View a markdown version of this page

Configuration des autorisations pour planifier une requête - Amazon Redshift

Amazon Redshift ne prendra plus en charge la création de nouveaux Python à UDFs partir du patch 198. UDFs Le Python existant continuera de fonctionner jusqu'au 30 juin 2026. Pour plus d’informations, consultez le billet de blog .

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des autorisations pour planifier une requête

Pour planifier des requêtes, l'utilisateur Gestion des identités et des accès AWS (IAM) qui définit le calendrier et le rôle IAM associé au calendrier doit être configuré avec les autorisations IAM pour utiliser Amazon et l'API Amazon EventBridge Redshift Data. Pour recevoir des e-mails des requêtes planifiées, la notification Amazon SNS que vous spécifiez éventuellement doit également être configurée.

Ce qui suit décrit les tâches liées à l'utilisation de politiques AWS gérées pour fournir des autorisations, mais en fonction de votre environnement, vous souhaiterez peut-être limiter les autorisations autorisées.

Pour l'utilisateur IAM connecté à l'éditeur de requêtes v2, modifiez l'utilisateur IAM à l'aide de la console IAM (). https://console.aws.amazon.com/iam/

  • Outre les autorisations nécessaires pour exécuter les opérations Amazon Redshift et Query Editor v2, associez AmazonEventBridgeFullAccess les politiques AmazonRedshiftDataFullAccess AWS gérées à un utilisateur IAM.

  • Vous pouvez également attribuer les autorisations à un rôle et attribuer le rôle à l'utilisateur.

    Attachez une politique qui accorde l'autorisation sts:AssumeRole à l'ARN de ressource du rôle IAM que vous spécifiez lors de la définition de la requête planifiée. Pour en savoir plus sur l'endossement de rôles, consultez Octroi d'autorisations à un utilisateur pour endosser un rôle dans le Guide de l'utilisateur IAM.

    L'exemple suivant illustre une politique d'autorisation qui endosse le rôle IAM myRedshiftRole dans le compte 123456789012. Le rôle IAM myRedshiftRole est également le rôle IAM qui est attaché au cluster ou au groupe de travail où s'exécute la requête planifiée.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AssumeIAMRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::123456789012:role/myRedshiftRole"
            ]
        }
    ]
}

    Mettez à jour la politique d'approbation du rôle IAM utilisé pour planifier la requête afin de permettre à l'utilisateur IAM de l'endosser.

    {
            "Sid": "AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/myIAMusername"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Pour le rôle IAM que vous spécifiez pour autoriser l'exécution de la requête planifiée, modifiez le rôle IAM à l'aide de la console IAM (). https://console.aws.amazon.com/iam/

  • Associez AmazonRedshiftDataFullAccess les politiques AmazonEventBridgeFullAccess AWS gérées au rôle IAM. La politique gérée AmazonRedshiftDataFullAccess accepte uniquement l'autorisation redshift-serverless:GetCredentials pour les groupes de travail Redshift sans serveur balisés avec la clé RedshiftDataFullAccess.