Mengaitkan peran IAM dengan cluster - Amazon Redshift
Izin diperlukan untuk mengaitkan peran IAM dengan klasterMengelola asosiasi peran IAM dengan cluster

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaitkan peran IAM dengan cluster

Setelah Anda membuat peran IAM yang mengizinkan Amazon Redshift untuk mengakses layanan AWS lain untuk Anda, Anda harus mengaitkan peran tersebut dengan klaster Amazon Redshift. Anda harus melakukan ini sebelum Anda dapat menggunakan peran untuk memuat atau membongkar data.

Izin diperlukan untuk mengaitkan peran IAM dengan klaster

Untuk mengaitkan peran IAM dengan klaster, pengguna harus memiliki iam:PassRole izin untuk peran IAM tersebut. Izin ini memungkinkan administrator untuk membatasi peran IAM mana yang dapat dikaitkan pengguna dengan kluster Amazon Redshift. Sebagai praktik terbaik, kami menyarankan untuk melampirkan kebijakan izin ke peran IAM dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat Identitas dan manajemen akses di Amazon Redshift.

Contoh berikut menunjukkan kebijakan IAM yang dapat dilampirkan ke pengguna yang memungkinkan pengguna untuk mengambil tindakan ini:

  • Dapatkan detail untuk semua cluster Amazon Redshift yang dimiliki oleh akun pengguna tersebut.

  • Kaitkan salah satu dari tiga peran IAM dengan salah satu dari dua cluster Amazon Redshift.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "redshift:DescribeClusters",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                 "redshift:ModifyClusterIamRoles",
                 "redshift:CreateCluster"
            ],
            "Resource": [
                 "arn:aws:redshift:us-east-1:123456789012:cluster:my-redshift-cluster",
                 "arn:aws:redshift:us-east-1:123456789012:cluster:my-second-redshift-cluster"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::123456789012:role/MyRedshiftRole",
                "arn:aws:iam::123456789012:role/SecondRedshiftRole",
                "arn:aws:iam::123456789012:role/ThirdRedshiftRole"
             ]
        }
    ]
}

Setelah pengguna memiliki izin yang sesuai, pengguna tersebut dapat mengaitkan peran IAM dengan kluster Amazon Redshift. Peran IAM kemudian siap digunakan dengan perintah COPY atau UNLOAD atau perintah Amazon Redshift lainnya.

Untuk informasi selengkapnya tentang kebijakan IAM, lihat Ringkasan kebijakan IAM di Panduan Pengguna IAM.

Mengelola asosiasi peran IAM dengan cluster

Anda dapat mengaitkan peran IAM dengan klaster Amazon Redshift saat membuat klaster. Atau Anda dapat memodifikasi klaster yang ada dan menambahkan atau menghapus satu atau beberapa asosiasi peran IAM.

Ketahui hal-hal berikut:

  • Jumlah maksimum peran IAM yang dapat Anda kaitkan tunduk pada kuota.

  • Peran IAM dapat dikaitkan dengan beberapa cluster Amazon Redshift.

  • Peran IAM dapat dikaitkan dengan cluster Amazon Redshift hanya jika peran IAM dan cluster dimiliki oleh akun yang sama. AWS

Anda dapat mengelola asosiasi peran IAM untuk klaster dengan konsol menggunakan prosedur berikut.

Mengelola asosiasi peran IAM

  1. Masuk ke AWS Management Console dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Pada menu navigasi, pilih Cluster, lalu pilih cluster yang ingin Anda perbarui.

  3. Untuk Tindakan, pilih Kelola peran IAM untuk menampilkan daftar peran IAM saat ini yang terkait dengan cluster.

  4. Pada halaman Kelola peran IAM, pilih peran IAM yang tersedia untuk ditambahkan, lalu pilih Tambahkan peran IAM.

  5. Pilih Selesai untuk menyimpan perubahan Anda.

Anda dapat mengelola asosiasi peran IAM untuk klaster AWS CLI dengan menggunakan pendekatan berikut.

Untuk mengaitkan peran IAM dengan cluster saat cluster dibuat, tentukan Amazon Resource Name (ARN) peran IAM untuk parameter --iam-role-arns perintah. create-cluster Jumlah maksimum peran IAM yang dapat Anda tambahkan saat memanggil create-cluster perintah tunduk pada kuota.

