View a markdown version of this page

將 IAM 角色限制為 AWS 區域 - Amazon Redshift

Amazon Redshift 將不再支援從修補程式 198 開始建立新的 Python UDFs。現有 Python UDF 將繼續正常運作至 2026 年 6 月 30 日。如需詳細資訊,請參閱部落格文章

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 IAM 角色限制為 AWS 區域

您可以將 IAM 角色限制為只能在特定區域中存取 AWS 。根據預設,Amazon Redshift 的 IAM 角色不受限於任何單一區域。

若要限制區域可使用的 IAM 角色,請遵循以下步驟。

識別 IAM 角色的允許區域

  1. 在 https://https://console.aws.amazon.com/ 開啟 IAM 主控台

  2. 在導覽窗格中,選擇角色

  3. 選擇您想要針對特定區域修改的角色。

  4. 選擇 Trust Relationships (信任關係) 索引標籤,然後選擇 Edit Trust Relationship (編輯信任關係)。允許 Amazon Redshift AWS 代表您存取其他服務的新 IAM 角色具有信任關係,如下所示:

    JSON
    {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  5. 搭配您想要允許使用角色的特定區域清單,修改 ServicePrincipal 清單。Service 清單中的各區域必須使用下列格式:redshift.region.amazonaws.com

    例如,以下經編輯後的信任關係僅允許在 us-east-1us-west-2 區域使用 IAM 角色。

    JSON
    {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "redshift.us-east-1.amazonaws.com",
          "redshift.us-west-2.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. 選取 Update Trust Policy (更新信任政策)