Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Configuration des autorisations IAM - Amazon Redshift
Exécuter une requête sur un cluster appartenant à un autre compteSpécifiez un rôle IAM qui limite les ressources aux groupes de travail Redshift Serverless et aux clusters Amazon Redshift dans un Compte AWSConfigurer une politique IAM qui restreint l'accès aux informations des instructions SQL au seul propriétaire de l'instructionConfigurer une politique IAM qui limite l'accès aux résultats SQL au seul propriétaire de la session

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des autorisations IAM

PDFRSS

Amazon Redshift fournit la politique gérée par AmazonRedshiftDataFullAccess. Cette politique fournit un accès complet aux fonctions de l’API de données Amazon Redshift. Cette politique permet également un accès limité à des opérations spécifiques d'Amazon Redshift AWS Secrets Manager et d'API IAM nécessaires pour authentifier et accéder à un cluster Amazon Redshift ou à un groupe de travail Redshift Serverless.

Vous pouvez également créer votre propre politique IAM qui autorise l’accès à des ressources spécifiques. Pour créer votre politique, utilisez la politique AmazonRedshiftDataFullAccess comme modèle de départ. Une fois votre politique créée, ajoutez-la à chaque utilisateur ayant besoin d’accéder à l’API de données.

Prenez les exigences suivantes de la politique IAM associée à l’utilisateur :

  • Si vous utilisez cette AWS Secrets Manager option pour vous authentifier, vérifiez que la politique autorise l'utilisation de l'secretsmanager:GetSecretValueaction pour récupérer le secret associé à la cléRedshiftDataFullAccess.

  • Si vous utilisez des informations d’identification temporaires pour vous authentifier auprès d’un cluster, confirmez que la politique autorise l’utilisation de l’action redshift:GetClusterCredentials pour le nom d’utilisateur de la base de données redshift_data_api_user pour toute base de données du cluster. Ce nom d’utilisateur doit déjà avoir été créé dans votre base de données.

  • Si vous utilisez des informations d’identification temporaires pour vous authentifier auprès d’un groupe de travail sans serveur, confirmez que la politique autorise l’utilisation de l’action redshift-serverless:GetCredentials pour récupérer le groupe de travail identifié avec la clé RedshiftDataFullAccess. L'utilisateur de la base de données est mappé 1:1 à l'identité source AWS Identity and Access Management (IAM). Par exemple, l’utilisateur sample_user est mappé à l’utilisateur de la base de données IAM:sample_user, et le rôle IAM sample_role est mappé à IAMR:sample_role. Pour plus d’informations sur les identités IAM, consultez Identités IAM (utilisateurs, groupes d’utilisateurs et rôles) dans le Guide de l’utilisateur IAM.

  • L'action IAM redshift-data:GetStatementResult permet d'accéder à la fois aux opérations de l'GetStatementResultV2API GetStatementResult et à celles de l'API.

Les liens suivants fournissent des informations supplémentaires sur AWS Identity and Access Management le guide de l'utilisateur IAM.

Exécuter une requête sur un cluster appartenant à un autre compte

Pour exécuter une requête sur un cluster appartenant à un autre compte, le compte propriétaire doit fournir un rôle IAM que l’API de données peut assumer dans le compte appelant. Par exemple, supposons que le compte B possède un cluster auquel le compte A doit accéder. Le compte B peut associer la politique AWS gérée AmazonRedshiftDataFullAccess au rôle IAM du compte B. Ensuite, le compte B approuve le compte A à l’aide d’une politique de confiance telle que la suivante : 


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::accountID-of-account-A:role/someRoleA"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Enfin, le rôle IAM du compte A doit être en mesure d’assumer le rôle IAM du compte B.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::accountID-of-account-B:role/someRoleB"
  }
}

Spécifiez un rôle IAM qui limite les ressources aux groupes de travail Redshift Serverless et aux clusters Amazon Redshift dans un Compte AWS

Vous pouvez spécifier une ressource ARNs dans votre politique basée sur l'identité pour contrôler l'accès aux groupes de travail Redshift Serverless et aux clusters Amazon Redshift dans un. Compte AWS Cet exemple montre comment créer une politique qui autorise l'accès à l'API de données uniquement pour le groupe de travail et les clusters spécifiés Compte AWS.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "redshift-data:CancelStatement",
                "redshift-data:DescribeStatement",
                "redshift-data:GetStatementResult",
                "redshift-data:ListStatements"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "redshift-data:*",
            "Resource": [
                "arn:arn-partition:redshift-serverless:*:Compte AWS:workgroup/*",
                "arn:arn-partition:redshift:*:Compte AWS:cluster:*"
            ]
        }
    ]
}

Configurer une politique IAM qui restreint l'accès aux informations des instructions SQL au seul propriétaire de l'instruction

Par défaut, l'API Amazon Redshift Data considère le rôle IAM utilisé lors de l'appel ExecuteStatement et BatchExecuteStatement comme le propriétaire de l'instruction SQL. Toute personne autorisée à assumer ce rôle peut accéder aux informations relatives à l'instruction SQL, notamment à ses résultats. Pour restreindre l'accès aux informations des instructions SQL à une session de rôle IAM avec un propriétaire particulier, ajoutez une conditionredshift-data:statement-owner-iam-userid: "${aws:userid}". La politique IAM suivante restreint l'accès.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "redshift-data:CancelStatement",
                "redshift-data:DescribeStatement",
                "redshift-data:GetStatementResult",
                "redshift-data:ListStatements"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "redshift-data:statement-owner-iam-userid": "${aws:userid}"
                }
            }
        }
    ]
}

Vous pouvez utiliser la condition statement-owner-iam-userid avec CancelStatementDescribeStatement,GetStatementResult, etListStatements. Pour plus d'informations, consultez la section Actions définies par l'API Amazon Redshift Data.

Configurer une politique IAM qui limite l'accès aux résultats SQL au seul propriétaire de la session

Par défaut, l'API Amazon Redshift Data considère le rôle IAM utilisé lors de l'appel ExecuteStatement et BatchExecuteStatement comme le propriétaire de la session de base de données qui exécute l'instruction SQL. Toute personne autorisée à assumer ce rôle peut soumettre des requêtes à la session de base de données. Pour restreindre l'accès à une session de rôle IAM avec un propriétaire particulier, ajoutez une condition redshift-data:session-owner-iam-userid: "${aws:userid}". La politique IAM suivante restreint l'accès.

La politique IAM suivante permet uniquement au propriétaire de la session d'obtenir les résultats des instructions. La condition session-owner-iam-userid est utilisée pour limiter l'accès aux ressources aux valeurs spécifiéesuserid.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [ 
                "redshift-data:ExecuteStatement",
                "redshift-data:BatchExecuteStatement"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "redshift-data:session-owner-iam-userid": "${aws:userid}"
                }
            }
        }
    ]
}

Vous pouvez utiliser la condition session-owner-iam-userid avec ExecuteStatement etBatchExecuteStatement. Pour plus d'informations, consultez la section Actions définies par l'API Amazon Redshift Data.

Rubrique précédente :

Autorisation de l’accès

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.