View a markdown version of this page

Configurar permissões para programar uma consulta - Amazon Redshift

O Amazon Redshift não permitirá mais a criação de UDFs do Python a partir do Patch 198. As UDFs do Python existentes continuarão a funcionar normalmente até 30 de junho de 2026. Para ter mais informações, consulte a publicação de blog .

Configurar permissões para programar uma consulta

Para programar consultas, o usuário do AWS Identity and Access Management (IAM) que define a programação e o perfil do IAM associado à programação devem ser configurados com as permissões do IAM para usar o Amazon EventBridge e a API de dados do Amazon Redshift. Para receber e-mails de consultas programadas, a notificação do Amazon SNS que você especificar opcionalmente também deverá ser configurada.

A seguir, descrevemos as tarefas para usar políticas gerenciadas da AWS para fornecer permissão, mas, dependendo do ambiente, talvez você queira reduzir as permissões concedidas.

Para o usuário do IAM conectado ao editor de consultas v2, edite o usuário do IAM que usa o console do IAM (https://console.aws.amazon.com/iam/).

  • Além das permissões para executar as operações do Amazon Redshift e do editor de consultas v2, anexe as políticas gerenciadas AmazonEventBridgeFullAccess e AmazonRedshiftDataFullAccess da AWS a um usuário do IAM.

  • Uma alternativa é atribuir as permissões a um perfil e designá-lo ao usuário.

    Anexe uma política com a permissão sts:AssumeRole ao ARN do recurso do perfil do IAM que você especificou ao definir a consulta agendada. Para obter mais informações sobre como assumir perfis, consulte Concessão de permissões a um usuário para alternar funções no Guia do usuário do IAM.

    O exemplo a seguir mostra uma política de permissão que assume o perfil do IAM myRedshiftRole na conta 123456789012. O perfil do IAM myRedshiftRole também é o perfil anexado ao cluster ou grupo de trabalho em que a consulta programada é executada.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AssumeIAMRole",
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::123456789012:role/myRedshiftRole"
            ]
        }
    ]
}

    Atualize a política de confiança do perfil do IAM usado para programar a consulta a fim de permitir que o usuário do IAM a assuma.

    {
            "Sid": "AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/myIAMusername"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Para o perfil do IAM que você especifica para permitir a execução da consulta programada, edite o perfil do IAM usando o console do IAM (https://console.aws.amazon.com/iam/).

  • Anexe as políticas gerenciadas AmazonRedshiftDataFullAccess e AmazonEventBridgeFullAccess da AWS ao perfil do IAM. A política gerenciada AmazonRedshiftDataFullAccess só concede a permissão redshift-serverless:GetCredentials para grupos de trabalho do Redshift sem servidor marcados com a chave RedshiftDataFullAccess.