Accesso ai bucket Amazon S3 con Redshift Spectrum - Amazon Redshift
Configurazione della politica delle autorizzazioni quando si utilizza Amazon Redshift Spectrum

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso ai bucket Amazon S3 con Redshift Spectrum

Amazon Redshift Spectrum non supporta il routing VPC avanzato con cluster forniti. Il VPC routing avanzato di Amazon Redshift indirizza il traffico specifico attraverso il tuo. VPC Tutto il traffico tra il cluster e i bucket Amazon S3 viene forzato a passare attraverso Amazon. VPC Redshift Spectrum funziona su AWS risorse gestite di proprietà di Amazon Redshift. Poiché queste risorse sono esterne alle tueVPC, Redshift Spectrum non utilizza un routing avanzatoVPC.

Il traffico tra Redshift Spectrum e Amazon S3 viene instradato in modo sicuro attraverso AWS rete privata, esterna alla tua. VPC Il traffico in volo viene firmato utilizzando il protocollo Amazon Signature versione 4 (SIGv4) e crittografato utilizzandoHTTPS. Questo traffico è autorizzato in base al IAM ruolo associato al tuo cluster Amazon Redshift. Per gestire ulteriormente il traffico Redshift Spectrum, puoi modificare il IAM ruolo del cluster e la policy allegata al bucket Amazon S3. Potresti anche dover configurare il tuo per consentire VPC l'accesso al cluster AWS Glue o Athena, come dettagliato di seguito.

Tieni presente che, poiché il VPC routing avanzato influisce sul modo in cui Amazon Redshift accede ad altre risorse, le query potrebbero non riuscire se non configurate correttamente. VPC Per ulteriori informazioni, consultaControllo del traffico di rete con il routing avanzato di Redshift VPC, che illustra in modo più dettagliato la creazione di un VPC endpoint, un NAT gateway e altre risorse di rete per indirizzare il traffico verso i bucket Amazon S3.

Nota

Amazon Redshift Serverless supporta il VPC routing avanzato per le query su tabelle esterne su Amazon S3. Per ulteriori informazioni sulla configurazione, consulta Caricamento di dati da Amazon S3 nella Amazon Redshift Serverless Getting Started Guide.

Configurazione della politica delle autorizzazioni quando si utilizza Amazon Redshift Spectrum

Considerate quanto segue quando utilizzate Redshift Spectrum:

Politiche e ruoli di accesso ai bucket Amazon S3 IAM

Puoi controllare l'accesso ai dati nei tuoi bucket Amazon S3 utilizzando una policy bucket allegata al bucket e utilizzando un IAM ruolo collegato a un cluster fornito.

Redshift Spectrum sui cluster con provisioning non può accedere ai dati archiviati nei bucket Amazon S3 che utilizzano una policy di bucket che limita l'accesso solo a endpoint specifici. VPC Utilizza invece una policy bucket che limiti l'accesso solo a principi specifici, ad esempio uno specifico AWS account o utenti specifici.

Per il IAM ruolo a cui è concesso l'accesso al bucket, utilizza una relazione di fiducia che consenta di assumere il ruolo solo dal responsabile del servizio Amazon Redshift. Se collegato al cluster, il ruolo può essere utilizzato solo nel contesto di Amazon Redshift e non può essere condiviso esternamente al cluster. Per ulteriori informazioni, consulta Limitazione dell'accesso ai ruoli IAM. È inoltre possibile utilizzare una policy di controllo del servizio (SCP) per limitare ulteriormente il ruolo, vedi Impedire a IAM utenti e ruoli di apportare modifiche specifiche, con un'eccezione per un ruolo di amministratore specificato nel AWS Organizations Guida per l'utente.

Nota

Per utilizzare Redshift Spectrum, non è possibile IAM adottare politiche che blocchino l'uso di Amazon S3 URLs presigned. I URLs prefirmati generati da Amazon Redshift Spectrum sono validi per 1 ora, in modo che Amazon Redshift abbia abbastanza tempo per caricare tutti i file dal bucket Amazon S3. URLViene generato un prefirmato univoco per ogni file scansionato da Redshift Spectrum. Per le policy bucket che includono un's3:signatureAgeazione, assicurati di impostare il valore su almeno 3.600.000 millisecondi.

