View a markdown version of this page

Configuración de permisos para programar una consulta - Amazon Redshift

Amazon Redshift dejará de admitir la creación de nuevas UDF de Python a partir del parche 198. Las UDF de Python existentes seguirán funcionando hasta el 30 de junio de 2026. Para obtener más información, consulte la publicación del blog.

Configuración de permisos para programar una consulta

Para programar consultas, el usuario de AWS Identity and Access Management (IAM) que define la programación y el rol de IAM asociado a la programación se deben configurar con los permisos de IAM para poder utilizar Amazon EventBridge y la API de datos de Amazon Redshift. Para recibir correos electrónicos de consultas programadas, también debe configurarse la notificación de Amazon SNS que especifique de forma opcional.

A continuación se describen las tareas para utilizar las políticas administradas de AWS para conceder permisos, pero según el entorno, es posible que prefiera reducir el alcance de los permisos concedidos.

Para el usuario de IAM que haya iniciado sesión en el editor de consultas versión 2, edite el usuario de IAM mediante la consola de IAM (https://console.aws.amazon.com/iam/).

  • Además de los permisos para ejecutar las operaciones de Amazon Redshift y del editor de consultas versión 2, adjunte las políticas administradas AmazonEventBridgeFullAccess y AmazonRedshiftDataFullAccess AWS a un usuario de IAM.

  • Como alternativa, asigne los permisos a un rol y asigne el rol al usuario.

    Adjunte una política con el permiso sts:AssumeRole al ARN del recurso del rol de IAM que especifique cuando defina la consulta programada. Para obtener más información sobre cómo asumir roles, consulte Conceder permisos de usuario para cambiar de rol en la Guía del usuario de IAM.

    En el siguiente ejemplo, se muestra una política de permisos que asume el rol de IAM myRedshiftRole en la cuenta 123456789012. El rol de IAM myRedshiftRole también es el rol de IAM que se adjunta al clúster o grupo de trabajo en el que se ejecuta la consulta programada.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AssumeIAMRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::123456789012:role/myRedshiftRole"
            ]
        }
    ]
}

    Actualice la política de confianza del rol de IAM utilizado para programar la consulta a fin de permitir que el usuario de IAM la asuma.

    {
            "Sid": "AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/myIAMusername"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Para el rol de IAM que especifique para permitir la ejecución de la consulta programada, edite el rol de IAM mediante la consola de IAM (https://console.aws.amazon.com/iam/).

  • Adjunte las políticas administradas AmazonRedshiftDataFullAccess y AmazonEventBridgeFullAccess de AWS al rol de IAM. La política administrada AmazonRedshiftDataFullAccess solo permite el permiso redshift-serverless:GetCredentials para los grupos de trabajo Redshift sin servidor que estén etiquetados con la clave RedshiftDataFullAccess.