Criar uma função do IAM como padrão para o Amazon Redshift

Conceder as permissões necessárias para o Amazon Redshift Serverless

Para acessar outros produtos da AWS, o Amazon Redshift Serverless necessita de permissões. Alguns recursos do Amazon Redshift exigem que o Amazon Redshift acesse outros serviços da AWS em seu nome. Para que a instância do Amazon Redshift Serverless atue por você, forneça credenciais de segurança para ela. O método preferido para fornecer credenciais de segurança é especificar uma função do AWS Identity and Access Management (IAM). Também é possível criar uma função do IAM por meio do console do Amazon Redshift e defini-la como padrão. Para obter mais informações, consulte Criar uma função do IAM como padrão para o Amazon Redshift.

Para acessar outros produtos da AWS, crie uma função do IAM com as devidas permissões. Também é necessário associar a função ao Amazon Redshift Serverless. Além disso, especifique o nome do recurso da Amazon (ARN) da função ao executar o comando do Amazon Redshift ou especifique a palavra-chave default.

Ao alterar a relação de confiança do perfil do IAM em https://console.aws.amazon.com/iam/, verifique se ele contém redshift-serverless.amazonaws.com e redshift.amazonaws.com como nomes de serviço da entidade principal. Para obter informações sobre como gerenciar funções do IAM ´para acessar outros produtos da AWS em seu nome, consulte Autorizar o Amazon Redshift a acessar serviços da AWS em seu nome.

Criar uma função do IAM como padrão para o Amazon Redshift

Quando você cria funções do IAM pelo console do Redshift, o Amazon Redshift cria as funções de maneira programática em sua Conta da AWS. O Amazon Redshift também anexa automaticamente políticas gerenciadas pela AWS a elas. Essa metodologia significa que você pode permanecer no console do Amazon Redshift e não precisa alternar para o console do IAM para criar a função.

A função do IAM que você cria pelo console do cluster tem a política gerenciada AmazonRedshiftAllCommandsFullAccess anexada automaticamente. Essa função do IAM permite que o Amazon Redshift copie, carregue, consulte e analise dados de recursos da AWS em sua conta do IAM. Os comandos relacinados incluem: COPY, UNLOAD, CREATE EXTERNAL FUNCTION, CREATE EXTERNAL TABLE, CREATE EXTERNAL SCHEMA, CREATE MODEL e CREATE LIBRARY. Para obter mais informações, sobre como criar uma função do IAM como padrão para o Amazon Redshift, consulte Criar uma função do IAM como padrão para o Amazon Redshift.

Para começar a criar um perfil do IAM como padrão para o Amazon Redshift, abra o AWS Management Console, escolha o console do Amazon Redshift e selecione Redshift sem servidor no menu. No painel Sem servidor, você pode criar um grupo de trabalho. As etapas de criação mostram como você seleciona um perfil do IAM ou configura um novo.

Quando você já tiver um grupo de trabalho do Amazon Redshift sem servidor e quiser configurar perfis do IAM para ele, abra o AWS Management Console. Escolha o console do Amazon Redshift e selecione Redshift sem servidor. No console do Amazon Redshift Serverless, escolha Configuração do namespace. Em Segurança e criptografia, você pode editar as permissões.

Atribuir perfis do IAM a um namespace

Cada perfil do IAM é uma identidade da AWS com políticas de permissões que determinam quais ações cada função pode executar na AWS. A função pode ser assumida por qualquer pessoa que precise dela. Além disso, cada namespace é uma coleção de objetos, como tabelas e esquemas, e usuários. Ao usar o Amazon Redshift Serverless, você pode associar vários perfis do IAM ao namespace. Isso facilita a estruturação de suas permissões de forma adequada para uma coleção de objetos de banco de dados, para que as funções possam executar ações em dados internos e externos. Por exemplo, para que você possa executar um comando COPY em um banco de dados do Amazon Redshift para recuperar dados do Amazon S3 e preencher uma tabela do Redshift.

Você pode associar várias funções a um namespace usando o console, conforme descrito anteriormente nesta seção. Também é possível usar o comando CreateNamespace da API ou o comando create-namespace da CLI. Com o comando da API ou da CLI, você pode atribuir perfis do IAM ao namespace preenchendo IAMRoles com um ou mais perfis. Especificamente, você adiciona ARNs para funções específicas à coleção.

Gerenciamento de perfis do IAM associados ao namespace

No AWS Management Console, você pode gerenciar políticas de permissões para perfis no AWS Identity and Access Management. É possível gerenciar os perfis do IAM para o namespace usando as configurações disponíveis em Namespace configuration (Configuração do namespace). Para obter mais informações sobre namespaces e seu uso no Amazon Redshift Serverless, consulte Grupos de trabalho e namespaces.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de Identidade e Acesso no Amazon Redshift Serverless

Conceitos básicos sobre credenciais do IAM