Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im [Blog-Posting](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon Redshift
In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.
**Wichtig**
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die Grundkonzepte und die für Sie verfügbaren Optionen zum Verwalten des Zugriffs auf Ihre Amazon-Redshift-Ressourcen erläutert werden. Weitere Informationen finden Sie unter [Übersicht zur Verwaltung der Zugriffsberechtigungen für Amazon-Redshift-Ressourcen](redshift-iam-access-control-overview.md).
Dies ist ein Beispiel für eine Berechtigungsrichtlinie. Die Richtlinie ermöglicht es einem Benutzer, alle Cluster zu erstellen, zu löschen, zu ändern und neu zu starten, und verweigert dann die Erlaubnis, alle Cluster zu löschen oder zu ändern, deren Cluster-ID mit `production` in AWS-Region `us-west-2` und beginnt. AWS-Konto `123456789012`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"AllowClusterManagement",
"Action": [
"redshift:CreateCluster",
"redshift:DeleteCluster",
"redshift:ModifyCluster",
"redshift:RebootCluster"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid":"DenyDeleteModifyProtected",
"Action": [
"redshift:DeleteCluster",
"redshift:ModifyCluster"
],
"Resource": [
"arn:aws:redshift:us-west-2:123456789012:cluster:production*"
],
"Effect": "Deny"
}
]
}
```
------
Die Richtlinie enthält zwei Anweisungen:
+ Die erste Anweisung gibt einem Benutzer die Berechtigung zum Erstellen, Löschen, Modifizieren und erneuten Starten von Clustern. Die Anweisung gibt ein Platzhalterzeichen (\$1) als `Resource` Wert an, sodass die Richtlinie für alle Amazon Redshift Redshift-Ressourcen gilt, die dem AWS Root-Konto gehören.
+ Die zweite Anweisung verweigert die Berechtigung zum Löschen oder Modifizieren eines Clusters. Die Anweisung gibt einen Cluster-ARN (Amazon-Ressourcenname) für den `Resource`-Wert an, der ein Platzhalterzeichen (\$1) enthält. Daher gilt diese Aussage für alle Amazon Redshift Redshift-Cluster, die dem AWS Root-Konto gehören, mit `production` dem die Cluster-ID beginnt.
## AWS verwaltete Richtlinien für Amazon Redshift
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet werden. AWS Die verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für Amazon-Redshift-API-Operationen und -Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den IAM-Rollen oder -Gruppen zuweisen, die diese Berechtigungen benötigen.
In den folgenden Abschnitten AWS werden verwaltete Richtlinien beschrieben, die Sie Benutzern in Ihrem Konto zuordnen können und die speziell für Amazon Redshift gelten.
## Amazon Redshift Redshift-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Redshift an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Amazon-Redshift-Seite „Document history“ (Dokumentverlauf).
| Änderung | Beschreibung | Date |
| --- | --- | --- |
| [AmazonRedshiftFederatedAuthorization](#redshift-policy-managed-policies-federated-authorization) – Neue Richtlinie | Amazon Redshift hat eine neue ease-of-use Richtlinienrichtlinie für die Ausführung von Abfragen mit Amazon Redshift Federated Authorization hinzugefügt. | 21. November 2025 |
| [AmazonRedshiftServiceLinkedRolePolicy](#redshift-policy-managed-policies-service-linked-role-policy) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktion `lakeformation:GetDataAccess` wird der verwalteten Richtlinie hinzugefügt. Wenn Sie es hinzufügen, erhalten Sie die Erlaubnis, föderierte Kataloginformationen von AWS Lake Formation abzurufen. Es werden zusätzliche Bedingungen für die Aktionen `glue:GetCatalog` und `glue:GetCatalogs` zu der verwalteten Richtlinie hinzugefügt. | 13. März 2025 |
| [AmazonRedshiftServiceLinkedRolePolicy](#redshift-policy-managed-policies-service-linked-role-policy) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktionen `glue:GetCatalog` und `glue:GetCatalogs` werden der verwalteten Richtlinie hinzugefügt. Durch das Hinzufügen wird die Berechtigung zum Abrufen von Kataloginformationen von AWS Glue erteilt. | 03. Dezember 2024 |
| [AmazonRedshiftServiceLinkedRolePolicy](#redshift-policy-managed-policies-service-linked-role-policy) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktion `servicequotas:GetServiceQuota` wird der verwalteten Richtlinie hinzugefügt. Dadurch wird die Berechtigung zum Zugriff auf Kontingente oder Beschränkungen erteilt. | 8. März 2024 |
| [AmazonRedshiftQueryEditorV2FullAccess](#redshift-policy-managed-policies-query-editor-V2) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktionen `redshift-serverless:ListNamespaces` und `redshift-serverless:ListWorkgroups` werden der verwalteten Richtlinie hinzugefügt. Durch das Hinzufügen wird die Berechtigung erteilt, Serverless-Namespaces und Serverless-Arbeitsgruppen im Amazon Redshift Data Warehouse aufzulisten. | 21. Februar 2024 |
| [AmazonRedshiftQueryEditorV2NoSharing](#redshift-policy-managed-policies-query-editor-V2-no-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktionen `redshift-serverless:ListNamespaces` und `redshift-serverless:ListWorkgroups` werden der verwalteten Richtlinie hinzugefügt. Durch das Hinzufügen wird die Berechtigung erteilt, Serverless-Namespaces und Serverless-Arbeitsgruppen im Amazon Redshift Data Warehouse aufzulisten. | 21. Februar 2024 |
| [AmazonRedshiftQueryEditorV2ReadSharing](#redshift-policy-managed-policies-query-editor-V2-read-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktionen `redshift-serverless:ListNamespaces` und `redshift-serverless:ListWorkgroups` werden der verwalteten Richtlinie hinzugefügt. Durch das Hinzufügen wird die Berechtigung erteilt, Serverless-Namespaces und Serverless-Arbeitsgruppen im Amazon Redshift Data Warehouse aufzulisten. | 21. Februar 2024 |
| [AmazonRedshiftQueryEditorV2ReadWriteSharing](#redshift-policy-managed-policies-query-editor-V2-write-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktionen `redshift-serverless:ListNamespaces` und `redshift-serverless:ListWorkgroups` werden der verwalteten Richtlinie hinzugefügt. Durch das Hinzufügen wird die Berechtigung erteilt, Serverless-Namespaces und Serverless-Arbeitsgruppen im Amazon Redshift Data Warehouse aufzulisten. | 21. Februar 2024 |
| [AmazonRedshiftReadOnlyAccess](#redshift-policy-managed-policies-read-only) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktion `redshift:ListRecommendations` wird der verwalteten Richtlinie hinzugefügt. Dadurch wird die Berechtigung erteilt, Empfehlungen von Amazon Redshift Advisor aufzulisten. | 7. Februar 2024 |
| [AmazonRedshiftServiceLinkedRolePolicy](#redshift-policy-managed-policies-service-linked-role-policy) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktionen `ec2:AssignIpv6Addresses` und `ec2:UnassignIpv6Addresses` werden der verwalteten Richtlinie hinzugefügt. Wenn Sie diese hinzufügen, erhalten Sie die Berechtigung, IP-Adressen zuzuweisen und ihre Zuweisung aufzuheben. | 31. Oktober 2023 |
| [AmazonRedshiftQueryEditorV2NoSharing](#redshift-policy-managed-policies-query-editor-V2-no-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktionen `sqlworkbench:GetAutocompletionMetadata` und `sqlworkbench:GetAutocompletionResource` werden der verwalteten Richtlinie hinzugefügt. Wenn Sie sie hinzufügen, erhalten Sie die Berechtigung zum Generieren und Abrufen von Datenbankinformationen für die automatische Vervollständigung von SQL während der Bearbeitung von Abfragen. | 16. August 2023 |
| [AmazonRedshiftQueryEditorV2ReadSharing](#redshift-policy-managed-policies-query-editor-V2-read-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktionen `sqlworkbench:GetAutocompletionMetadata` und `sqlworkbench:GetAutocompletionResource` werden der verwalteten Richtlinie hinzugefügt. Wenn Sie sie hinzufügen, erhalten Sie die Berechtigung zum Generieren und Abrufen von Datenbankinformationen für die automatische Vervollständigung von SQL während der Bearbeitung von Abfragen. | 16. August 2023 |
| [AmazonRedshiftQueryEditorV2ReadWriteSharing](#redshift-policy-managed-policies-query-editor-V2-write-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktionen `sqlworkbench:GetAutocompletionMetadata` und `sqlworkbench:GetAutocompletionResource` werden der verwalteten Richtlinie hinzugefügt. Wenn Sie sie hinzufügen, erhalten Sie die Berechtigung zum Generieren und Abrufen von Datenbankinformationen für die automatische Vervollständigung von SQL während der Bearbeitung von Abfragen. | 16. August 2023 |
| [AmazonRedshiftServiceLinkedRolePolicy](#redshift-policy-managed-policies-service-linked-role-policy) – Aktualisierung auf eine bestehende Richtlinie | Der verwalteten Richtlinie werden Berechtigungen für Aktionen AWS Secrets Manager zum Erstellen und Verwalten von Geheimnissen hinzugefügt. Es wurden folgende Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/redshift/latest/mgmt/redshift-iam-access-control-identity-based.html) | 14. August 2023 |
