Accès aux compartiments Amazon S3 avec Redshift Spectrum - Amazon Redshift
Configuration de la politique d'autorisations lors de l'utilisation d'Amazon Redshift Spectrum

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès aux compartiments Amazon S3 avec Redshift Spectrum

Amazon Redshift Spectrum ne prend pas en charge le routage VPC amélioré avec des clusters provisionnés. Le VPC routage amélioré d'Amazon Redshift achemine un trafic spécifique via votre. VPC Tout le trafic entre votre cluster et vos compartiments Amazon S3 est obligé de passer par votre AmazonVPC. Redshift Spectrum fonctionne sur AWS ressources gérées détenues par Amazon Redshift. Comme ces ressources ne vous appartiennent pasVPC, Redshift Spectrum n'utilise pas de routage amélioréVPC.

Le trafic entre Redshift Spectrum et Amazon S3 est acheminé de manière sécurisée via le AWS réseau privé, en dehors de votreVPC. Le trafic en vol est signé à l'aide du protocole Amazon Signature Version 4 (SIGv4) et crypté à l'aide HTTPS de. Ce trafic est autorisé en fonction du IAM rôle associé à votre cluster Amazon Redshift. Pour mieux gérer le trafic Redshift Spectrum, vous pouvez modifier le IAM rôle de votre cluster et votre politique associée au compartiment Amazon S3. Vous devrez peut-être également configurer votre VPC pour autoriser votre cluster à accéder AWS Glue ou Athéna, comme indiqué ci-dessous.

Notez qu'étant donné que le VPC routage amélioré affecte la manière dont Amazon Redshift accède aux autres ressources, les requêtes peuvent échouer si vous ne les configurez pas correctement. VPC Pour plus d'informations, consultezContrôle du trafic réseau avec le routage amélioré Redshift VPC, qui décrit plus en détail la création d'un VPC point de terminaison, d'une NAT passerelle et d'autres ressources réseau pour diriger le trafic vers vos compartiments Amazon S3.

Note

Amazon Redshift Serverless prend en charge le VPC routage amélioré pour les requêtes vers des tables externes sur Amazon S3. Pour plus d'informations sur la configuration, consultez la section Chargement de données depuis Amazon S3 dans le guide de démarrage sans serveur Amazon Redshift.

Configuration de la politique d'autorisations lors de l'utilisation d'Amazon Redshift Spectrum

Tenez compte des points suivants lorsque vous utilisez Redshift Spectrum :

Politiques et IAM rôles d'accès aux compartiments Amazon S3

Vous pouvez contrôler l'accès aux données de vos compartiments Amazon S3 en utilisant une politique de compartiment attachée au compartiment et en utilisant un IAM rôle attaché à un cluster provisionné.

Redshift Spectrum sur les clusters provisionnés ne peut pas accéder aux données stockées dans les compartiments Amazon S3 qui utilisent une politique de compartiment qui restreint l'accès aux points de terminaison spécifiés uniquement. VPC Utilisez plutôt une politique de compartiment qui restreint l'accès à des principes spécifiques, tels qu'un AWS compte ou utilisateurs spécifiques.

Pour le IAM rôle auquel l'accès au compartiment est accordé, utilisez une relation de confiance qui permet que le rôle soit assumé uniquement par le principal du service Amazon Redshift. Lorsqu'il est associé à votre cluster, le rôle ne peut être utilisé que dans le cadre d'Amazon Redshift ; il ne peut pas être partagé en dehors du cluster. Pour de plus amples informations, veuillez consulter Restreindre l'accès aux IAM rôles. Une politique de contrôle des services (SCP) peut également être utilisée pour restreindre davantage le rôle. Voir Empêcher IAM les utilisateurs et les rôles d'apporter des modifications spécifiques, à l'exception d'un rôle d'administrateur spécifié dans le AWS Organizations Guide de l'utilisateur.

Note

Pour utiliser Redshift Spectrum, aucune IAM politique bloquant l'utilisation d'Amazon S3 présigné ne URLs peut être mise en place. Les fichiers présignés URLs générés par Amazon Redshift Spectrum sont valides pendant 1 heure afin qu'Amazon Redshift dispose de suffisamment de temps pour charger tous les fichiers depuis le compartiment Amazon S3. Un présigné unique URL est généré pour chaque fichier scanné par Redshift Spectrum. Pour les politiques de compartiment qui incluent une s3:signatureAge action, veillez à définir la valeur sur au moins 3 600 000 millisecondes.

L'exemple de politique de compartiment suivant autorise l'accès au compartiment spécifié uniquement à partir du trafic provenant de Redshift Spectrum, propriété de AWS compte123456789012. 

