Restreindre l'accès aux IAM rôles

Par défaut, IAM les rôles disponibles pour un cluster Amazon Redshift sont disponibles pour tous les utilisateurs de ce cluster. Vous pouvez choisir de limiter IAM les rôles à des utilisateurs de base de données Amazon Redshift spécifiques sur des clusters spécifiques ou à des régions spécifiques.

Pour autoriser uniquement certains utilisateurs de base de données à utiliser un IAM rôle, procédez comme suit.

Pour identifier des utilisateurs de base de données spécifiques ayant accès à un IAM rôle

Identifiez le nom de ressource Amazon (ARN) pour les utilisateurs de base de données de votre cluster Amazon Redshift. Le format ARN pour un utilisateur de base de données est le suivant :arn:aws:redshift:region:account-id:dbuser:cluster-name/user-name.

Pour Amazon Redshift Serverless, utilisez le format suivant. ARN arn:aws:redshift:region:account-id:dbuser:workgroup-name/user-name
Ouvrez la IAMconsole.
Dans le panneau de navigation, choisissez Roles (Rôles).
Choisissez le IAM rôle que vous souhaitez limiter à des utilisateurs spécifiques de la base de données Amazon Redshift.

Choisissez l'onglet Relations d'approbation, puis Modifier la relation d'approbation. Un nouveau IAM rôle qui permet à Amazon Redshift d'accéder à d'autres AWS services en votre nom repose sur une relation de confiance comme suit :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Ajoutez une condition à la section action sts:AssumeRole de la relation d'approbation qui limite le champ sts:ExternalId aux valeurs que vous spécifiez. Incluez un ARN pour chaque utilisateur de base de données auquel vous souhaitez accorder l'accès au rôle. L'ID externe peut être n'importe quelle chaîne unique.

Par exemple, la relation de confiance suivante indique que seuls les utilisateurs de base de données user1 et user2 aucun cluster my-cluster de la région us-west-2 sont autorisés à utiliser ce IAM rôle.
```
{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": { 
      "Service": "redshift.amazonaws.com" 
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "StringEquals": {
        "sts:ExternalId": [
          "arn:aws:redshift:us-west-2:123456789012:dbuser:my-cluster/user1",
          "arn:aws:redshift:us-west-2:123456789012:dbuser:my-cluster/user2"
        ]
      }
    }
  }]
}      
```
Choisissez Mettre à jour la politique d'approbation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Autoriser l'accès aux services AWS

Restreindre un IAM rôle à une AWS région