Authentifizieren einer geplanten Abfrage - Amazon Redshift

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Authentifizieren einer geplanten Abfrage

Wenn Sie eine Abfrage planen, verwenden Sie bei der SQL Ausführung eine der folgenden Authentifizierungsmethoden. Jede Methode erfordert eine andere Kombination von Eingaben im Query Editor v2. Diese Authentifizierungsmethoden werden von den Daten unterstütztAPI, die zur Ausführung Ihrer SQL Anweisungen verwendet werden.

Der Datenbankbenutzer oder die Rolle, der bzw. die zum Ausführen der Abfrage verwendet wird, muss über die erforderlichen Datenbankberechtigungen verfügen. Um beispielsweise IAMR:MyRedshiftQEv2Scheduler Tabellenberechtigungen zu gewährenmytable, führen Sie den folgenden SQL Befehl aus.

GRANT all ON TABLE mytable TO "IAMR:MyRedshiftQEv2Scheduler";

Wenn Sie die Liste der Datenbankbenutzer in Ihrem Cluster oder Ihrer Arbeitsgruppe anzeigen möchten, fragen Sie die Systemansicht PG_USER_INFO ab.

Anmerkung

Jede Redshift Serverless-Arbeitsgruppe, für die Sie Abfragen planen, muss mit dem Schlüssel gekennzeichnet werden. RedshiftDataFullAccess Weitere Informationen finden Sie unter Autorisieren des Zugriffs auf die Amazon Redshift Redshift-Daten API.

Als Alternative zum Taggen der Arbeitsgruppe können Sie der IAM Rolle (die im Zeitplan angegeben ist) eine Inline-Richtlinie hinzufügen, die dies ermöglicht. redshift-serverless:GetCredentials Beispielsweise:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "UseTemporaryCredentialsForAllServerlessWorkgroups",
            "Effect": "Allow",
            "Action": "redshift-serverless:GetCredentials",
            "Resource": [
                "arn:aws:redshift-serverless:*:*:workgroup/*"
            ]
        }
    ]
}
AWS Secrets Manager

Geben Sie bei dieser Methode einen Secret-Wert für secret-arn an, der in AWS Secrets Manager gespeichert ist. Dieses Secret enthält Anmeldeinformationen zum Verbinden mit Ihrer Datenbank. Möglicherweise haben Sie bei der Erstellung Ihres Clusters oder Ihrer Arbeitsgruppe ein Geheimnis mit den richtigen Anmeldeinformationen erstellt. Das Secret muss mit dem Schlüssel RedshiftDataFullAccess markiert sein. Wenn der Tag-Schlüssel noch nicht vorhanden ist, verwenden Sie die AWS Secrets Manager Konsole, um ihn hinzuzufügen. Hinweise zum Erstellen eines Geheimnisses finden Sie unterEin Geheimnis für Datenbankverbindungsdaten erstellen.

Weitere Informationen zu den Mindestberechtigungen finden Sie unter Erstellen und Verwalten von Secrets mit AWS Secrets Manager im AWS Secrets Manager -Benutzerhandbuch.

Temporäre Anmeldeinformationen

Geben Sie bei dieser Methode Ihre Werte für Datenbankname und Datenbankbenutzer an, wenn Sie eine Verbindung mit einer Datenbank in einem Cluster herstellen. Sie müssen nur Ihren Wert für Datenbankname angeben, wenn Sie eine Verbindung mit einer Datenbank in einer Arbeitsgruppe herstellen.

Wenn Sie eine Verbindung mit einem Cluster herstellen, erteilt die AmazonRedshiftDataFullAccess-Richtlinie dem Datenbankbenutzer mit dem Namen redshift_data_api_user Berechtigung für redshift:GetClusterCredentials. Wenn Sie einen anderen Datenbankbenutzer verwenden möchten, um die SQL Anweisung auszuführen, fügen Sie der IAM Rolle, die Ihrem Cluster zugewiesen ist, eine Richtlinie hinzu, um dies zuzulassenredshift:GetClusterCredentials. Mit der folgenden Beispielrichtlinie werden die Datenbankbenutzer awsuser und myuser zugelassen. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "UseTemporaryCredentialsForAllDbUsers",
            "Effect": "Allow",
            "Action": "redshift:GetClusterCredentials",
            "Resource": [
                "arn:aws:redshift:*:*:dbuser:*/awsuser",
                "arn:aws:redshift:*:*:dbuser:*/myuser"
            ]
        }
    ]
}