Amazon Redshift unterstützt ab dem 1. November 2025 nicht mehr die Erstellung neuer Python-UDFs. Wenn Sie Python-UDFs verwenden möchten, erstellen Sie die UDFs vor diesem Datum. Bestehende Python-UDFs funktionieren weiterhin wie gewohnt. Weitere Informationen finden Sie im Blog-Posting
Verwenden der IAM-Authentifizierung zur Erstellung von Anmeldeinformationen für Datenbankbenutzern
Sie können temporäre Datenbank-Anmeldeinformationen auf der Grundlage von Berechtigungen erstellen, die durch eine AWS Identity and Access Management (IAM)-Berechtigungsrichtlinie gewährt wurden, um den Zugriff Ihrer Benutzer auf die Amazon-Redshift-Datenbank zu verwalten.
Normalerweise melden sich Benutzer von Amazon-Redshift-Datenbanken mit einem Datenbankbenutzernamen und -passwort bei der Datenbank an. Sie müssen jedoch keine Benutzernamen und Passwörter in Ihrer Amazon-Redshift-Datenbank verwalten. Sie können Ihr System so konfigurieren, dass es Benutzern erlaubt, Benutzeranmeldeinformationen zu erstellen und sich auf Basis ihrer IAM-Anmeldeinformationen an der Datenbank anzumelden.
Amazon Redshift bietet den API-Vorgang GetClusterCredentials zur Erstellung temporärer Anmeldeinformationen für Datenbankbenutzer. Sie können Ihren SQL-Client mit Amazon-Redshift-JDBC- oder -ODBC-Treibern konfigurieren, die den Aufruf des GetClusterCredentials-Vorgangs verwalten. Dies erreichen sie durch Abrufen der Benutzeranmeldeinformationen für die Datenbank und Herstellen einer Verbindung zwischen dem SQL-Client und der Amazon-Redshift-Datenbank. Sie können auch Ihre Datenbankanwendung dazu verwenden, programmgesteuert die Operation GetClusterCredentials aufzurufen, die Benutzeranmeldeinformationen für die Datenbank abzurufen und eine Verbindung mit der Datenbank herzustellen.
Wenn Sie bereits Benutzeridentitäten außerhalb von AWS verwalten, können Sie einen Identitätsanbieter verwenden, der mit Security Assertion Markup Language (SAML) 2.0 kompatibel ist, um den Zugriff auf Amazon-Redshift-Ressourcen zu verwalten. Sie konfigurieren einen Identitätsanbieter (IdP), um verbundenen Benutzern den Zugriff auf eine IAM-Rolle zu gewähren. Mit dieser IAM-Rolle können Sie temporäre Datenbank-Anmeldeinformationen erstellen und sich bei Amazon-Redshift-Datenbanken anmelden.
Ihr SQL-Client muss zum Aufruf der Operation GetClusterCredentials für Sie berechtigt sein. Sie verwalten diese Berechtigungen, indem Sie eine IAM-Rolle erstellen und eine IAM-Berechtigungsrichtlinie zuweisen, die den Zugriff auf die Operation GetClusterCredentials und zugehörige Aktionen gewährt bzw. einschränkt. Als bewährte Methode empfehlen wir, einer IAM-Rolle Berechtigungsrichtlinien anzufügen und sie dann nach Bedarf Benutzern und Gruppen zuzuweisen. Weitere Informationen finden Sie unter Identity and Access Management in Amazon Redshift.
Die Richtlinie gewährt auch Zugriff auf bestimmte Ressourcen, z. B. Cluster, Datenbanken, Datenbankbenutzernamen und Benutzergruppennamen von Amazon Redshift, bzw. schränkt diesen ein.
Anmerkung
Wir raten zur Verwendung der Amazon-Redshift-JDBC- oder -ODBC-Treiber zur Verwaltung des Aufrufs des GetClusterCredentials-Vorgangs und der Anmeldung bei der Datenbank. Der Einfachheit halber wird in diesem Themenabschnitt davon ausgegangen, dass Sie einen SQL-Client mit JDBC- oder ODBC-Treiber verwenden.
Spezifische Details und Beispiele für die Verwendung der Operation GetClusterCredentials oder des parallelen CLI-Befehls get-cluster-credentials finden Sie unter GetClusterCredentials und get-cluster-credentials.
Um die Authentifizierung und Autorisierung zentral zu verwalten, unterstützt Amazon Redshift die Datenbankauthentifizierung mit IAM und ermöglicht so eine Benutzerauthentifizierung über Unternehmensverbund. Statt einen Benutzer zu erstellen, können Sie vorhandene Identitäten von AWS Directory Service, aus Ihrem Unternehmens-Benutzerverzeichnis oder von einem Web-Identitätsanbieter verwenden. Diese werden als Verbundbenutzer bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn Zugriff über einen Identitätsanbieter angefordert wird.
Um einem Benutzer oder einer Clientanwendung in Ihrer Organisation Verbundzugriff zum Aufrufen von Amazon-Redshift-API-Vorgängen bereitzustellen, können Sie auch den JDBC- oder ODBC-Treiber mit SAML-2.0-Unterstützung verwenden, um die Authentifizierung vom Identitätsanbieter Ihrer Organisation anzufordern. In diesem Fall haben die Benutzer Ihrer Organisation keinen direkten Zugriff auf Amazon Redshift.
Weitere Informationen finden Sie unter Identitätsanbieter und Verbund im IAM-Benutzerhandbuch.
