Identity and Access Management in Amazon Redshift - Amazon Redshift
Authentifizierung mit IdentitätenZugriffskontrolle

Amazon Redshift unterstützt ab dem 1. November 2025 nicht mehr die Erstellung neuer Python-UDFs. Wenn Sie Python-UDFs verwenden möchten, erstellen Sie die UDFs vor diesem Datum. Bestehende Python-UDFs funktionieren weiterhin wie gewohnt. Weitere Informationen finden Sie im Blog-Posting.

Identity and Access Management in Amazon Redshift

Für den Zugriff auf Amazon Redshift werden Anmeldeinformationen benötigt, die AWS zur Authentifizierung Ihrer Anforderungen verwenden kann. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS-Ressourcen, wie einen Amazon-Redshift-Cluster, verfügen. In den folgenden Abschnitten erfahren Sie, wie Sie Ihre Ressourcen mithilfe von AWS Identity and Access Management (IAM) und Amazon Redshift sichern können, indem Sie den Zugriff auf sie kontrollieren:

Wichtig

Dieses Thema enthält eine Sammlung bewährter Methoden für die Verwaltung von Berechtigungen, Identitäten und sicherem Zugriff. Wir empfehlen Ihnen, sich mit den bewährten Methoden für die Verwendung von IAM mit Amazon Redshift vertraut zu machen. Hierzu gehört auch die Verwendung von IAM-Rollen zur Anwendung von Berechtigungen. Wenn Sie die Informationen in diesen Abschnitten gut verstehen, sind Sie besser in der Lage, ein sichereres Amazon Redshift Data Warehouse zu verwalten.

Authentifizierung mit Identitäten

Sie melden sich über eine Authentifizierung mit Ihren Anmeldeinformationen bei AWS an. Die Authentifizierung muss als Root-Benutzer des AWS-Kontos, als IAM-Benutzer oder durch Übernahme einer IAM-Rolle erfolgen.

Sie können sich als Verbundidentität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single-Sign-On-Authentifizierung oder Google-/Facebook-Anmeldeinformationen verwenden. Weitere Informationen zum Anmelden finden Sie unter So melden Sie sich bei Ihrem AWS-Konto an im Benutzerhandbuch für AWS-Anmeldung.

AWS bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter AWS Signature Version 4 for API requests im IAM-Benutzerhandbuch.

AWS-Konto-Root-Benutzer

Wenn Sie ein AWS-Konto neu erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die als Root-Benutzer für das AWS-Konto bezeichnet wird und über kompletten Zugriff auf sämtliche AWS-Services und Ressourcen im Konto verfügt. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Tasks that require root user credentials im IAM-Benutzerhandbuch.

IAM-Benutzer und -Gruppen

Ein IAM-Benutzer ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Verwenden Sie möglichst temporäre Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie unter Menschliche Benutzer auffordern, den Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären Anmeldeinformationen auf AWS zuzugreifen im IAM-Benutzerhandbuch.

Eine IAM-Gruppe gibt eine Sammlung von IAM-Benutzern an und vereinfacht die Verwaltung von Berechtigungen bei großer Benutzerzahl. Weitere Informationen finden Sie unter Use cases for IAM users im IAM-Benutzerhandbuch.

IAM-Rollen

Eine IAM-Rolle ist eine Identität mit bestimmten Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine IAM-Rolle übernehmen, indem Sie von einem Benutzer zu einer IAM-Rolle (Konsole) wechseln oder eine AWS CLI- bzw. AWS-API-Operation aufrufen. Weitere Informationen finden Sie unter Methods to assume a role im IAM-Benutzerhandbuch.

IAM-Rollen sind nützlich für Verbundbenutzerzugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die in Amazon EC2 ausgeführt werden. Weitere Informationen finden Sie unter Kontoübergreifender Ressourcenzugriff in IAM im IAM-Benutzerhandbuch.

Anmerkung

Forward Access Sessions (FAS) in Redshift sind nur 12 Stunden gültig. Nach Ablauf dieses Zeitraums muss jede Verbindungssitzung, die FAS zur Integration mit anderen Services verwendet, erneut hergestellt werden.

Zugriffskontrolle

Auch wenn Sie über gültige Anmeldeinformationen zur Authentifizierung Ihrer Anforderungen verfügen, können Sie nur dann Amazon-Redshift-Ressourcen erstellen oder aufrufen, wenn Sie die entsprechenden Berechtigungen haben. Sie müssen beispielsweise über eine Berechtigung zum Erstellen eines Amazon-Redshift-Clusters, zum Erstellen eines Snapshots, zum Hinzufügen eines Ereignisabonnements usw. verfügen.

In den folgenden Abschnitten wird die Verwaltung von Berechtigungen für Amazon Redshift beschrieben. Wir empfehlen Ihnen, zunächst die Übersicht zu lesen.