Para controlar el acceso a las operaciones de la API de uso compartido de datos, utilice políticas basadas en acciones de IAM. Para obtener información sobre cómo administrar las políticas de IAM, consulte Administración de las políticas de IAM en la Guía del usuario de IAM.
Para obtener información sobre los permisos necesarios para utilizar las operaciones de la API de uso compartido de datos, consulte Permisos necesarios para utilizar las operaciones de la API de uso compartido de datos en la Guía de administración de Amazon Redshift.
Para que el uso compartido de datos entre cuentas sea más seguro, puede utilizar una clave condicional ConsumerIdentifier para las operaciones de la API AuthorizeDataShare y DeauthorizeDataShare. De este modo, puede controlar de manera explícita qué Cuentas de AWS pueden realizar llamadas a las dos operaciones de la API.
Puede denegar la autorización del uso compartido de datos, o desautorizarlo, para cualquier consumidor que no sea su propia cuenta. Para ello, especifique el número de Cuenta de AWS en la política de IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"redshift:AuthorizeDataShare",
"redshift:DeauthorizeDataShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"redshift:ConsumerIdentifier": "555555555555"
}
}
}
]
}Puede permitir que un productor con un DatasHareARarn testshare2 comparta de forma explícita con un consumidor con una Cuenta de AWS de 111122223333 en la política de IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"redshift:AuthorizeDataShare",
"redshift:DeauthorizeDataShare"
],
"Resource": "arn:aws:redshift:us-east-1:666666666666:datashare:af06285e-8a45-4ee9-b598-648c218c8ff1/testshare2",
"Condition": {
"StringEquals": {
"redshift:ConsumerIdentifier": "111122223333"
}
}
}
]
}