Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden serviceverknüpfter Rollen für Amazon Redshift
Amazon Redshift verwendet AWS Identity and Access Management (IAM) Rollen, die mit Diensten verknüpft sind. Eine serviceverknüpfte Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Amazon Redshift verknüpft ist. Servicebezogene Rollen sind von Amazon Redshift vordefiniert und beinhalten alle Berechtigungen, die der Service zum Aufrufen benötigt AWS Services im Namen Ihres Amazon Redshift Redshift-Clusters.
Eine serviceverknüpfte Rolle macht die Einrichtung von Amazon Redshift einfacher, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Die Rolle ist mit Amazon-Redshift-Anwendungsfällen verknüpft und verfügt über vordefinierte Berechtigungen. Nur Amazon Redshift kann diese Rolle übernehmen und nur die serviceverknüpfte Rolle kann die vordefinierte Berechtigungsrichtlinie nutzen. Amazon Redshift erstellt eine serviceverknüpfte Rolle in Ihrem Konto, wenn Sie zum ersten Mal einen Cluster oder einen von VPC Redshift verwalteten Endpunkt erstellen. Sie können die serviceverknüpfte Rolle erst löschen, nachdem Sie alle Amazon Redshift-Cluster oder von Redshift verwalteten Endpoints in Ihrem VPC Konto gelöscht haben. Dies schützt Ihre Amazon Redshift-Ressourcen, da Sie nicht versehentlich die Berechtigungen für den Zugriff auf die Ressourcen entfernen können.
Amazon Redshift unterstützt die Verwendung serviceverknüpfter Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS Regionen und Endpunkte.
Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten arbeiten IAM und nach Diensten suchen, für die in der Spalte Serviceverknüpfte Rolle der Wert Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer servicegebundenen Rolle für diesen Service anzuzeigen.
Berechtigungen für serviceverknüpfte Rollen für Amazon Redshift
Amazon Redshift verwendet die serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForRedshift— Erlaubt Amazon Redshift, anzurufen AWS Dienste in Ihrem Namen. Diese verwaltete Richtlinie ist mit der folgenden serviceverknüpften Rolle verbunden: AmazonRedshiftServiceLinkedRolePolicy. Aktualisierungen dieser Richtlinie finden Sie unter AWS-verwaltete (vordefinierte) Richtlinien für Amazon Redshift.
Die AWSServiceRoleForRedshift serviceverknüpfte Rolle vertraut nur darauf, die Rolle redshift.amazonaws.com zu übernehmen.
Die Richtlinie für AWSServiceRoleForRedshift servicebezogene Rollenberechtigungen ermöglicht es Amazon Redshift, Folgendes für alle zugehörigen Ressourcen durchzuführen:
-
ec2:DescribeVpcs -
ec2:DescribeSubnets -
ec2:DescribeNetworkInterfaces -
ec2:DescribeAddress -
ec2:AssociateAddress -
ec2:DisassociateAddress -
ec2:CreateNetworkInterface -
ec2:DeleteNetworkInterface -
ec2:ModifyNetworkInterfaceAttribute -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndpoints -
ec2:DescribeVpcEndpoints -
ec2:ModifyVpcEndpoint ec2:DescribeVpcAttributeec2:DescribeSecurityGroupsec2:DescribeInternetGatewaysec2:DescribeSecurityGroupRulesec2:DescribeAvailabilityZonesec2:DescribeNetworkAclsec2:DescribeRouteTablesec2:AssignIpv6Addressesec2:UnassignIpv6Addresses
Berechtigungen für Netzwerkressourcen
Die folgenden Berechtigungen ermöglichen Aktionen auf Amazon EC2 zur Erstellung und Verwaltung von Sicherheitsgruppenregeln. Diese Sicherheitsgruppen und Regeln sind speziell dem Amazon-Redshift-Ressourcen-Tag aws:RequestTag/Redshift zugeordnet. Dies beschränkt den Geltungsbereich der Berechtigungen auf bestimmte Amazon-Redshift-Ressourcen.
ec2:CreateSecurityGroupec2:AuthorizeSecurityGroupEgressec2:AuthorizeSecurityGroupIngressec2:RevokeSecurityGroupEgressec2:RevokeSecurityGroupIngressec2:ModifySecurityGroupRulesec2:DeleteSecurityGroup
Berechtigungen für Servicekontingenten
Die folgenden Berechtigungen ermöglichen es dem Anrufer, Dienstkontingente abzurufen.
servicequotas:GetServiceQuota
Das folgende JSON Fragment zeigt die Aktionen und den Ressourcenumfang für Servicekontingenten.
{ "Sid": "ServiceQuotasToCheckCustomerLimits", "Effect": "Allow", "Action": [ "servicequotas:GetServiceQuota" ], "Resource": [ "arn:aws:servicequotas:*:*:ec2/L-0263D0A3", "arn:aws:servicequotas:*:*:vpc/L-29B6F2EB" ] }
Die Kontingentcodes lauten wie folgt:
L-0263D0A3 — Der Quotencode für - Elastic. EC2 VPC IPs
L-29B6F2EB — Der Quota-Code für Schnittstellen-Endpunkte pro. VPC VPC
Weitere Informationen finden Sie unter AWSDienstkontingente.
