Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des rôles liés à un service pour Amazon Redshift
Amazon Redshift utilise AWS Identity and Access Management (IAM) rôles liés aux services. Un rôle lié à un service est un type unique de IAM rôle directement lié à Amazon Redshift. Les rôles liés au service sont prédéfinis par Amazon Redshift et incluent toutes les autorisations requises par le service pour appeler AWS services pour le compte de votre cluster Amazon Redshift.
Un rôle lié à un service facilite la configuration d’Amazon Redshift, car vous n’avez pas à ajouter manuellement les autorisations nécessaires. Le rôle est lié aux cas d’utilisation d’Amazon Redshift et dispose de permissions prédéfinies. Seul Amazon Redshift peut endosser le rôle, et seul le rôle lié au service peut utiliser la stratégie d’autorisations prédéfinie. Amazon Redshift crée un rôle lié à un service dans votre compte la première fois que vous créez un cluster ou un point de terminaison géré par Redshift. VPC Vous ne pouvez supprimer le rôle lié au service qu'après avoir supprimé tous les clusters Amazon Redshift ou points de terminaison gérés par Redshift de votre VPC compte. Vos ressources Amazon Redshift sont ainsi protégées, car vous ne pouvez pas involontairement supprimer les autorisations nécessaires pour y accéder.
Amazon Redshift prend en charge l’utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez .AWS Régions et points de terminaison.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, voir AWS services qui fonctionnent avec IAM et recherchent les services dont la valeur Oui est indiquée dans la colonne Rôle lié au service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.
Autorisations du rôle lié à un service pour Amazon Redshift
Amazon Redshift utilise le rôle lié au service nommé — Autorise AWSServiceRoleForRedshiftAmazon Redshift à appeler AWS services en votre nom. Ce rôle lié à un service est attaché à la politique gérée suivante : AmazonRedshiftServiceLinkedRolePolicy. Pour les mises à jour de cette politique, voir AWS-politiques gérées (prédéfinies) pour Amazon Redshift.
Le rôle AWSServiceRoleForRedshift lié au service fait confiance uniquement redshift.amazonaws.com pour assumer le rôle.
La politique d'autorisation des rôles AWSServiceRoleForRedshift liés au service permet à Amazon Redshift d'effectuer les opérations suivantes sur toutes les ressources associées :
-
ec2:DescribeVpcs -
ec2:DescribeSubnets -
ec2:DescribeNetworkInterfaces -
ec2:DescribeAddress -
ec2:AssociateAddress -
ec2:DisassociateAddress -
ec2:CreateNetworkInterface -
ec2:DeleteNetworkInterface -
ec2:ModifyNetworkInterfaceAttribute -
ec2:CreateVpcEndpoint -
ec2:DeleteVpcEndpoints -
ec2:DescribeVpcEndpoints -
ec2:ModifyVpcEndpoint ec2:DescribeVpcAttributeec2:DescribeSecurityGroupsec2:DescribeInternetGatewaysec2:DescribeSecurityGroupRulesec2:DescribeAvailabilityZonesec2:DescribeNetworkAclsec2:DescribeRouteTablesec2:AssignIpv6Addressesec2:UnassignIpv6Addresses
Autorisations pour les ressources réseau
Les autorisations suivantes permettent d'agir sur Amazon EC2 pour créer et gérer des règles de groupe de sécurité. Ces groupes et règles de sécurité sont spécifiquement associés à la balise de ressource Amazon Redshift aws:RequestTag/Redshift. Cela permet de limiter l’étendue des autorisations à des ressources Amazon Redshift spécifiques.
ec2:CreateSecurityGroupec2:AuthorizeSecurityGroupEgressec2:AuthorizeSecurityGroupIngressec2:RevokeSecurityGroupEgressec2:RevokeSecurityGroupIngressec2:ModifySecurityGroupRulesec2:DeleteSecurityGroup
Autorisations pour les quotas de service
Les autorisations suivantes permettent à l'appelant d'obtenir des quotas de service.
servicequotas:GetServiceQuota
Le JSON fragment suivant montre l'action et l'étendue des ressources pour les quotas de service.
{ "Sid": "ServiceQuotasToCheckCustomerLimits", "Effect": "Allow", "Action": [ "servicequotas:GetServiceQuota" ], "Resource": [ "arn:aws:servicequotas:*:*:ec2/L-0263D0A3", "arn:aws:servicequotas:*:*:vpc/L-29B6F2EB" ] }
Les codes de quota sont les suivants :
L-0263D0A3 — Le code de quota pour - Elastic. EC2 VPC IPs
L-29B6F2EB — Le code de quota pour les points de terminaison de l'interface par. VPC VPC
Pour plus d’informations, consultez .AWS quotas de service.
