Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im [Blog-Posting](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identity and Access Management in Amazon Redshift Serverless
Für den Zugriff auf Amazon Redshift sind Anmeldeinformationen erforderlich, mit denen Sie Ihre Anfragen authentifizieren AWS können. Diese Anmeldeinformationen müssen über Berechtigungen für den Zugriff auf AWS Ressourcen wie Amazon Redshift Serverless verfügen.
In den folgenden Abschnitten erfahren Sie, wie Sie AWS Identity and Access Management (IAM) und Amazon Redshift verwenden können, um Ihre Ressourcen zu schützen, indem Sie kontrollieren, wer darauf zugreifen kann. Weitere Informationen finden Sie unter [Identity and Access Management in Amazon Redshift](redshift-iam-authentication-access-control.md).
# Amazon Redshift Serverless Berechtigungen gewähren
Für den Zugriff auf andere AWS Dienste benötigt Amazon Redshift Serverless Berechtigungen. Für einige Amazon Redshift-Funktionen muss Amazon Redshift in Ihrem Namen auf andere AWS Dienste zugreifen. Damit Ihre Amazon-Redshift-Serverless-Instance in Ihrem Namen aktiv werden kann, geben Sie Sicherheitsanmeldeinformationen für sie an. Die bevorzugte Methode zur Bereitstellung von Sicherheitsanmeldedaten ist die Angabe einer AWS Identity and Access Management (IAM-) Rolle. Sie können auch eine IAM-Rolle über die Amazon-Redshift-Konsole erstellen und als Standard festlegen. Weitere Informationen finden Sie unter [Erstellen einer IAM-Rolle als Standard für Amazon Redshift](#serverless-default-iam-role).
Um auf andere AWS Dienste zuzugreifen, erstellen Sie eine IAM-Rolle mit den entsprechenden Berechtigungen. Sie müssen die Rolle auch Amazon Redshift Serverless zuordnen. Geben Sie außerdem entweder den Amazon-Ressourcennamen (ARN) der Rolle an, wenn Sie den Amazon-Redshift-Befehl ausführen, oder geben Sie das `default`-Schlüsselwort an.
Wenn Sie die Vertrauensstellung für die IAM-Rolle in der ändern [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), stellen Sie sicher, dass sie `redshift-serverless.amazonaws.com` und `redshift.amazonaws.com` als Prinzipaldienstnamen enthält. Informationen zur Verwaltung von IAM-Rollen für den Zugriff auf andere AWS Dienste in Ihrem Namen finden Sie unter. [Amazon Redshift autorisieren, in Ihrem Namen auf AWS Services zuzugreifen](authorizing-redshift-service.md)
## Erstellen einer IAM-Rolle als Standard für Amazon Redshift
Wenn Sie IAM-Rollen über die Amazon Redshift-Konsole erstellen, erstellt Amazon Redshift programmgesteuert die Rollen in Ihrem. AWS-Konto Amazon Redshift fügt ihnen auch automatisch bestehende AWS verwaltete Richtlinien hinzu. Bei dieser Methode können Sie in der Amazon-Redshift-Konsole bleiben und müssen zur Rollenerstellung nicht zur IAM-Konsole wechseln.
Bei der IAM-Rolle, die Sie über die Konsole für Ihren Cluster erstellen, ist die verwaltete Richtlinie `AmazonRedshiftAllCommandsFullAccess` automatisch angefügt. Diese IAM-Rolle ermöglicht es Amazon Redshift, Daten für AWS Ressourcen in Ihrem IAM-Konto zu kopieren, zu entladen, abzufragen und zu analysieren. Zu den entsprechenden Befehlen gehören COPY, UNLOAD, CREATE EXTERNAL FUNCTION, CREATE EXTERNAL TABLE, CREATE EXTERNAL SCHEMA, CREATE MODEL und CREATE LIBRARY. Weitere Informationen zum Erstellen einer IAM-Roll als Standard für Amazon Redshift finden Sie unter [Erstellen einer IAM-Rolle als Standard für Amazon Redshift](#serverless-default-iam-role).
