Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS
Mengakses bucket Amazon S3 dengan Redshift Spectrum - Amazon Redshift
Konfigurasi kebijakan izin saat menggunakan Amazon Redshift Spectrum

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengakses bucket Amazon S3 dengan Redshift Spectrum

PDFRSS

Secara umum, Amazon Redshift Spectrum tidak mendukung perutean VPC yang disempurnakan dengan kluster yang disediakan, meskipun kluster yang disediakan dapat menanyakan tabel eksternal dari Amazon S3 saat perutean VPC yang disempurnakan diaktifkan.

Perutean VPC Amazon Redshift yang disempurnakan mengirimkan lalu lintas tertentu melalui VPC Anda, yang berarti bahwa semua lalu lintas antara cluster Anda dan bucket Amazon S3 Anda terpaksa melewati VPC Amazon Anda. Karena Redshift Spectrum berjalan pada sumber daya AWS terkelola yang dimiliki oleh Amazon Redshift tetapi berada di luar VPC Anda, Redshift Spectrum tidak menggunakan perutean VPC yang disempurnakan.

Lalu lintas antara Redshift Spectrum dan Amazon S3 dirutekan dengan aman melalui jaringan pribadi, AWS di luar VPC Anda. Lalu lintas dalam penerbangan ditandatangani menggunakan protokol Amazon Signature Version 4 (SIGv4) dan dienkripsi menggunakan HTTPS. Lalu lintas ini diotorisasi berdasarkan peran IAM yang dilampirkan ke cluster Amazon Redshift Anda. Untuk mengelola lalu lintas Redshift Spectrum lebih lanjut, Anda dapat memodifikasi peran IAM klaster dan kebijakan yang dilampirkan ke bucket Amazon S3. Anda mungkin juga perlu mengonfigurasi VPC Anda untuk memungkinkan klaster Anda mengakses atau AWS Glue Athena, seperti yang dijelaskan berikut ini.

Perhatikan bahwa karena perutean VPC yang disempurnakan memengaruhi cara Amazon Redshift mengakses sumber daya lain, kueri mungkin gagal kecuali Anda mengonfigurasi VPC dengan benar. Untuk informasi selengkapnya, lihatMengontrol lalu lintas jaringan dengan perutean VPC Redshift yang ditingkatkan, yang membahas secara lebih rinci membuat titik akhir VPC, gateway NAT, dan sumber daya jaringan lainnya untuk mengarahkan lalu lintas ke bucket Amazon S3 Anda.

catatan

Amazon Redshift Serverless mendukung perutean VPC yang disempurnakan untuk kueri ke tabel eksternal di Amazon S3. Untuk informasi selengkapnya tentang konfigurasi, lihat Memuat data dari Amazon S3 di Panduan Memulai Tanpa Server Amazon Redshift.

Konfigurasi kebijakan izin saat menggunakan Amazon Redshift Spectrum

Pertimbangkan hal berikut saat menggunakan Redshift Spectrum:

Kebijakan akses bucket Amazon S3 dan peran IAM

Anda dapat mengontrol akses ke data di bucket Amazon S3 dengan menggunakan kebijakan bucket yang dilampirkan ke bucket dan dengan menggunakan peran IAM yang dilampirkan ke klaster yang disediakan.

Redshift Spectrum pada kluster yang disediakan tidak dapat mengakses data yang disimpan di bucket Amazon S3 yang menggunakan kebijakan bucket yang membatasi akses hanya ke titik akhir VPC yang ditentukan. Sebagai gantinya, gunakan kebijakan bucket yang membatasi akses hanya ke prinsipal tertentu, seperti AWS akun tertentu atau pengguna tertentu.

Untuk peran IAM yang diberikan akses ke bucket, gunakan hubungan kepercayaan yang memungkinkan peran hanya diasumsikan oleh prinsipal layanan Amazon Redshift. Saat dilampirkan ke cluster Anda, peran hanya dapat digunakan dalam konteks Amazon Redshift dan tidak dapat dibagikan di luar cluster. Untuk informasi selengkapnya, lihat Membatasi akses ke peran IAM. Kebijakan kontrol layanan (SCP) juga dapat digunakan untuk membatasi peran lebih lanjut, lihat Mencegah pengguna IAM dan peran membuat perubahan tertentu, dengan pengecualian untuk peran admin tertentu dalam Panduan Pengguna.AWS Organizations

catatan

Untuk menggunakan Redshift Spectrum, tidak ada kebijakan IAM yang memblokir penggunaan Amazon S3 URLs presigned yang dapat diterapkan. Presigned URLs yang dihasilkan oleh Amazon Redshift Spectrum berlaku selama 1 jam sehingga Amazon Redshift memiliki cukup waktu untuk memuat semua file dari bucket Amazon S3. URL presigned unik dibuat untuk setiap file yang dipindai oleh Redshift Spectrum. Untuk kebijakan bucket yang menyertakan s3:signatureAge tindakan, pastikan untuk menetapkan nilainya setidaknya 3.600.000 milidetik.

