Comment ça marche Configuration de l'intégration avec Amazon S3 Access Grants Utilisation de l'intégration avec S3 Access Grants

Intégration d'Amazon Redshift avec Amazon S3 Access Grants

Grâce à l'intégration avec Amazon S3 Access Grants, vous pouvez facilement propager vos identités IAM Identity Center afin de contrôler l'accès aux données Amazon S3. Cette intégration vous permet d'autoriser l'accès aux données Amazon S3 en fonction des utilisateurs et des groupes IAM Identity Center.

Pour plus d'informations sur les subventions d'accès Amazon S3, consultez la section Gestion de l'accès avec les subventions d'accès S3.

L'utilisation d'Amazon S3 Access Grants offre à votre application les avantages suivants :

Contrôle d'accès précis aux données Amazon S3, basé sur les identités du centre d'identité IAM.
Gestion centralisée des identités IAM Identity Center sur Amazon Redshift et Amazon S3.
Vous pouvez éviter de gérer des autorisations IAM distinctes pour l'accès à Amazon S3.

Comment ça marche

Pour intégrer votre application aux autorisations d'accès Amazon S3, procédez comme suit :

Tout d'abord, vous configurez Amazon Redshift pour qu'il s'intègre à Amazon S3 Access Grants à l'aide du AWS Management Console ou. AWS CLI
Ensuite, un utilisateur disposant de privilèges d'administrateur iDC accorde l'accès au compartiment ou au préfixe Amazon S3 à des utilisateurs/groupes iDC spécifiques, à l'aide du service Amazon S3 Access Grants. Pour plus d'informations, consultez la section Utilisation des autorisations dans S3 Access Grants.
Lorsqu'un utilisateur iDC authentifié auprès de Redshift exécute une requête pour accéder à S3 (telle qu'une opération COPY, UNLOAD ou Spectrum), Amazon Redshift récupère les informations d'identification d'accès S3 temporaires associées à cette identité iDC auprès du service Amazon S3 Access Grants.
Amazon Redshift utilise ensuite les informations d'identification temporaires récupérées pour accéder aux sites Amazon S3 autorisés pour cette requête.

Configuration de l'intégration avec Amazon S3 Access Grants

Pour configurer l'intégration avec l'intégration avec Amazon S3 Access Grants pour Amazon Redshift, procédez comme suit :

Rubriques

Configuration de l'intégration avec Amazon S3 Access Grants à l'aide du AWS Management Console
Activation de l'intégration avec Amazon S3 Access Grants à l'aide du AWS CLI

Configuration de l'intégration avec Amazon S3 Access Grants à l'aide du AWS Management Console

Ouvrez la console Amazon Redshift.
Choisissez votre cluster dans le volet Clusters.
Sur la page de détails de votre cluster, dans la section Intégration du fournisseur d'identité, activez l'intégration avec le service S3 Access Grants.

Note
La section d'intégration du fournisseur d'identité n'apparaît pas si IAM Identity Center n'est pas configuré. Pour plus d'informations, consultez la section Activation AWS IAM Identity Center.

Activation de l'intégration avec Amazon S3 Access Grants à l'aide du AWS CLI

Pour créer une nouvelle application Amazon Redshift iDC avec l'intégration S3 activée, procédez comme suit :


aws redshift create-redshift-idc-application <other parameters> 
  --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'

Pour modifier une application existante afin d'activer l'intégration de S3 Access Grants, procédez comme suit :


aws redshift modify-redshift-idc-application <other parameters>
  --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Enabled"}}]} ]'

Pour modifier une application existante afin de désactiver l'intégration de S3 Access Grants, procédez comme suit :


aws redshift modify-redshift-idc-application <other parameters>
  --service-integrations '[ {"S3AccessGrants": [{"ReadWriteAccess": {"Authorization": "Disabled"}}]} ]'

Utilisation de l'intégration avec S3 Access Grants

Après avoir configuré l'intégration de S3 Access Grants, les requêtes qui accèdent aux données S3 (telles que les requêtes COPYUNLOAD, ou Spectrum) utilisent l'identité iDC pour l'autorisation. Les utilisateurs qui ne sont pas authentifiés à l'aide d'iDC peuvent également exécuter ces requêtes, mais ces comptes utilisateur ne bénéficient pas de l'administration centralisée fournie par iDC.

L'exemple suivant montre les requêtes exécutées avec l'intégration de S3 Access Grants :


COPY table FROM 's3://mybucket/data';  // -- Redshift uses IdC identity 
UNLOAD ('SELECT * FROM table') TO 's3://mybucket/unloaded/'    // -- Redshift uses IdC identity

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création automatique de rôles pour AWS IAM Identity Center

Interrogation de données via AWS Lake Formation