Il seguente esempio di bucket policy consente l'accesso al bucket specificato solo dal traffico originato da Redshift Spectrum di proprietà di AWS conto. 123456789012 

{
	"Version": "2012-10-17",
	"Statement": [{
		"Sid": "BucketPolicyForSpectrum",
		"Effect": "Allow",
		"Principal": {
			"AWS": ["arn:aws:iam::123456789012:role/redshift"]
		},
		"Action": ["s3:GetObject", "s3:List*"],
		"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"],
		"Condition": {
			"StringEquals": {
				"aws:UserAgent": "AWS Redshift/Spectrum"
			}
		}
	}]
}

Autorizzazioni per assumere il ruolo IAM

Il ruolo collegato al cluster deve avere una relazione di trust che gli consenta di essere assunto solo dal servizio Amazon Redshift, come illustrato di seguito.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

È possibile aggiungere una policy al ruolo del cluster che impedisca l'COPYUNLOADaccesso a un bucket specifico. La seguente policy consente il traffico al bucket specifico solo da Redshift Spectrum. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": ["s3:Get*", "s3:List*"],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "Condition": {"StringEquals": {"aws:UserAgent": "AWS Redshift/Spectrum"}}
    }]
}

Per ulteriori informazioni, consulta IAMPolicies for Redshift Spectrum nella Amazon Redshift Database Developer Guide.

Registrazione e verifica dell'accesso ad Amazon S3

Uno dei vantaggi dell'utilizzo del VPC routing avanzato di Amazon Redshift è che tutto COPY il UNLOAD traffico viene registrato nei log di flusso. VPC Il traffico proveniente da Redshift Spectrum verso Amazon S3 non passa attraverso VPC il tuo, quindi non viene registrato nei log di flusso. VPC Quando Redshift Spectrum accede ai dati in Amazon S3, esegue queste operazioni nel contesto di AWS account e rispettivi privilegi di ruolo. Puoi registrare e controllare l'accesso ad Amazon S3 utilizzando la registrazione dell'accesso al server. AWS CloudTrail e Amazon S3.

Assicurati che gli intervalli IP S3 siano aggiunti all'elenco di indirizzi consentiti. Per ulteriori informazioni sugli intervalli IP S3 richiesti, consulta Isolamento di rete.

AWS CloudTrail Registri

Per tracciare tutti gli accessi agli oggetti in Amazon S3, incluso l'accesso a Redshift Spectrum, abilita la registrazione CloudTrail per gli oggetti Amazon S3.

Puoi utilizzarlo CloudTrail per visualizzare, cercare, scaricare, archiviare, analizzare e rispondere alle attività dell'account su tutto il tuo AWS infrastruttura. Per ulteriori informazioni, consulta Getting Started with CloudTrail.

Per impostazione predefinita, CloudTrail tiene traccia solo delle azioni a livello di bucket. Per tracciare le operazioni a livello di oggetto (come GetObject), abilitare gli eventi di dati e gestione per ciascun bucket registrato.

Registrazione degli accessi al server Amazon S3

La registrazione degli accessi al server fornisce record dettagliati per le richieste che sono effettuate a un bucket. Il log di accesso può essere utile nei controlli di accesso e di sicurezza. Per ulteriori informazioni, consultare Come abilitare la registrazione degli accessi al server nella Guida per l'utente di Amazon Simple Storage Service.

Per ulteriori informazioni, consulta il AWS Post sul blog sulla sicurezza Come utilizzare le policy Bucket e applicare una difesa approfondita per proteggere i dati di Amazon S3.

Accesso a AWS Glue o Amazon Athena

Redshift Spectrum accede al tuo catalogo dati in AWS Glue o Athena. Un'altra opzione consiste nell'utilizzare un Hive Metastore dedicato per il catalogo dati.

Per abilitare l'accesso a AWS Glue o Athena, configura il tuo VPC con un gateway o NAT un gateway Internet. Configura i tuoi gruppi VPC di sicurezza per consentire il traffico in uscita verso gli endpoint pubblici per AWS Glue e Athena. In alternativa, è possibile configurare un VPC endpoint di interfaccia per AWS Glue per accedere al tuo AWS Glue Data Catalog. Quando utilizzi un endpoint di VPC interfaccia, comunicazione tra il tuo VPC e AWS Glue è condotta all'interno del AWS rete. Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia.

Puoi configurare i seguenti percorsi nel tuoVPC:

  • Gateway Internet: a cui connettersi AWS per servizi esterni al tuoVPC, puoi collegare un gateway Internet alla tua VPC sottorete, come descritto nella Amazon VPC User Guide. Per utilizzare un gateway Internet, un cluster fornito deve disporre di un indirizzo IP pubblico per consentire ad altri servizi di comunicare con esso.

  • NATgateway: per connettersi a un bucket Amazon S3 in un altro AWS Regione o a un altro servizio all'interno del AWS network, configura un gateway di traduzione degli indirizzi di rete (NAT), come descritto nella Amazon VPC User Guide. Utilizza questa configurazione anche per accedere a un'istanza host esterna a AWS rete.

Per ulteriori informazioni, consulta Controllo del traffico di rete con il routing avanzato di Redshift VPC.