Mengaitkan dan memisahkan peran IAM dengan kluster Amazon Redshift adalah proses asinkron. Anda bisa mendapatkan status semua asosiasi klaster peran IAM dengan memanggil describe-clusters perintah.

Contoh berikut mengaitkan dua peran IAM dengan cluster yang baru dibuat bernama. my-redshift-cluster

aws redshift create-cluster \
    --cluster-identifier "my-redshift-cluster" \
    --node-type "ra3.4xlarge" \
    --number-of-nodes 16 \
    --iam-role-arns "arn:aws:iam::123456789012:role/RedshiftCopyUnload" \
                    "arn:aws:iam::123456789012:role/SecondRedshiftRole"

Untuk mengaitkan peran IAM dengan klaster Amazon Redshift yang ada, tentukan Nama Sumber Daya Amazon (ARN) peran IAM untuk --add-iam-roles parameter perintah. modify-cluster-iam-roles Jumlah maksimum peran IAM yang dapat Anda tambahkan saat memanggil modify-cluster-iam-roles perintah tunduk pada kuota.

Contoh berikut mengaitkan peran IAM dengan cluster yang ada bernama. my-redshift-cluster

aws redshift modify-cluster-iam-roles \
    --cluster-identifier "my-redshift-cluster" \
    --add-iam-roles "arn:aws:iam::123456789012:role/RedshiftCopyUnload"

Untuk memisahkan peran IAM dari cluster, tentukan ARN dari peran IAM untuk parameter perintah. --remove-iam-roles modify-cluster-iam-roles modify-cluster-iam-roles Jumlah maksimum peran IAM yang dapat Anda hapus saat memanggil modify-cluster-iam-roles perintah tunduk pada kuota.

Contoh berikut menghapus asosiasi untuk peran IAM untuk 123456789012 AWS akun dari cluster bernamamy-redshift-cluster.

aws redshift modify-cluster-iam-roles \
    --cluster-identifier "my-redshift-cluster" \
    --remove-iam-roles "arn:aws:iam::123456789012:role/RedshiftCopyUnload"

Daftar asosiasi peran IAM untuk cluster menggunakan AWS CLI

Untuk mencantumkan semua peran IAM yang terkait dengan kluster Amazon Redshift, dan status asosiasi peran IAM, panggil perintah tersebut. describe-clusters ARN untuk setiap peran IAM yang terkait dengan cluster dikembalikan dalam IamRoles daftar seperti yang ditunjukkan pada contoh output berikut.

Peran yang telah dikaitkan dengan cluster menunjukkan statusin-sync. Peran yang sedang dalam proses dikaitkan dengan cluster menunjukkan statusadding. Peran yang sedang dipisah dari cluster menunjukkan status. removing


{
    "Clusters": [
        {
            "ClusterIdentifier": "my-redshift-cluster",
            "NodeType": "ra3.4xlarge",
            "NumberOfNodes": 16,
            "IamRoles": [
                {
                    "IamRoleArn": "arn:aws:iam::123456789012:role/MyRedshiftRole",
                    "IamRoleApplyStatus": "in-sync"
                },
                {
                    "IamRoleArn": "arn:aws:iam::123456789012:role/SecondRedshiftRole",
                    "IamRoleApplyStatus": "in-sync"
                }
            ],
            ...
        },
        {
            "ClusterIdentifier": "my-second-redshift-cluster",
            "NodeType": "ra3.4xlarge",
            "NumberOfNodes": 10,
            "IamRoles": [
                {
                    "IamRoleArn": "arn:aws:iam::123456789012:role/MyRedshiftRole",
                    "IamRoleApplyStatus": "in-sync"
                },
                {
                    "IamRoleArn": "arn:aws:iam::123456789012:role/SecondRedshiftRole",
                    "IamRoleApplyStatus": "in-sync"
                },
                {
                    "IamRoleArn": "arn:aws:iam::123456789012:role/ThirdRedshiftRole",
                    "IamRoleApplyStatus": "in-sync"
                }
            ],
            ...
        }
    ]
}

Untuk informasi selengkapnya tentang penggunaan AWS CLI, lihat Panduan AWS CLI Pengguna.