Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
IAMpolitiques relatives à Amazon Redshift Spectrum
Cette rubrique décrit les IAM autorisations requises pour utiliser Redshift Spectrum.
Par défaut, Amazon Redshift Spectrum utilise AWS Glue Data Catalog les régions prises AWS en charge AWS Glue. Dans d'autres AWS régions, Redshift Spectrum utilise le catalogue de données Athena. Votre cluster a besoin d'une autorisation pour accéder à votre catalogue de données externe dans AWS Glue ou Athena et à vos fichiers de données dans Amazon S3. Vous fournissez cette autorisation en faisant référence à un rôle AWS Identity and Access Management (IAM) attaché à votre cluster. Si vous utilisez un métastore Apache Hive pour gérer votre catalogue de données, il n’est pas nécessaire que vous fournissiez un accès à Athena.
Vous pouvez créer des chaînes de rôles pour permettre à votre cluster d’endosser d’autres rôles non attachés au cluster. Pour de plus amples informations, veuillez consulter Enchaînement IAM des rôles dans Amazon Redshift Spectrum.
Le AWS Glue catalogue auquel vous accédez peut être crypté pour renforcer la sécurité. Si le AWS Glue catalogue est crypté, vous avez besoin de la AWS KMS clé AWS Glue pour accéder au catalogue de AWS Glue données. Pour plus d'informations, consultez la section Chiffrer votre catalogue de AWS Glue données dans le guide du AWS Glue développeur.
Rubriques
- Autorisations Amazon S3
- Autorisations Amazon S3 entre comptes
- Politiques visant à accorder ou restreindre l’accès à l’aide de Redshift Spectrum
- Politiques visant à accorder des autorisations minimales
- Enchaînement IAM des rôles dans Amazon Redshift Spectrum
- Contrôle de l'accès au catalogue AWS Glue de données
Autorisations Amazon S3
Au minimum, votre cluster a besoin GET d'un LIST accès à votre compartiment Amazon S3. Si votre bucket n'est pas dans le même AWS compte que votre cluster, celui-ci doit également autoriser votre cluster à accéder aux données. Pour plus d'informations, consultez Autoriser Amazon Redshift à accéder à AWS d'autres services en votre nom.
Note
Le compartiment Amazon S3 ne peut pas utiliser une politique de compartiment qui restreint l'accès uniquement à partir de points de VPC terminaison spécifiques.
La politique suivante accorde GET et autorise LIST l'accès à n'importe quel compartiment Amazon S3. La politique autorise l'accès aux compartiments Amazon S3 pour Redshift Spectrum ainsi COPY qu'aux opérations.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["s3:Get*", "s3:List*"], "Resource": "*" }] }
La politique suivante accorde GET et autorise LIST l'accès à votre compartiment Amazon S3 nomméamzn-s3-demo-bucket
.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["s3:Get*", "s3:List*"], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }] }
Autorisations Amazon S3 entre comptes
Pour autoriser Redshift Spectrum à accéder aux données d'un compartiment Amazon S3 appartenant à un autre AWS compte, ajoutez la politique suivante au compartiment Amazon S3. Pour plus d’informations, consultez Accorder des autorisations entre comptes sur un compartiment.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Example permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
redshift-account
:role/spectrumrole
" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::bucketname
", "arn:aws:s3:::bucketname
/*" ] } ] }
Politiques visant à accorder ou restreindre l’accès à l’aide de Redshift Spectrum
Pour accorder l’accès à un compartiment Amazon S3 uniquement en utilisant Redshift Spectrum, incluez une condition qui autorise l’accès pour l’agent utilisateur AWS Redshift/Spectrum
. La politique suivante autorise l’accès aux compartiments Amazon S3 uniquement pour Redshift Spectrum. Cela exclut les autres accès, tels que les COPY opérations.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["s3:Get*", "s3:List*"], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": {"StringEquals": {"aws:UserAgent": "AWS Redshift/Spectrum"}} }] }
De même, vous souhaiterez peut-être créer un IAM rôle qui autorise l'accès aux COPY opérations, mais exclut l'accès à Redshift Spectrum. Pour ce faire, incluez une condition qui refuse l’accès pour l’agent utilisateur AWS Redshift/Spectrum
. La politique suivante autorise l’accès à un compartiment Amazon S3 à l’exception de Redshift Spectrum.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["s3:Get*", "s3:List*"], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": {"StringNotEquals": {"aws:UserAgent": "AWS Redshift/Spectrum"}} }] }
Politiques visant à accorder des autorisations minimales
La politique suivante accorde les autorisations minimales requises pour utiliser Redshift Spectrum avec Amazon S3 et AWS Glue Athena.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListMultipartUploadParts", "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::
bucketname
", "arn:aws:s3:::bucketname
/folder1
/folder2
/*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] } ] }
Si vous utilisez Athena pour votre catalogue de données à la place de AWS Glue, la politique exige un accès complet à Athéna. La politique suivante donne accès aux ressources Athena. Si votre base de données externe se trouve dans un métastore Hive, vous n’avez pas besoin de l’accès Athena.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["athena:*"], "Resource": ["*"] }] }
Enchaînement IAM des rôles dans Amazon Redshift Spectrum
Lorsque vous attachez un rôle à votre cluster, celui-ci peut assumer ce rôle pour accéder à Amazon S3, Athena et en votre AWS Glue nom. Si un rôle attaché à votre cluster n’a pas accès aux ressources nécessaires, vous pouvez créer une chaîne avec un autre rôle, lequel peut appartenir à un autre compte. Votre cluster endosse alors provisoirement le rôle relié par la chaîne afin d’accéder aux données. Vous pouvez également accorder des accès entre comptes en créant des chaînes de rôles. Une chaîne comprend 10 rôles maximum. Chaque rôle de la chaîne passe au rôle suivant, jusqu’à ce que le cluster endosse le dernier rôle de la chaîne.