Contoh kebijakan bucket berikut mengizinkan akses ke bucket yang ditentukan hanya dari lalu lintas yang berasal dari Redshift Spectrum yang dimiliki oleh akun. AWS 123456789012 

{
	"Version": "2012-10-17",
	"Statement": [{
		"Sid": "BucketPolicyForSpectrum",
		"Effect": "Allow",
		"Principal": {
			"AWS": ["arn:aws:iam::123456789012:role/redshift"]
		},
		"Action": ["s3:GetObject", "s3:List*"],
		"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"],
		"Condition": {
			"StringEquals": {
				"aws:UserAgent": "AWS Redshift/Spectrum"
			}
		}
	}]
}

Izin untuk mengasumsikan peran IAM

Peran yang melekat pada klaster Anda harus memiliki hubungan kepercayaan yang memungkinkannya diasumsikan hanya oleh layanan Amazon Redshift, seperti yang ditunjukkan berikut.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Anda dapat menambahkan kebijakan ke peran klaster yang mencegah akses COPY dan UNLOAD ke bucket tertentu. Kebijakan berikut mengizinkan lalu lintas ke bucket yang ditentukan hanya dari Redshift Spectrum. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["s3:Get*", "s3:List*"],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "Condition": {"StringEquals": {"aws:UserAgent": "AWS Redshift/Spectrum"}}
    }]
}

Untuk informasi selengkapnya, lihat Kebijakan IAM untuk Spektrum Pergeseran Merah di Panduan Pengembang Database Amazon Redshift.

Pencatatan dan audit akses Amazon S3

Salah satu manfaat menggunakan perutean VPC Amazon Redshift yang disempurnakan adalah bahwa semua lalu lintas COPY dan UNLOAD dicatat di log aliran VPC. Lalu lintas yang berasal dari Redshift Spectrum ke Amazon S3 tidak melewati VPC Anda, jadi tidak masuk ke log aliran VPC. Saat Redshift Spectrum mengakses data di Amazon S3, ia melakukan operasi ini dalam konteks AWS akun dan hak istimewa peran masing-masing. Anda dapat mencatat dan mengaudit akses Amazon S3 menggunakan akses server masuk AWS CloudTrail dan Amazon S3.

Pastikan rentang IP S3 ditambahkan ke daftar izin Anda. Untuk mempelajari lebih lanjut tentang rentang IP S3 yang diperlukan, lihat Isolasi jaringan.

AWS CloudTrail Log

Untuk melacak semua akses ke objek di Amazon S3, termasuk akses Redshift Spectrum, aktifkan pencatatan untuk objek CloudTrail Amazon S3.

Anda dapat menggunakan CloudTrail untuk melihat, mencari, mengunduh, mengarsipkan, menganalisis, dan menanggapi aktivitas akun di seluruh AWS infrastruktur Anda. Untuk informasi selengkapnya, lihat Memulai dengan CloudTrail.

Secara default, hanya CloudTrail melacak tindakan tingkat ember. Untuk melacak tindakan tingkat objek (sepertiGetObject), aktifkan data dan peristiwa manajemen untuk setiap bucket yang dicatat.

Pencatatan Log Akses Server Amazon S3

Pencatatan akses server menyediakan catatan terperinci untuk permintaan yang dilakukan ke bucket. Informasi log akses dapat berguna dalam audit keamanan dan akses. Untuk informasi selengkapnya, lihat Cara Mengaktifkan Pencatatan Akses Server di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Untuk informasi selengkapnya, lihat posting blog AWS Keamanan Cara Menggunakan Kebijakan Bucket dan Terapkan Defense-in-Depth untuk Membantu Mengamankan Data Amazon S3 Anda.

Akses ke AWS Glue atau Amazon Athena

Redshift Spectrum mengakses katalog data Anda di atau AWS Glue Athena. Pilihan lain adalah menggunakan metastore Hive khusus untuk katalog data Anda.

Untuk mengaktifkan akses ke AWS Glue atau Athena, konfigurasikan VPC Anda dengan gateway internet atau gateway NAT. Konfigurasikan grup keamanan VPC Anda untuk mengizinkan lalu lintas keluar ke titik akhir publik untuk dan Athena. AWS Glue Atau, Anda dapat mengonfigurasi titik akhir VPC antarmuka AWS Glue untuk mengakses. AWS Glue Data Catalog Saat Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC Anda dan AWS Glue dilakukan di dalam jaringan. AWS Untuk informasi selengkapnya, lihat Membuat Titik Akhir Antarmuka.

Anda dapat mengonfigurasi jalur berikut di VPC Anda:

  • Internet gateway —Untuk terhubung ke AWS layanan di luar VPC Anda, Anda dapat melampirkan gateway internet ke subnet VPC Anda, seperti yang dijelaskan dalam Panduan Pengguna Amazon VPC. Untuk menggunakan gateway internet, cluster yang disediakan harus memiliki alamat IP publik untuk memungkinkan layanan lain berkomunikasi dengannya.

  • Gateway NAT —Untuk menyambung ke bucket Amazon S3 di Wilayah AWS lain atau ke layanan lain dalam AWS jaringan, konfigurasikan gateway terjemahan alamat jaringan (NAT), seperti yang dijelaskan dalam Panduan Pengguna Amazon VPC. Gunakan konfigurasi ini juga untuk mengakses instance host di luar AWS jaringan.

Untuk informasi selengkapnya, lihat Mengontrol lalu lintas jaringan dengan perutean VPC Redshift yang ditingkatkan.

Topik berikutnya:

Peristiwa

Perlu bantuan?

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.