Festlegen von Berechtigungen zum Planen einer Abfrage - Amazon Redshift

Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im Blog-Posting.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Festlegen von Berechtigungen zum Planen einer Abfrage

Um Abfragen zu planen, muss der AWS Identity and Access Management (IAM-) Benutzer, der den Zeitplan und die dem Zeitplan zugeordnete IAM-Rolle definiert, mit den IAM-Berechtigungen für die Verwendung von Amazon EventBridge und der Amazon Redshift Data API konfiguriert sein. Wenn Sie E-Mails aus geplanten Abfragen erhalten möchten, muss die Amazon-SNS-Benachrichtigung, die optional angegeben werden kann, ebenfalls konfiguriert werden.

Im Folgenden werden die Aufgaben beschrieben, mit denen AWS verwaltete Richtlinien zur Erteilung von Berechtigungen verwendet werden. Abhängig von Ihrer Umgebung möchten Sie jedoch möglicherweise die zulässigen Berechtigungen einschränken.

Bearbeiten Sie für den IAM-Benutzer, der im Abfrage-Editor v2 angemeldet ist, den IAM-Benutzer mithilfe der IAM-Konsole (). https://console.aws.amazon.com/iam/

  • Zusätzlich zu den Berechtigungen zum Ausführen von Amazon Redshift- und Query Editor v2-Vorgängen können Sie die AmazonEventBridgeFullAccess und die AmazonRedshiftDataFullAccess AWS verwalteten Richtlinien an einen IAM-Benutzer anhängen.

  • Sie können auch die Berechtigungen einer Rolle zuweisen und die Rolle dem Benutzer zuweisen.

    Weisen Sie eine Richtlinie, die die Berechtigung sts:AssumeRole erteilt, dem Ressourcen-ARN der IAM-Rolle zu, die Sie angeben, wenn Sie die geplante Abfrage definieren. Weitere Informationen zur Übernahme von Rollen finden Sie unter Erteilen von Berechtigungen an einen Benutzer zum Wechseln von Rollen im IAM-Benutzerhandbuch.

    Das folgende Beispiel zeigt eine Berechtigungsrichtlinie, die die IAM-Rolle myRedshiftRole im Konto 123456789012 übernimmt. Die IAM-Rolle myRedshiftRole ist auch die IAM-Rolle, die dem Cluster oder der Arbeitsgruppe angefügt ist, in dem bzw. der die geplante Abfrage ausgeführt wird.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AssumeIAMRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::123456789012:role/myRedshiftRole"
            ]
        }
    ]
}

    Aktualisieren Sie die Vertrauensrichtlinie der IAM-Rolle, die für die Planung der Abfrage verwendet wurde, damit der IAM-Benutzer sie übernehmen kann.

    {
            "Sid": "AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/myIAMusername"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Für die IAM-Rolle, die Sie für die Ausführung der geplanten Abfrage angeben, bearbeiten Sie die IAM-Rolle mithilfe der IAM-Konsole (). https://console.aws.amazon.com/iam/

  • Hängen Sie die AmazonRedshiftDataFullAccess und die AmazonEventBridgeFullAccess AWS verwalteten Richtlinien an die IAM-Rolle an. Die verwaltete Richtlinie AmazonRedshiftDataFullAccess erteilt redshift-serverless:GetCredentials nur Berechtigungen für Redshift-Serverless-Arbeitsgruppen, die mit dem Schlüssel RedshiftDataFullAccess gekennzeichnet sind.