Pour créer une chaîne de rôles, vous devez établir une relation d’approbation entre ces rôles. Un rôle endossant un autre rôle doit avoir une politique d’autorisation lui permettant d’endosser le rôle spécifié. Le rôle qui transmet les autorisations, quant à lui, doit avoir une politique d’approbation lui permettant de transmettre ses autorisations à un autre rôle. Pour plus d'informations, consultez la section Chaining IAM Roles dans Amazon Redshift.
Lorsque vous exécutez la CREATE EXTERNAL SCHEMA commande, vous pouvez enchaîner les rôles en incluant une liste de rôles séparés par des virgules. ARNs
Note
La liste des rôles de la chaîne ne doit pas inclure d’espaces.
Dans l’exemple suivant, MyRedshiftRole
est attaché au cluster. MyRedshiftRole
assume le rôle AcmeData
qui appartient au compte 111122223333
.
create external schema acme from data catalog database 'acmedb' region 'us-west-2' iam_role 'arn:aws:iam::123456789012:role/MyRedshiftRole,arn:aws:iam::111122223333:role/AcmeData';
Contrôle de l'accès au catalogue AWS Glue de données
Si vous l'utilisez AWS Glue pour votre catalogue de données, vous pouvez appliquer un contrôle d'accès précis au catalogue de AWS Glue données conformément à votre IAM politique. Par exemple, vous souhaiterez peut-être n'exposer que quelques bases de données et tables à un IAM rôle spécifique.
Les sections suivantes décrivent les IAM politiques relatives aux différents niveaux d'accès aux données stockées dans le catalogue de AWS Glue données.
Rubriques
Politique pour les opérations de base de données
Si vous souhaitez autoriser les utilisateurs à consulter et à créer une base de données, ils doivent disposer de droits d'accès à la fois à la base de données et au catalogue de AWS Glue données.
L’exemple de requête suivant crée une base de données.
CREATE EXTERNAL SCHEMA example_db FROM DATA CATALOG DATABASE 'example_db' region 'us-west-2' IAM_ROLE 'arn:aws:iam::redshift-account:role/spectrumrole' CREATE EXTERNAL DATABASE IF NOT EXISTS
La IAM politique suivante donne les autorisations minimales requises pour créer une base de données.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:CreateDatabase" ], "Resource": [ "arn:aws:glue:us-west-2:redshift-account:database/example_db", "arn:aws:glue:us-west-2:redshift-account:catalog" ] } ] }
L’exemple de requête suivant dresse la liste des bases de données actuelles.
SELECT * FROM SVV_EXTERNAL_DATABASES WHERE databasename = 'example_db1' or databasename = 'example_db2';
La IAM politique suivante donne les autorisations minimales requises pour répertorier les bases de données actuelles.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetDatabases" ], "Resource": [ "arn:aws:glue:us-west-2:redshift-account:database/example_db1", "arn:aws:glue:us-west-2:redshift-account:database/example_db2", "arn:aws:glue:us-west-2:redshift-account:catalog" ] } ] }
Politique pour les opérations de table
Si vous souhaitez octroyer aux utilisateurs les autorisations nécessaires pour créer, supprimer, modifier ou effectuer toute autre action sur les tables, ils ont besoin de plusieurs types d’accès. Ils ont besoin d’accéder aux tables elles-mêmes, aux bases de données auxquelles elles appartiennent et au catalogue.
L’exemple de requête suivant crée une table externe.
