本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要控制資料共用 API 操作的存取權,請使用 IAM 動作型政策。如需有關管理 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》中的理 IAM 政策。
如需使用資料共用 API 操作所需許可的相關資訊,請參閱《Amazon Redshift 管理指南》中的使用資料共用 API 操作所需的權限。
若要讓跨帳戶資料共用更安全,您可以使用條件式金鑰 ConsumerIdentifier 進行 AuthorizeDataShare 和 DeauthorizeDataShare API 操作。透過這樣做,您可以明確控制哪些 AWS 帳戶 可以呼叫兩個 API 操作。
對於不是您自己帳戶的取用者,您可以拒絕授權或取消授權資料共用。若要這麼做,請在 IAM 政策中指定 AWS 帳戶 號碼。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"redshift:AuthorizeDataShare",
"redshift:DeauthorizeDataShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"redshift:ConsumerIdentifier": "555555555555"
}
}
}
]
}您可以在 IAM 政策中允許具有 DataShareArn 的生產者與 的消費者testshare2明確共用 ,其 AWS 帳戶 為 111122223333。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"redshift:AuthorizeDataShare",
"redshift:DeauthorizeDataShare"
],
"Resource": "arn:aws:redshift:us-east-1:666666666666:datashare:af06285e-8a45-4ee9-b598-648c218c8ff1/testshare2",
"Condition": {
"StringEquals": {
"redshift:ConsumerIdentifier": "111122223333"
}
}
}
]
}