Autorisierung eines Datashares in Amazon Redshift - Amazon Redshift

Amazon Redshift unterstützt ab dem 1. November 2025 nicht mehr die Erstellung neuer Python-UDFs. Wenn Sie Python-UDFs verwenden möchten, erstellen Sie die UDFs vor diesem Datum. Bestehende Python-UDFs funktionieren weiterhin wie gewohnt. Weitere Informationen finden Sie im Blog-Posting.

Autorisierung eines Datashares in Amazon Redshift

Mit Amazon Redshift können Sie den Zugriff auf Datashares steuern, indem Sie bestimmte Konsumenten autorisieren. Datashares ermöglichen Ihnen die Freigabe von Live-Daten über Amazon-Redshift-Cluster hinweg im selben oder in verschiedenen AWS-Konten. So können Sie Analytikdaten nahtlos verteilen und nutzen. In diesem Abschnitt finden Sie schrittweise Anleitungen für die Autorisierung und den Widerruf eines Konsumentenzugriffs auf Ihre Datashares in Amazon Redshift.

Anmerkung

Wenn Sie einen Namespace als Datenkonsument hinzufügen, müssen Sie keine Autorisierung durchführen. Um das Datashare zu autorisieren, muss mindestens ein Datenkonsument zum Datashare hinzugefügt werden.

Console

Als Produzenten-Administrator in der Konsole können Sie die Datenkonsumenten auswählen, denen Sie einen Zugriff auf Datashares erteilen oder entziehen möchten. Berechtigte Datenkonsumenten erhalten Benachrichtigungen, um Maßnahmen auf Datashare zu ergreifen. Wenn Sie einen Namespace als Datenkonsument hinzufügen, müssen Sie keine Autorisierung durchführen.

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Wählen Sie im Navigationsmenü Datashares aus. Von hier aus können Sie eine Liste mit dem Namen Datashares-Konsumenten einsehen. Wählen Sie einen oder mehrere Konsumenten-Cluster aus, die Sie autorisieren möchten. Klicken Sie dann auf Authorize (Autorisieren).

  3. Das Dialogfeld Konto autorisieren wird angezeigt. Sie können zwischen mehreren Autorisierungstypen wählen.

    • Schreibgeschützt auf [Cluster-Name oder Arbeitsgruppenname] – Dies bedeutet, dass für den Benutzer keine Schreibberechtigungen verfügbar sind, auch wenn der Ersteller des Datashares Schreibberechtigungen gewährt hat.

    • Schreiben und Lesen auf [Cluster-Name oder Arbeitsgruppenname] – Dies bedeutet, dass für den Benutzer alle Berechtigungen, einschließlich Schreibberechtigungen, verfügbar sind.

  4. Wählen Sie Speichern.

Sie können auch AWS Data Exchange als Konsument autorisieren.

  1. Wenn Sie beim Erstellen des Datashares die Option In AWS Glue Data Catalog veröffentlichen ausgewählt haben, können Sie die Berechtigung für das Datashare nur einem Lake-Formation-Konto gewähren.

    Für AWS Data Exchange-Datashare können Sie jeweils immer nur ein Datashare autorisieren.

    Wenn Sie ein AWS Data Exchange-Datashare autorisieren, geben Sie das Datashare für den AWS Data Exchange-Service frei und überlassen AWS Data Exchange die Verwaltung des Zugriffs auf das Datashare in Ihrem Namen. AWS Data Exchange erlaubt den Zugriff für Konsumenten, indem Konsumentenkonten als Datenkonsumenten zum AWS Data Exchange-Datashare hinzugefügt werden, wenn sie die Produkte abonnieren. AWS Data Exchange hat keinen Lesezugriff auf das Datashare.

  2. Wählen Sie Speichern.

Nachdem Datenkonsumenten autorisiert wurden, können sie auf Datashare-Objekte zugreifen und eine Konsumenten-Datenbank erstellen, um die Daten abzufragen.

API

Der Sicherheitsadministrator des Produzenten legt Folgendes fest:

  • Ob ein anderes Konto Zugriff auf das Datashare hat oder nicht.

  • Ob ein Konto über Schreibberechtigungen verfügt oder nicht, wenn es Zugriff auf das Datashare hat.

Die folgenden IAM-Berechtigungen sind erforderlich, um ein Datashare zu autorisieren:

redshift:AuthorizeDataShare

Sie können Nutzung und Schreibvorgänge entweder mit einem CLI-Aufruf oder mit der API autorisieren:

authorize-data-share
--data-share-arn <value>
--consumer-identifier <value>
[--allow-writes | --no-allow-writes]

Weitere Informationen über den Befehl finden Sie unter authorize-data-share.

Die Konsumenten-ID kann sein:

  • Eine zwölfstellige AWS-Konto-ID.

  • Der Namespace-Bezeichner-ARN.

Anmerkung

Im Autorisierungsschritt werden keine Schreibberechtigungen erteilt. Durch die Autorisierung eines Datashares für Schreibvorgänge erhält das Konto lediglich Schreibberechtigungen, die vom Datashare-Administrator erteilt wurden. Wenn ein Administrator keine Schreibvorgänge zulässt, sind die einzigen Berechtigungen, die dem jeweiligen Konsumenten zur Verfügung stehen, SELECT, USAGE und EXECUTE.

Sie können die Autorisierung eines Datashare-Konsumenten ändern, indem Sie authorize-data-share erneut aufrufen, jedoch mit einem anderen Wert. Die alte Autorisierung wird durch die neue Autorisierung überschrieben. Wenn Sie also ursprünglich Schreibvorgänge autorisieren und zulassen, aber no-allow-writes erneut autorisieren und angeben oder einfach gar keinen Wert angeben, werden dem Konsumenten die Schreibberechtigungen entzogen.