Um mit der Erstellung einer IAM-Rolle als Standard für Amazon Redshift zu beginnen, öffnen Sie die AWS-Managementkonsole, wählen Sie die Amazon Redshift Redshift-Konsole aus und wählen Sie dann im Menü **Redshift Serverless** aus. Im Serverless-Dashboard können Sie eine neue Arbeitsgruppe erstellen. In den Schritten zur Erstellung können Sie eine IAM-Rolle auswählen oder eine neue IAM-Rolle konfigurieren.
Wenn Sie bereits über eine Arbeitsgruppe in Amazon Redshift Serverless verfügen und IAM-Rollen für sie konfigurieren möchten, öffnen Sie die AWS-Managementkonsole. Wählen Sie die Amazon-Redshift-Konsole und dann **Redshift Serverless** aus. Wählen Sie in der Konsole von Amazon Redshift Serverless die Option **Namespace-Konfiguration** aus. Unter **Sicherheit und Verschlüsselung** können Sie die Berechtigungen bearbeiten.
### Zuweisen von IAM-Rollen zu einem Namespace
Jede IAM-Rolle ist eine AWS Identität mit Berechtigungsrichtlinien, die festlegen, welche Aktionen jede Rolle ausführen kann. AWS Die Rolle sollte von jedem übernommen werden können, der sie benötigt. Darüber hinaus ist jeder Namespace eine Sammlung von Objekten, wie Tabellen und Schemata, und Benutzern. Wenn Sie Amazon Redshift Serverless verwenden, können Sie Ihrem Namespace mehrere IAM-Rollen zuordnen. Dies erleichtert die adäquate Strukturierung Ihrer Berechtigungen für eine Sammlung von Datenbankobjekten, sodass Rollen Aktionen sowohl für interne als auch für externe Daten ausführen können. Zum Beispiel, damit Sie einen `COPY`-Befehl in einer Amazon-Redshift-Datenbank ausführen können, um Daten von Amazon S3 abzurufen und eine Redshift-Tabelle auszufüllen.
Sie können einem Namespace über die Konsole mehrere Rollen zuordnen, wie zuvor in diesem Abschnitt beschrieben. Außerdem können Sie den API-Befehl `CreateNamespace` oder den CLI-Befehl `create-namespace` verwenden. Mit dem API- oder CLI-Befehl können Sie dem Namespace IAM-Rollen zuweisen, indem Sie `IAMRoles` mit einer oder mehreren Rollen ausfüllen. Insbesondere fügen ARNs Sie der Sammlung bestimmte Rollen hinzu.
#### Verwalten von mit einem Namespace verknüpften IAM-Rollen
Auf der können AWS-Managementkonsole Sie die Berechtigungsrichtlinien für Rollen in verwalten AWS Identity and Access Management. Sie können IAM-Rollen für den Namespace verwalten, indem Sie die unter **Namespace configuration** (Namespace-Konfiguration) verfügbaren Einstellungen verwenden. Weitere Informationen zu Namespaces und deren Verwendung in Amazon Redshift Serverless finden Sie unter [Arbeitsgruppen und Namespaces](serverless-workgroup-namespace.md).
# Erste Schritte mit IAM-Anmeldeinformationen für Amazon Redshift
Wenn Sie sich zum ersten Mal bei der Amazon-Redshift-Konsole anmelden und Amazon Redshift Serverless zum ersten Mal ausprobieren, empfehlen wir, dass Sie sich als Benutzer mit einer angefügten IAM-Rolle anmelden, die über die erforderlichen Richtlinien verfügt. Nachdem Sie mit dem Erstellen einer Instance von Amazon Redshift Serverless begonnen haben, zeichnet Amazon Redshift den IAM-Rollennamen auf, den Sie bei der Anmeldung verwendet haben. Sie können dieselben Anmeldeinformationen verwenden, um sich bei der Amazon-Redshift-Konsole und der Konsole von Amazon Redshift Serverless anzumelden.
