Speichern von Datenbankanmeldeinformationen in AWS Secrets Manager - Amazon Redshift

Amazon Redshift unterstützt ab dem 1. November 2025 nicht mehr die Erstellung neuer Python-UDFs. Wenn Sie Python-UDFs verwenden möchten, erstellen Sie die UDFs vor diesem Datum. Bestehende Python-UDFs funktionieren weiterhin wie gewohnt. Weitere Informationen finden Sie im Blog-Posting.

Speichern von Datenbankanmeldeinformationen in AWS Secrets Manager

Wenn Sie die Data API aufrufen, können Sie die Anmeldeinformationen für den Cluster oder die Serverless-Arbeitsgruppe unter Verwendung eines Secrets in AWS Secrets Manager übergeben. Zum Übermitteln der Anmeldeinformationen auf diese Weise geben Sie den Namen des Secrets oder den Amazon-Ressourcennamen (ARN) des Secrets an.

Um Anmeldeinformationen mit Secrets Manager zu speichern, benötigen Sie eine von SecretManagerReadWrite verwaltete Richtlinienberechtigung. Weitere Informationen zu den Mindestberechtigungen finden Sie unter Erstellen und Verwalten von Secrets mit AWS Secrets Manager im AWS Secrets Manager-Benutzerhandbuch.

So speichern Sie Ihre Anmeldeinformationen in einem Secret für einen Amazon-Redshift-Cluster

  1. Sie können mit der AWS Secrets Manager-Konsole ein Secret erstellen, das Anmeldeinformationen für Ihren Cluster enthält:

    • Wenn Sie Store a new secret (Neues Secret speichern) auswählen, wählen Sie Credentials for Redshift cluster (Anmeldeinformationen für Redshift-Cluster) aus.

    • Speichern Sie Ihre Werte für User name (Benutzername) (Datenbankbenutzer),Password (Passwort) und DB cluster (DB-Cluster) (Cluster-ID) in Ihrem Secret.

    • Markieren Sie das Secret mit dem Schlüssel RedshiftDataFullAccess. Die von AWS verwaltete Richtlinie AmazonRedshiftDataFullAccess erlaubt nur die Aktion secretsmanager:GetSecretValue für Secrets, die mit dem Schlüssel RedshiftDataFullAccess markiert sind.

    Anweisungen finden Sie unter Erstellen eines Basis-Secrets im AWS Secrets Manager-Benutzerhandbuch.

  2. Sie können die Details des von Ihnen erstellten geheimen Schlüssel über die AWS Secrets Manager-Konsole oder den aws secretsmanager describe-secret-Befehl AWS CLI anzeigen.

    Notieren Sie sich den Namen und den ARN des Secrets. Sie können diese in Aufrufen an die Data API verwenden.

So speichern Sie Ihre Anmeldeinformationen in einem Secret für eine Serverless-Arbeitsgruppe

  1. Verwenden Sie AWS CLI-Befehle von AWS Secrets Manager zum Speichern eines Secrets, das Anmeldeinformationen für Ihre Serverless-Arbeitsgruppe enthält:

    • Erstellen Sie Ihr Secret in einer Datei, zum Beispiel einer JSON-Datei mit dem Namen mycreds.json. Geben Sie die Werte für User name (Benutzername) (d. h. den Namen des Datenbankbenutzers) und Password (Kennwort) in der Datei an.

      {
      "username": "myusername",
      "password": "mypassword"
}

    • Speichern Sie Ihre Werte in Ihrem Secret und markieren Sie das Secret mit dem Schlüssel RedshiftDataFullAccess.

      aws secretsmanager create-secret --name MyRedshiftSecret  --tags Key="RedshiftDataFullAccess",Value="serverless" --secret-string file://mycreds.json

      Nachfolgend sehen Sie die Ausgabe.

      {
    "ARN": "arn:aws:secretsmanager:region:accountId:secret:MyRedshiftSecret-mvLHxf",
    "Name": "MyRedshiftSecret",
    "VersionId": "a1603925-e8ea-4739-9ae9-e509eEXAMPLE"
}

    Weitere Informationen finden Sie unter Erstellen eines Basis-Secrets mit der AWS CLI im AWS Secrets Manager-Benutzerhandbuch.

  2. Sie können die Details des von Ihnen erstellten Secrets über die AWS Secrets Manager-Konsole oder den aws secretsmanager describe-secret-Befehl AWS CLI anzeigen.

    Notieren Sie sich den Namen und den ARN des Secrets. Sie können diese in Aufrufen an die Data API verwenden.