Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso ai bucket Amazon S3 con Redshift Spectrum

In generale, Amazon Redshift Spectrum non supporta il routing VPC avanzato con cluster predisposti, anche se un cluster fornito può interrogare tabelle esterne da Amazon S3 quando è abilitato il routing VPC avanzato.

Il routing VPC avanzato di Amazon Redshift invia traffico specifico attraverso il tuo VPC, il che significa che tutto il traffico tra il cluster e i bucket Amazon S3 è forzato a passare attraverso Amazon VPC. Poiché Redshift Spectrum viene eseguito su risorse AWS gestite di proprietà di Amazon Redshift ma esterne al tuo VPC, Redshift Spectrum non utilizza il routing VPC avanzato.

Il traffico tra Redshift Spectrum e Amazon S3 viene instradato in modo sicuro attraverso AWS la rete privata, all'esterno del tuo VPC. Il traffico in volo viene firmato utilizzando il protocollo Amazon Signature versione 4 (SIGv4) e crittografato tramite HTTPS. Questo traffico è autorizzato in base al ruolo IAM che è associato al cluster Amazon Redshift. Per gestire ulteriormente il traffico di Redshift Spectrum, è possibile modificare il ruolo IAM del cluster e la policy collegata al bucket Amazon S3. Potrebbe inoltre essere necessario configurare il VPC per consentire l'accesso al cluster o ad AWS Glue Athena, come descritto di seguito.

Si noti che poiché il routing VPC avanzato influisce sul modo in cui Amazon Redshift accede alle altre risorse, se il VPC non viene configurato correttamente, le query potrebbero restituire degli errori. Per ulteriori informazioni, consulta Controllo del traffico di rete con il routing VPC avanzato di Redshift, che illustra più nel dettaglio la creazione di un endpoint VPC, un gateway NAT e altre risorse di rete per indirizzare il traffico verso i bucket Amazon S3.

Configurazione della politica delle autorizzazioni quando si utilizza Amazon Redshift Spectrum

Considerate quanto segue quando utilizzate Redshift Spectrum:

Politiche di accesso ai bucket Amazon S3 e ruoli IAM

Puoi controllare l'accesso ai dati nei tuoi bucket Amazon S3 utilizzando una policy bucket allegata al bucket e utilizzando un ruolo IAM collegato a un cluster fornito.

Redshift Spectrum sui cluster con provisioning non può accedere ai dati archiviati nei bucket Amazon S3 che utilizzano una policy per bucket che limita l'accesso solo a specifici endpoint VPC. Utilizza invece una bucket policy che limiti l'accesso solo a principali specifici, come un account specifico o utenti specifici. AWS

Per il ruolo IAM a cui viene concesso l'accesso al bucket, utilizzare una relazione di trust che consente al ruolo di essere assegnato solo al principale di servizio Amazon Redshift. Se collegato al cluster, il ruolo può essere utilizzato solo nel contesto di Amazon Redshift e non può essere condiviso esternamente al cluster. Per ulteriori informazioni, consulta Limitazione dell'accesso a ruoli IAM. È possibile utilizzare anche una policy di controllo dei servizi (SCP) per limitare ulteriormente il ruolo. Vedi Impedire agli utenti e ai ruoli IAM di apportare modifiche specifiche, con un'eccezione per un ruolo di amministratore specificato nella Guida per l'utente AWS Organizations .

Il seguente esempio di bucket policy consente l'accesso al bucket specificato solo dal traffico originato da Redshift Spectrum di proprietà dell'account. AWS 123456789012

{
	"Version": "2012-10-17",
	"Statement": [{
		"Sid": "BucketPolicyForSpectrum",
		"Effect": "Allow",
		"Principal": {
			"AWS": ["arn:aws:iam::123456789012:role/redshift"]
		},
		"Action": ["s3:GetObject", "s3:List*"],
		"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"],
		"Condition": {
			"StringEquals": {
				"aws:UserAgent": "AWS Redshift/Spectrum"
			}
		}
	}]
}

