Credenciales y permisos de acceso
Para cargar o descargar datos con otro recurso de AWS, como Amazon S3, Amazon DynamoDB, Amazon EMR o Amazon EC2, Amazon Redshift debe tener permiso para acceder al recurso y realizar las acciones necesarias para acceder a los datos. Por ejemplo, para cargar datos de Amazon S3, COPY debe tener acceso LIST para el bucket y acceso GET para los objetos del bucket.
Para obtener una autorización para acceder a un recurso, Amazon Redshift debe estar autenticado. Puede elegir un control de acceso basado en un rol o en una clave. En esta sección, se presenta información general relacionada con los dos métodos. Para obtener todos los detalles y ejemplos, consulte Permisos para acceder a otros recursos de AWS.
Control de acceso con base en roles
Con el control de acceso basado en roles, Amazon Redshift adopta de forma temporal un rol de AWS Identity and Access Management (IAM) en su nombre. Luego, en función de las autorizaciones que se otorgaron al rol, Amazon Redshift puede acceder a los recursos de AWS requeridos.
Recomendamos el uso del control de acceso basado en roles porque brinda un control más preciso y seguro del acceso a los recursos de AWS y a la información confidencial de los usuarios, además de salvaguardar las credenciales de AWS.
Para utilizar el control de acceso basado en roles, primero debe crear un rol de IAM mediante el tipo de rol de servicio de Amazon Redshift y, luego, asociar el rol al almacenamiento de datos. Como mínimo, el rol debe tener los permisos especificados en Permisos de IAM para COPY, UNLOAD y CREATE LIBRARY. Para obtener información acerca de cómo crear un rol de IAM y adjuntarlo al clúster, consulte Creación de un rol de IAM que permita al clúster de Amazon Redshift acceder a los servicios de AWS en la Guía de administración de Amazon Redshift.
Puede agregar un rol a un clúster o ver los roles asociados a un clúster mediante la consola de administración, la CLI o la API de Amazon Redshift. Para obtener más información, consulte Autorización del uso de las operaciones COPY y UNLOAD mediante roles de IAM en la Guía de administración de Amazon Redshift.
Al crear un rol de IAM, IAM devuelve el Amazon Resource Name (ARN, Nombre de recurso de Amazon) del rol. Para ejecutar un comando COPY con un rol de IAM, proporcione el ARN del rol mediante el parámetro IAM_ROLE o el parámetro CREDENTIALS.
En el siguiente ejemplo de comando COPY, se usa el parámetro IAM_ROLE con el rol MyRedshiftRole para su autenticación.
COPY customer FROM 's3://amzn-s3-demo-bucket/mydata'
IAM_ROLE 'arn:aws:iam::12345678901:role/MyRedshiftRole';Como mínimo, el usuario de AWS debe tener los permisos que aparecen en Permisos de IAM para COPY, UNLOAD y CREATE LIBRARY.
Control de acceso basado en claves
Con el control de acceso basado en claves, se proporciona el ID de clave de acceso y la clave de acceso secreta de un usuario que está autorizado a acceder a los recursos de AWS que contienen los datos.
nota
Recomendamos encarecidamente que use un rol de IAM para su autenticación, en lugar de brindar un ID de clave de acceso y una clave de acceso secreta como texto sin formato. Si elige el control de acceso basado en claves, nunca utilice las credenciales (raíz) de su cuenta de AWS. Siempre cree un usuario de IAM y proporcione el ID de clave de acceso y la clave de acceso secreta de ese usuario. Si desea conocer los pasos necesarios para crear un usuario de IAM, consulte Creación de un usuario de IAM en su cuenta de AWS.
