Utilizzo di ruoli collegati ai servizi per Amazon Redshift - Amazon Redshift
Autorizzazioni del ruolo collegato ai servizi per Amazon RedshiftCreazione di un ruolo collegato ai servizi per Amazon RedshiftModifica di un ruolo collegato ai servizi per Amazon RedshiftEliminazione di un ruolo collegato ai servizi per Amazon Redshift

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per Amazon Redshift

Amazon Redshift utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo di ruolo IAM univoco collegato direttamente ad Amazon Redshift. I ruoli collegati ai servizi sono predefiniti da Amazon Redshift e includono tutte le autorizzazioni richieste dal servizio per chiamare i AWS servizi per conto del tuo cluster Amazon Redshift.

Un ruolo legato a un servizio rende la configurazione di Amazon Redshift più facile perché non è necessario aggiungere manualmente i permessi necessari. Il ruolo è collegato a casi d'uso di Amazon Redshift e ha autorizzazioni predefinite. Solo Amazon Redshift può assumere il ruolo e solo questo ruolo collegato ai servizi può utilizzare la policy di autorizzazione predefinita. Amazon Redshift crea un ruolo collegato ai servizi nel tuo account la prima volta che crei un cluster o un endpoint VPC gestito da Redshift. Puoi eliminare il ruolo collegato al servizio solo dopo aver eliminato tutti i cluster Amazon Redshift o gli endpoint VPC gestiti da Redshift nel tuo account. Così facendo, le risorse Amazon Redshift restano protette, perché non puoi rimuovere inavvertitamente le autorizzazioni necessarie per l'accesso alle risorse.

Amazon Redshift supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consultare Regioni ed endpoint di AWS.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consultare Servizi AWS che funzionano con IAM e cercare i servizi che riportano Yes (Sì) nella colonna Service-Linked Role (Ruolo associato ai servizi). Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per Amazon Redshift

Amazon Redshift utilizza il ruolo collegato ai servizi denominato: consente ad AWSServiceRoleForRedshiftAmazon Redshift di chiamare i servizi per tuo conto. AWS Questo ruolo collegato ai servizi è collegato alle seguenti policy gestite: AmazonRedshiftServiceLinkedRolePolicy. Per gli aggiornamenti di questa policy, consultare Policy gestite da AWS(predefinite) per Amazon Redshift.

Il ruolo AWSService RoleForRedshift collegato ai servizi si fida solo dell'assunzione del ruolo. redshift.amazonaws.com

La politica AWSService RoleForRedshift di autorizzazione dei ruoli collegati ai servizi consente ad Amazon Redshift di completare quanto segue su tutte le risorse correlate:

  • ec2:DescribeVpcs

  • ec2:DescribeSubnets

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeAddress

  • ec2:AssociateAddress

  • ec2:DisassociateAddress

  • ec2:CreateNetworkInterface

  • ec2:DeleteNetworkInterface

  • ec2:ModifyNetworkInterfaceAttribute

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndpoints

  • ec2:DescribeVpcEndpoints

  • ec2:ModifyVpcEndpoint

  • ec2:DescribeVpcAttribute

  • ec2:DescribeSecurityGroups

  • ec2:DescribeInternetGateways

  • ec2:DescribeSecurityGroupRules

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:AssignIpv6Addresses

  • ec2:UnassignIpv6Addresses

Autorizzazioni per risorse di rete

Le seguenti autorizzazioni consentono di agire su Amazon EC2 per la creazione e la gestione delle regole dei gruppi di sicurezza. Queste regole e gruppi di sicurezza sono specificamente associati al tag delle risorse aws:RequestTag/Redshift di Amazon Redshift. Ciò limita l'ambito delle autorizzazioni a risorse specifiche di Amazon Redshift.

  • ec2:CreateSecurityGroup

  • ec2:AuthorizeSecurityGroupEgress

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:RevokeSecurityGroupEgress

  • ec2:RevokeSecurityGroupIngress

  • ec2:ModifySecurityGroupRules

  • ec2:DeleteSecurityGroup

Autorizzazioni per le quote di servizio

Le seguenti autorizzazioni consentono al chiamante di ottenere quote di servizio.

servicequotas:GetServiceQuota

Il seguente frammento JSON mostra l'ambito delle azioni e delle risorse per le quote di servizio.

{
   "Sid": "ServiceQuotasToCheckCustomerLimits",
   "Effect": "Allow",
   "Action": [
      "servicequotas:GetServiceQuota"
   ],
   "Resource": [
      "arn:aws:servicequotas:*:*:ec2/L-0263D0A3",
      "arn:aws:servicequotas:*:*:vpc/L-29B6F2EB" 
   ]
}

I codici di quota sono i seguenti:

  • L-0263D0A3 — Il codice di quota per -VPC Elastic. EC2 IPs

  • L-29B6F2EB — Il codice di quota per gli endpoint VPC di interfaccia per VPC.

Per ulteriori informazioni, consulta AWS service quotas.

Operazioni per il logging di verifica

Le azioni elencate con il prefisso logs riguardano il logging di verifica e le funzionalità correlate. Nello specifico, creazione e gestione di gruppi di log e flussi di log.

  • logs:CreateLogGroup

  • logs:PutRetentionPolicy

  • logs:CreateLogStream

  • logs:PutLogEvents

  • logs:DescribeLogStreams

  • logs:GetLogEvents

Il seguente JSON mostra le operazioni e l'ambito delle risorse, ad Amazon Redshift, per il logging di verifica.

