第 1 步 为 Amazon Redshift 创建一个 IAM 角色 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

第 1 步 为 Amazon Redshift 创建一个 IAM 角色

您的集群需要授权才能访问您在 Amazon Glue 或 Amazon Athena 中的外部数据目录以及您在 Amazon S3 中的数据文件。要提供授权,您需要引用附加到集群的 Amazon Identity and Access Management (IAM) 角色。有关将角色用于 Amazon Redshift 的更多信息,请参阅使用 IAM 角色授权 COPY 和 UNLOAD 操作

注意

在某些情况下,您可以将 Athena Data Catalog 迁移到 Amazon Glue Data Catalog。如果您的集群在支持 Amazon Glue 的 Amazon 区域内,并且您在 Athena Data Catalog 中拥有 Redshift Spectrum 外部表,则可执行此操作。要将 Amazon Glue 数据目录用于 Redshift Spectrum,您可能需要更改您的 IAM 策略。有关更多信息,请参阅《Athena 用户指南》中的升级到 Amazon Glue Data Catalog

为 Amazon Redshift 创建角色时,请选择以下方法之一:

要为 Amazon Redshift 创建一个 IAM 角色
  1. 打开 IAM 控制台

  2. 在导航窗格中,选择角色

  3. 选择创建角色

  4. 选择 Amazon 服务作为可信实体,然后选择 Redshift 作为使用案例。

  5. 其他 Amazon Web Services的使用案例下,选择 Redshift - 可自定义,然后选择下一步

  6. 此时显示添加权限策略页面。选择 AmazonS3ReadOnlyAccessAWSGlueConsoleFullAccess(如果使用的是 Amazon Glue 数据目录)。或选择 AmazonAthenaFullAccess(如果使用的是 Athena Data Catalog)。选择下一步

    注意

    AmazonS3ReadOnlyAccess 策略为您的集群提供对所有 Amazon S3 桶的只读访问。要仅授予 Amazon 示例数据桶的访问权限,请创建新策略并添加以下权限。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::redshift-downloads/*" } ] }
  7. 对于角色名称,输入您角色的名称,例如 myspectrum_role

  8. 检查信息,然后选择 Create role

  9. 在导航窗格中,选择角色。选择新角色的名称以查看摘要,然后将 Role ARN 复制到剪贴板。该值是您刚创建的角色的 Amazon 资源名称 (ARN)。您将在创建用于引用 Amazon S3 上的数据文件的外部表时使用此值。

要使用为 Amazon Lake Formation 启用的 Amazon Glue Data Catalog 为 Amazon Redshift 创建 IAM 角色
  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

    如果这是您首次选择 Policies,则会显示 Welcome to Managed Policies 页面。选择开始使用

  3. 选择创建策略

  4. 选择以在 JSON 选项卡上创建策略。

  5. 粘贴在以下 JSON 策略文档中,该策略授予对 Data Catalog 的访问权限,但拒绝对 Lake Formation 的管理员权限。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RedshiftPolicyForLF", "Effect": "Allow", "Action": [ "glue:*", "lakeformation:GetDataAccess" ], "Resource": "*" } ] }
  6. 完成后,选择审核对策略进行审核。策略验证程序将报告任何语法错误。

  7. 查看策略页面上,为名称输入 myspectrum_policy,以命名您正在创建的策略。输入描述(可选)。查看策略摘要以查看您的策略授予的权限。然后,选择创建策略以保存您的工作。

    在创建策略之后,您可以向您的用户提供访问权限。

要提供访问权限,请为您的用户、组或角色添加权限:

授予对表的 SELECT 权限以在 Lake Formation 数据库中进行查询
  1. 通过 https://console.aws.amazon.com/lakeformation/ 中打开 Lake Formation 控制台。

  2. 在导航窗格中,选择数据湖权限,然后选择授予

  3. 按照《Amazon Lake Formation 开发人员指南》使用命名资源方法授予表权限中的说明进行操作。提供以下信息:

    • 对于 IAM 角色,选择您创建的 IAM 角色 myspectrum_role。运行 Amazon Redshift 查询编辑器时,它使用此 IAM 角色来获取数据权限。

      注意

      要授予对启用了 Lake Formation 的 Data Catalog 中的表的 SELECT 权限以进行查询,请执行以下操作:

      • 在 Lake Formation 中注册数据的路径。

      • 在 Lake Formation 中授予用户对该路径的权限。

      • 创建的表可在 Lake Formation 中注册的路径中找到。

  4. 选择授权

重要

作为最佳实践,仅允许通过 Lake Formation 权限访问底层 Amazon S3 对象。要防止未经批准的访问,请删除授予针对 Lake Formation 以外的 Amazon S3 对象的任何权限。如果您在设置 Lake Formation 之前曾访问了 Amazon S3 对象,请删除之前设置的任何 IAM 策略或桶权限。有关更多信息,请参阅将 Amazon Glue 数据权限升级到 Amazon Lake Formation 模型Lake Formation 权限