Autorisation d’une unité de partage des données dans Amazon Redshift - Amazon Redshift

Amazon Redshift ne prendra plus en charge la création de nouvelles fonctions Python définies par l’utilisateur à compter du 1er novembre 2025. Si vous souhaitez utiliser des fonctions Python définies par l’utilisateur, créez-les avant cette date. Les fonctions Python définies par l’utilisateur existantes continueront de fonctionner normalement. Pour plus d’informations, consultez le billet de blog .

Autorisation d’une unité de partage des données dans Amazon Redshift

Avec Amazon Redshift, vous pouvez contrôler l’accès aux unités de partage des données en autorisant certains consommateurs. Les unités de partage des données vous permettent de partager des données en direct entre des clusters Amazon Redshift appartenant à un même compte AWS ou à des comptes différents, ce qui vous permet de distribuer et de consommer des données analytiques en toute simplicité. Cette section fournit des instructions détaillées permettant d’autoriser et de révoquer l’accès consommateur à vos unités de partage des données dans Amazon Redshift.

Note

Si vous ajoutez un espace de noms en tant que consommateur de données, vous n’êtes pas tenu d’effectuer d’autorisation. Pour autoriser une unité de partage des données, il doit y avoir au moins un consommateur de données ajouté à l’unité de partage des données.

Console

En tant qu’administrateur producteur sur la console, vous choisissez les consommateurs de données auxquels autoriser l’accès à des unités de partage des données ou retirer l’autorisation. Les consommateurs de données autorisés reçoivent des notifications pour prendre des mesures sur les unités de partage des données. Si vous ajoutez un espace de noms en tant que consommateur de données, vous n’êtes pas tenu d’effectuer d’autorisation.

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon Redshift à l’adresse https://console.aws.amazon.com/redshiftv2/.

  2. Dans le menu de navigation, choisissez Datashares. À partir de là, vous pouvez consulter une liste intitulée Consommateurs des unités de partage des données. Choisissez un ou plusieurs clusters consommateur que vous souhaitez autoriser. Choisissez ensuite Authorize (Autoriser).

  3. La boîte de dialogue Autoriser un compte apparaît. Vous pouvez choisir parmi plusieurs types d’autorisation.

    • Lecture seule sur [nom du cluster ou du groupe de travail] : cela signifie qu’aucune autorisation d’écriture n’est disponible pour le consommateur, même si le créateur l’unité de partage des données a accordé des autorisations d’écriture.

    • Lecture et écriture sur [nom du cluster ou du groupe de travail] : cela signifie que toutes les autorisations attribuées par le créateur, y compris en écriture, sont disponible pour le consommateur.

  4. Choisissez Enregistrer.

Vous pouvez également autoriser AWS Data Exchange en tant que consommateur.

  1. Si vous avez choisi Publier sur AWS Glue Data Catalog au moment de créer l’unité de partage des données, vous ne pouvez accorder l’autorisation de l’unité de partage des données qu’à un compte Lake Formation.

    Pour l’unité de partage des données AWS Data Exchange, vous ne pouvez autoriser qu’une unité de partage des données à la fois.

    Lorsque vous autorisez une unité de partage des données AWS Data Exchange, vous partagez l’unité de partage des données avec le service AWS Data Exchange et vous autorisez AWS Data Exchange à gérer l’accès à l’unité de partage des données en votre nom. AWS Data Exchange permet d’accéder aux consommateurs en ajoutant des comptes consommateur en tant que consommateurs de données à l’unité de partage des données AWS Data Exchange lorsqu’ils s’abonnent aux produits. AWS Data Exchange ne dispose pas d’un accès en lecture au partage de données.

  2. Choisissez Enregistrer.

Une fois que les consommateurs de données sont autorisés, ils peuvent accéder aux objets d’unité de partage des données et créer une base de données consommateur pour interroger les données.

API

L’administrateur de sécurité producteur détermine les éléments suivants :

  • Si oui ou non un autre compte peut accéder à l’unité de partage des données.

  • Si un compte dispose ou non d’autorisations d’écriture en cas d’accès à l’unité de partage des données.

Les autorisations IAM suivantes sont obligatoires pour autoriser une unité de partage des données :

redshift:AuthorizeDataShare

Vous pouvez autoriser l’utilisation et l’écriture à l’aide d’un appel CLI ou de l’API :

authorize-data-share
--data-share-arn <value>
--consumer-identifier <value>
[--allow-writes | --no-allow-writes]

Pour obtenir plus d’informations sur la commande, consultez authorize-data-share.

L’identifiant du consommateur peut être soit :

  • Un identifiant de compte AWS à douze chiffres

  • L’ARN d’identifiant de l’espace de noms

Note

Notez que les autorisations d’écriture ne sont pas accordées lors de l’étape d’autorisation. Autoriser l’écriture sur une unité de partage des données permet simplement au compte de disposer des autorisations d’écriture accordées par l’administrateur de l’unité de partage des données. Si un administrateur n’autorise pas les écritures, les seules autorisations disponibles pour le consommateur concerné sont SELECT, USAGE et EXECUTE.

Vous pouvez modifier l’autorisation d’un consommateur d’unité de partage des données en appelant authorize-data-share à nouveau, mais avec une valeur différente. L’ancienne autorisation est remplacée par la nouvelle. Ainsi, si vous autorisez et autorisez les écritures à l’origine, mais que vous réautorisez et spécifiez no-allow-writes ou simplement pas de valeur, le consommateur verra ses autorisations d’écriture révoquées.