使用 IAM 政策管理資料共用 API 操作的存取 - Amazon Redshift

Amazon Redshift 自 2025 年 11 月 1 日起不再支援建立新的 Python UDF。如果您想要使用 Python UDF,請在該日期之前建立 UDF。現有 Python UDF 將繼續正常運作。如需詳細資訊,請參閱部落格文章

使用 IAM 政策管理資料共用 API 操作的存取

若要控制資料共用 API 操作的存取權,請使用 IAM 動作型政策。如需有關管理 IAM 政策的詳細資訊,請參閱《IAM 使用者指南》中的理 IAM 政策

如需使用資料共用 API 操作所需許可的相關資訊,請參閱《Amazon Redshift 管理指南》中的使用資料共用 API 操作所需的權限

若要讓跨帳戶資料共用更安全,您可以使用條件式金鑰 ConsumerIdentifier 進行 AuthorizeDataShareDeauthorizeDataShare API 操作。這樣,您就可以明確控制哪些 AWS 帳戶 可以對兩個 API 操作進行呼叫。

對於不是您自己帳戶的取用者,您可以拒絕授權或取消授權資料共用。若要這麼做,請在 IAM 政策中指定 AWS 帳戶 數字。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "redshift:AuthorizeDataShare",
                "redshift:DeauthorizeDataShare"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "redshift:ConsumerIdentifier": "555555555555"
                }
            }
        }
    ]
}

您可以允許具有 DataShareArn testshare2 的生產者明確地與 IAM 政策中 AWS 帳戶 為 111122223333 的取用者共用。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "redshift:AuthorizeDataShare",
                "redshift:DeauthorizeDataShare"
            ],
            "Resource": "arn:aws:redshift:us-east-1:666666666666:datashare:af06285e-8a45-4ee9-b598-648c218c8ff1/testshare2",
            "Condition": {
                "StringEquals": {
                    "redshift:ConsumerIdentifier": "111122223333"
                }
            }
        }
    ]
}