Autorizzazione di un’unità di condivisione dati in Amazon Redshift - Amazon Redshift

Amazon Redshift non supporterà più la creazione di nuove UDF Python a partire dal 1º novembre 2025. Se desideri utilizzare le UDF Python, creale prima di tale data. Le UDF Python esistenti continueranno a funzionare normalmente. Per ulteriori informazioni, consulta il post del blog.

Autorizzazione di un’unità di condivisione dati in Amazon Redshift

Con Amazon Redshift puoi controllare l’accesso alle unità di condivisione dati autorizzando consumer specifici. Le unità di condivisione dati consentono di condividere i dati in tempo reale tra i cluster Amazon Redshift nello stesso account o in account AWS diversi, fornendo un modo semplice per distribuire e utilizzare i dati analitici. In questa sezione vengono fornite istruzioni dettagliate per autorizzare e revocare l’accesso dei consumer alle unità di condivisione dati in Amazon Redshift.

Nota

Se aggiungi un namespace come consumer di dati, non devi eseguire l’autorizzazione. Per autorizzare un’unità di condivisione dati, devi aggiungere almeno un consumer all’unità di condivisione dati.

Console

In qualità di amministratore producer puoi scegliere quali consumer di dati autorizzare ad accedere alle unità di condivisione dati o per cui rimuovere l’autorizzazione. I consumer di dati autorizzati ricevono notifiche per intraprendere azioni sulle unità di condivisione dati. Se aggiungi un namespace come consumer di dati, non devi eseguire l’autorizzazione.

  1. Accedere alla Console di gestione AWS e aprire la console Amazon Redshift all'indirizzo https://console.aws.amazon.com/redshiftv2/.

  2. Dal menu di navigazione, scegliere Datashares (Unità di condivisione dati). Viene visualizzato l'elenco Consumer delle unità di condivisione dati. Scegli uno o più cluster consumer che desideri autorizzare. Quindi scegliere Authorize (Autorizza).

  3. Viene visualizzata la finestra di dialogo Autorizza account. Puoi scegliere tra un paio di tipi di autorizzazione.

    • Sola lettura su [nome del cluster o nome del gruppo di lavoro]: significa che le autorizzazioni di scrittura non sono disponibili per il consumer, anche se il creatore dell'unità di condivisione dati le ha assegnate.

    • Lettura e scrittura su [nome del cluster o nome del gruppo di lavoro]: significa che tutte le autorizzazioni assegnate dal creatore, incluse le autorizzazioni di scrittura, sono disponibili per il consumer.

  4. Selezionare Salva.

Puoi anche autorizzare AWS Data Exchange come consumer.

  1. Se scegli Pubblica su AWS Glue Data Catalog quando crei l'unità di condivisione dati, puoi fornire l'autorizzazione per l'unità di condivisione dati solo a un account Lake Formation.

    Per unità di condivisione dati AWS Data Exchange, è possibile autorizzare una sola unità di condivisione dati alla volta.

    Quando autorizzi un'unità di condivisione dati AWS Data Exchange, stai condividendo l'unità di condivisione dati con il servizio AWS Data Exchange e permettendo a AWS Data Exchange di gestire l'accesso all'unità di condivisione dati per tuo conto. AWS Data Exchange consente l'accesso ai consumatori aggiungendo account consumer come consumatori di dati all'unità di condivisione dati AWS Data Exchange quando si iscrivono ai prodotti. AWS Data Exchange non ha accesso in lettura all'unità di condivisione dati.

  2. Selezionare Salva.

Una volta autorizzati i consumer di dati, questi possono accedere agli oggetti dell'unità di condivisione dati e creare un database consumer per eseguire le query sui dati.

API

L'amministratore della sicurezza dei producer determina quanto segue:

  • Indica se un altro account può avere accesso o meno all'unità di condivisione dati.

  • Indica se un account ha accesso all'unità di condivisione dati, indipendentemente dal fatto che disponga o meno delle autorizzazioni di scrittura.

Per autorizzare un'unità di condivisione dati sono necessarie le seguenti autorizzazioni IAM:

redshift:AuthorizeDataShare

Puoi autorizzare l'utilizzo e le operazioni di scrittura utilizzando una chiamata della CLI o l'API:

authorize-data-share
--data-share-arn <value>
--consumer-identifier <value>
[--allow-writes | --no-allow-writes]

Per ulteriori informazioni sul comando, consulta authorize-data-share.

L'identificatore del consumer può essere:

  • Un ID account AWS con dodici cifre.

  • L'ARN dell'identificatore dello spazio dei nomi.

Nota

Le autorizzazioni di scrittura non vengono concesse nella fase di autorizzazione. L'autorizzazione di un'unità di condivisione dati per le operazioni di scrittura consente all'account di disporre solo delle autorizzazioni di scrittura assegnate dall'amministratore dell'unità di condivisione dati. Se un amministratore non consente le operazioni di scrittura, le uniche autorizzazioni disponibili per il consumer specifico sono SELECT, USAGE ed EXECUTE.

È possibile modificare l'autorizzazione di un consumer dell'unità di condivisione dati chiamando nuovamente authorize-data-share, ma con un valore diverso. La precedente autorizzazione viene sovrascritta dalla nuova autorizzazione. Pertanto, se originariamente autorizzi e consenti le operazioni di scrittura, quindi autorizzi nuovamente e specifichi no-allow-writes o semplicemente non specifichi un valore, al consumer verranno revocate le autorizzazioni di scrittura.