| [AmazonRedshiftServiceLinkedRolePolicy](#redshift-policy-managed-policies-service-linked-role-policy) – Aktualisierung auf eine bestehende Richtlinie | Berechtigungen für Aktionen in Amazon EC2 zum Erstellen und Verwalten von Sicherheitsgruppen- und Routing-Regeln wurden von der verwalteten Richtlinie entfernt. Diese Berechtigungen betrafen das Erstellen von Subnetzen und. VPCs Es wurden folgende Berechtigungen entfernt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/redshift/latest/mgmt/redshift-iam-access-control-identity-based.html) Diese wurden mit dem RedshiftMigrateToVpc Resource-Tag Purpose: verknüpft. Das Tag beschränkte den Umfang der Berechtigungen auf Aufgaben für die Migration von Amazon EC2 Classic zu Amazon EC2 VPC. Weitere Informationen zu Ressourcen-Tags finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html). | 8. Mai 2023 |
| [AmazonRedshiftDataFullAccess](#redshift-policy-managed-policies-data-full-access) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktion `redshift:GetClusterCredentialsWithIAM` wird der verwalteten Richtlinie hinzugefügt. Erteilt jetzt die Berechtigung zum Abrufen erweiterter temporärer Anmeldeinformationen für den Zugriff auf eine Amazon-Redshift-Datenbank durch das angegebene AWS-Konto. | 07. April 2023 |
| [AmazonRedshiftServiceLinkedRolePolicy](#redshift-policy-managed-policies-service-linked-role-policy) – Aktualisierung auf eine bestehende Richtlinie | Berechtigungen für Aktionen in Amazon EC2 zum Erstellen und Verwalten von Sicherheitsgruppenregeln wurden der verwalteten Richtlinie hinzugefügt. Diese Sicherheitsgruppen und Regeln sind speziell dem Amazon-Redshift-Ressourcen-Tag `aws:RequestTag/Redshift` zugeordnet. Dies beschränkt den Geltungsbereich der Berechtigungen auf bestimmte Amazon-Redshift-Ressourcen. | 06. April 2023 |
| [AmazonRedshiftQueryEditorV2NoSharing](#redshift-policy-managed-policies-query-editor-V2-no-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktion `sqlworkbench:GetSchemaInference` wird der verwalteten Richtlinie hinzugefügt. Erteilt jetzt die Berechtigung zum Abrufen der aus einer Datei abgeleiteten Spalten und Datentypen. | 21. März 2023 |
| [AmazonRedshiftQueryEditorV2ReadSharing](#redshift-policy-managed-policies-query-editor-V2-read-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktion `sqlworkbench:GetSchemaInference` wird der verwalteten Richtlinie hinzugefügt. Erteilt jetzt die Berechtigung zum Abrufen der aus einer Datei abgeleiteten Spalten und Datentypen. | 21. März 2023 |
| [AmazonRedshiftQueryEditorV2ReadWriteSharing](#redshift-policy-managed-policies-query-editor-V2-write-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktion `sqlworkbench:GetSchemaInference` wird der verwalteten Richtlinie hinzugefügt. Erteilt jetzt die Berechtigung zum Abrufen der aus einer Datei abgeleiteten Spalten und Datentypen. | 21. März 2023 |
| [AmazonRedshiftQueryEditorV2NoSharing](#redshift-policy-managed-policies-query-editor-V2-no-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktion `sqlworkbench:AssociateNotebookWithTab` wird der verwalteten Richtlinie hinzugefügt. Wenn diese hinzugefügt wird, wird damit die Berechtigung zum Erstellen und Aktualisieren von Registerkarten erteilt, die mit dem eigenen Notebook eines Benutzers verknüpft sind. | 2. Februar 2023 |
| [AmazonRedshiftQueryEditorV2ReadSharing](#redshift-policy-managed-policies-query-editor-V2-read-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktion `sqlworkbench:AssociateNotebookWithTab` wird der verwalteten Richtlinie hinzugefügt. Wenn diese hinzugefügt wird, wird damit die Berechtigung zum Erstellen und Aktualisieren von Registerkarten erteilt, die mit dem eigenen Notebook eines Benutzers oder einem gemeinsam genutzten Notebook verknüpft sind. | 2. Februar 2023 |
| [AmazonRedshiftQueryEditorV2ReadWriteSharing](#redshift-policy-managed-policies-query-editor-V2-write-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktion `sqlworkbench:AssociateNotebookWithTab` wird der verwalteten Richtlinie hinzugefügt. Wenn diese hinzugefügt wird, wird damit die Berechtigung zum Erstellen und Aktualisieren von Registerkarten erteilt, die mit dem eigenen Notebook eines Benutzers oder einem gemeinsam genutzten Notebook verknüpft sind. | 2. Februar 2023 |
| [AmazonRedshiftQueryEditorV2NoSharing](#redshift-policy-managed-policies-query-editor-V2-no-sharing) – Aktualisierung auf eine bestehende Richtlinie | Um die Berechtigung zur Verwendung von Notebooks zu gewähren, hat Amazon Redshift die Berechtigung für die folgenden Aktionen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/redshift/latest/mgmt/redshift-iam-access-control-identity-based.html) | 17. Oktober 2022 |
| [AmazonRedshiftQueryEditorV2ReadSharing](#redshift-policy-managed-policies-query-editor-V2-read-sharing) – Aktualisierung auf eine bestehende Richtlinie | Um die Berechtigung zur Verwendung von Notebooks zu gewähren, hat Amazon Redshift die Berechtigung für die folgenden Aktionen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/redshift/latest/mgmt/redshift-iam-access-control-identity-based.html) | 17. Oktober 2022 |
| [AmazonRedshiftQueryEditorV2ReadWriteSharing](#redshift-policy-managed-policies-query-editor-V2-write-sharing) – Aktualisierung auf eine bestehende Richtlinie | Um die Berechtigung zur Verwendung von Notebooks zu gewähren, hat Amazon Redshift die Berechtigung für die folgenden Aktionen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/redshift/latest/mgmt/redshift-iam-access-control-identity-based.html) | 17. Oktober 2022 |
| [AmazonRedshiftServiceLinkedRolePolicy](#redshift-policy-managed-policies-service-linked-role-policy) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat den Namespace `AWS/Redshift` hinzugefügt, in dem Metriken veröffentlicht werden können. CloudWatch | 7. September 2022 |
| [AmazonRedshiftQueryEditorV2NoSharing](#redshift-policy-managed-policies-query-editor-V2-no-sharing) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat den Aktionen `sqlworkbench:ListQueryExecutionHistory` und `sqlworkbench:GetQueryExecutionHistory` eine Berechtigung hinzugefügt. Dadurch wird die Berechtigung erteilt, den Abfrageverlauf anzuzeigen. | 30. August 2022 |
| [AmazonRedshiftQueryEditorV2ReadSharing](#redshift-policy-managed-policies-query-editor-V2-read-sharing) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat den Aktionen `sqlworkbench:ListQueryExecutionHistory` und `sqlworkbench:GetQueryExecutionHistory` eine Berechtigung hinzugefügt. Dadurch wird die Berechtigung erteilt, den Abfrageverlauf anzuzeigen. | 30. August 2022 |
| [AmazonRedshiftQueryEditorV2ReadWriteSharing](#redshift-policy-managed-policies-query-editor-V2-write-sharing) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat den Aktionen `sqlworkbench:ListQueryExecutionHistory` und `sqlworkbench:GetQueryExecutionHistory` eine Berechtigung hinzugefügt. Dadurch wird die Berechtigung erteilt, den Abfrageverlauf anzuzeigen. | 30. August 2022 |
| [AmazonRedshiftFullAccess](#redshift-policy-managed-policies-full-access) – Aktualisierung auf eine bestehende Richtlinie | Berechtigungen für Amazon Redshift Serverless werden der bestehenden AmazonRedshiftFullAccess verwalteten Richtlinie hinzugefügt. | 22. Juli 2022 |
| [AmazonRedshiftDataFullAccess](#redshift-policy-managed-policies-data-full-access) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat die Standardbedingung redshift-serverless:GetCredentials für den Geltungsbereich des Tags aws:ResourceTag/RedshiftDataFullAccess von StringEquals auf StringLike aktualisiert, um Zugriff auf Ressourcen zu gewähren, die mit dem Tag-Schlüssel RedshiftDataFullAccess und einem beliebigen Tag-Wert markiert sind. | 11. Juli 2022 |
| [AmazonRedshiftDataFullAccess](#redshift-policy-managed-policies-data-full-access) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat neue Berechtigungen hinzugefügt, um redshift-serverless:GetCredentials für temporäre Anmeldeinformationen für Amazon Redshift Serverless zuzulassen. | 8. Juli 2022 |
| [AmazonRedshiftQueryEditorV2NoSharing](#redshift-policy-managed-policies-query-editor-V2-no-sharing) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat der Aktion `sqlworkbench:GetAccountSettings` die Berechtigung hinzugefügt. Damit wird die Berechtigung zum Abrufen von Kontoeinstellungen gewährt. | 15. Juni 2022 |
| [AmazonRedshiftQueryEditorV2ReadSharing](#redshift-policy-managed-policies-query-editor-V2-read-sharing) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat der Aktion `sqlworkbench:GetAccountSettings` die Berechtigung hinzugefügt. Damit wird die Berechtigung zum Abrufen von Kontoeinstellungen gewährt. | 15. Juni 2022 |
| [AmazonRedshiftQueryEditorV2ReadWriteSharing](#redshift-policy-managed-policies-query-editor-V2-write-sharing) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat der Aktion `sqlworkbench:GetAccountSettings` die Berechtigung hinzugefügt. Damit wird die Berechtigung zum Abrufen von Kontoeinstellungen gewährt. | 15. Juni 2022 |
