Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung der IAM Authentifizierung zur Generierung von Datenbankbenutzeranmeldeinformationen
Sie können temporäre Datenbankanmeldedaten auf der Grundlage von Berechtigungen generieren, die über eine AWS Identity and Access Management (IAM) -Berechtigungsrichtlinie gewährt wurden, um den Zugriff Ihrer Benutzer auf Ihre Amazon Redshift Redshift-Datenbank zu verwalten.
Normalerweise melden sich Benutzer von Amazon-Redshift-Datenbanken mit einem Datenbankbenutzernamen und -passwort bei der Datenbank an. Sie müssen jedoch keine Benutzernamen und Passwörter in Ihrer Amazon-Redshift-Datenbank verwalten. Als Alternative können Sie Ihr System so konfigurieren, dass Benutzer Benutzeranmeldedaten erstellen und sich anhand ihrer IAM Anmeldeinformationen bei der Datenbank anmelden können.
Amazon Redshift ermöglicht die GetClusterCredentialsAPIGenerierung temporärer Datenbank-Benutzeranmeldedaten. Sie können Ihren SQL Client mit Amazon Redshift JDBC oder ODBC Treibern konfigurieren, die den Vorgang des Aufrufs des GetClusterCredentials Vorgangs verwalten. Dazu rufen sie die Anmeldeinformationen des Datenbankbenutzers ab und stellen eine Verbindung zwischen Ihrem SQL Client und Ihrer Amazon Redshift Redshift-Datenbank her. Sie können auch Ihre Datenbankanwendung dazu verwenden, programmgesteuert die Operation GetClusterCredentials aufzurufen, die Benutzeranmeldeinformationen für die Datenbank abzurufen und eine Verbindung mit der Datenbank herzustellen.
Wenn Sie Benutzeridentitäten bereits außerhalb verwalten AWS, können Sie einen Identity Provider (IdP) verwenden, der der Security Assertion Markup Language (SAML) 2.0 entspricht, um den Zugriff auf Amazon Redshift Redshift-Ressourcen zu verwalten. Sie konfigurieren Ihren IdP so, dass Ihre Verbundbenutzer Zugriff auf eine IAM Rolle haben. Mit dieser IAM Rolle können Sie temporäre Datenbankanmeldedaten generieren und sich bei Amazon Redshift Redshift-Datenbanken anmelden.
Ihr SQL Kunde benötigt die Erlaubnis, den GetClusterCredentials Vorgang für Sie aufzurufen. Sie verwalten diese Berechtigungen, indem Sie eine IAM Rolle erstellen und eine IAM Berechtigungsrichtlinie anhängen, die den Zugriff auf den GetClusterCredentials Vorgang und die damit verbundenen Aktionen gewährt oder einschränkt. Als bewährte Methode empfehlen wir, einer IAM Rolle Berechtigungsrichtlinien zuzuordnen und sie dann nach Bedarf Benutzern und Gruppen zuzuweisen. Weitere Informationen finden Sie unter Identity and Access Management in Amazon Redshift.
Die Richtlinie gewährt auch Zugriff auf bestimmte Ressourcen, z. B. Cluster, Datenbanken, Datenbankbenutzernamen und Benutzergruppennamen von Amazon Redshift, bzw. schränkt diesen ein.
Anmerkung
Wir empfehlen die Verwendung von Amazon Redshift JDBC oder ODBC Treibern, um den Prozess des Aufrufs des GetClusterCredentials Vorgangs und der Anmeldung bei der Datenbank zu verwalten. Der Einfachheit halber gehen wir in diesem Thema davon aus, dass Sie einen SQL Client mit den ODBC Treibern JDBC oder verwenden.
Spezifische Einzelheiten und Beispiele zur Verwendung der GetClusterCredentials Operation oder des parallel get-cluster-credentials CLI Befehls finden Sie unter GetClusterCredentialsund get-cluster-credentials.
Um Authentifizierung und Autorisierung zentral zu verwalten, unterstützt Amazon Redshift die Datenbankauthentifizierung mit IAM und ermöglicht so die Benutzerauthentifizierung über Enterprise Federation. Anstatt einen Benutzer zu erstellen, können Sie vorhandene Identitäten aus AWS Directory Service Ihrem Unternehmensbenutzerverzeichnis oder einem Web-Identitätsanbieter verwenden. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn der Zugriff über einen IdP angefordert wird.
Um Verbundzugriff auf eine Benutzer- oder Client-Anwendung in Ihrer Organisation bereitzustellen, um Amazon Redshift API Redshift-Operationen aufzurufen, können Sie auch den ODBC Treiber JDBC oder mit SAML 2.0-Unterstützung verwenden, um eine Authentifizierung von Ihrem Unternehmens-IdP anzufordern. In diesem Fall haben die Benutzer Ihrer Organisation keinen direkten Zugriff auf Amazon Redshift.
Weitere Informationen finden Sie unter Identity Providers and Federation im IAM Benutzerhandbuch.