Beim Erstellen der Amazon-Redshift-Serverless-Instance können Sie eine Datenbank erstellen. Verwenden Sie den Abfrage-Editor v2, um mit der Option für temporäre Anmeldeinformationen eine Verbindung zur Datenbank herzustellen.
Um einen neuen Admin-Benutzernamen und ein neues Passwort permanent für die Datenbank hinzuzufügen, wählen Sie **Customize admin user credentials** (Anpassen von Administratoranmeldeinformationen) aus und geben Sie einen neuen Benutzernamen und ein Passwort für den Administrator ein.
Verwenden Sie eine IAM-Rolle, um mit der Verwendung von Amazon Redshift Serverless zu beginnen und zum ersten Mal eine Arbeitsgruppe und einen Namespace in der Konsole zu erstellen. Stellen Sie sicher, dass diese Rolle entweder über die Administratorberechtigung ` arn:aws:iam::aws:policy/AdministratorAccess` oder die vollständige Amazon-Redshift-Berechtigung `arn:aws:iam::aws:policy/AmazonRedshiftFullAccess` verfügt, die der IAM-Richtlinie angefügt ist.
In den folgenden Szenarien wird beschrieben, wie Ihre IAM-Anmeldeinformationen von Amazon Redshift Serverless verwendet werden, wenn Sie mit der Nutzung der Amazon-Redshift-Serverless-Konsole beginnen:
+ Wenn Sie **Use default settings** (Standardeinstellungen verwenden) angeben, wandelt Amazon Redshift Serverless Ihre aktuelle IAM-Identität in einen Datenbank-Superuser um. Sie können dieselbe IAM-Identität mit der Amazon-Redshift-Serverless-Konsole verwenden, um Superuser-Aktionen in Ihrer Datenbank in Amazon Redshift Serverless durchzuführen.
+ Wen Sie **Customize settings** (Einstellungen anpassen) auswählen, ohne einen **Admin user name** (Administrator-Benutzernamen) und ein Passwort anzugeben, verwendet Amazon Redshift Serverless Ihre aktuellen IAM-Anmeldeinformationen als Standard-Administratoranmeldeinformationen.
+ Wenn Sie **Customize settings** (Einstellungen anpassen) auswählen und einen **Admin unser name** (Administrator-Benutzernamen) und ein Passwort angeben, wandelt Amazon Redshift Serverless Ihre aktuelle IAM-Identität in einen Datenbank-Superuser um. Amazon Redshift Serverless erstellt auch eine weitere dauerhafte Kombination aus Benutzername und Passwort für einen Superuser. Sie können entweder Ihre aktuelle IAM-Identität oder das erstellte Paar aus Benutzername und Passwort verwenden, um sich als Superuser in Ihrer Datenbank anzumelden.
# Zugreifen auf Datenbankobjekte in Amazon Redshift Serverless mit Datenbankrollenberechtigungen
Dieses Verfahren zeigt, wie Sie die Berechtigung erteilen, eine Tabelle über eine [Amazon-Redshift-Datenbankrolle](https://docs.aws.amazon.com/redshift/latest/dg/t_Roles.html) abzufragen. Die Rolle wird mithilfe eines Tags zugewiesen, das einem Benutzer in IAM angefügt ist und bei der Anmeldung an Amazon Redshift übergeben wird. Es ist eine beispielhafte Erklärung der unter [Definieren von Datenbankrollen, die Verbundbenutzern in Amazon Redshift Serverless zugewiesen werden sollen](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-access-federated-db-roles.html) genannten Konzepte. Der Vorteil dieser Schritte besteht darin, dass Sie einem Benutzer eine Datenbankrolle zuordnen können und seine Berechtigungen nicht für jedes Datenbankobjekt festlegen müssen. Es vereinfacht die Verwaltung der Fähigkeit des Benutzers, Daten abzufragen, zu ändern oder zu Tabellen hinzuzufügen sowie andere Aktionen auszuführen.