| [AmazonRedshiftServiceLinkedRolePolicy](#redshift-policy-managed-policies-service-linked-role-policy) – Aktualisierung auf eine bestehende Richtlinie | Um den öffentlichen Zugriff auf neue Endpunkte von Amazon Redshift Serverless zu ermöglichen, weist Amazon Redshift der Elastic-Network-Schnittstelle des VPC-Endpunkts Elastic IP-Adressen im Kundenkonto zu und verknüpft sie. Dies geschieht über Berechtigungen, die über die serviceverknüpfte Rolle bereitgestellt werden. Für diesen Anwendungsfall werden der mit dem Amazon-Redshift-Serverless-Service verknüpften Rolle Aktionen zum Zuweisen und Freigeben einer Elastic IP-Adresse hinzugefügt. | 26. Mai 2022 |
| [AmazonRedshiftQueryEditorV2FullAccess](#redshift-policy-managed-policies-query-editor-V2) – Aktualisierung auf eine bestehende Richtlinie | Berechtigungen für die Aktion `sqlworkbench:ListTaggedResources`. Speziell auf Ressourcen des Abfrage-Editors v2 von Amazon Redshift ausgerichtet. Durch dieses Richtlinienupdate wird die Berechtigung erteilt, `tag:GetResources` nur über den Abfrage-Editor v2 aufzurufen. | 22. Februar 2022 |
| [AmazonRedshiftQueryEditorV2NoSharing](#redshift-policy-managed-policies-query-editor-V2-no-sharing) – Aktualisierung auf eine bestehende Richtlinie | Berechtigungen für die Aktion `sqlworkbench:ListTaggedResources`. Speziell auf Ressourcen des Abfrage-Editors v2 von Amazon Redshift ausgerichtet. Durch dieses Richtlinienupdate wird die Berechtigung erteilt, `tag:GetResources` nur über den Abfrage-Editor v2 aufzurufen. | 22. Februar 2022 |
| [AmazonRedshiftQueryEditorV2ReadSharing](#redshift-policy-managed-policies-query-editor-V2-read-sharing) – Aktualisierung auf eine bestehende Richtlinie | Berechtigungen für die Aktion `sqlworkbench:ListTaggedResources`. Speziell auf Ressourcen des Abfrage-Editors v2 von Amazon Redshift ausgerichtet. Durch dieses Richtlinienupdate wird die Berechtigung erteilt, `tag:GetResources` nur über den Abfrage-Editor v2 aufzurufen. | 22. Februar 2022 |
| [AmazonRedshiftQueryEditorV2ReadWriteSharing](#redshift-policy-managed-policies-query-editor-V2-write-sharing) – Aktualisierung auf eine bestehende Richtlinie | Berechtigungen für die Aktion `sqlworkbench:ListTaggedResources`. Speziell auf Ressourcen des Abfrage-Editors v2 von Amazon Redshift ausgerichtet. Durch dieses Richtlinienupdate wird die Berechtigung erteilt, `tag:GetResources` nur über den Abfrage-Editor v2 aufzurufen. | 22. Februar 2022 |
| [AmazonRedshiftQueryEditorV2ReadSharing](#redshift-policy-managed-policies-query-editor-V2-read-sharing) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung für die Aktion `sqlworkbench:AssociateQueryWithTab` wurde der verwalteten Richtlinie hinzugefügt. Dadurch können Kunden Editor-Registerkarten erstellen, die mit einer für sie freigegebenen Abfrage verknüpft sind. | 22. Februar 2022 |
| [AmazonRedshiftServiceLinkedRolePolicy](#redshift-policy-managed-policies-service-linked-role-policy) – Aktualisierung auf eine bestehende Richtlinie | Für Amazon Redshift gibt es jetzt neue Berechtigungen für neue Aktionen, mit denen Sie Amazon-Redshift-Netzwerk- und Amazon-Redshift-VPC-Ressourcen verwalten können. | 22. November 2021 |
| [AmazonRedshiftAllCommandsFullAccess](#redshift-policy-managed-policies-service-linked-role-commands) – Neue Richtlinie. | Für Amazon Redshift gibt es jetzt eine neue Richtlinie, mit der Sie die IAM-Rolle verwenden können, die in der Amazon-Redshift-Konsole erstellt wurde, und hat sie als Standard festgelegt, damit der Cluster die Befehle COPY von Amazon S3 sowie UNLOAD, CREATE EXTERNAL SCHEMA, CREATE EXTERNAL FUNCTION, CREATE MODEL und CREATE LIBRARY ausführt. | 18. November 2021 |
| [AmazonRedshiftServiceLinkedRolePolicy](#redshift-policy-managed-policies-service-linked-role-policy) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat Berechtigungen für neue Aktionen hinzugefügt, um die Verwaltung von Amazon Redshift CloudWatch Redshift-Protokollgruppen und Protokollstreams, einschließlich Audit-Log-Export, zu ermöglichen. | 15. November 2021 |
| [AmazonRedshiftFullAccess](#redshift-policy-managed-policies-full-access) – Aktualisierung auf eine bestehende Richtlinie | Für Amazon Redshift gibt es jetzt neue Berechtigungen für Modellerklärbarkeit, DynamoDB, Redshift Spectrum und Amazon-RDS-Verbund. | 7. Oktober 2021 |
| [AmazonRedshiftQueryEditorV2FullAccess](#redshift-policy-managed-policies-query-editor-V2) – Neue Richtlinie. | Für Amazon Redshift gibt es jetzt eine neue Richtlinie für vollen Zugriff auf den Amazon-Redshift-Abfrage-Editor v2. | 24. September 2021 |
| [AmazonRedshiftQueryEditorV2NoSharing](#redshift-policy-managed-policies-query-editor-V2-no-sharing) – Neue Richtlinie. | Für Amazon Redshift gibt es jetzt eine neue Richtlinie, die die Verwendung des Amazon-Redshift-Abfrage-Editors v2 ohne Freigabe von Ressourcen erlaubt. | 24. September 2021 |
| [AmazonRedshiftQueryEditorV2ReadSharing](#redshift-policy-managed-policies-query-editor-V2-read-sharing) – Neue Richtlinie. | Für Amazon Redshift gibt es jetzt eine neue Richtlinie, die das Lesen der Freigabe innerhalb des Amazon-Redshift-Abfrage-Editors v2 erlaubt. | 24. September 2021 |
| [AmazonRedshiftQueryEditorV2ReadWriteSharing](#redshift-policy-managed-policies-query-editor-V2-write-sharing) – Neue Richtlinie. | Für Amazon Redshift gibt es jetzt eine neue Richtlinie, die das Lesen und Aktualisieren der Freigabe im Amazon-Redshift-Abfrage-Editor v2 erlaubt. | 24. September 2021 |
| [AmazonRedshiftFullAccess](#redshift-policy-managed-policies-full-access) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat neue Berechtigungen zum Erlauben von hinzugefügt `sagemaker:*Job*`. | 18. August 2021 |
| [AmazonRedshiftDataFullAccess](#redshift-policy-managed-policies-data-full-access) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat neue Berechtigungen zum Erlauben von hinzugefügt `AuthorizeDataShare`. | 12. August 2021 |
| [AmazonRedshiftDataFullAccess](#redshift-policy-managed-policies-data-full-access) – Aktualisierung auf eine bestehende Richtlinie | Amazon Redshift hat neue Berechtigungen zum Erlauben von hinzugefügt `BatchExecuteStatement`. | 27. Juli 2021 |
| Amazon Redshift begann Nachverfolgung von Änderungen | Amazon Redshift hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 27. Juli 2021 |
## AmazonRedshiftReadOnlyAccess
Gewährt schreibgeschützten Zugriff auf alle Amazon Redshift Redshift-Ressourcen für ein Konto. AWS
Sie finden die [AmazonRedshiftReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftReadOnlyAccess)Richtlinie auf der IAM-Konsole und [AmazonRedshiftReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftReadOnlyAccess.html)im *AWS Managed* Policy Reference Guide.
## AmazonRedshiftFullAccess
Gewährt vollen Zugriff auf alle Amazon Redshift Redshift-Ressourcen für ein AWS Konto. Darüber hinaus gewährt diese Richtlinie vollen Zugriff auf alle Ressourcen von Amazon Redshift Serverless.
Sie finden die [AmazonRedshiftFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftFullAccess)Richtlinie auf der IAM-Konsole und [AmazonRedshiftFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftFullAccess.html)im *AWS Managed Policy Reference Guide.*
## AmazonRedshiftQueryEditor
Gewährt vollständigen Zugriff auf den Abfrage-Editor in der Amazon-Redshift-Konsole.
Sie finden die [AmazonRedshiftQueryEditor](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftQueryEditor)Richtlinie auf der IAM-Konsole und [AmazonRedshiftQueryEditor](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftQueryEditor.html)im *AWS Managed Policy Reference Guide.*
## AmazonRedshiftDataFullAccess
Gewährt vollen Zugriff auf die Amazon Redshift Data API-Operationen und Ressourcen für ein AWS Konto.
Sie finden die [AmazonRedshiftDataFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftDataFullAccess)Richtlinie auf der IAM-Konsole und [AmazonRedshiftDataFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftDataFullAccess.html)im *AWS Managed Policy Reference Guide.*
## AmazonRedshiftQueryEditorV2FullAccess
Gewährt vollen Zugriff auf die Vorgänge und Ressourcen des Amazon-Redshift-Abfrage-Editors v2. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste.
Sie finden die [AmazonRedshiftQueryEditorFullAccessV2-Richtlinie](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftQueryEditorV2FullAccess) auf der IAM-Konsole und [AmazonRedshiftQueryEditorVersion V2 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftQueryEditorV2FullAccess.html) im *AWS Managed Policy Reference Guide.*
## AmazonRedshiftQueryEditorV2NoSharing
Ermöglicht es, mit dem Amazon-Redshift-Abfrage-Editor v2 zu arbeiten, ohne Ressourcen zu teilen. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste. Der Prinzipal, der diese Richtlinie verwendet, kann seine Ressourcen (z. B. Abfragen) nicht markieren, um sie mit anderen Prinzipalen im selben AWS-Konto zu teilen.
