Parametri di autorizzazione

Il COPY comando richiede l'autorizzazione per accedere ai dati in un'altra AWS risorsa, tra cui Amazon S3, AmazonEMR, Amazon DynamoDB e Amazon. EC2 È possibile fornire tale autorizzazione facendo riferimento a un ruolo AWS Identity and Access Management (IAM) collegato al cluster (controllo degli accessi basato sui ruoli). Puoi crittografare i dati di caricamento su Amazon S3.

I seguenti argomenti forniscono ulteriori dettagli ed esempi di opzioni di autenticazione:

Utilizzate una delle seguenti opzioni per fornire l'autorizzazione per il comando: COPY

Parametro IAM_ROLE
Parametri ACCESS_KEY_ID and SECRET_ACCESS_KEY
CREDENTIALSClausola

IAM_ ROLE {default | 'arn:aws:iam::<Account AWS-id>:ruolo/<role-name>' }

Utilizza la parola chiave predefinita per fare in modo che Amazon Redshift utilizzi il IAM ruolo impostato come predefinito e associato al cluster durante l'esecuzione del COPY comando.

Usa Amazon Resource Name (ARN) per un IAM ruolo utilizzato dal tuo cluster per l'autenticazione e l'autorizzazione. Se specifichi IAM _ROLE, non puoi utilizzare ACCESS _ KEY _ID e SECRET _ ACCESS _ KEYTOKEN, SESSION _ oCREDENTIALS.

Di seguito viene illustrata la sintassi del parametro IAM _ROLE.


IAM_ROLE { default | 'arn:aws:iam::<Account AWS-id>:role/<role-name>' }

Per ulteriori informazioni, consulta Controllo degli accessi basato sui ruoli.

ACCESS_ KEY _ID 'access-key-id ' SECRET ACCESS _ KEY '' secret-access-key

Questo metodo di autorizzazione non è raccomandato.

Nota

Invece di fornire le credenziali di accesso come testo semplice, consigliamo vivamente di utilizzare l'autenticazione basata sui ruoli specificando il parametro _. IAM ROLE Per ulteriori informazioni, consulta Controllo degli accessi basato sui ruoli.

SESSION_ 'token temporaneo' TOKEN

Il token di sessione da utilizzare con le credenziali di accesso temporaneo. Quando TOKEN viene specificato SESSION _, è necessario utilizzare anche ACCESS _ KEY _ID e _ SECRET ACCESS _ KEY per fornire credenziali temporanee della chiave di accesso. Se si specifica SESSION _ non TOKEN è possibile utilizzare IAM _ ROLE o. CREDENTIALS Per ulteriori informazioni, consulta Credenziali di sicurezza temporanee la Guida IAM per l'utente.

Nota

Invece di creare credenziali di sicurezza temporanee, consigliamo vivamente di utilizzare l'autenticazione basata su ruoli. Quando autorizzi l'utilizzo di un IAM ruolo, Amazon Redshift crea automaticamente credenziali utente temporanee per ogni sessione. Per ulteriori informazioni, consulta Controllo degli accessi basato sui ruoli.

Di seguito viene mostrata la sintassi del TOKEN parametro SESSION _ con i parametri _ KEY _ID e ACCESS _ _. SECRET ACCESS KEY


ACCESS_KEY_ID '<access-key-id>'
SECRET_ACCESS_KEY '<secret-access-key>'
SESSION_TOKEN '<temporary-token>';

Se specifichi SESSION _ non TOKEN puoi usare CREDENTIALS o IAM _. ROLE

[WITH] CREDENTIALS [AS] 'credentials-args'

Una clausola che indica il metodo che il cluster utilizzerà per accedere ad altre AWS risorse che contengono file di dati o file manifest. Non è possibile utilizzare il CREDENTIALS parametro con IAM _ ROLE o ACCESS _ KEY _ID e SECRET _ _ACCESS. KEY

Nota

Per una maggiore flessibilità, si consiglia di utilizzare il IAM_ROLE parametro anziché il CREDENTIALS parametro.

Facoltativamente, se utilizzi il parametro ENCRYPTED, la stringa credentials-args fornisce anche la chiave di crittografia.

La stringa credentials-args prevede la distinzione tra maiuscole e minuscole e non deve contenere spazi.

Le parole chiave WITH e AS sono opzionali e vengono ignorate.

È possibile specificare role-based access control o key-based access control. In entrambi i casi, il IAM ruolo o l'utente devono disporre delle autorizzazioni necessarie per accedere alle risorse AWS specificate. Per ulteriori informazioni, consulta IAMautorizzazioni per, e COPY UNLOAD CREATE LIBRARY.

Nota

Per salvaguardare le AWS credenziali e proteggere i dati sensibili, consigliamo vivamente di utilizzare il controllo degli accessi basato sui ruoli.

Per specificare il controllo degli accessi basato su ruoli, fornisci la stringa credentials-args nel seguente formato.


'aws_iam_role=arn:aws:iam::<aws-account-id>:role/<role-name>'

Per utilizzare le credenziali del token temporanee, devi fornire l'ID chiave di accesso, la chiave di accesso segreta e il token temporanei. La stringa credentials-args è nel seguente formato.


CREDENTIALS
'aws_access_key_id=<temporary-access-key-id>;aws_secret_access_key=<temporary-secret-access-key>;token=<temporary-token>'

Per ulteriori informazioni, consulta Credenziali di sicurezza temporanee.

Se viene utilizzato il ENCRYPTED parametro, la stringa credentials-args ha il formato seguente, dove <root-key> è il valore della chiave principale utilizzata per crittografare i file.


CREDENTIALS
'<credentials-args>;master_symmetric_key=<root-key>'

Ad esempio, il COPY comando seguente utilizza il controllo degli accessi basato sui ruoli con una chiave di crittografia.


copy customer from 's3://amzn-s3-demo-bucket/mydata' 
credentials 
'aws_iam_role=arn:aws:iam::<account-id>:role/<role-name>;master_symmetric_key=<root-key>'

Il COPY comando seguente mostra il controllo degli accessi basato sui ruoli con una chiave di crittografia.


copy customer from 's3://amzn-s3-demo-bucket/mydata' 
credentials 
'aws_iam_role=arn:aws:iam::<aws-account-id>:role/<role-name>;master_symmetric_key=<root-key>'

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

COPYda Amazon DynamoDB

Opzioni di mappatura di colonne