CREATE EXTERNAL TABLE example_db.example_tbl0( col0 INT, col1 VARCHAR(255) ) PARTITIONED BY (part INT) STORED AS TEXTFILE LOCATION 's3://test/s3/location/';
La IAM politique suivante donne les autorisations minimales requises pour créer une table externe.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:us-west-2:redshift-account:catalog", "arn:aws:glue:us-west-2:redshift-account:database/example_db", "arn:aws:glue:us-west-2:redshift-account:table/example_db/example_tbl0" ] } ] }
Les exemples de requêtes suivants dressent la liste des tables externes actuelles.
SELECT * FROM svv_external_tables WHERE tablename = 'example_tbl0' OR tablename = 'example_tbl1';
SELECT * FROM svv_external_columns WHERE tablename = 'example_tbl0' OR tablename = 'example_tbl1';
SELECT parameters FROM svv_external_tables WHERE tablename = 'example_tbl0' OR tablename = 'example_tbl1';
La IAM politique suivante donne les autorisations minimales requises pour répertorier les tables externes actuelles.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetTables" ], "Resource": [ "arn:aws:glue:us-west-2:redshift-account:catalog", "arn:aws:glue:us-west-2:redshift-account:database/example_db", "arn:aws:glue:us-west-2:redshift-account:table/example_db/example_tbl0", "arn:aws:glue:us-west-2:redshift-account:table/example_db/example_tbl1" ] } ] }
L’exemple de requête suivant modifie une table existante.
ALTER TABLE example_db.example_tbl0 SET TABLE PROPERTIES ('numRows' = '100');
La IAM politique suivante donne les autorisations minimales requises pour modifier une table existante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetTable", "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:us-west-2:redshift-account:catalog", "arn:aws:glue:us-west-2:redshift-account:database/example_db", "arn:aws:glue:us-west-2:redshift-account:table/example_db/example_tbl0" ] } ] }
L’exemple de requête suivant supprime une table existante.
DROP TABLE example_db.example_tbl0;
La IAM politique suivante donne les autorisations minimales requises pour supprimer une table existante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:us-west-2:redshift-account:catalog", "arn:aws:glue:us-west-2:redshift-account:database/example_db", "arn:aws:glue:us-west-2:redshift-account:table/example_db/example_tbl0" ] } ] }
Politique pour des opérations de partition
Si vous souhaitez accorder à des utilisateurs des autorisations pour effectuer des opérations au niveau des partitions (afficher, créer, supprimer, modifier, etc.), ceux-ci ont besoin d’autorisations sur les tables auxquelles les partitions appartiennent. Ils ont également besoin d’autorisations sur les bases de données associées et le catalogue de données AWS Glue .
L’exemple de requête suivant crée une partition.
ALTER TABLE example_db.example_tbl0 ADD PARTITION (part=0) LOCATION 's3://test/s3/location/part=0/'; ALTER TABLE example_db.example_t ADD PARTITION (part=1) LOCATION 's3://test/s3/location/part=1/';
La IAM politique suivante donne les autorisations minimales requises pour créer une partition.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetTable", "glue:BatchCreatePartition" ], "Resource": [ "arn:aws:glue:us-west-2:redshift-account:catalog", "arn:aws:glue:us-west-2:redshift-account:database/example_db", "arn:aws:glue:us-west-2:redshift-account:table/example_db/example_tbl0" ] } ] }
L’exemple de requête suivant dresse la liste des partitions actuelles.
SELECT * FROM svv_external_partitions WHERE schemname = 'example_db' AND tablename = 'example_tbl0'
La IAM politique suivante donne les autorisations minimales requises pour répertorier les partitions actuelles.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetPartitions", "glue:GetTables", "glue:GetTable" ], "Resource": [ "arn:aws:glue:us-west-2:redshift-account:catalog", "arn:aws:glue:us-west-2:redshift-account:database/example_db", "arn:aws:glue:us-west-2:redshift-account:table/example_db/example_tbl0" ] } ] }
L’exemple de requête suivant modifie une partition existante.
ALTER TABLE example_db.example_tbl0 PARTITION(part='0') SET LOCATION 's3://test/s3/new/location/part=0/';
La IAM politique suivante donne les autorisations minimales requises pour modifier une partition existante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetPartition", "glue:UpdatePartition" ], "Resource": [ "arn:aws:glue:us-west-2:redshift-account:catalog", "arn:aws:glue:us-west-2:redshift-account:database/example_db", "arn:aws:glue:us-west-2:redshift-account:table/example_db/example_tbl0" ] } ] }
L’exemple de requête suivant supprime une partition existante.
ALTER TABLE example_db.example_tbl0 DROP PARTITION(part='0');
La IAM politique suivante donne les autorisations minimales requises pour supprimer une partition existante.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:DeletePartition" ], "Resource": [ "arn:aws:glue:us-west-2:redshift-account:catalog", "arn:aws:glue:us-west-2:redshift-account:database/example_db", "arn:aws:glue:us-west-2:redshift-account:table/example_db/example_tbl0" ] } ] }