Actions pour la journalisation des audits
Les actions répertoriées avec le préfixe logs concernent la journalisation des audits et les fonctions associées. Plus précisément, la création et la gestion de groupes de journaux et de flux de journaux.
-
logs:CreateLogGroup -
logs:PutRetentionPolicy -
logs:CreateLogStream -
logs:PutLogEvents -
logs:DescribeLogStreams -
logs:GetLogEvents
Ce qui suit JSON montre les actions et l'étendue des ressources, pour Amazon Redshift, pour la journalisation des audits.
[ { "Sid": "EnableCreationAndManagementOfRedshiftCloudwatchLogGroups", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/redshift/*" ] }, { "Sid": "EnableCreationAndManagementOfRedshiftCloudwatchLogStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/redshift/*:log-stream:*" ] } ]
Pour plus d'informations sur les rôles liés aux services et leur objectif dans AWS, voir Utilisation de rôles liés à un service. Pour plus d'informations sur les actions spécifiques et les autres IAM ressources pour Amazon Redshift, consultez Actions, ressources et clés de condition pour Amazon Redshift.
Actions de gestion des informations d'identification d'administrateur avec AWS Secrets Manager
Les actions répertoriées avec le préfixe secretsmanager concernent l’utilisation d’Amazon Redshift pour gérer vos informations d’identification d’administrateur. Ces actions permettent à Amazon Redshift d'utiliser AWS Secrets Manager pour créer et gérer les secrets de vos identifiants d'administrateur.
Ce qui suit JSON montre les actions et l'étendue des ressources, pour Amazon Redshift, pour gérer les informations d'identification d'administrateur avec AWS Secrets Manager.
[ { "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:DeleteSecret", "secretsmanager:PutSecretValue", "secretsmanager:UpdateSecret", "secretsmanager:UpdateSecretVersionStage", "secretsmanager:RotateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:redshift!*" ], "Condition": { "StringEquals": { "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "redshift" } } }, { "Effect": "Allow", "Action": [ "secretsmanager:GetRandomPassword" ], "Resource": "*" } ]
Pour autoriser une IAM entité à créer des rôles liés à un AWSServiceRoleForRedshift service
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::<AWS-account-ID>:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift", "Condition": {"StringLike": {"iam:AWSServiceName": "redshift.amazonaws.com"}} }
Pour autoriser une IAM entité à supprimer des rôles liés à un AWSServiceRoleForRedshift service
Ajoutez la déclaration de politique suivante aux autorisations pour cette IAM entité :
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::<AWS-account-ID>:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift", "Condition": {"StringLike": {"iam:AWSServiceName": "redshift.amazonaws.com"}} }
Vous pouvez également utiliser un AWS politique gérée pour fournir un accès complet
Création d’un rôle lié à un service pour Amazon Redshift
Il n'est pas nécessaire de créer manuellement un rôle AWSServiceRoleForRedshift lié à un service. Amazon Redshift crée automatiquement le rôle lié au service. Si le rôle AWSServiceRoleForRedshift lié au service a été supprimé de votre compte, Amazon Redshift le crée lorsque vous lancez un nouveau cluster Amazon Redshift.
Important
Si vous avez utilisé le service Amazon Redshift avant le 18 septembre 2017, date à laquelle il a commencé à prendre en charge les rôles liés au service, Amazon Redshift a créé le rôle dans votre compte. AWSServiceRoleForRedshift Pour en savoir plus, consultez l'article Un nouveau rôle est apparu dans mon IAM compte.
Modification d’un rôle lié à un service pour Amazon Redshift
Amazon Redshift ne vous permet pas de modifier le rôle lié au AWSServiceRoleForRedshift service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Toutefois, vous pouvez modifier la description du rôle à l'aide de la IAM console, AWS Command Line Interface (AWS CLI), ou IAMAPI. Pour plus d'informations, consultez la section Modification d'un rôle dans le guide de IAM l'utilisateur.
Suppression d’un rôle lié à un service pour Amazon Redshift
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement.
Avant de pouvoir supprimer un rôle lié à un service pour un compte, vous devez arrêter et supprimer tous les clusters du compte. Pour de plus amples informations, veuillez consulter Arrêt et suppression d'un cluster.
Vous pouvez utiliser la IAM console, le AWS CLI, ou IAM API pour supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Suppression d'un rôle lié à un service dans le Guide de l'IAMutilisateur.