Sie finden die [AmazonRedshiftQueryEditorNoSharingV2-Richtlinie](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftQueryEditorV2NoSharing) auf der IAM-Konsole und [AmazonRedshiftQueryEditorVersion V2 NoSharing](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftQueryEditorV2NoSharing.html) im *AWS Managed Policy Reference Guide.*
## AmazonRedshiftQueryEditorV2ReadSharing
Ermöglicht die eingeschränkte Freigabe von Ressourcen bei der Arbeit mit dem Amazon-Redshift-Abfrage-Editor v2. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste. Der Prinzipal, der diese Richtlinie verwendet, kann seine Ressourcen (z. B. Abfragen) markieren, um sie mit anderen Prinzipalen im selben AWS-Konto zu teilen. Der Prinzipal mit der entsprechenden Berechtigung kann die mit seinem Team geteilten Ressourcen lesen, kann sie jedoch nicht ändern.
Sie finden die [AmazonRedshiftQueryEditorReadSharingV2-Richtlinie](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftQueryEditorV2ReadSharing) auf der IAM-Konsole und [AmazonRedshiftQueryEditorVersion V2 ReadSharing](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftQueryEditorV2ReadSharing.html) im *AWS Managed Policy Reference Guide.*
## AmazonRedshiftQueryEditorV2ReadWriteSharing
Ermöglicht die Freigabe von Ressourcen bei der Arbeit mit dem Amazon-Redshift-Abfrage-Editor v2. Diese Richtlinie gewährt außerdem Zugriff auf andere erforderliche Dienste. Der Prinzipal, der diese Richtlinie verwendet, kann seine Ressourcen (z. B. Abfragen) markieren, um sie mit anderen Prinzipalen im selben AWS-Konto zu teilen. Der Prinzipal mit den entsprechenden Berechtigungen kann die mit seinem Team geteilten Ressourcen lesen und bearbeiten.
Sie finden die [AmazonRedshiftQueryEditorReadWriteSharingV2-Richtlinie](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftQueryEditorV2ReadWriteSharing) auf der IAM-Konsole und [AmazonRedshiftQueryEditorVersion V2 ReadWriteSharing](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftQueryEditorV2ReadWriteSharing.html) im *AWS Managed Policy Reference Guide.*
## AmazonRedshiftServiceLinkedRolePolicy
Sie können keine Verbindungen AmazonRedshiftServiceLinkedRolePolicy zu Ihren IAM-Entitäten herstellen. Diese Richtlinie ist an eine dienstgebundene Rolle angehängt, mit der Amazon Redshift auf Kontoressourcen zugreifen kann. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/using-service-linked-roles.html).
Sie finden die [AmazonRedshiftServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftServiceLinkedRolePolicy)Richtlinie auf der IAM-Konsole und [AmazonRedshiftServiceLinkedRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftServiceLinkedRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AmazonRedshiftAllCommandsFullAccess
Erlaubt es, die IAM-Rolle zu verwenden, die in der Amazon-Redshift-Konsole erstellt wurde, und legt sie als Standard fest, damit der Cluster die Befehle COPY von Amazon S3 sowie UNLOAD, CREATE EXTERNAL SCHEMA, CREATE EXTERNAL FUNCTION und CREATE MODEL ausführt. Die Richtlinie gewährt auch Berechtigungen zur Ausführung von SELECT-Anweisungen für verwandte Dienste wie Amazon S3, CloudWatch Logs, Amazon SageMaker AI oder AWS Glue.
Sie finden die [AmazonRedshiftAllCommandsFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftAllCommandsFullAccess)Richtlinie auf der IAM-Konsole und [AmazonRedshiftAllCommandsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftAllCommandsFullAccess.html)im *AWS Managed Policy Reference Guide.*
## AmazonRedshiftFederatedAuthorization
Die Richtlinie konsolidiert IAM-Aktionen, die für die Ausführung einer Abfrage in einer Glue Data Catalog-Datenbank mit Amazon Redshift Federated Permissions erforderlich sind. Eine solche Abfrage durchläuft AWS Glue und benötigt daher Aktionen zum Abrufen von Katalogobjekten, um die Objekte zu finden, und Aktionen zum Erstellen, Aktualisieren, Umbenennen und Löschen, um die Objekte zu ändern. Beachten Sie, dass die Ressourcen von Amazon Redshift verwaltet werden. Daher benötigt der Principal auch Redshift-Berechtigungen, um die Abfrage abzuschließen. `glue:FederateAuthorization`Diese Aktion ermöglicht es AWS Glue, Autorisierungsentscheidungen für die Katalogobjekte an Amazon Redshift zu delegieren.
Diese Richtlinie ermöglicht es dem Principal, Abfragen für den Katalog mit Amazon Redshift Federated Permissions auszuführen, erlaubt jedoch nicht, den Amazon Redshift Redshift-Namespace für Glue zu registrieren und die Registrierung aufzuheben. AWS Weitere Informationen finden Sie in der Dokumentation zu den IAM-Richtlinienanforderungen für die Einrichtung von Amazon Redshift Federated Permissions.
Sie finden die [AmazonRedshiftFederatedAuthorization](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRedshiftFederatedAuthorization)Richtlinie auf der IAM-Konsole und [AmazonRedshiftFederatedAuthorization](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRedshiftFederatedAuthorization.html)im *AWS Managed* Policy Reference Guide.
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für Amazon-Redshift-API-Operationen und -Ressourcen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den IAM-Rollen oder -Gruppen zuweisen, die diese Berechtigungen benötigen.
## Erforderliche Berechtigungen zur Verwendung von Redshift Spectrum
Amazon Redshift Spectrum benötigt für den Zugriff auf Ressourcen Berechtigungen für andere AWS Services. Detaillierte Informationen über Berechtigungen in IAM-Richtlinien für Redshift Spectrum finden Sie unter [IAM-Richtlinien für Amazon Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-spectrum-iam-policies.html) im *Datenbankentwicklerhandbuch zu Amazon Redshift*.
## Erforderliche Berechtigungen zur Verwendung der Amazon-Redshift-Konsole
Damit ein Benutzer mit der Amazon Redshift Redshift-Konsole arbeiten kann, muss er über Mindestberechtigungen verfügen, die es dem Benutzer ermöglichen, die Amazon Redshift Redshift-Ressourcen für sein AWS Konto zu beschreiben. Diese Berechtigungen müssen es dem Benutzer auch ermöglichen, andere verwandte Informationen zu beschreiben, darunter Amazon EC2-Sicherheit, Amazon CloudWatch, Amazon SNS und Netzwerkinformationen.
Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie. Um sicherzustellen, dass diese Benutzer die Amazon-Redshift-Konsole weiterhin verwenden können, weisen Sie ihnen auch die von `AmazonRedshiftReadOnlyAccess` verwaltete Richtlinie zu. Die Vorgehensweise ist in beschrieben [AWS verwaltete Richtlinien für Amazon Redshift](#redshift-policy-resources.managed-policies).
Informationen dazu, wie Sie einem Benutzer Zugriff auf den Abfrage-Editor in der Amazon-Redshift-Konsole geben, finden Sie unter [Erforderliche Berechtigungen zur Verwendung des Abfrage-Editors der Amazon-Redshift-Konsole](#redshift-policy-resources.required-permissions.query-editor).
Sie müssen Benutzern, die nur die Amazon Redshift-API AWS CLI oder die Amazon Redshift Redshift-API aufrufen, keine Mindestberechtigungen für die Konsole gewähren.
## Erforderliche Berechtigungen zur Verwendung des Abfrage-Editors der Amazon-Redshift-Konsole
Damit Benutzer mit dem Amazon-Redshift-Abfrage-Editor arbeiten können, müssen sie über einen Mindestsatz von Berechtigungen für Amazon Redshift und Amazon-Redshift-Data-API-Vorgänge verfügen. Um sich über ein Secret mit einer Datenbank zu verbinden, müssen Sie auch über Secrets-Manager-Berechtigungen verfügen.
Um einem Benutzer Zugriff auf den Abfrage-Editor auf der Amazon Redshift Redshift-Konsole zu gewähren, hängen Sie die `AmazonRedshiftQueryEditor` und die `AmazonRedshiftReadOnlyAccess` AWS verwalteten Richtlinien an. Die `AmazonRedshiftQueryEditor`-Richtlinie erlaubt Benutzern, nur die Ergebnisse ihrer eigenen SQL-Anweisungen abzurufen – Das sind Aussagen, die von derselben Person eingereicht wurden, `aws:userid` wie in diesem Abschnitt der `AmazonRedshiftQueryEditor` AWS verwalteten Richtlinie dargestellt.
```
{
"Sid":"DataAPIIAMStatementPermissionsRestriction",
"Action": [
"redshift-data:GetStatementResult",
"redshift-data:CancelStatement",
"redshift-data:DescribeStatement",
"redshift-data:ListStatements"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"redshift-data:statement-owner-iam-userid": "${aws:userid}"
}
}
}
```
Damit ein Benutzer die Ergebnisse von SQL-Anweisungen anderer Benutzer in derselben IAM-Rolle abrufen kann, erstellen Sie eine eigene Richtlinie ohne die Bedingung, den Zugriff auf den aktuellen Benutzer zu beschränken. Beschränken Sie auch die Berechtigung zum Ändern einer Richtlinie auf einen Administrator.
## Für die Verwendung des Abfrage-Editors v2 erforderliche Berechtigungen
Damit ein Benutzer mit dem Amazon Redshift-Abfrage-Editor v2 arbeiten kann, muss er über Mindestberechtigungen für Amazon Redshift, den Abfrage-Editor v2-Operationen und andere AWS Dienste wie AWS Key Management Service AWS Secrets Manager, und Tagging-Service verfügen.
