Menggunakan peran terkait layanan untuk Amazon Redshift - Amazon Redshift
Izin peran terkait layanan untuk Amazon RedshiftMembuat peran terkait layanan untuk Amazon RedshiftMengedit peran terkait layanan untuk Amazon RedshiftMenghapus peran terkait layanan untuk Amazon Redshift

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan untuk Amazon Redshift

Amazon Redshift menggunakan peran terkait layanan AWS Identity and Access Management (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Amazon Redshift. Peran terkait layanan telah ditentukan sebelumnya oleh Amazon Redshift dan menyertakan semua izin yang diperlukan layanan untuk memanggil AWS layanan atas nama klaster Amazon Redshift Anda.

Peran terkait layanan membuat pengaturan Amazon Redshift lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Peran tersebut ditautkan ke kasus penggunaan Amazon Redshift dan memiliki izin yang telah ditentukan sebelumnya. Hanya Amazon Redshift yang dapat mengambil peran tersebut, dan hanya peran terkait layanan yang dapat menggunakan kebijakan izin yang telah ditentukan sebelumnya. Amazon Redshift membuat peran terkait layanan di akun Anda saat pertama kali membuat klaster atau titik akhir VPC yang dikelola RedShift. Anda dapat menghapus peran terkait layanan hanya setelah menghapus semua kluster Amazon Redshift atau titik akhir VPC yang dikelola RedShift di akun Anda. Ini melindungi sumber daya Amazon Redshift karena Anda tidak dapat secara tidak sengaja menghapus izin yang diperlukan untuk mengakses sumber daya.

Amazon Redshift mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat AWS Wilayah dan Titik Akhir.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat Layanan AWS yang berfungsi dengan IAM lalu cari layanan yang menampilkan Ya pada kolom Peran Terkait Layanan. Pilih Ya dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Izin peran terkait layanan untuk Amazon Redshift

Amazon Redshift menggunakan peran terkait layanan bernama — Memungkinkan AWSServiceRoleForRedshiftAmazon Redshift memanggil layanan atas nama Anda. AWS Peran terkait layanan ini dilampirkan ke kebijakan terkelola berikut ini: AmazonRedshiftServiceLinkedRolePolicy. Untuk pembaruan kebijakan ini, lihat kebijakan yang AWS dikelola (telah ditentukan) untuk Amazon Redshift.

Peran AWSService RoleForRedshift terkait layanan hanya percaya redshift.amazonaws.com untuk mengambil peran.

Kebijakan izin peran AWSService RoleForRedshift terkait layanan memungkinkan Amazon Redshift menyelesaikan hal berikut di semua sumber daya terkait:

  • ec2:DescribeVpcs

  • ec2:DescribeSubnets

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribeAddress

  • ec2:AssociateAddress

  • ec2:DisassociateAddress

  • ec2:CreateNetworkInterface

  • ec2:DeleteNetworkInterface

  • ec2:ModifyNetworkInterfaceAttribute

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndpoints

  • ec2:DescribeVpcEndpoints

  • ec2:ModifyVpcEndpoint

  • ec2:DescribeVpcAttribute

  • ec2:DescribeSecurityGroups

  • ec2:DescribeInternetGateways

  • ec2:DescribeSecurityGroupRules

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:AssignIpv6Addresses

  • ec2:UnassignIpv6Addresses

Izin untuk sumber daya jaringan

Izin berikut memungkinkan tindakan di Amazon EC2 untuk pembuatan dan pengelolaan aturan grup keamanan. Grup dan aturan keamanan ini secara khusus terkait dengan tag aws:RequestTag/Redshift sumber daya Amazon Redshift. Ini membatasi ruang lingkup izin untuk sumber daya Amazon Redshift tertentu.

  • ec2:CreateSecurityGroup

  • ec2:AuthorizeSecurityGroupEgress

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:RevokeSecurityGroupEgress

  • ec2:RevokeSecurityGroupIngress

  • ec2:ModifySecurityGroupRules

  • ec2:DeleteSecurityGroup

Izin untuk kuota layanan

Izin berikut memungkinkan penelepon untuk mendapatkan kuota layanan.

servicequotas:GetServiceQuota

Fragmen JSON berikut menunjukkan tindakan dan lingkup sumber daya untuk kuota layanan.

