Autoriser Amazon Redshift à AWS accéder aux services en votre nom - Amazon Redshift
Création d'un IAM rôle pour permettre à votre cluster Amazon Redshift d'accéder aux services AWSCréation d'un IAM rôle avec autorisations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autoriser Amazon Redshift à AWS accéder aux services en votre nom

Certaines fonctionnalités d'Amazon Redshift nécessitent qu'Amazon Redshift accède à AWS d'autres services en votre nom. Par exemple, les UNLOADcommandes COPYand peuvent charger ou décharger des données dans votre cluster Amazon Redshift à l'aide d'un compartiment Amazon S3. La CREATEEXTERNALFUNCTIONcommande peut appeler une fonction AWS Lambda à l'aide d'une fonction Lambda scalaire définie par l'utilisateur (). UDF Amazon Redshift Spectrum peut utiliser un catalogue de données dans Amazon AWS Glue Athena ou. Pour que vos clusters Amazon Redshift agissent en votre nom, vous fournissez les informations d'identification de sécurité à vos clusters. La méthode préférée pour fournir des informations d'identification de sécurité consiste à spécifier un rôle AWS Identity and Access Management (IAM). Pour COPY etUNLOAD, vous pouvez fournir des informations d'identification temporaires.

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ? Pour Par

Identité de la main-d’œuvre

(Utilisateurs gérés dans IAM Identity Center)

 Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.
IAM Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec les AWS ressources du Guide de IAM l'utilisateur.
IAM

(Non recommandé)

Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Découvrez ci-dessous comment créer un IAM rôle doté des autorisations appropriées pour accéder à d'autres AWS services. Vous devez également associer le rôle à votre cluster et spécifier le nom de ressource Amazon (ARN) du rôle lorsque vous exécutez la commande Amazon Redshift. Pour de plus amples informations, veuillez consulter AutorisationCOPY, UNLOAD CREATE EXTERNALFUNCTION, et CREATE EXTERNAL SCHEMA opérations à l'aide de rôles IAM.

En outre, un superutilisateur peut accorder le ASSUMEROLE privilège à des utilisateurs et à des groupes spécifiques afin de leur donner accès à un rôle COPY et à UNLOAD des opérations. Pour plus d'informations, consultez GRANTle manuel Amazon Redshift Database Developer Guide.

Création d'un IAM rôle pour permettre à votre cluster Amazon Redshift d'accéder aux services AWS

Création d'un IAM rôle avec autorisations

Pour créer un IAM rôle permettant à votre cluster Amazon Redshift de communiquer avec d'autres AWS services en votre nom, procédez comme suit. Les valeurs utilisées dans cette section sont des exemples. Vous pouvez choisir des valeurs en fonction de vos besoins.

Pour créer un IAM rôle permettant à Amazon Redshift d'accéder aux services AWS

  1. Ouvrez la IAMconsole.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Sélectionnez Create role (Créer un rôle).

  4. Choisissez Service AWS , puis Redshift.

  5. Sous Sélectionner votre cas d’utilisation, choisissez Redshift - Personnalisable, puis Suivant : Autorisations. La page Attacher une politique d’autorisations s’affiche.

  6. Pour accéder à Amazon S3 en utilisantCOPY, par exemple, vous pouvez utiliser AmazonS3ReadOnlyAccess et ajouter. Pour accéder à Amazon S3 en utilisant COPY ouUNLOAD, nous vous suggérons de créer des politiques gérées qui limitent l'accès au compartiment souhaité et au préfixe en conséquence. Pour les opérations de lecture et d'écriture, nous vous recommandons d'appliquer les moindres privilèges, ainsi que de restreindre uniquement les compartiments Amazon S3 et les préfixes de clé requis par Amazon Redshift.

    Pour accéder à l'appel des fonctions Lambda pour la CREATE EXTERNAL FUNCTION commande, ajoutez. AWSLambdaRole

    Pour Redshift Spectrum, en plus de l'accès à Amazon S3, ajoutez AWSGlueConsoleFullAccess ou AmazonAthenaFullAccess.

    Choisissez Suivant : Balises.

  7. La page Ajouter des balises s’affiche. Si vous le souhaitez, vous pouvez ajouter des balises. Choisissez Suivant : vérification.

  8. Pour Nom du rôle, indiquez le nom de votre rôle, par exemple RedshiftCopyUnload. Sélectionnez Create role (Créer un rôle).

  9. Le nouveau rôle est disponible pour tous les utilisateurs des clusters qui utilisent ce rôle. Pour limiter l’accès à des utilisateurs spécifiques uniquement sur certains clusters, ou sur des clusters dans des régions spécifiques, modifiez la relation d’approbation de ce rôle. Pour plus d'informations, consultez Restreindre l'accès aux IAM rôles.

  10. Associez le rôle à votre cluster. Vous pouvez associer un IAM rôle à un cluster lorsque vous créez le cluster ou lorsque vous ajoutez le rôle à un cluster existant. Pour de plus amples informations, veuillez consulter Associer IAM des rôles à des clusters.

    Note

    Pour restreindre l'accès à des données spécifiques, utilisez un IAM rôle qui accorde le moins de privilèges requis.