Aktionen für die Prüfungsprotokollierung
Aktionen mit dem Präfix logs hängen mit der Audit-Protokollierung und verwandten Funktionen zusammen, insbesondere der Erstellung und Verwaltung von Protokollgruppen und Protokollstreams.
-
logs:CreateLogGroup -
logs:PutRetentionPolicy -
logs:CreateLogStream -
logs:PutLogEvents -
logs:DescribeLogStreams -
logs:GetLogEvents
Im Folgenden werden JSON die Aktionen und der Ressourcenumfang für Amazon Redshift für die Auditprotokollierung aufgeführt.
[ { "Sid": "EnableCreationAndManagementOfRedshiftCloudwatchLogGroups", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/redshift/*" ] }, { "Sid": "EnableCreationAndManagementOfRedshiftCloudwatchLogStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/redshift/*:log-stream:*" ] } ]
Weitere Informationen zu serviceverknüpften Rollen und ihrem Zweck finden Sie unter AWS, siehe Verwenden von dienstbezogenen Rollen. Weitere Informationen zu bestimmten Aktionen und anderen IAM Ressourcen für Amazon Redshift finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Redshift.
Aktionen zur Verwaltung von Administratoranmeldedaten mit AWS Secrets Manager
Aktionen mit dem Präfix secretsmanager sind für die Verwendung von Amazon Redshift zur Verwaltung von Administratoranmeldeinformationen relevant. Mit diesen Aktionen kann Amazon Redshift AWS Secrets Manager um Ihre geheimen Administratoranmeldedaten zu erstellen und zu verwalten.
Im Folgenden werden JSON Aktionen und der Ressourcenumfang für Amazon Redshift für die Verwaltung von Administratoranmeldedaten mit AWS Secrets Manager.
[ { "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:DeleteSecret", "secretsmanager:PutSecretValue", "secretsmanager:UpdateSecret", "secretsmanager:UpdateSecretVersionStage", "secretsmanager:RotateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:redshift!*" ], "Condition": { "StringEquals": { "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "redshift" } } }, { "Effect": "Allow", "Action": [ "secretsmanager:GetRandomPassword" ], "Resource": "*" } ]
Um es einer IAM Entität zu ermöglichen, AWSServiceRoleForRedshift dienstbezogene Rollen zu erstellen
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::<AWS-account-ID>:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift", "Condition": {"StringLike": {"iam:AWSServiceName": "redshift.amazonaws.com"}} }
Um einer IAM Entität das Löschen von AWSServiceRoleForRedshift dienstbezogenen Rollen zu ermöglichen
Fügen Sie den Berechtigungen für diese IAM Entität die folgende Richtlinienerklärung hinzu:
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::<AWS-account-ID>:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift", "Condition": {"StringLike": {"iam:AWSServiceName": "redshift.amazonaws.com"}} }
Alternativ können Sie eine verwenden AWS verwaltete Richtlinie zur Gewährung des vollen Zugriffs auf
Erstellen einer serviceverknüpften Rolle für Amazon Redshift
Sie müssen eine AWSServiceRoleForRedshift serviceverknüpfte Rolle nicht manuell erstellen. Amazon Redshift erstellt die serviceverknüpfte Rolle für Sie. Wenn die AWSServiceRoleForRedshift serviceverknüpfte Rolle aus Ihrem Konto gelöscht wurde, erstellt Amazon Redshift die Rolle, wenn Sie einen neuen Amazon Redshift Redshift-Cluster starten.
Wichtig
Wenn Sie den Amazon Redshift-Service vor dem 18. September 2017 genutzt haben, als er begann, serviceverknüpfte Rollen zu unterstützen, hat Amazon Redshift die AWSServiceRoleForRedshift Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter Eine neue Rolle wurde in meinem Konto angezeigt. IAM
Bearbeiten einer serviceverknüpften Rolle für Amazon Redshift
Amazon Redshift erlaubt es Ihnen nicht, die AWSServiceRoleForRedshift serviceverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können die Beschreibung der Rolle jedoch über die IAM Konsole bearbeiten, AWS Command Line Interface (AWS CLI), oder IAMAPI. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Ändern einer Rolle.
Löschen einer serviceverknüpften Rolle für Amazon Redshift
Wenn Sie eine Funktion oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird.
Bevor Sie die serviceverknüpfte Rolle aus einem Konto löschen können, müssen Sie alle entsprechenden Cluster Ihres Kontos deaktivieren und aus Ihrem Konto löschen. Weitere Informationen finden Sie unter Einen Cluster herunterfahren und löschen.
Sie können die IAM Konsole verwenden, AWS CLI, oder IAM API um eine dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.
