跨账户共享数据写入权限(预览版)
| 此文档为预发行文档,介绍了通过 Amazon Redshift 数据共享功能进行多数据仓库写入,该功能在 PREVIEW_2023 版本的公开预览版中提供。文档和特征都可能会更改。我们建议您只在测试集群中使用此功能,而不要在生产环境中使用。有关预览条款和条件,请参阅 Amazon 服务条款 |
如果您尚未在 PREVIEW_2023 库中创建数据共享,则转到共享对数据的写入访问权限(预览版)以开始使用。
以使用者数据安全管理员身份关联共享数据(预览版)
| 以下是通过 PREVIEW_2023 版本中公开预览版 Amazon Redshift 数据共享功能写入多数据仓库的预发行文档。文档和特征都可能会更改。我们建议您只在测试集群中使用此功能,而不要在生产环境中使用。有关预览条款和条件,请参阅 Amazon 服务条款 |
如果您尚未在 PREVIEW_2023 库中创建数据共享,则转到共享对数据的写入访问权限(预览版)以开始使用。
先决条件:如果数据共享是与其他账户共享的,则本节中的步骤将在生产者管理员授予对共享数据库对象的特定操作,以及生产者安全管理员授权访问后执行。
使用者安全管理员确定以下内容:
账户中的所有命名空间、账户中特定区域的命名空间或特定命名空间是否可以访问数据共享。
如果命名空间可以访问数据共享,这些命名空间是否有写入权限。
使用者安全管理员可以通过控制台、CLI 或 API 关联数据共享。如果通过 CLI,管理员使用以下命令:
associate-data-share-consumer --data-share-arn <value> --consumer-identifier <value> [--allow-writes | --no-allow-writes]
有关该命令的更多信息,请参阅 associate-data-share-consumer。
在将数据共享与命名空间关联时,使用者安全管理员必须明确将 allow-writes 设置为 true,以允许使用 INSERT 和 UPDATE 命令。如果不这样做,则用户只能执行读取操作,例如 SELECT、USAGE 或 EXECUTE 权限。
您可以通过使用不同的值再次调用 associate-data-share-consumer 来更改数据共享的命名空间关联。旧的关联会被新的关联覆盖,因此,如果您最初关联和设置 allow-writes,但关联并指定 no-allow-writes,或者干脆不指定值,则使用者的写入权限将被撤销。
以生产者安全管理员身份授权写入数据共享(预览版)
| 以下是通过 PREVIEW_2023 版本中公开预览版 Amazon Redshift 数据共享功能写入多数据仓库的预发行文档。文档和特征都可能会更改。我们建议您只在测试集群中使用此功能,而不要在生产环境中使用。有关预览条款和条件,请参阅 Amazon 服务条款 |
如果您尚未在 PREVIEW_2023 库中创建数据共享,则转到共享对数据的写入访问权限(预览版)以开始使用。
注意
这仅适用于账户之间共享数据共享的情况。
生产者安全管理员确定以下内容:
其他账户是否可以访问数据共享。
如果账户有权访问数据共享,则该账户是否具有写入权限。
授权数据共享需要以下 IAM 权限:
redshift:AuthorizeDataShare
您可以通过 CLI 调用或 API 授权使用和写入权限:
authorize-data-share --data-share-arn <value> --consumer-identifier <value> [--allow-writes | --no-allow-writes]
有关该命令的更多信息,请参阅 authorize-data-share。
使用者标识符可以是:
十二位数的 Amazon 账户 ID。
命名空间标识符 ARN。
请注意,在授权步骤中不会授予写入权限。授权写入数据共享只是允许账户拥有数据共享管理员授予的写入权限。如果管理员不允许写入,则特定使用者只能拥有 SELECT、USAGE 和 EXECUTE 权限。
您可以通过再次调用 authorize-data-share 来更改数据共享使用者的授权,但要使用不同的值。新授权将覆盖旧授权。因此,如果您最初授权并允许写入,但重新授权并指定 no-allow-writes 或干脆不指定值,则使用者的写入权限将被撤销。