Amazon Redshift 自 2025 年 11 月 1 日起不再支援建立新的 Python UDF。如果您想要使用 Python UDF,請在該日期之前建立 UDF。現有 Python UDF 將繼續正常運作。如需詳細資訊,請參閱部落格文章
Amazon Redshift 中的身分和存取管理
存取 Amazon Redshift 時需要提供憑證,以供 AWS 驗證您的請求。這些憑證必須具備存取 AWS 資源 (例如 Amazon Redshift 叢集) 的許可。以下章節提供關於如何使用 AWS Identity and Access Management (IAM) 與 Amazon Redshift 的詳細資訊,藉由控制可存取的人員,協助保護您資源的安全:
重要
本主題集合了用於管理許可、身分和安全存取的最佳實務。建議您熟悉將 IAM 與 Amazon Redshift 搭配使用的最佳實務。這些實務包括使用用於套用許可的 IAM 角色。充分了解這些部分會可助您保持更安全的 Amazon Redshift 資料倉儲。
使用身分進行身分驗證
身分驗證是使用身分憑證登入 AWS 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者,或透過擔任 IAM 角色的方式進行身分驗證。
您可以使用身分來源的憑證如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 憑證,以聯合身分登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》中的如何登入您的 AWS 帳戶。
若需程式化存取,AWS 提供 SDK 與 CLI,以加密簽署方式處理請求。如需詳細資訊,請參閱《IAM 使用者指南》中的 API 請求的 AWS 第 4 版簽署程序。
AWS 帳戶 根使用者
在您建立 AWS 帳戶 時,系統會提供一個稱為 AWS 帳戶 根使用者的登入身分,該身分擁有對帳戶內所有 AWS 服務 與資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》中的需要根使用者憑證的任務。
IAM 使用者和群組
IAM 使用者是一種身分,具備單一人員或應用程式的特定許可。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《IAM 使用者指南》中的要求人類使用者搭配身分提供者使用聯合功能,以便使用暫時性憑證存取 AWS。
IAM 群組會指定 IAM 使用者集合,使管理大量使用者的許可更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 使用者的使用案例。
IAM 角色
IAM 角色是一種具特定許可的身分,可提供臨時憑證。您可以透過從使用者切換到 IAM 角色 (主控台),或呼叫 AWS CLI 或 AWS API 操作的方式來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》中的擔任角色的方法。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權、跨服務存取,以及在 Amazon EC2 上執行應用程式。如需詳細資訊,請參閱 IAM 使用者指南中的 IAM 中的快帳戶資源存取。
注意
Redshift 中的轉送存取工作階段 (FAS) 的有效期僅 12 個小時。此期間過後,任何使用 FAS 與其他服務整合的連線工作階段都必須重新建立。
存取控制
您可以持有效憑證來驗證請求,但還須具備許可,才能建立或存取 Amazon Redshift 資源。例如,您必須具備許可,才能建立 Amazon Redshift 叢集、建立快照、新增事件訂閱及其他動作。
以下章節描述如何管理 Amazon Redshift 的許可。我們建議您先閱讀概觀。