{
   "Sid": "ServiceQuotasToCheckCustomerLimits",
   "Effect": "Allow",
   "Action": [
      "servicequotas:GetServiceQuota"
   ],
   "Resource": [
      "arn:aws:servicequotas:*:*:ec2/L-0263D0A3",
      "arn:aws:servicequotas:*:*:vpc/L-29B6F2EB" 
   ]
}

Kode kuota adalah sebagai berikut:

  • L-0263D0A3 — Kode kuota untuk -VPC Elastic. EC2 IPs

  • L-29B6F2EB — Kode kuota untuk titik akhir VPC Antarmuka per VPC.

Untuk informasi selengkapnya, lihat AWS service quotas.

Tindakan untuk pencatatan audit

Tindakan yang tercantum dengan logs awalan berkaitan dengan audit logging dan fitur terkait. Secara khusus, pembuatan dan pengelolaan grup log dan aliran log.

  • logs:CreateLogGroup

  • logs:PutRetentionPolicy

  • logs:CreateLogStream

  • logs:PutLogEvents

  • logs:DescribeLogStreams

  • logs:GetLogEvents

JSON berikut menunjukkan tindakan dan cakupan sumber daya, ke Amazon Redshift, untuk pencatatan audit.

[
    {
        "Sid": "EnableCreationAndManagementOfRedshiftCloudwatchLogGroups",
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogGroup",
            "logs:PutRetentionPolicy"
        ],
        "Resource": [
            "arn:aws:logs:*:*:log-group:/aws/redshift/*"
        ]
    },
    {
        "Sid": "EnableCreationAndManagementOfRedshiftCloudwatchLogStreams",
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogStream",
            "logs:PutLogEvents",
            "logs:DescribeLogStreams",
            "logs:GetLogEvents"
        ],
        "Resource": [
            "arn:aws:logs:*:*:log-group:/aws/redshift/*:log-stream:*"
        ]
    }
]

Untuk informasi selengkapnya tentang peran terkait layanan dan tujuannya AWS, lihat Menggunakan peran terkait layanan. Untuk informasi selengkapnya tentang tindakan tertentu dan sumber daya IAM lainnya untuk Amazon Redshift, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon Redshift.

Tindakan untuk mengelola kredensi admin dengan AWS Secrets Manager

Tindakan yang tercantum dengan secretsmanager awalan berkaitan dengan penggunaan Amazon Redshift untuk mengelola kredenal admin Anda. Tindakan ini memungkinkan Amazon Redshift digunakan AWS Secrets Manager untuk membuat dan mengelola rahasia kredensi admin Anda.

JSON berikut menunjukkan tindakan dan cakupan sumber daya, ke Amazon Redshift, untuk mengelola kredensi admin dengan. AWS Secrets Manager

[
    {
        "Effect": "Allow",
        "Action": [
            "secretsmanager:DescribeSecret",
            "secretsmanager:DeleteSecret",
            "secretsmanager:PutSecretValue",
            "secretsmanager:UpdateSecret",
            "secretsmanager:UpdateSecretVersionStage",
            "secretsmanager:RotateSecret"
        ],
        "Resource": [
            "arn:aws:secretsmanager:*:*:secret:redshift!*"
        ],
        "Condition": {
            "StringEquals": {
                "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "redshift"
            }
        }
    },
    {
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetRandomPassword"
        ],
        "Resource": "*"
    }
]

Tindakan untuk mendaftarkan cluster dan ruang nama tanpa server ke AWS Glue Data Catalog

Tindakan yang terdaftar dengan glue awalan berkaitan dengan mengakses katalog yang AWS Glue Data Catalog dibuat dari mendaftarkan cluster yang disediakan atau ruang nama tanpa server. Untuk informasi selengkapnya, lihat kompatibilitas Apache Iceberg untuk Amazon Redshift di Panduan Pengembang Database Amazon Redshift.

