Funktionsweise Einrichten einer Integration mit Amazon S3 Access Grants Verwenden einer Integration mit S3 Access Grants

Amazon Redshift wird UDFs ab dem 1. November 2025 die Erstellung von neuem Python nicht mehr unterstützen. Wenn Sie Python verwenden möchten UDFs, erstellen Sie das UDFs vor diesem Datum liegende. Bestehendes Python UDFs wird weiterhin wie gewohnt funktionieren. Weitere Informationen finden Sie im Blog-Posting.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon-Redshift-Integration mit Amazon S3 Access Grants

Mithilfe der Integration mit Amazon S3 Access Grants können Sie Ihre IAM-Identity-Center-Identitäten nahtlos weitergeben, um den Zugriff auf Amazon-S3-Daten zu kontrollieren. Mit dieser Integration können Sie den Amazon-S3-Datenzugriff auf der Grundlage von IAM-Identity-Center-Benutzern und -Gruppen autorisieren.

Weitere Informationen zu Amazon S3 Access Grants finden Sie unter Managing access with S3 Access Grants.

Die Verwendung von Amazon S3 Access Grants bietet Ihrer Anwendung folgende Vorteile:

Präzise Zugriffskontrolle auf Amazon-S3-Daten, basierend auf IAM-Identity-Center-Identitäten.
Zentralisierte Verwaltung von IAM-Identity-Center-Identitäten in Amazon Redshift und Amazon S3.
Sie können die Verwaltung separater IAM-Berechtigungen für den Amazon-S3-Zugriff vermeiden.

Funktionsweise

Um Ihre Anwendung mit Amazon S3 Access Grants zu integrieren, gehen Sie wie folgt vor:

Zunächst konfigurieren Sie Amazon Redshift für die Integration mit Amazon S3 Access Grants mithilfe von AWS-Managementkonsole oderAWS CLI.
Als Nächstes gewährt ein Benutzer mit IdC-Administratorrechten Amazon-S3-Bucket- oder -Präfixzugriff für bestimmte IdC-Benutzer/-Gruppen mithilfe von Amazon S3 Access Grants. Weitere Informationen finden Sie unter Working with grants in S3 Access Grants.
Wenn ein bei Redshift authentifizierter IdC-Benutzer eine Abfrage ausführt, die auf S3 zugreift (z. B. eine COPY-, UNLOAD- oder Spectrum-Operation), ruft Amazon Redshift temporäre S3-Anmeldeinformationen für den Zugriff, die auf diese IdC-Identität beschränkt sind, von Amazon S3 Access Grants ab.
Amazon Redshift verwendet dann die abgerufenen temporären Anmeldeinformationen, um auf die autorisierten Amazon-S3-Standorte für diese Abfrage zuzugreifen.

Einrichten einer Integration mit Amazon S3 Access Grants

Gehen Sie wie folgt vor, um eine Integration mit Amazon S3 Access Grants für Amazon Redshift einzurichten:

Themen

Einrichtung der Integration mit Amazon S3 Access Grants mithilfe der AWS-Managementkonsole
Aktivierung der Integration mit Amazon S3 Access Grants mithilfe der AWS CLI

Einrichtung der Integration mit Amazon S3 Access Grants mithilfe der AWS-Managementkonsole

Öffnen Sie die Amazon-Redshift-Konsole.
Wählen Sie Ihren Cluster im Fenster Cluster aus.
Aktivieren Sie auf der Detailseite Ihres Clusters im Abschnitt Identitätsanbieterintegration die Integration mit S3 Access Grants.

Anmerkung
Der Abschnitt Identitätsanbieterintegration wird nicht angezeigt, wenn Sie IAM Identity Center nicht konfiguriert haben. Weitere Informationen finden Sie unter Aktivieren AWS IAM Identity Center.

Aktivierung der Integration mit Amazon S3 Access Grants mithilfe der AWS CLI

Gehen Sie wie folgt vor, um eine neue Amazon-Redshift-IdC-Anwendung mit aktivierter S3-Integration zu erstellen:


aws redshift create-redshift-idc-application <other parameters> 
  --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'

Gehen Sie wie folgt vor, um eine vorhandene Anwendung so zu ändern, dass die Integration von S3 Access Grants aktiviert wird:


aws redshift modify-redshift-idc-application <other parameters>
  --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'

Gehen Sie wie folgt vor, um eine vorhandene Anwendung so zu ändern, dass die Integration von S3 Access Grants deaktiviert wird:


aws redshift modify-redshift-idc-application <other parameters>
  --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]'

Verwenden einer Integration mit S3 Access Grants

Nachdem Sie die Integration von S3 Access Grants konfiguriert haben, verwenden Abfragen, die auf S3-Daten zugreifen (wie COPY-, UNLOAD- oder Spectrum-Abfragen), die IdC-Identität für die Autorisierung. Benutzer, die nicht über IdC authentifiziert sind, können diese Abfragen ebenfalls ausführen, diese Benutzerkonten profitieren jedoch nicht von den Vorteilen der zentralisierten Verwaltung, die IdC bietet.

Das folgende Beispiel zeigt Abfragen, die mit der S3-Access-Grants-Integration ausgeführt werden:


COPY table FROM 's3://mybucket/data';  // -- Redshift uses IdC identity 
UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/'    // -- Redshift uses IdC identity

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Automatisches Erstellen von Rollen für AWS IAM Identity Center

Daten abfragen über AWS Lake Formation