Verwaltung von Amazon-Redshift-Administratorpasswörtern mit AWS Secrets Manager - Amazon Redshift
Erforderliche Berechtigungen für die AWS Secrets Manager-IntegrationRotation des Administratorpasswort-SecretsÜberlegungen zur Verwendung von AWS Secrets Manager mit Amazon Redshift

Amazon Redshift wird UDFs ab dem 1. November 2025 die Erstellung von neuem Python nicht mehr unterstützen. Wenn Sie Python verwenden möchten UDFs, erstellen Sie das UDFs vor diesem Datum liegende. Bestehendes Python UDFs wird weiterhin wie gewohnt funktionieren. Weitere Informationen finden Sie im Blog-Posting.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Amazon-Redshift-Administratorpasswörtern mit AWS Secrets Manager

Amazon Redshift kann mit AWS Secrets Manager integriert werden, um Administratoranmeldeinformationen innerhalb eines verschlüsselten Secrets zu generieren und zu verwalten. Mit AWS Secrets Manager können Sie Ihre Administratorpasswörter durch einen API-Aufruf ersetzen, um das Secret programmgesteuert abzurufen, wenn notwendig. Die Verwendung von Secrets anstelle hartkodierter Anmeldeinformationen reduziert das Risiko für eine Offenlegung oder Kompromittierung dieser Anmeldeinformationen. Weitere Informationen zu AWS Secrets Manager finden Sie im AWS Secrets Manager-Benutzerhandbuch.

Sie können die Verwaltung Ihres Administratorpassworts durch Amazon Redshift über AWS Secrets Manager festlegen, wenn Sie eine der folgenden Operationen ausführen:

  • Erstellen eines bereitgestellten Clusters oder Serverless-Namespace

  • Bearbeiten, aktualisieren oder ändern Sie die Administratoranmeldeinformationen eines bereitgestellten Clusters oder Serverless-Namespaces

  • Wiederherstellen eines Clusters oder Serverless-Namespace aus einem Snapshot

Wenn Sie die Verwaltung des Administratorpassworts durch Redshift in AWS Secrets Manager festlegen, generiert Amazon Redshift das Passwort und speichert es in Secrets Manager. Sie können direkt in AWS Secrets Manager auf das Secret zugreifen, um die Anmeldeinformationen für den Administratorbenutzer abzurufen. Sie können auch einen vom Kunden verwalteten Schlüssel angeben, um das Secret zu verschlüsseln, wenn Sie über ein anderes AWS-Konto auf das Secret zugreifen müssen. Sie können auch den KMS-Schlüssel verwenden, den AWS Secrets Manager bereitstellt.

Amazon Redshift verwaltet die Einstellungen für das Secret und rotiert das Secret standardmäßig alle 30 Tage. Sie können das Secret jederzeit manuell rotieren. Wenn Sie einen bereitgestellten Cluster oder einen Serverless-Namespace löschen, der ein Secret in AWS Secrets Manager verwaltet, werden das Secret und die zugehörigen Metadaten ebenfalls gelöscht.

Um eine Verbindung zu einem Cluster oder einem Serverless-Namespace herzustellen, dessen Anmeldeinformationen in einem Secret verwaltet werden, können Sie das Secret über die Secrets-Manager-Konsole oder den Secret-Manager-API-Aufruf GetSecretValue aus AWS Secrets Manager abrufen. Weitere Informationen finden Sie unter Abrufen von Secrets aus AWS Secrets Manager und Herstellen einer Verbindung mit einer SQL-Datenbank mit Anmeldeinformationen in einem AWS Secrets Manager-Secret im AWS Secrets Manager-Benutzerhandbuch.

Erforderliche Berechtigungen für die AWS Secrets Manager-Integration

Benutzer müssen die erforderlichen Berechtigungen besitzen, um Operationen im Zusammenhang mit der AWS Secrets Manager-Integration auszuführen. Sie können IAM-Richtlinien erstellen, die Berechtigungen zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die benötigt werden. Sie können diese Richtlinien dann den IAM-Berechtigungssätzen oder -Rollen anfügen, die diese Berechtigungen benötigen. Weitere Informationen finden Sie unter Identity and Access Management in Amazon Redshift.

Der Benutzer, der die Verwaltung des Administratorpassworts in AWS Secrets Manager durch Amazon Redshift angibt, muss Berechtigungen zur Ausführung der folgenden Operationen besitzen:

  • secretsmanager:CreateSecret

  • secretsmanager:RotateSecret

  • secretsmanager:DescribeSecret

  • secretsmanager:UpdateSecret

  • secretsmanager:DeleteSecret

  • secretsmanager:GetRandomPassword

  • secretsmanager:TagResource

Wenn der Benutzer im Parameter MasterPasswordSecretKmsKeyId für bereitgestellte Cluster oder im Parameter AdminPasswordSecretKmsKeyId für Serverless-Namespaces einen KMS-Schlüssel übergeben möchte, benötigt er zusätzlich zu den oben aufgeführten Berechtigungen die folgenden Berechtigungen.

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

  • kms:RetireGrant

Rotation des Administratorpasswort-Secrets

Standardmäßig rotiert Amazon Redshift das Secret automatisch alle 30 Tage, um sicherzustellen, dass die Anmeldeinformationen nicht über einen längeren Zeitraum unverändert bleiben. Wenn Amazon Redshift ein Secret mit einem Administratorpasswort rotiert, aktualisiert AWS Secrets Manager das vorhandene Secret mit einem neuen Administratorpasswort. Amazon Redshift ändert das Administratorpasswort für den Cluster so, dass es mit dem Passwort im aktualisierten Secret übereinstimmt.

Sie können mit AWS Secrets Manager ein Secret sofort rotieren, anstatt auf eine geplante Rotation zu warten. Weitere Informationen zum Rotieren von Secrets finden Sie unter Rotieren von AWS Secrets Manager-Secrets im AWS Secrets Manager-Benutzerhandbuch.

Überlegungen zur Verwendung von AWS Secrets Manager mit Amazon Redshift

Bei der Verwaltung der Administratoranmeldeinformationen des bereitgestellten Clusters oder Serverless-Namespaces mit AWS Secrets Manager müssen Sie Folgendes beachten:

  • Wenn Sie einen Cluster anhalten, dessen Administratoranmeldeinformationen durch AWS Secrets Manager verwaltet werden, wird das Secret des Clusters nicht gelöscht und Ihnen weiter in Rechnung gestellt. Secrets werden nur gelöscht, wenn Sie den Cluster löschen.

  • Wenn Ihr Cluster angehalten wird, während Amazon Redshift versucht, das angefügte Secret zu rotieren, schlägt die Rotation fehl. In diesem Fall stoppt Amazon Redshift die automatische Rotation und versucht die Rotation nicht erneut, auch dann nicht, wenn Sie die Ausführung des Clusters fortsetzen. Sie müssen den Plan für die automatische Rotation über den API-Aufruf secretsmanager:RotateSecret erneut starten, damit AWS Secrets Manager das Secret weiter automatisch rotiert.

  • Wenn Ihrem serverlosen Namespace keine Arbeitsgruppe zugeordnet ist, wenn Amazon Redshift die Rotation des Secrets versucht, schlägt die Rotation fehl und wird nicht erneut versucht, auch dann nicht, wenn Sie eine Arbeitsgruppe hinzufügen. Sie müssen den Plan für die automatische Rotation über den API-Aufruf secretsmanager:RotateSecret erneut starten, damit AWS Secrets Manager das Secret weiter automatisch rotiert.