Amazon Redshift unterstützt ab dem 1. November 2025 nicht mehr die Erstellung neuer Python-UDFs. Wenn Sie Python-UDFs verwenden möchten, erstellen Sie die UDFs vor diesem Datum. Bestehende Python-UDFs funktionieren weiterhin wie gewohnt. Weitere Informationen finden Sie im Blog-Posting
Redshift Spectrum und AWS Lake Formation
In diesem Thema wird die Verwendung von Redshift Spectrum mit Lake Formation beschrieben. Lake Formation ist ein Service für den Austausch von Analytikdaten.
Sie können AWS Lake Formation verwenden, um Zugriffsrichtlinien für in Amazon S3 gespeicherte Daten auf Datenbank-, Tabellen- und Spaltenebene zentral zu definieren und durchzusetzen. Nachdem Ihre Daten bei einem mit Lake Formation aktivierten AWS Glue Data Catalog registriert wurden, können Sie Abfragen über verschiedene Services senden, darunter auch Redshift Spectrum.
Lake Formation sorgt für die Sicherheit und Governance des Datenkatalogs. Sie können innerhalb von Lake Formation Berechtigungen für die Datenkatalogobjekte wie Datenbanken, Tabellen, Spalten und zugrundeliegenden Amazon-S3-Speicher gewähren und widerrufen.
Wichtig
Sie können Redshift Spectrum nur mit einem mit Lake Formation aktivierten Datenkatalog in AWS-Regionen verwenden, in denen Lake Formation verfügbar ist. Eine Liste der verfügbaren Regionen finden Sie unter AWS Lake Formation-Endpunkte und -Kontingente im Allgemeine AWS-Referenz.
Wenn Sie Redshift Spectrum mit Lake Formation verwenden, haben Sie folgende Möglichkeiten:
Verwenden Sie Lake Formation für die zentrale Steuerung von Berechtigungen und Zugriffskontrollrichtlinien für alle Ihre Daten im Data Lake. Lake Formation stellt eine Berechtigungshierarchie bereit, mit der Sie den Zugriff auf Datenbanken und Tabellen in einem Datenkatalog steuern können. Weitere Informationen finden Sie unter Übersicht über Lake-Formation-Berechtigungen im AWS Lake Formation-Entwicklerhandbuch.
Erstellen Sie externe Tabellen und führen Sie Abfragen zu Daten im Data Lake aus. Bevor Benutzer in Ihrem Konto Abfragen ausführen können, registriert ein Data Lake-Kontoadministrator Ihre vorhandenen Amazon-S3-Pfade, die Quelldaten enthalten, mit Lake Formation. Der Administrator erstellt auch Tabellen und gewährt den Benutzern Berechtigungen. Zugriff kann auf Datenbanken, Tabellen oder Spalten gewährt werden. Der Administrator kann Datenfilter in Lake Formation verwenden, um eine detaillierte Zugriffskontrolle für Ihre sensiblen Daten zu gewähren, die in Amazon S3 gespeichert sind. Weitere Informationen finden Sie unter Verwenden von Datenfiltern für die Sicherheit auf Zeilen- und Zellenebene.
Nachdem die Daten im Datenkatalog registriert wurden, verifiziert Lake Formation jedes Mal, wenn Benutzer versuchen, Abfragen auszuführen, ob sie Zugriff auf die Tabelle für diesen spezifischen Prinzipal haben. Lake Formation vergibt temporäre Anmeldeinformationen an Redshift Spectrum und die Abfrage wird ausgeführt.
-
Führen Sie Redshift-Spectrum-Abfragen anhand automatisch gemountetem AWS Glue Data Catalog mit IAM-Anmeldeinformationen aus, die Sie mit
GetCredentialsoderGetClusterCredentialserhalten haben, und verwalten Sie Lake-Formation-Berechtigungen nach Datenbankbenutzern (IAMR:username oder IAM:username).
Wenn Sie Redshift Spectrum mit einem für Lake Formation aktivierten Datenkatalog verwenden, muss eines der im Folgenden Genannten vorhanden sein:
Eine IAM-Rolle, die dem Cluster zugeordnet ist und über die Berechtigung für den Datenkatalog verfügt.
Eine IAM-Verbundidentität, die für die Verwaltung des Zugriffs auf externe Ressourcen konfiguriert ist. Weitere Informationen finden Sie unter Verwenden einer Verbundidentität zur Verwaltung des Amazon-Redshift-Zugriffs auf lokale Ressourcen und externe Amazon-Redshift-Tabellen.
Wichtig
Wenn Sie Redshift Spectrum mit einem für Lake Formation aktivierten Datenkatalog verwenden, können Sie IAM-Rollen nicht verketten.
Weitere Informationen zu den Schritten, die für die Einrichtung von AWS Lake Formation für die Verwendung mit Redshift Spectrum erforderlich sind, finden Sie unter Tutorial: Erstellen eines Data Lake aus einer JDBC-Quelle in Lake Formation im AWS Lake Formation-Entwicklerhandbuch. Weitere Informationen zur Integration in Redshift Spectrum finden Sie insbesondere unter Abfrage der Daten im Data Lake mit Amazon Redshift Spectrum. Die in diesem Thema verwendeten Daten und AWS-Ressourcen sind von den Schritten abhängig, die zuvor in diesem Tutorial ausgeführt wurden.
Verwenden von Datenfiltern für die Sicherheit auf Zeilen- und Zellenebene
Sie können Datenfilter in AWS Lake Formation definieren, um den Zugriff Ihrer Redshift-Spectrum-Abfragen auf Zeilen- und Zellenebene auf Daten zu steuern, die in Ihrem Datenkatalog definiert sind. Dazu führen Sie die folgenden Aufgaben aus:
Erstellen Sie in Lake Formation einen Datenfilter mit den folgenden Informationen:
Eine Spaltenspezifikation mit einer Liste von Spalten, die in Abfrageergebnissen ein- oder ausgeschlossen werden sollen.
Ein Zeilenfilterausdruck, der die Zeilen angibt, die in die Abfrageergebnisse aufgenommen werden sollen.
Weitere Informationen zum Erstellen eines Datenfilters finden Sie unter Datenfilter in Lake Formation im AWS Lake Formation-Entwicklerhandbuch.
Erstellen Sie eine externe Tabelle in Amazon Redshift, die auf eine Tabelle in Ihrem Datenkatalog verweist, der für Lake Formation aktiviert ist. Weitere Informationen zum Abfragen einer Lake-Formation-Tabelle mithilfe von Redshift Spectrum finden Sie unter Abfrage der Daten im Data Lake mit Amazon Redshift Spectrum im AWS Lake Formation-Entwicklerhandbuch.
Nachdem die Tabelle in Amazon Redshift definiert wurde, können Sie die Lake-Formation-Tabelle abfragen und nur auf die Zeilen und Spalten zugreifen, die vom Datenfilter zugelassen sind.
Eine ausführliche Anleitung zum Einrichten der Sicherheit auf Zeilen- und Zellenebene in Lake Formation und zum anschließenden Abfragen mithilfe von Redshift Spectrum finden Sie unter Verwenden von Amazon Redshift Spectrum mit Sicherheitsrichtlinien auf Zeilen- und Zellebene, die inAWS Lake Formation definiert sind