Um einem Benutzer vollen Zugriff auf den Abfrage-Editor v2 zu gewähren, fügen Sie die `AmazonRedshiftQueryEditorV2FullAccess` AWS verwaltete Richtlinie an. Die `AmazonRedshiftQueryEditorV2FullAccess`-Richtlinie erlaubt es dem Benutzer, Ressourcen des Abfrage-Editors v2 (z. B. Abfragen) mit anderen im selben Team zu teilen. Weitere Informationen darüber, wie der Zugriff auf v2-Ressourcen des Abfrage-Editors gesteuert wird, finden Sie in der Definition der bestimmten verwalteten Richtlinie für den Abfrage-Editor v2 in der IAM-Konsole.
Einige AWS verwaltete Richtlinien im Amazon Redshift Query Editor v2 verwenden AWS Tags innerhalb von Bedingungen, um den Zugriff auf Ressourcen einzuschränken. Innerhalb des Abfrage-Editors v2 basiert das Teilen von Abfragen auf dem Tag-Schlüssel und dem Wert `"aws:ResourceTag/sqlworkbench-team": "${aws:PrincipalTag/sqlworkbench-team}"` in der IAM-Richtlinie, die an den Prinzipal angehängt ist (die IAM-Rolle). Prinzipale im selben AWS-Konto mit demselben Tag-Wert (z. B. `accounting-team`) sind im selben Team im Abfrage-Editor v2. Man kann jeweils nur mit einem Team verbunden sein. Ein Benutzer mit Administratorberechtigungen kann Teams in der IAM-Konsole einrichten, indem er allen Teammitgliedern den gleichen Wert für das Tag `sqlworkbench-team` gibt. Wenn der Tag-Wert von `sqlworkbench-team` für einen IAM-Benutzer oder eine IAM-Rolle geändert wird, kann es eine Zeit dauern, bis die Änderung in den freigegebenen Ressourcen angezeigt wird. Wenn der Tag-Wert einer Ressource (z. B. einer Abfrage) geändert wird, kann es erneut zu einer Verzögerung kommen. Teammitglieder brauchen auch die Berechtigung `tag:GetResources` zum Teilen.
**Beispiel: Das Tag `accounting-team` für eine IAM-Rolle hinzufügen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich der Konsole **Rollen** aus und wählen Sie dann den Namen der Rolle aus, die Sie bearbeiten möchten.
1. Wählen Sie die Registerkarte **Tags** und dann **Add tags** (Tags hinzufügen) aus.
1. Fügen Sie den Tag-Schlüssel **sqlworkbench-team** und den Wert `accounting-team` hinzu.
1. Wählen Sie **Save Changes**.
Wenn nun ein IAM-Prinzipal (dem diese IAM-Rolle angefügt wurde) eine Abfrage mit dem Team teilt, können andere Prinzipale mit demselben Tag-Wert bei `accounting-team` die Abfrage sehen.
Weitere Informationen darüber, wie Sie ein Tag an einen Prinzipal anhängen, einschließlich IAM-Rollen und IAM-Benutzern, finden Sie unter [Markieren von IAM-Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.
Sie können Teams auch auf Sitzungsebene mit einem Identitätsanbieter (IdP) einrichten. Dies ermöglicht es mehreren Benutzern, die dieselbe IAM-Rolle verwenden, ein anderes Team zu haben. Die IAM-Rollen-Vertrauensrichtlinie muss den Vorgang `sts:TagSession` erlauben. Weitere Informationen finden Sie unter [Zum Hinzufügen von Sitzungstags erforderliche Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html#id_session-tags_permissions-required) im *IAM-Benutzerhandbuch*. Fügen Sie das Tag-Attribut des Prinzipals zur SAML-Assertion hinzu, die von Ihrem IdP bereitgestellt wird.
```
accounting-team
```
Folgen Sie den Anweisungen für Ihren Identitätsanbieter (IdP), um das SAML-Attribut mit dem Inhalt zu füllen, der aus Ihrem Verzeichnis stammt. Weitere Informationen zu Identity Providers (IdPs) und Amazon Redshift finden Sie unter [Verwenden der IAM-Authentifizierung zur Erstellung von Anmeldeinformationen für Datenbankbenutzern](generating-user-credentials.md) [Identity providers and federation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) im *IAM-Benutzerhandbuch*.
`sqlworkbench:CreateNotebookVersion` erteilt die Berechtigung, den aktuellen Inhalt von Notebook-Zellen abzurufen und eine Notebook-Version in Ihrem Konto zu erstellen. Dies bedeutet, dass der aktuelle Inhalt des Notebooks zum Zeitpunkt der Versionserstellung dem Inhalt der Version entspricht. Später bleibt der Inhalt der Zellen in der Version unverändert, wenn das aktuelle Notebook aktualisiert wird. `sqlworkbench:GetNotebookVersion` erteilt die Berechtigung, eine Version des Notebooks abzurufen. Ein Benutzer, der nicht über die Berechtigung `sqlworkbench:BatchGetNotebookCell`, jedoch über die Berechtigungen `sqlworkbench:CreateNotebookVersion` und `sqlworkbench:GetNotebookVersion` für ein Notebook verfügt, hat Zugriff auf Notebook-Zellen in der Version. Dieser Benutzer ohne die Berechtigung `sqlworkbench:BatchGetNotebookCell` kann immer noch den Inhalt der Zellen eines Notebooks abrufen, indem er zuerst eine Version erstellt und dann diese erstellte Version abruft.
## Erforderliche Berechtigungen zur Verwendung des Amazon-Redshift-Schedulers
Wenn Sie den Amazon-Redshift-Scheduler verwenden, richten Sie eine IAM-Rolle mit einer Vertrauensstellung zum Amazon-Redshift-Scheduler (**scheduler.redshift.amazonaws.com**) ein, damit der Scheduler in Ihrem Namen Berechtigungen übernehmen kann. Sie weisen der Rolle auch eine Richtlinie (Berechtigungen) für die Amazon-Redshift-API-Vorgänge zu, die Sie planen möchten.
Das folgende Beispiel zeigt das Richtliniendokument im JSON-Format zum Einrichten einer Vertrauensstellung mit dem Amazon-Redshift-Scheduler und Amazon Redshift.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"scheduler.redshift.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Weitere Informationen zu vertrauenswürdigen Entitäten finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
Sie müssen außerdem eine Berechtigung für die Amazon-Redshift-Vorgänge hinzufügen, die Sie planen möchten.
Damit der Scheduler die `ResizeCluster`-Operation verwenden kann, fügen Sie Ihrer IAM-Richtlinie eine Berechtigung hinzu, die der folgenden ähnlich ist. Abhängig von Ihrer Umgebung sollten Sie die Richtlinie möglicherweise restriktiver gestalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "redshift:ResizeCluster",
"Resource": "*"
}
]
}
```
------
Die Schritte zum Erstellen einer Rolle für den Amazon Redshift Redshift-Scheduler finden Sie unter [Creating a role for an AWS service (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) im *IAM-Benutzerhandbuch*. Treffen Sie diese Entscheidungen, wenn Sie eine Rolle in der IAM-Konsole erstellen:
+ Für **Choose the service that will use this role (Einen Service auswählen, der diese Rolle verwenden soll)**: Wählen Sie **Redshift** aus.
+ Für **Select your use case (Wählen Sie Ihren Anwendungsfall)** Folgendes aus: Wählen Sie **Redshift - Scheduler** aus.
+ Erstellen Sie eine Richtlinie oder weisen Sie diese der Rolle zu, die das Planen eines Amazon-Redshift-Vorgangs zulässt. Wählen Sie **Create policy (Richtlinie erstellen)** aus oder ändern Sie die Rolle, um eine Richtlinie zuzuweisen. Geben Sie die JSON-Richtlinie für die Operation ein, die geplant werden soll.
+ Nachdem Sie die Rolle erstellt haben, bearbeiten Sie die **Trust Relationship (Vertrauensbeziehung)** der IAM-Rolle, um den `redshift.amazonaws.com`-Service aufzunehmen.
Die von Ihnen erstellte IAM-Rolle hat vertrauenswürdige Entitäten von `scheduler.redshift.amazonaws.com` und `redshift.amazonaws.com`. Sie weist außerdem eine angefügte Richtlinie auf, die eine unterstützte Amazon-Redshift-API-Aktion wie zulässt., `"redshift:ResizeCluster"`.
## Für die Verwendung des Amazon EventBridge Schedulers sind Berechtigungen erforderlich
Wenn Sie den EventBridge Amazon-Scheduler verwenden, richten Sie eine IAM-Rolle mit einer Vertrauensbeziehung zum EventBridge Scheduler (**events.amazonaws.com**) ein, damit der Scheduler in Ihrem Namen Berechtigungen übernehmen kann. Außerdem fügen Sie der Rolle eine Richtlinie (Berechtigungen) für die Amazon Redshift Data API-Operationen, die Sie planen möchten, und eine Richtlinie für EventBridge Amazon-Operationen hinzu.
Sie verwenden den EventBridge Scheduler, wenn Sie geplante Abfragen mit dem Amazon Redshift Redshift-Abfrage-Editor auf der Konsole erstellen.
Sie können eine IAM-Rolle erstellen, um geplante Abfragen in der IAM-Konsole auszuführen. Fügen Sie in dieser IAM-Rolle `AmazonEventBridgeFullAccess` und `AmazonRedshiftDataFullAccess` an.
Das folgende Beispiel zeigt das Richtliniendokument im JSON-Format, um eine Vertrauensbeziehung mit dem EventBridge Scheduler einzurichten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"events.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Weitere Informationen zu vertrauenswürdigen Entitäten finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
Die Schritte zum Erstellen einer Rolle für den EventBridge Scheduler finden Sie unter [Erstellen einer Rolle für einen AWS Dienst (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) im *IAM-Benutzerhandbuch*. Treffen Sie diese Entscheidungen, wenn Sie eine Rolle in der IAM-Konsole erstellen:
+ **Für **Wählen Sie den Dienst aus, der diese Rolle verwenden soll**: Wählen Sie CloudWatch Ereignisse.**
+ Für **Wählen Sie Ihren Anwendungsfall** aus: Wählen Sie **CloudWatch Ereignisse**.
