从补丁 198 开始,Amazon Redshift 将不再支持创建新的 Python UDF。现有的 Python UDF 将继续正常运行至 2026 年 6 月 30 日。有关更多信息,请参阅[博客文章](https://www.amazonaws.cn/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)。
# 授权参数
COPY 命令需要授权才能访问其他 Amazon 资源(包括 Amazon S3、Amazon EMR、Amazon DynamoDB 和 Amazon EC2)中的数据。您通过引用附加到集群的 [Amazon Identity and Access Management (IAM) 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)来提供授权(*基于角色的访问控制*)。您可以在 Amazon S3 上加密您的加载数据。
以下主题将提供有关身份验证选项的更多详细信息和示例:
+ [COPY、UNLOAD 和 CREATE LIBRARY 的 IAM 权限](copy-usage_notes-access-permissions.md#copy-usage_notes-iam-permissions)
+ [基于角色的访问控制](copy-usage_notes-access-permissions.md#copy-usage_notes-access-role-based)
+ [基于密钥的访问控制](copy-usage_notes-access-permissions.md#copy-usage_notes-access-key-based)
使用以下参数之一为 COPY 命令提供授权:
+ [使用 IAM\$1ROLE 参数](#copy-iam-role) parameter
+ [使用 ACCESS\$1KEY\$1ID 和 SECRET\$1ACCESS\$1KEY 参数](#copy-access-key-id) 参数
+ [使用 CREDENTIALS 参数](#copy-credentials) 子句
## 使用 IAM\$1ROLE 参数
### IAM\$1ROLE
使用默认关键字让 Amazon Redshift 使用设置为默认值并在 COPY 命令运行时与集群关联的 IAM 角色。
使用 IAM 角色的 Amazon 资源名称 (ARN),您的集群使用该角色进行身份验证和授权。如果您指定 IAM\$1ROLE,则无法使用 ACCESS\$1KEY\$1ID 和 SECRET\$1ACCESS\$1KEY、SESSION\$1TOKEN 或 CREDENTIALS。
以下显示 IAM\$1ROLE 参数的语法。
```
IAM_ROLE { default | 'arn:aws:iam:::role/' }
```
有关更多信息,请参阅 [基于角色的访问控制](copy-usage_notes-access-permissions.md#copy-usage_notes-access-role-based)。
## 使用 ACCESS\$1KEY\$1ID 和 SECRET\$1ACCESS\$1KEY 参数
### ACCESS\$1KEY\$1ID、SECRET\$1ACCESS\$1KEY
不建议您使用此授权方法。
**注意**
我们强烈建议通过指定 IAM\$1ROLE 参数使用基于角色的身份验证,而不是提供纯文本形式的访问凭证。有关更多信息,请参阅 [基于角色的访问控制](copy-usage_notes-access-permissions.md#copy-usage_notes-access-role-based)。
### SESSION\$1TOKEN
与临时访问凭证配合使用的会话令牌。如果指定 SESSION\$1TOKEN,还必须使用 ACCESS\$1KEY\$1ID 和 SECRET\$1ACCESS\$1KEY 提供临时访问密钥凭证。如果指定 SESSION\$1TOKEN,则不能使用 IAM\$1ROLE 或 CREDENTIALS。有关更多信息,请参阅《IAM 用户指南》中的[临时安全凭证](copy-usage_notes-access-permissions.md#r_copy-temporary-security-credentials)。
**注意**
我们强烈建议使用基于角色的身份验证,而不是创建临时安全凭证。如果您授权使用 IAM 角色,Amazon Redshift 会自动为每个会话创建临时用户凭证。有关更多信息,请参阅 [基于角色的访问控制](copy-usage_notes-access-permissions.md#copy-usage_notes-access-role-based)。
以下显示 SESSION\$1TOKEN 参数与 ACCESS\$1KEY\$1ID 和 SECRET\$1ACCESS\$1KEY 参数配合使用时的语法。
```
ACCESS_KEY_ID ''
SECRET_ACCESS_KEY ''
SESSION_TOKEN '';
```
如果指定 SESSION\$1TOKEN,则不能使用 CREDENTIALS 或 IAM\$1ROLE。
## 使用 CREDENTIALS 参数
### CREDENTIALS
一个子句,指示您的集群在访问包含数据文件或清单文件的其他 Amazon 资源时将使用的方法。CREDENTIALS 参数不能与 IAM\$1ROLE 或 ACCESS\$1KEY\$1ID 和 SECRET\$1ACCESS\$1KEY 配合使用。
下面显示 CREDENTIALS 参数的语法。
```
[WITH] CREDENTIALS [AS] 'credentials-args'
```
**注意**
要获得更高的灵活性,我们建议使用 [IAM\$1ROLE](#copy-iam-role-iam) 参数,而不是 CREDENTIALS 参数。
(可选)如果使用了 [ENCRYPTED](copy-parameters-data-source-s3.md#copy-encrypted) 参数,*credentials-args* 字符串还将提供加密密钥。
*credentials-args* 字符串区分大小写且不得包含空格。
关键字 WITH 和 AS 是可选的,将被忽略。
您可指定 [role-based access control](copy-usage_notes-access-permissions.md#copy-usage_notes-access-role-based.phrase) 或 [key-based access control](copy-usage_notes-access-permissions.md#copy-usage_notes-access-key-based.phrase)。在任一情况下,IAM 角色或用户都必须具有访问指定 Amazon 资源所需的权限。有关更多信息,请参阅 [COPY、UNLOAD 和 CREATE LIBRARY 的 IAM 权限](copy-usage_notes-access-permissions.md#copy-usage_notes-iam-permissions)。
**注意**
为了保护您的 Amazon 凭证和敏感数据,我们强烈建议使用基于角色的访问控制。
要指定基于角色的访问控制,请按以下格式提供 *credentials-args* 字符串。
```
'aws_iam_role=arn:aws:iam:::role/'
```
要使用临时令牌凭证,您必须提供临时访问密钥 ID、临时秘密访问密钥和临时令牌。*credentials-args* 字符串采用以下格式。
```
CREDENTIALS
'aws_access_key_id=;aws_secret_access_key=;token='
```
使用基于角色的访问控制及临时凭证的 COPY 命令类似于以下示例语句:
```
COPY customer FROM 's3://amzn-s3-demo-bucket/mydata'
CREDENTIALS
'aws_access_key_id=;aws_secret_access_key=;token='
```
有关更多信息,请参阅 [临时安全凭证](copy-usage_notes-access-permissions.md#r_copy-temporary-security-credentials)。
如果使用了 [ENCRYPTED](copy-parameters-data-source-s3.md#copy-encrypted) 参数,*credentials-args* 字符串将采用以下格式,其中 ** 是用于对文件进行加密的根密钥的值。
```
CREDENTIALS
';master_symmetric_key='
```
使用基于角色的访问控制及加密密钥的 COPY 命令类似于以下示例语句:
```
COPY customer FROM 's3://amzn-s3-demo-bucket/mydata'
CREDENTIALS
'aws_iam_role=arn:aws:iam:::role/;master_symmetric_key='
```