JSON berikut menunjukkan tindakan dan cakupan sumber daya, ke Amazon Redshift, untuk mengakses katalog di: AWS Glue Data Catalog

[
    {
        "Sid": "DiscoverRedshiftCatalogs",
        "Effect": "Allow",
        "Action": [
            "glue:GetCatalogs",
            "glue:GetCatalog"
        ],
        "Resource": [
            "arn:aws:glue:*:*:catalog",
            "arn:aws:glue:*:*:catalog/*"
        ], 
   "Condition": 
    { 
        "Bool": 
        { 
            "glue:EnabledForRedshiftAutoDiscovery": "true"
        },
        "StringEquals": {
             "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
    } 
 }, 
 {
    "Sid": "LakeFormationGetMetadataAccessForFederatedCatalogs",
    "Effect": "Allow", 
    "Action": [ 
        "lakeformation:GetDataAccess"
    ], 
    "Resource": [ "*" ], 
    "Condition": 
    { 
        "Bool": 
        {
            "lakeformation:EnabledOnlyForMetaDataAccess":"true"
        },
        "StringEquals": {
             "aws:ResourceAccount": "${aws:PrincipalAccount}"
        },
        "ForAnyValue:StringEquals": 
        { 
            "aws:CalledVia": "glue.amazonaws.com"
        } 
    }
 }
    }
]

glue:GetCatalogsIzin glue:GetCatalog dan memiliki kondisiglue:EnabledForRedshiftAutoDiscovery:true, yang berarti Amazon Redshift memberikan akses IAM untuk menemukan katalog secara otomatis. Untuk memilih keluar, tambahkan kebijakan sumber daya AWS Glue tingkat akun untuk secara selektif menolak akses peran terkait layanan ke katalog. Karena peran terkait layanan sudah memiliki tindakan izin eksplisit dalam kebijakan, kebijakan opt-out perlu secara eksplisit menolak tindakan tersebut. Pertimbangkan contoh berikut, di mana kebijakan tambahan menolak penemuan otomatis untuk Amazon Redshift: 

{
  "Version" : "2012-10-17",
  "Statement" : {
            "Effect": "Deny",
            "Action": [
                "glue:GetCatalog",
                "glue:GetCatalogs"
            ],
            "Principal" : {
                "AWS" : "arn:aws:iam::*:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift"
            },
            "Resource": [
                "arn:aws:glue:*:*:catalog/<s3_table_catalog_name>",
                "arn:aws:glue:*:*:catalog/<s3_table_catalog_name>/*"
            ]
        }
}

Untuk mengizinkan entitas IAM membuat peran terkait AWSService RoleForRedshift layanan

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole"      
    ],
    "Resource": "arn:aws:iam::<AWS-account-ID>:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift",
    "Condition": {"StringLike": {"iam:AWSServiceName": "redshift.amazonaws.com"}}
}

Untuk mengizinkan entitas IAM menghapus peran terkait AWSService RoleForRedshift layanan

Tambahkan pernyataan kebijakan berikut ini ke izin untuk entitas IAM:

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::<AWS-account-ID>:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift",
    "Condition": {"StringLike": {"iam:AWSServiceName": "redshift.amazonaws.com"}}
}

Atau, Anda dapat menggunakan kebijakan AWS terkelola untuk menyediakan akses penuh ke Amazon Redshift.

Membuat peran terkait layanan untuk Amazon Redshift

Anda tidak perlu membuat peran AWSService RoleForRedshift terkait layanan secara manual. Amazon Redshift menciptakan peran terkait layanan untuk Anda. Jika peran AWSService RoleForRedshift terkait layanan telah dihapus dari akun Anda, Amazon Redshift akan membuat peran tersebut saat Anda meluncurkan klaster Amazon Redshift baru.

penting

Jika Anda menggunakan layanan Amazon Redshift sebelum 18 September 2017, ketika mulai mendukung peran terkait layanan, maka Amazon Redshift membuat peran di akun Anda. AWSService RoleForRedshift Untuk mempelajari lebih lanjut, lihat Peran baru muncul di akun IAM saya.

Mengedit peran terkait layanan untuk Amazon Redshift

Amazon Redshift tidak memungkinkan Anda mengedit peran terkait AWSService RoleForRedshift layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakan konsol IAM, AWS Command Line Interface (AWS CLI), atau IAM API. Untuk informasi selengkapnya, lihat Memodifikasi peran dalam Panduan Pengguna IAM.

Menghapus peran terkait layanan untuk Amazon Redshift

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif.

Sebelum Anda dapat menghapus peran terkait layanan untuk akun, Anda harus mematikan dan menghapus klaster apa pun di akun tersebut. Untuk informasi selengkapnya, lihat Mematikan dan menghapus cluster.

Anda dapat menggunakan konsol IAM, API IAM AWS CLI, atau IAM untuk menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Menghapus peran tertaut layanan dalam Panduan Pengguna IAM.