+ Fügen Sie die folgenden Berechtigungsrichtlinien an: `AmazonEventBridgeFullAccess` und `AmazonRedshiftDataFullAccess`.
Die von Ihnen erstellte IAM-Rolle hat eine vertrauenswürdige Entität von `events.amazonaws.com`. Sie weist außerdem eine angefügte Richtlinie auf, die unterstützte Amazon-Redshift-Data-API-Aktionen wie zulässt., `"redshift-data:*"`.
## Für die Verwendung von Amazon Redshift Machine Learning (ML) erforderliche Berechtigungen
Nachfolgend finden Sie eine Beschreibung der Berechtigungen, die zur Nutzung von Amazon Redshift Machine Learning (ML) für verschiedene Anwendungsfälle erforderlich sind.
Damit Ihre Benutzer Amazon Redshift ML mit Amazon SageMaker AI verwenden können, erstellen Sie eine IAM-Rolle mit einer restriktiveren Richtlinie als der Standardrichtlinie. Sie können die folgende Richtlinie verwenden. Sie können diese Richtlinie auch entsprechend Ihren Anforderungen anpassen.
Die folgende Richtlinie zeigt die Berechtigungen, die für die Ausführung von SageMaker AI Autopilot mit Modellerklärbarkeit von Amazon Redshift erforderlich sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopTrainingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:InvokeEndpoint",
"sagemaker:StopProcessingJob",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob"
],
"Resource": [
"arn:aws:sagemaker:*:*:model/*redshift*",
"arn:aws:sagemaker:*:*:training-job/*redshift*",
"arn:aws:sagemaker:*:*:automl-job/*redshift*",
"arn:aws:sagemaker:*:*:compilation-job/*redshift*",
"arn:aws:sagemaker:*:*:processing-job/*redshift*",
"arn:aws:sagemaker:*:*:transform-job/*redshift*",
"arn:aws:sagemaker:*:*:endpoint/*redshift*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Endpoints/*redshift*",
"arn:aws:logs:*:*:log-group:/aws/sagemaker/ProcessingJobs/*redshift*",
"arn:aws:logs:*:*:log-group:/aws/sagemaker/TrainingJobs/*redshift*",
"arn:aws:logs:*:*:log-group:/aws/sagemaker/TransformJobs/*redshift*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"SageMaker",
"/aws/sagemaker/Endpoints",
"/aws/sagemaker/ProcessingJobs",
"/aws/sagemaker/TrainingJobs",
"/aws/sagemaker/TransformJobs"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetEncryptionConfiguration",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:ListMultipartUploadParts",
"s3:ListBucketMultipartUploads",
"s3:PutObject",
"s3:PutBucketAcl",
"s3:PutBucketCors",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::redshift-downloads",
"arn:aws:s3:::redshift-downloads/*",
"arn:aws:s3:::*redshift*",
"arn:aws:s3:::*redshift*/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetEncryptionConfiguration",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:ListMultipartUploadParts",
"s3:ListBucketMultipartUploads",
"s3:PutObject",
"s3:PutBucketAcl",
"s3:PutBucketCors",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:CreateBucket"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/Redshift": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"redshift.amazonaws.com",
"sagemaker.amazonaws.com"
]
}
}
}
]
}
```
------
Die folgende Richtlinie zeigt die vollständigen Mindestberechtigungen für den Zugriff auf Amazon DynamoDB, Redshift Spectrum und Amazon-RDS-Verbund.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopTrainingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:InvokeEndpoint",
"sagemaker:StopProcessingJob",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob"
],
"Resource": [
"arn:aws:sagemaker:*:*:model/*redshift*",
"arn:aws:sagemaker:*:*:training-job/*redshift*",
"arn:aws:sagemaker:*:*:automl-job/*redshift*",
"arn:aws:sagemaker:*:*:compilation-job/*redshift*",
"arn:aws:sagemaker:*:*:processing-job/*redshift*",
"arn:aws:sagemaker:*:*:transform-job/*redshift*",
"arn:aws:sagemaker:*:*:endpoint/*redshift*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Endpoints/*redshift*",
"arn:aws:logs:*:*:log-group:/aws/sagemaker/ProcessingJobs/*redshift*",
"arn:aws:logs:*:*:log-group:/aws/sagemaker/TrainingJobs/*redshift*",
"arn:aws:logs:*:*:log-group:/aws/sagemaker/TransformJobs/*redshift*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"SageMaker",
"/aws/sagemaker/Endpoints",
"/aws/sagemaker/ProcessingJobs",
"/aws/sagemaker/TrainingJobs",
"/aws/sagemaker/TransformJobs"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetEncryptionConfiguration",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:ListMultipartUploadParts",
"s3:ListBucketMultipartUploads",
"s3:PutObject",
"s3:PutBucketAcl",
"s3:PutBucketCors",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::redshift-downloads",
"arn:aws:s3:::redshift-downloads/*",
"arn:aws:s3:::*redshift*",
"arn:aws:s3:::*redshift*/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetEncryptionConfiguration",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:ListMultipartUploadParts",
"s3:ListBucketMultipartUploads",
"s3:PutObject",
"s3:PutBucketAcl",
"s3:PutBucketCors",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:CreateBucket"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/Redshift": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"dynamodb:Scan",
"dynamodb:DescribeTable",
"dynamodb:Getitem"
],
"Resource": [
"arn:aws:dynamodb:*:*:table/*redshift*",
"arn:aws:dynamodb:*:*:table/*redshift*/index/*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:ListInstances"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*redshift*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:ListInstances"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"elasticmapreduce:ResourceTag/Redshift": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": "arn:aws:lambda:*:*:function:*redshift*"
},
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:UpdateTable",
"glue:GetTable",
"glue:GetTables",
"glue:BatchCreatePartition",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:UpdatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:*:*:table/*redshift*/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*redshift*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetResourcePolicy",
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecretVersionIds"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:*redshift*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetRandomPassword",
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/Redshift": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"redshift.amazonaws.com",
"glue.amazonaws.com",
"sagemaker.amazonaws.com",
"athena.amazonaws.com"
]
}
}
}
]
}
```
------
Um einen AWS KMS Schlüssel für die Verschlüsselung zu verwenden, fügen Sie der Richtlinie optional die folgenden Berechtigungen hinzu.
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": [
"arn:aws:kms:::key/"
]
}
```
Damit Amazon Redshift und SageMaker KI die vorherige IAM-Rolle für die Interaktion mit anderen Services übernehmen können, fügen Sie der Rolle die folgende Vertrauensrichtlinie hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift.amazonaws.com",
"sagemaker.amazonaws.com",
"forecast.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
In der vorhergehenden ist der Amazon S3 Bucket `redshift-downloads/redshift-ml/` der Ort, an dem die Beispieldaten für andere Schritte und Beispiele gespeichert werden. Sie können ihn entfernen, wenn Sie keine Daten aus Amazon S3 laden müssen. Sie können ihn auch durch andere Amazon S3 Buckets ersetzen, die Sie zum Laden von Daten in Amazon Redshift verwenden.
Die Werte **your-account-id**, **your-role** und **your-s3-bucket** sind die Konto-ID, die Rolle und der Bucket, die Sie in Ihrem Befehl CREATE MODEL angeben.
Optional können Sie den Abschnitt AWS KMS Schlüssel der Beispielrichtlinie verwenden, wenn Sie einen AWS KMS Schlüssel für die Verwendung mit Amazon Redshift ML angeben. Der Wert **your-kms-key** ist der Schlüssel, den Sie als Teil Ihres CREATE-MODEL-Befehls verwenden.
Wenn Sie eine private Virtual Private Cloud (VPC) für den Hyperparameter-Optimierungsauftrag angeben, fügen Sie die folgenden Berechtigungen hinzu.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Um mit der Modellerklärung zu arbeiten, stellen Sie sicher, dass Sie über die Berechtigungen zum Aufrufen von SageMaker KI-API-Operationen verfügen. Wir empfehlen Ihnen dazu die verwaltete Richtlinie `AmazonSageMakerFullAccess`. Wenn Sie eine IAM-Rolle mit einer restriktiveren Richtlinie erstellen möchten, können Sie die folgende verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags"
],
"Resource": "*"
}
]
}
```
------
Weitere Informationen zur `AmazonSageMakerFullAccess` verwalteten Richtlinie finden Sie [AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)im *Amazon SageMaker AI Developer Guide*.
Wenn Sie Prognosemodelle erstellen möchten, empfehlen wir, die verwaltete Richtlinie `AmazonForecastFullAccess` zu verwenden. Wenn Sie restriktivere Richtlinie verwenden möchten, fügen Sie Ihrer IAM-Rolle die folgende Richtlinie hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"forecast:CreateAutoPredictor",
"forecast:CreateDataset",
"forecast:CreateDatasetGroup",
"forecast:CreateDatasetImportJob",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:DeleteResourceTree",
"forecast:DescribeAutoPredictor",
"forecast:DescribeDataset",
"forecast:DescribeDatasetGroup",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:StopResource",
"forecast:TagResource",
"forecast:UpdateDatasetGroup"
],
"Resource": "*"
}
]
}
```
------
Wenn Sie Amazon-Bedrock-Modelle erstellen möchten, empfehlen wir, die verwaltete Richtlinie `AmazonBedrockFullAccess` zu verwenden. Wenn Sie restriktivere Richtlinie verwenden möchten, fügen Sie Ihrer IAM-Rolle die folgende Richtlinie hinzu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "bedrock:InvokeModel",
"Resource": [
"*",
"arn:aws:bedrock:us-east-1::foundation-model/*"
]
}
]
}
```
------
Weitere Informationen zu Amazon-Redshift-ML finden Sie unter [Using machine learning in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/machine_learning.html), [CREATE MODEL](https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_MODEL.html) oder [CREATE EXTERNAL MODEL](https://docs.aws.amazon.com/redshift/latest/dg/r_create_external_model.html).
