Amazon Redshift
数据库开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

步骤 1.为 Amazon Redshift 创建 IAM 角色

您的集群需要授权才能访问您在 AWS Glue 或 Amazon Athena 中的外部数据目录以及您在 Amazon S3 中的数据文件。您通过引用附加到集群的 AWS Identity and Access Management (IAM) 角色来提供授权。有关将角色用于 Amazon Redshift 的更多信息,请参阅使用 IAM 角色为 COPY 和 UNLOAD 操作授权

注意

在某些情况下,您可以将 Athena 数据目录迁移到 AWS Glue 数据目录。如果您的集群在支持 AWS Glue 的 AWS 区域内,并且您在 Athena 数据目录中拥有 Redshift Spectrum 外部表,则可执行此操作。要将 AWS Glue 数据目录用于 Redshift Spectrum,您可能需要更改您的 IAM 策略。有关更多信息,请参阅 Athena 用户指南 中的升级到 AWS Glue 数据目录

为 Amazon Redshift 创建角色时,请选择以下方法之一:

为 Amazon Redshift 创建 IAM 角色

  1. 打开 IAM 控制台

  2. 在导航窗格中,选择 Roles

  3. 选择创建角色

  4. 选择 AWS service,然后选择 Redshift

  5. Select your use case 下,选择 Redshift - Customizable,然后选择 Next: Permissions

  6. 此时显示 Attach permissions policy 页面。选择 AmazonS3ReadOnlyAccessAWSGlueConsoleFullAccess(如果使用的是 AWS Glue 数据目录)。或选择 AmazonAthenaFullAccess(如果使用的是 Athena 数据目录)。选择 Next: Review

    注意

    AmazonS3ReadOnlyAccess 策略为您的集群提供对所有 Amazon S3 存储桶的只读访问。要仅授予 AWS 示例数据存储桶的访问权限,请创建新策略并添加以下权限。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::awssampledbuswest2/*" } ] }
  7. 对于角色名称,输入您角色的名称,例如 mySpectrumRole

  8. 检查信息,然后选择 Create role

  9. 在导航窗格中,选择 Roles。选择新角色的名称以查看摘要,然后将 Role ARN 复制到剪贴板。该值是您刚创建的角色的 Amazon 资源名称 (ARN)。您将在创建用于引用 Amazon S3 上的数据文件的外部表时使用此值。

使用为 AWS Lake Formation 启用的 AWS Glue 数据目录 为 Amazon Redshift 创建 IAM 角色

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择策略

    如果这是您首次选择策略,则会显示 Welcome to Managed Policies (欢迎使用托管策略) 页面。选择开始使用

  3. 选择 Create policy

  4. 选择以在 JSON 选项卡上创建策略。

  5. 粘贴在以下 JSON 策略文档中,该策略授予对 Data Catalog 的访问权限,但拒绝对 Lake Formation 的管理员权限。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RedshiftPolicyForLF", "Effect": "Allow", "Action": [ "glue:*", "lakeformation:GetDataAccess" ], "Resource": "*" } ] }
  6. 完成后,选择审核对策略进行审核。策略验证程序将报告任何语法错误。

  7. 查看策略页面上,为名称输入 mySpectrumPolicy,以命名您正在创建的策略。输入描述(可选)。查看策略摘要以查看您的策略授予的权限。然后,选择创建策略以保存您的工作。

    创建策略之后,您可以创建一个角色并应用该策略。

  8. 在 IAM 控制台的导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)

  9. 对于 Select type of trusted entity (选择受信任实体的类型),选择 AWS service (AWS 服务)

  10. 选择 Amazon Redshift 服务来代入此角色。

  11. 为您的服务选择 Redshift Customizable (Redshift 可自定义)。然后选择 Next: Permissions (下一步: 权限)

  12. 选择您创建的 mySpectrumPolicy 权限策略以附加到该角色。

  13. 选择 Next: Tagging (下一步: 标记)

  14. 选择 下一步: 审核

  15. 对于角色名称,输入名称 mySpectrumRole

  16. (可选)对于 Role description (角色描述),输入新角色的描述。

  17. 检查该角色,然后选择创建角色

授予对表的 SELECT 权限以在 Lake Formation 数据库中进行查询

  1. 通过以下网址打开 Lake Formation 控制台:https://console.amazonaws.cn/lakeformation/

  2. 在导航窗格中,选择权限,然后选择 Grant (授予)

  3. 提供以下信息:

    • IAM 角色中选择您创建的 IAM 角色 mySpectrumRole。运行 Amazon Redshift 查询编辑器时,它使用此 IAM 角色来获取数据权限。

      注意

      要对启用 Lake Formation 的 Data Catalog 中的表授予 SELECT 权限以进行查询,请执行以下操作:

      • 在 Lake Formation 中注册数据的路径。

      • 在 Lake Formation 中授予用户对该路径的权限。

      • 创建的表可在 Lake Formation 中注册的路径中找到。

    • 对于数据库,选择您的 Lake Formation 数据库。

    • 对于,选择数据库中要查询的表。

    • 对于,选择 All Columns (所有列)

    • 选择 Select (选择) 权限。

  4. 选择 Save

重要

作为最佳实践,仅允许通过 Lake Formation 权限访问底层 Amazon S3 对象。要防止未经批准的访问,请删除授予针对 Lake Formation 以外的 Amazon S3 对象的任何权限。如果您在设置 Lake Formation 之前曾访问了 Amazon S3 对象,请删除之前设置的任何 IAM 策略或存储桶权限。有关更多信息,请参阅将 AWS Glue 数据权限升级到 AWS Lake Formation 模型Lake Formation 权限