[
    {
        "Sid": "EnableCreationAndManagementOfRedshiftCloudwatchLogGroups",
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogGroup",
            "logs:PutRetentionPolicy"
        ],
        "Resource": [
            "arn:aws:logs:*:*:log-group:/aws/redshift/*"
        ]
    },
    {
        "Sid": "EnableCreationAndManagementOfRedshiftCloudwatchLogStreams",
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogStream",
            "logs:PutLogEvents",
            "logs:DescribeLogStreams",
            "logs:GetLogEvents"
        ],
        "Resource": [
            "arn:aws:logs:*:*:log-group:/aws/redshift/*:log-stream:*"
        ]
    }
]

Per ulteriori informazioni sui ruoli collegati ai servizi e sul loro scopo in, vedere Utilizzo dei ruoli collegati ai servizi. AWS Per ulteriori informazioni su operazioni specifiche e altre risorse IAM per Amazon Redshift, consultare Operazioni, risorse e chiavi di condizione per Amazon Redshift.

Azioni per la gestione delle credenziali di amministratore con AWS Secrets Manager

Le azioni elencate con il prefisso secretsmanager riguardano l'utilizzo di Amazon Redshift per gestire le credenziali di amministratore. Queste azioni consentono ad Amazon Redshift di creare e gestire AWS Secrets Manager i segreti delle credenziali di amministratore.

Il seguente codice JSON mostra le azioni e l'ambito delle risorse, ad Amazon Redshift, per la gestione delle credenziali di amministratore con. AWS Secrets Manager

[
    {
        "Effect": "Allow",
        "Action": [
            "secretsmanager:DescribeSecret",
            "secretsmanager:DeleteSecret",
            "secretsmanager:PutSecretValue",
            "secretsmanager:UpdateSecret",
            "secretsmanager:UpdateSecretVersionStage",
            "secretsmanager:RotateSecret"
        ],
        "Resource": [
            "arn:aws:secretsmanager:*:*:secret:redshift!*"
        ],
        "Condition": {
            "StringEquals": {
                "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "redshift"
            }
        }
    },
    {
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetRandomPassword"
        ],
        "Resource": "*"
    }
]

Azioni per la registrazione di cluster e namespace serverless su AWS Glue Data Catalog

Le azioni elencate con il glue prefisso riguardano l'accesso ai cataloghi nei namespace senza server creati dalla registrazione di cluster predisposti o di namespace senza server AWS Glue Data Catalog . Per ulteriori informazioni, consulta la compatibilità di Apache Iceberg per Amazon Redshift nella Amazon Redshift Database Developer Guide.

Il seguente codice JSON mostra le azioni e l'ambito delle risorse, ad Amazon Redshift, per accedere ai cataloghi in: AWS Glue Data Catalog

{
    "Sid": "DiscoverRedshiftCatalogs",
    "Effect": "Allow",
    "Action": [
        "glue:GetCatalog",
        "glue:GetCatalogs"
    ],
    "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:catalog/*"
    ],
    "Condition": {
        "Bool": {
            "glue:EnabledForRedshiftAutoDiscovery": "true"
        }
    }
}

Per consentire a un'entità IAM di creare ruoli collegati ai servizi AWSService RoleForRedshift 

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole"      
    ],
    "Resource": "arn:aws:iam::<AWS-account-ID>:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift",
    "Condition": {"StringLike": {"iam:AWSServiceName": "redshift.amazonaws.com"}}
}

Per consentire a un'entità IAM di eliminare i ruoli collegati ai servizi AWSService RoleForRedshift

Aggiungi la seguente istruzione di policy alle autorizzazioni per l'entità IAM.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::<AWS-account-ID>:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift",
    "Condition": {"StringLike": {"iam:AWSServiceName": "redshift.amazonaws.com"}}
}

In alternativa, puoi utilizzare una policy AWS gestita per fornire l'accesso completo ad Amazon Redshift.

Creazione di un ruolo collegato ai servizi per Amazon Redshift

Non è necessario creare manualmente un ruolo collegato al AWSService RoleForRedshift servizio. Amazon Redshift crea il ruolo collegato al servizio per te. Se il ruolo AWSService RoleForRedshift collegato al servizio è stato eliminato dal tuo account, Amazon Redshift lo crea quando avvii un nuovo cluster Amazon Redshift.

Importante

Se hai utilizzato il servizio Amazon Redshift prima del 18 settembre 2017, quando ha iniziato a supportare ruoli collegati ai servizi, Amazon Redshift ha creato il ruolo nel tuo account. AWSService RoleForRedshift Per ulteriori informazioni, consulta Un nuovo ruolo è apparso nel mio account IAM.

Modifica di un ruolo collegato ai servizi per Amazon Redshift

Amazon Redshift non consente di modificare il ruolo collegato al AWSService RoleForRedshift servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. Tuttavia, puoi modificare la descrizione del ruolo utilizzando la console IAM, la AWS Command Line Interface (AWS CLI) o l'API IAM. Per ulteriori informazioni, consultare Modifica di un ruolo nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Amazon Redshift

Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente.

Prima di poter eliminare un ruolo legato a un servizio per un account, è necessario arrestare ed eliminare qualsiasi cluster nell'account. Per ulteriori informazioni, consulta Chiusura ed eliminazione di un cluster.

Puoi utilizzare la console IAM AWS CLI, l'o l'API IAM per eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consultare Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.