## Berechtigungen für die Streaming-Erfassung
Die Streaming-Erfassung funktioniert mit zwei Services. Dies sind Kinesis Data Streams und Amazon MSK.
### Erforderliche Berechtigungen für die Verwendung der Streaming-Erfassung mit Kinesis Data Streams
Ein Verfahren mit einem Beispiel für verwaltete Richtlinien finden Sie unter [Erste Schritte mit der Streaming-Erfassung von Amazon Kinesis Data Streams](https://docs.aws.amazon.com/redshift/latest/dg/materialized-view-streaming-ingestion-getting-started.html).
### Erforderliche Berechtigungen für die Verwendung der Streaming-Erfassung mit Amazon MSK
Ein Verfahren mit einem Beispiel für verwaltete Richtlinien finden Sie unter [Erste Schritte mit der Streaming-Erfassung von Amazon Managed Streaming für Apache Kafka](https://docs.aws.amazon.com/redshift/latest/dg/materialized-view-streaming-ingestion-getting-started-MSK.html).
## Für die Verwendung der API-Operationen zur Datenfreigabe erforderliche Berechtigungen
Um den Zugriff auf die API-Operationen für die Datenfreigabe zu steuern, verwenden Sie aktionsbasierte IAM-Richtlinien. Weitere Informationen zum Verwalten von IAM-Richtlinien finden Sie unter [Managing IAM policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) (Verwalten von IAM-Richtlinien) im *IAM-Benutzerhandbuch*.
Man denke an den Fall, dass ein Administrator eines Produzenten-Clusters den Aufruf `AuthorizeDataShare` verwenden muss, um die Ausgabe eines Datashares außerhalb eines AWS-Konto zu autorisieren. In diesem Fall richten Sie eine IAM-aktionsbasierte Richtlinie ein, um diese Berechtigung zu erteilen. Verwenden Sie den `DeauthorizeDataShare`-Aufruf, um die Ausgabe aufzuheben.
Wenn Sie aktionsbasierte IAM-Richtlinien verwenden, können Sie auch eine IAM-Ressource in der Richtlinie angeben, z. B. `DataShareARN`. Nachfolgend sehen Sie das Format und ein Beispiel für `DataShareARN`.
```
arn:aws:redshift:region:account-id:datashare:namespace-guid/datashare-name
arn:aws:redshift:us-east-1:555555555555:datashare:86b5169f-01dc-4a6f-9fbb-e2e24359e9a8/SalesShare
```
Sie können `AuthorizeDataShare`-Zugriff auf einen bestimmten Datasharedurch Angabe des Datashare-Namens in der IAM-Richtlinie beschränken.
```
{
"Statement": [
{
"Action": [
"redshift:AuthorizeDataShare",
],
"Resource": [
"arn:aws:redshift:us-east-1:555555555555:datashare:86b5169f-01dc-4a6f-9fbb-e2e24359e9a8/SalesShare"
],
"Effect": "Deny"
}
]
}
```
Sie können die IAM-Richtlinie auch auf alle Datashares beschränken, die einem bestimmten Produzenten-Cluster gehören. Dazu ersetzen Sie den **datashare-name**-Wert in der Richtlinie mit einem Platzhalter oder einem Sternchen. Behalten Sie den Cluster-Wert `namespace-guid` bei.
```
arn:aws:redshift:us-east-1:555555555555:datashare:86b5169f-01dc-4a6f-9fbb-e2e24359e9a8/*
```
Es folgt eine IAM-Richtlinie, die verhindert, dass eine Entität in Datashares von einem bestimmten Produzenten-Cluster `AuthorizeDataShare` aufruft.
```
{
"Statement": [
{
"Action": [
"redshift:AuthorizeDataShare",
],
"Resource": [
"arn:aws:redshift:us-east-1:555555555555:datashare:86b5169f-01dc-4a6f-9fbb-e2e24359e9a8/*"
],
"Effect": "Deny"
}
]
}
```
`DataShareARN` beschränkt den Zugriff auf Grundlage des Datashare-Namens sowie der Globally Unique ID (GUID) für den Namespace des besitzenden Clusters. Dies geschieht, indem der Name als Sternchen angegeben wird.
## Ressourcenrichtlinien für GetClusterCredentials
Um über eine JDBC- oder ODBC-Verbindung mit IAM-Datenbankanmeldedaten eine Verbindung zu einer Cluster-Datenbank herzustellen oder um die Aktion programmgesteuert aufzurufen, benötigen Sie die Berechtigung, die `GetClusterCredentials` Aktion mit Zugriff auf eine Ressource aufzurufen. `redshift:GetClusterCredentials` `dbuser`
Wenn Sie eine JDBC- oder ODBC-Verbindung verwenden, können Sie anstatt `server` und `port` die Optionen `cluster_id` und `region` angeben. Dazu benötigen Sie allerdings die Berechtigung zum Aufruf der Aktion `redshift:DescribeClusters` mit Zugriff auf die Ressource `cluster`.
Wenn Sie die Aktion `GetClusterCredentials` mit den optionalen Parametern `Autocreate`, `DbGroups` und `DbName` aufrufen, müssen Sie außerdem die in der folgenden Tabelle aufgeführten Aktionen und den Zugriff auf die dort aufgeführten Ressourcen erlauben.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/redshift/latest/mgmt/redshift-iam-access-control-identity-based.html)
Weitere Informationen zu Ressourcen finden Sie unter [Amazon-Redshift-Ressourcen und -Operationen](redshift-iam-access-control-overview.md#redshift-iam-accesscontrol.actions-and-resources).
Sie können auch die folgenden Bedingungen in Ihrer Richtlinie verwenden:
+ `redshift:DurationSeconds`
+ `redshift:DbName`
+ `redshift:DbUser`
**Wichtig**
Für SAML-SSO-Integrationen müssen Sie möglicherweise eine IAM-Richtlinie mithilfe der Variablen angeben. `${redshift:DbUser}` In diesen Fällen empfehlen wir dringend die Verwendung einer Bedingungsanweisung, die sicherstellt, dass ein Anrufer keine Anmeldeinformationen für einen Benutzer abrufen kann, der nicht mit seiner Benutzer-ID übereinstimmt. AWS Z.B. `"StringEquals": {"aws:userid":"AIDIODR4TAW7CSEXAMPLE:${redshift:DbUser}"}"` Siehe [Beispiel 8: IAM-Richtlinie für die Verwendung GetClusterCredentials](#redshift-policy-examples-getclustercredentials). Weitere Informationen zu Bedingungen finden Sie unter [Angeben von Bedingungen in einer Richtlinie](redshift-iam-access-control-overview.md#redshift-policy-resources.specifying-conditions).
## Beispiele für vom Kunden verwaltete Richtlinien
In diesem Abschnitt finden Sie Beispiele für Benutzerrichtlinien, die Berechtigungen für verschiedene Amazon-Redshift-Aktionen gewähren. Diese Richtlinien funktionieren, wenn Sie die Amazon Redshift Redshift-API oder AWS SDKs die AWS CLI verwenden.
**Anmerkung**
Alle Beispiele verwenden die Region USA West (Oregon) (`us-west-2`) und enthalten ein fiktives Konto. IDs
### Beispiel 1: Benutzer vollen Zugriff auf alle Amazon-Redshift-Aktionen und -Ressourcen gewähren
Die folgende Richtlinie gewährt Zugriff auf alle Amazon-Redshift-Aktionen für alle Ressourcen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"AllowRedshift",
"Action": [
"redshift:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Der Wert `redshift:*` im Element `Action` bezeichnet alle Aktionen in Amazon Redshift.
### Beispiel 2: Benutzer Zugriff auf Satz von Amazon-Redshift-Aktionen verweigern
Standardmäßig werden alle Berechtigungen verweigert. Manchmal müssen Sie jedoch den Zugriff auf eine bestimmte Aktion oder einen Satz von Aktionen ausdrücklich verweigern. Die folgende Richtlinie gewährt Zugriff auf alle Amazon-Redshift-Aktionen und verweigert ausdrücklich den Zugriff auf jede Amazon-Redshift-Aktion, deren Name mit beginnt `Delete`. Diese Richtlinie gilt für alle Amazon-Redshift-Ressourcen in `us-west-2`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"AllowUSWest2Region",
"Action": [
"redshift:*"
],
"Effect": "Allow",
"Resource": "arn:aws:redshift:us-east-1:111122223333:*"
},
{
"Sid":"DenyDeleteUSWest2Region",
"Action": [
"redshift:Delete*"
],
"Effect": "Deny",
"Resource": "arn:aws:redshift:us-east-1:111122223333:*"
}
]
}
```
------
### Beispiel 3: Einem Benutzer die Verwaltung von Clustern gestatten
Die folgende Richtlinie erlaubt einem Benutzer, alle Cluster zu erstellen, zu löschen, zu modifizieren und neu zu starten, und verweigert die Erlaubnis, alle Cluster zu löschen oder zu modifizieren, bei denen der Clustername mit beginnt `protected`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"AllowClusterManagement",
"Action": [
"redshift:CreateCluster",
"redshift:DeleteCluster",
"redshift:ModifyCluster",
"redshift:RebootCluster"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid":"DenyDeleteProtected",
"Action": [
"redshift:DeleteCluster"
],
"Resource": [
"arn:aws:redshift:us-west-2:123456789012:cluster:protected*"
],
"Effect": "Deny"
}
]
}
```
------
### Beispiel 4: Einem Benutzer die Autorisierung und den Widerruf des Zugriffs auf Snapshots erlauben
Die folgende Richtlinie erlaubt einem Benutzer, etwa Benutzer A, Folgendes zu tun:
+ Autorisieren des Zugriffs zu allen von einem Cluster mit der Bezeichnung erstellten Snapshots `shared`.