{
	"Version": "2012-10-17",
	"Statement": [{
		"Sid": "BucketPolicyForSpectrum",
		"Effect": "Allow",
		"Principal": {
			"AWS": ["arn:aws:iam::123456789012:role/redshift"]
		},
		"Action": ["s3:GetObject", "s3:List*"],
		"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"],
		"Condition": {
			"StringEquals": {
				"aws:UserAgent": "AWS Redshift/Spectrum"
			}
		}
	}]
}

Autorisations pour assumer le IAM rôle

Le rôle associé à votre cluster doit disposer d'une relation de confiance autorisant le rôle à être endossé uniquement par le service Amazon Redshift, comme indiqué ci-après.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Vous pouvez ajouter une politique au rôle de cluster qui empêche COPY l'UNLOADaccès à un compartiment spécifique. La politique suivante autorise le trafic vers le compartiment défini uniquement à partir de Redshift Spectrum. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["s3:Get*", "s3:List*"],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "Condition": {"StringEquals": {"aws:UserAgent": "AWS Redshift/Spectrum"}}
    }]
}

Pour plus d'informations, consultez la section IAMPolitiques relatives à Redshift Spectrum dans le manuel du développeur de base de données Amazon Redshift.

Audit et journalisation des accès Amazon S3

L'un des avantages de l'utilisation du VPC routage amélioré Amazon Redshift est que tout COPY le UNLOAD trafic est enregistré dans les journaux de VPC flux. Le trafic provenant de Redshift Spectrum vers Amazon S3 ne transite pas par le vôtreVPC, il n'est donc pas enregistré dans les journaux de VPC flux. Lorsque Redshift Spectrum accède à des données dans Amazon S3, il effectue ces opérations dans le contexte du AWS compte et privilèges de rôle respectifs. Vous pouvez enregistrer et auditer l'accès à Amazon S3 à l'aide de l'accès au serveur (connexion). AWS CloudTrail et Amazon S3.

Assurez-vous que les plages d’adresses IP S3 sont ajoutées à votre liste des autorisations. Pour plus d’informations sur les plages d’adresses IP S3 requises, consultez Isolement de réseau.

AWS CloudTrail Journaux

Pour suivre tous les accès aux objets dans Amazon S3, y compris l'accès à Redshift Spectrum, activez la CloudTrail journalisation des objets Amazon S3.

Vous pouvez l'utiliser CloudTrail pour consulter, rechercher, télécharger, archiver, analyser et répondre à l'activité de votre compte sur l'ensemble de votre AWS infrastructure. Pour plus d'informations, consultez Getting Started with CloudTrail.

Par défaut, CloudTrail suit uniquement les actions au niveau du bucket. Pour effectuer le suivi des actions au niveau de l'objet (par exemple GetObject), activez les événements de données et de gestion pour chaque compartiment enregistré.

Journalisation des accès au serveur Amazon S3

La journalisation des accès au serveur fournit des enregistrements détaillés pour les demandes soumises à un compartiment. Les informations des journaux d'accès peuvent s'avérer utiles en cas d'audit de sécurité ou d'audit des accès. Pour plus d'informations, consultez Comment activer la journalisation des accès au serveur dans le Guide de l'utilisateur Amazon Simple Storage Service.

Pour plus d'informations, consultez le AWS Article de blog sur la sécurité Comment utiliser les politiques relatives aux compartiments et appliquer une défense approfondie pour sécuriser vos données Amazon S3.

Accès à AWS Glue ou Amazon Athena

Redshift Spectrum accède à votre catalogue de données dans AWS Glue ou Athéna. Une autre option consiste à utiliser un metastore Hive dédié pour votre catalogue de données.

Pour activer l'accès à AWS Glue ou Athena, configurez votre appareil VPC avec une passerelle ou NAT une passerelle Internet. Configurez vos groupes VPC de sécurité pour autoriser le trafic sortant vers les points de terminaison publics pour AWS Glue et Athéna. Vous pouvez également configurer un point de VPC terminaison d'interface pour AWS Glue pour accéder à votre AWS Glue Data Catalog. Lorsque vous utilisez un point de terminaison d'VPCinterface, la communication entre votre VPC et AWS Glue est menée dans le cadre du AWS réseau. Pour plus d'informations, consultez Création d'un point de terminaison d'interface.

Vous pouvez configurer les chemins suivants dans votre VPC :

  • Passerelle Internet —Pour se connecter à AWS services extérieurs à votreVPC, vous pouvez associer une passerelle Internet à votre VPC sous-réseau, comme décrit dans le guide de l'VPCutilisateur Amazon. Pour utiliser une passerelle Internet, un cluster provisionné doit disposer d'une adresse IP publique afin de permettre aux autres services de communiquer avec lui.

  • NATpasserelle —Pour se connecter à un compartiment Amazon S3 dans un autre AWS Région ou vers un autre service du AWS réseau, configurez une passerelle de traduction d'adresses réseau (NAT), comme décrit dans le guide de VPC l'utilisateur Amazon. Utilisez également cette configuration pour accéder à une instance hôte en dehors de AWS réseau.

Pour de plus amples informations, veuillez consulter Contrôle du trafic réseau avec le routage amélioré Redshift VPC.