die Daten-API eine Verbindung mit einem Cluster herstellt. Diese Funktion wird nur unterstützt, wenn eine Verbindung mit bereitgestellten Clustern hergestellt wird. Sie wird nicht unterstützt beim Herstellen einer Verbindung mit Redshift-Serverless-Arbeitsgruppen. Die IAM-Rolle des Aufrufers der Daten-API muss außerdem die Aktion `redshift:JoinGroup` zulassen.

Konfigurieren Sie dies, indem Sie IAM-Rollen Tags hinzufügen. Der Administrator der IAM-Rolle des Aufrufers fügt Tags mit dem Schlüssel `RedshiftDbGroups` und einem Schlüsselwert einer Liste von Datenbankgruppen. Der Wert ist eine Liste von durch Doppelpunkt (:) getrennten Namen von Datenbankgruppen mit einer Gesamtlänge von bis zu 256 Zeichen. Die Datenbankgruppen müssen zuvor in der verbundenen Datenbank definiert worden sein. Wenn eine angegebene Gruppe in der Datenbank nicht zu finden ist, wird sie ignoriert. Zum Beispiel lautet der Schlüsselwert für die Datenbankgruppen `accounting` und `retail` `accounting:retail`. Das Tag-Schlüssel-Wert-Paar `{"Key":"RedshiftDbGroups","Value":"accounting:retail"}` wird von der Daten-API verwendet, um zu ermitteln, welche Datenbankgruppen dem angegebenen Datenbankbenutzer beim Aufruf der Daten-API zugeordnet sind.

**So treten Sie Datenbankgruppen bei**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. Wählen Sie im Navigationsbereich der Konsole **Rollen** aus und wählen Sie dann den Namen der Rolle aus, die Sie bearbeiten möchten.

1. Wählen Sie die Registerkarte **Tags** und dann **Tags verwalten** aus.

1. Wählen Sie **Tag hinzufügen** und fügen Sie dann den Schlüssel **RedshiftDbGroups**und einen Wert hinzu, der eine Liste von *database-groups-colon-separated* ist.

1. Wählen Sie **Änderungen speichern ** aus.

   Wenn nun ein IAM-Prinzipal (mit angefügter IAM-Rolle) die Daten-API aufruft, tritt der angegebene Datenbankbenutzer den in der IAM-Rolle angegebenen Datenbankgruppen bei.

Weitere Informationen darüber, wie Sie ein Tag an einen Prinzipal anhängen, einschließlich IAM-Rollen und IAM-Benutzern, finden Sie unter [Markieren von IAM-Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.