+ Widerrufen des Snapshot-Zugriffs für alle vom Cluster `shared` erstellten Snapshots, bei denen der Snapshot-Name mit `revokable` beginnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"AllowSharedSnapshots",
"Action": [
"redshift:AuthorizeSnapshotAccess"
],
"Resource": [
"arn:aws:redshift:us-west-2:123456789012:shared/*"
],
"Effect": "Allow"
},
{
"Sid":"AllowRevokableSnapshot",
"Action": [
"redshift:RevokeSnapshotAccess"
],
"Resource": [
"arn:aws:redshift:us-west-2:123456789012:snapshot:*/revokable*"
],
"Effect": "Allow"
}
]
}
```
------
Wenn Benutzer A Benutzer B den Zugriff auf einen Snapshot gestattet hat, muss Benutzer B über eine Richtlinie wie die folgende verfügen, damit Benutzer B einen Cluster aus dem Snapshot wiederherstellen kann. Die folgende Richtlinie gestattet Benutzer B die Beschreibung und Wiederherstellung von Snapshots sowie die Erstellung von Clusters. Die Namen dieser Cluster müssen mit beginnen `from-other-account`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"AllowDescribeSnapshots",
"Action": [
"redshift:DescribeClusterSnapshots"
],
"Resource": [
"*"
],
"Effect": "Allow"
},
{
"Sid":"AllowUserRestoreFromSnapshot",
"Action": [
"redshift:RestoreFromClusterSnapshot"
],
"Resource": [
"arn:aws:redshift:us-west-2:123456789012:snapshot:*/*",
"arn:aws:redshift:us-west-2:444455556666:cluster:from-other-account*"
],
"Effect": "Allow"
}
]
}
```
------
### Beispiel 5: Einem Benutzer gestatten, einen Cluster-Snapshot zu kopieren und einen Cluster von einem Snapshot wiederherzustellen
Die folgende Richtlinie erlaubt einem Benutzer, alle von einem Cluster mit der Bezeichnung `big-cluster-1` erstellten Snapshots zu kopieren und alle Snapshots wiederherzustellen, deren Name mit `snapshot-for-restore` beginnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"AllowCopyClusterSnapshot",
"Action": [
"redshift:CopyClusterSnapshot"
],
"Resource": [
"arn:aws:redshift:us-west-2:123456789012:snapshot:big-cluster-1/*"
],
"Effect": "Allow"
},
{
"Sid":"AllowRestoreFromClusterSnapshot",
"Action": [
"redshift:RestoreFromClusterSnapshot"
],
"Resource": [
"arn:aws:redshift:us-west-2:123456789012:snapshot:*/snapshot-for-restore*",
"arn:aws:redshift:us-west-2:123456789012:cluster:*"
],
"Effect": "Allow"
}
]
}
```
------
### Beispiel 6: Erlauben Sie einem Benutzer den Zugriff auf Amazon Redshift und allgemeine Aktionen und Ressourcen für verwandte Dienste AWS
Die folgende Beispielrichtlinie ermöglicht den Zugriff auf alle Aktionen und Ressourcen für Amazon Redshift, Amazon Simple Notification Service (Amazon SNS) und Amazon. CloudWatch Sie erlaubt darüber hinaus bestimmte Aktionen für alle verwandten Amazon-EC2-Ressourcen im Konto.
**Anmerkung**
Berechtigungen auf Ressourcenebene werden für die in dieser Beispielrichtlinie angegebenen Amazon-EC2-Aktionen nicht unterstützt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"AllowRedshift",
"Effect": "Allow",
"Action": [
"redshift:*"
],
"Resource": [
"*"
]
},
{
"Sid":"AllowSNS",
"Effect": "Allow",
"Action": [
"sns:*"
],
"Resource": [
"*"
]
},
{
"Sid":"AllowCloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:*"
],
"Resource": [
"*"
]
},
{
"Sid":"AllowEC2Actions",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AttachNetworkInterface",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": [
"*"
]
}
]
}
```
------
### Beispiel 7: Benutzer erlauben, mit der Amazon-Redshift-Konsole Ressourcen zu markieren
Mit der folgenden Beispielrichtlinie kann ein Benutzer Ressourcen mit der Amazon-Redshift-Konsole über die AWS -Ressourcengruppen markieren. Diese Richtlinie kann einer Benutzerrolle zugewiesen werden, die die neue oder ursprüngliche Amazon-Redshift-Konsole aufruft. Weitere Informationen über das Markieren mit Tags finden Sie unter [Markieren von Ressourcen in Amazon Redshift](amazon-redshift-tagging.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"TaggingPermissions",
"Effect": "Allow",
"Action": [
"redshift:DeleteTags",
"redshift:CreateTags",
"redshift:DescribeTags",
"tag:UntagResources",
"tag:TagResources"
],
"Resource": "*"
}
]
}
```
------
## Beispiel 8: IAM-Richtlinie für die Verwendung GetClusterCredentials
Die folgende Richtlinie verwendet diese Beispielparameterwerte:
+ Region: `us-west-2`
+ AWS Konto: `123456789012`
+ Cluster name: `examplecluster`
Die folgende Richtlinie aktiviert die Aktionen `GetCredentials`, `CreateClusterUser` und `JoinGroup`. Die Richtlinie verwendet Bedingungsschlüssel, um die `CreateClusterUser` Aktionen `GetClusterCredentials` und nur dann zuzulassen, wenn die AWS Benutzer-ID übereinstimmt`"AIDIODR4TAW7CSEXAMPLE:${redshift:DbUser}@yourdomain.com"`. IAM-Zugriff ist nur für die `"testdb"`-Datenbank erforderlich. Die Richtlinie erlaubt Benutzern auch, einer Gruppe namens `"common_group"` beizutreten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"GetClusterCredsStatement",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:us-west-2:123456789012:dbuser:examplecluster/${redshift:DbUser}",
"arn:aws:redshift:us-west-2:123456789012:dbname:examplecluster/testdb",
"arn:aws:redshift:us-west-2:123456789012:dbgroup:examplecluster/common_group"
],
"Condition": {
"StringEquals": {
"aws:userid":"AIDIODR4TAW7CSEXAMPLE:${redshift:DbUser}@yourdomain.com"
}
}
},
{
"Sid":"CreateClusterUserStatement",
"Effect": "Allow",
"Action": [
"redshift:CreateClusterUser"
],
"Resource": [
"arn:aws:redshift:us-west-2:123456789012:dbuser:examplecluster/${redshift:DbUser}"
],
"Condition": {
"StringEquals": {
"aws:userid":"AIDIODR4TAW7CSEXAMPLE:${redshift:DbUser}@yourdomain.com"
}
}
},
{
"Sid":"RedshiftJoinGroupStatement",
"Effect": "Allow",
"Action": [
"redshift:JoinGroup"
],
"Resource": [
"arn:aws:redshift:us-west-2:123456789012:dbgroup:examplecluster/common_group"
]
}
]
}
```
------
Das folgende Beispiel zeigt eine Richtlinie, die zulässt, dass die IAM-Rolle die Operation `GetClusterCredentials` aufruft. Indem Sie die Amazon-Redshift-Ressource `dbuser` angeben, gewähren Sie der Rolle Zugriff auf den Datenbankbenutzernamen ` temp_creds_user` auf dem Cluster ` examplecluster`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": "arn:aws:redshift:us-west-2:123456789012:dbuser:examplecluster/temp_creds_user"
}
}
```
------
Sie können einen Platzhalter (\$1) verwenden, um Cluster-Namen, Benutzernamen und Datenbankgruppennamen ganz oder teilweise zu ersetzen. Im folgenden Beispiel wird jedem Benutzernamen Zugriff gewährt, der mit `temp_` beginnt, sich in einem beliebigen Cluster befindet und zum angegebenen Konto gehört.
**Wichtig**
Die Anweisung im folgenden Beispiel gibt ein Platzhalterzeichen (\$1) als Teil des Werts für die Ressource an, sodass durch die Richtlinie alle Ressourcen zugelassen werden, die mit dem angegebenen Zeichen beginnen. Durch die Verwendung eines Platzhalterzeichens in Ihren IAM-Richtlinien werden großzügige Berechtigungen erteilt. Deshalb wird empfohlen, eine möglichst restriktive Richtlinie für Ihre Geschäftsanwendung zu nutzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": "arn:aws:redshift:us-west-2:123456789012:dbuser:*/temp_*"
}
}
```
------
Das folgende Beispiel zeigt eine Richtlinie, die der IAM-Rolle den Aufruf der Operation `GetClusterCredentials` ermöglicht. Dabei besteht die Möglichkeit, automatisch einen neuen Benutzer zu erstellen und Gruppen anzugeben, denen der Benutzer bei der Anmeldung zugewiesen wird. Die Klausel `"Resource": "*" ` gewährt der Rolle Zugriff auf jede beliebige Ressource, einschließlich Clustern, Datenbankbenutzern und Benutzergruppen.
**Wichtig**
Die Anweisung im folgenden Beispiel gibt ein Platzhalterzeichen (\$1) als Ressource für die angegebenen Aktionen an, sodass die Richtlinie allen Cluster- und Datenbankbenutzern Zugriff gewährt und die Erstellung beliebiger Benutzer ermöglicht. Durch die Verwendung eines Platzhalterzeichens in Ihren IAM-Richtlinien werden großzügige Berechtigungen erteilt. Deshalb wird empfohlen, eine möglichst restriktive Richtlinie für Ihre Geschäftsanwendung zu nutzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials",
"redshift:CreateClusterUser",
"redshift:JoinGroup"
],
"Resource": "*"
}
}
```
------
Weitere Informationen dazu finden Sie unter [Amazon Redshift – ARN-Syntax](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-redshift).