Das Verfahren setzt voraus, dass Sie bereits eine Datenbank von Amazon Redshift Serverless eingerichtet haben und dass Sie in der Datenbank Berechtigungen gewähren können. Außerdem wird davon ausgegangen, dass Sie berechtigt sind, einen IAM-Benutzer in der AWS Konsole zu erstellen, eine IAM-Rolle zu erstellen und Richtlinienberechtigungen zuzuweisen.
1. Erstellen Sie einen IAM-Benutzer mithilfe der IAM-Konsole. Später stellen Sie mit diesem Benutzer eine Verbindung mit der Datenbank her.
1. Erstellen Sie eine Redshift-Datenbankrolle mit dem Abfrage-Editor v2 oder einem anderen SQL-Client. Weitere Informationen zum Erstellen von Datenbankrollen finden Sie unter [CREATE ROLE](https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_ROLE.html).
```
CREATE ROLE urban_planning;
```
Fragen Sie die Systemansicht [SVV\$1ROLES](https://docs.aws.amazon.com/redshift/latest/dg/r_SVV_ROLES.html) ab, um zu überprüfen, ob Ihre Rolle erstellt wurde. Es werden außerdem Systemrollen zurückgegeben.
```
SELECT * from SVV_ROLES;
```
1. Erteilen Sie der von Ihnen erstellten Datenbankrolle die Berechtigung, Daten aus einer Tabelle auszuwählen. (Der IAM-Benutzer, den Sie erstellt haben, meldet sich irgendwann an und wählt mithilfe der Datenbankrolle Datensätze aus der Tabelle aus.) Der Rollenname und der Tabellenname im folgenden Codebeispiel sind Beispiele. Hier wird die Berechtigung erteilt, Daten aus einer Tabelle mit dem Namen `cities` auszuwählen.
```
GRANT SELECT on TABLE cities to ROLE urban_planning;
```
1. Verwenden Sie die AWS Identity and Access Management Konsole, um eine IAM-Rolle zu erstellen. Diese Rolle erteilt die Berechtigung zur Verwendung des Abfrage-Editors v2. Erstellen Sie eine neue IAM-Rolle und wählen Sie für den Typ der vertrauenswürdigen Entität **AWS -Konto** aus. Klicken Sie dann auf **Konto hinzufügen**. Erteilen Sie der Rolle die folgende Richtlinienberechtigungen:
+ `AmazonRedshiftReadOnlyAccess`
+ `tag:GetResources`
+ `tag:GetTagKeys`
+ Alle Aktionen für sqlworkbench, einschließlich `sqlworkbench:ListDatabases` und `sqlworkbench:UpdateConnection`.
1. Fügen Sie in der IAM-Konsole dem IAM-Benutzer, den Sie zuvor erstellt haben, ein Tag mit dem **Schlüssel** `RedshiftDbRoles` hinzu. Der Wert des Tags sollte mit der Datenbankrolle übereinstimmen, die Sie im ersten Schritt erstellt haben. Im Beispiel ist dies `urban_planning`.
Nachdem Sie diese Schritte ausgeführt haben, weisen Sie dem Benutzer, den Sie in der IAM-Konsole erstellt haben, die IAM-Rolle zu. Wenn sich der Benutzer mit dem Abfrage-Editor v2 bei der Datenbank anmeldet, wird sein Datenbankrollenname im Tag an Amazon Redshift übergeben und mit ihm verknüpft. Somit kann er mithilfe der Datenbankrolle die entsprechenden Tabellen abfragen. Zur Veranschaulichung kann der Benutzer in diesem Beispiel die Tabelle `cities` über die Datenbankrolle `urban_planning` abfragen.