步骤 1. 为 Amazon Redshift 创建一个 IAM 角色 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

步骤 1. 为 Amazon Redshift 创建一个 IAM 角色

您的集群需要授权才能访问您在 Amazon Glue 或 Amazon Athena 中的外部数据目录以及您在 Amazon S3 中的数据文件。您通过引用附加到集群的 Amazon Identity and Access Management (IAM) 角色来提供授权。有关将角色用于 Amazon Redshift 的更多信息,请参阅使用 IAM 角色授权 COPY 和 UNLOAD 操作

注意

在某些情况下,您可以将 Athena Data Catalog 迁移到 Amazon Glue Data Catalog。如果您的集群在支持 Amazon Glue 的 Amazon 区域内,并且您在 Athena Data Catalog 中拥有 Redshift Spectrum 外部表,则可执行此操作。要将 Amazon Glue 数据目录用于 Redshift Spectrum,您可能需要更改您的 IAM 策略。有关更多信息,请参阅 Athena 用户指南中的升级到 Amazon Glue Data Catalog

为 Amazon Redshift 创建角色时,请选择以下方法之一:

要为 Amazon Redshift 创建一个 IAM 角色

  1. 打开 IAM 控制台

  2. 在导航窗格中,选择 Roles (角色)

  3. 选择创建角色

  4. 选择 Amazon service(Amazon 服务),然后选择 Redshift

  5. Select your use case 下,选择 Redshift - Customizable,然后选择 Next: Permissions

  6. 此时显示 Attach permissions policy 页面。选择 AmazonS3ReadOnlyAccessAWSGlueConsoleFullAccess(如果使用的是 Amazon Glue 数据目录)。或选择 AmazonAthenaFullAccess(如果使用的是 Athena Data Catalog)。选择 Next: Review (下一步: 审核)

    注意

    AmazonS3ReadOnlyAccess 策略为您的集群提供对所有 Amazon S3 存储桶的只读访问。要仅授予 Amazon 示例数据存储桶的访问权限,请创建新策略并添加以下权限。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::awssampledbuswest2/*" } ] }
  7. 对于角色名称,输入您角色的名称,例如 mySpectrumRole

  8. 检查信息,然后选择 Create role

  9. 在导航窗格中,选择 Roles (角色)。选择新角色的名称以查看摘要,然后将 Role ARN 复制到剪贴板。该值是您刚创建的角色的 Amazon Resource Name (ARN)。您将在创建用于引用 Amazon S3 上的数据文件的外部表时使用此值。

要使用为 Amazon Lake Formation 启用的 Amazon Glue Data Catalog 为 Amazon Redshift 创建 IAM 角色

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Policies

    如果这是您首次选择 Policies,则会显示 Welcome to Managed Policies 页面。选择 Get Started

  3. 选择 Create policy

  4. 选择以在 JSON 选项卡上创建策略。

  5. 粘贴在以下 JSON 策略文档中,该策略授予对 Data Catalog 的访问权限,但拒绝对 Lake Formation 的管理员权限。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RedshiftPolicyForLF", "Effect": "Allow", "Action": [ "glue:*", "lakeformation:GetDataAccess" ], "Resource": "*" } ] }
  6. 完成后,选择审核对策略进行审核。策略验证程序将报告任何语法错误。

  7. 查看策略页面上,为名称输入 mySpectrumPolicy,以命名您正在创建的策略。输入描述(可选)。查看策略摘要以查看您的策略授予的权限。然后,选择创建策略以保存您的工作。

    创建策略之后,您可以创建一个角色并应用该策略。

  8. 在 IAM 控制台的导航窗格中,选择 Roles,然后选择 Create role

  9. 对于选择受信任实体的类型,选择 Amazon 服务

  10. 选择 Amazon Redshift 服务来代入此角色。

  11. 为您的服务选择 Redshift Customizable (Redshift 可自定义)。然后选择 Next: Permissions (下一步:权限)

  12. 选择您创建的 mySpectrumPolicy 权限策略以附加到该角色。

  13. 选择 Next: Tagging (下一步: 标记)

  14. 选择 Next: Review (下一步: 审核)

  15. 对于角色名称,输入名称 mySpectrumRole

  16. (可选)对于 Role description (角色描述),输入新角色的描述。

  17. 检查该角色,然后选择创建角色

授予对表的 SELECT 权限以在 Lake Formation 数据库中进行查询

  1. 通过 https://console.aws.amazon.com/lakeformation/ 中打开 Lake Formation 控制台。

  2. 在导航窗格中,选择权限,然后选择 Grant (授予)

  3. 提供以下信息:

    • 对于 IAM 角色,选择您创建的 IAM 角色 mySpectrumRole。运行 Amazon Redshift 查询编辑器时,它使用此 IAM 角色来获取数据权限。

      注意

      要授予对启用了 Lake Formation 的 Data Catalog 中的表的 SELECT 权限以进行查询,请执行以下操作:

      • 在 Lake Formation 中注册数据的路径。

      • 在 Lake Formation 中授予用户对该路径的权限。

      • 创建的表可在 Lake Formation 中注册的路径中找到。

    • 对于数据库,请选择您的 Lake Formation 数据库。

    • 对于,选择数据库中要查询的表。

    • 对于,选择 All Columns (所有列)

    • 选择 Select (选择) 权限。

  4. 选择 Save

重要

作为最佳实践,仅允许通过 Lake Formation 权限访问底层 Amazon S3 对象。要防止未经批准的访问,请删除授予针对 Lake Formation 以外的 Amazon S3 对象的任何权限。如果您在设置 Lake Formation 之前曾访问了 Amazon S3 对象,请删除之前设置的任何 IAM 策略或存储桶权限。有关更多信息,请参阅将 Amazon Glue 数据权限升级到 Amazon Lake Formation 模型Lake Formation 权限