Autorizzazioni per assumere il ruolo IAM

Il ruolo collegato al cluster deve avere una relazione di trust che gli consenta di essere assunto solo dal servizio Amazon Redshift, come illustrato di seguito.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

È possibile aggiungere una policy al ruolo del cluster che impedisce l'accesso COPY e UNLOAD a un bucket specifico. La seguente policy consente il traffico al bucket specifico solo da Redshift Spectrum.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["s3:Get*", "s3:List*"],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "Condition": {"StringEquals": {"aws:UserAgent": "AWS Redshift/Spectrum"}}
    }]
}

Per ulteriori informazioni, consulta Policy IAM per Amazon Redshift Spectrum nella Guida per gli sviluppatori di database di Amazon Redshift.

Registrazione e verifica dell'accesso ad Amazon S3

Un vantaggio dell'utilizzo del routing VPC avanzato di Amazon Redshift consiste nel fatto che tutto il traffico COPY e UNLOAD è registrato nei log di flusso VPC. Il traffico originato da Redshift Spectrum ad Amazon S3 non passa attraverso il VPC, perciò non effettua l'accesso nei log di flusso VPC. Quando Redshift Spectrum accede ai dati in Amazon S3, esegue queste operazioni nel contesto dell' AWS account e dei rispettivi privilegi di ruolo. È possibile registrare e controllare l'accesso ad Amazon S3 utilizzando la registrazione degli accessi al server in AWS CloudTrail e Amazon S3.

Assicurati che gli intervalli IP S3 siano aggiunti all'elenco di indirizzi consentiti. Per ulteriori informazioni sugli intervalli IP S3 richiesti, consulta Isolamento di rete.

AWS CloudTrail Log

Per tracciare tutti gli accessi agli oggetti in Amazon S3, incluso l'accesso a Redshift Spectrum, abilita la registrazione CloudTrail per gli oggetti Amazon S3.

Puoi utilizzarlo CloudTrail per visualizzare, cercare, scaricare, archiviare, analizzare e rispondere alle attività dell'account nell'intera infrastruttura. AWS Per ulteriori informazioni, consulta Getting Started with CloudTrail.

Per impostazione predefinita, CloudTrail tiene traccia solo delle azioni a livello di bucket. Per tracciare le operazioni a livello di oggetto (come GetObject), abilitare gli eventi di dati e gestione per ciascun bucket registrato.

Registrazione degli accessi al server Amazon S3

La registrazione degli accessi al server fornisce record dettagliati per le richieste che sono effettuate a un bucket. Il log di accesso può essere utile nei controlli di accesso e di sicurezza. Per ulteriori informazioni, consultare Come abilitare la registrazione degli accessi al server nella Guida per l'utente di Amazon Simple Storage Service.

Per ulteriori informazioni, consulta il post del blog AWS sulla sicurezza How to Use Bucket Policies and Apply Defense-in-Depth to Help Secure Your Amazon S3 Data.

Accesso al nostro AWS Glue Amazon Athena

Redshift Spectrum accede al tuo catalogo di dati in o AWS Glue Athena. Un'altra opzione consiste nell'utilizzare un Hive Metastore dedicato per il catalogo dati.

Per abilitare l'accesso a AWS Glue o Athena, configura il tuo VPC con un gateway Internet o un gateway NAT. Configura i tuoi gruppi di sicurezza VPC per consentire il traffico in uscita verso gli endpoint pubblici di e Athena. AWS Glue In alternativa, puoi configurare un endpoint VPC di interfaccia per accedere AWS Glue al tuo. AWS Glue Data Catalog Quando utilizzi un endpoint di interfaccia VPC, la comunicazione tra il tuo VPC e il tuo VPC AWS Glue viene condotta all'interno della rete. AWS Per ulteriori informazioni, consultare Creazione di un endpoint di interfaccia.

È possibile configurare i percorsi seguenti nel VPC:

Per ulteriori informazioni, consultare Controllo del traffico di rete con il routing VPC avanzato di Redshift.