步骤 4:创建数据库用户和数据库组
(可选)您可以创建一个用于登录到集群数据库的数据库用户。如果您为现有用户创建临时用户凭证,则可禁用此用户的密码以强制用户使用临时密码进行登录。(可选)您可以使用 GetClusterCredentials
选项自动创建新的数据库用户。
您可以创建希望 IAM 数据库用户在登录时加入的数据库用户组并提供相应的权限。在调用 GetClusterCredentials
操作时,您可以指定新用户在登录时加入的用户组名称列表。这些组成员资格仅对特定请求生成的凭证所创建的会话有效。
创建数据库用户和数据库组
-
登录到 Amazon Redshift 数据库,并使用 CREATE USER 创建数据库用户或使用 ALTER USER 修改现有用户。
-
(可选) 指定 PASSWORD DISABLE 选项可阻止用户使用密码。在禁用用户的密码后,用户只能使用临时凭证进行登录。如果未禁用密码,用户可以使用密码或临时凭证进行登录。您不能禁用超级用户的密码。
如果用户需要在 Amazon Web Services Management Console 之外与 Amazon 交互,则需要编程式访问权限。Amazon API 和 Amazon Command Line Interface 需要访问密钥。可能的话,创建临时凭证,该凭证由一个访问密钥 ID、一个秘密访问密钥和一个指示凭证何时到期的安全令牌组成。
要向用户授予编程式访问权限,请选择以下选项之一。
哪个用户需要编程式访问权限? 目的 方式 IAM 使用短期凭证签署对 Amazon CLI 或 Amazon API 的编程式请求(直接或使用 Amazon 软件开发工具包)。 按照《IAM 用户指南》中将临时凭证用于 Amazon 资源中的说明进行操作。 IAM (不推荐使用)
使用长期凭证签署对 Amazon CLI 或 Amazon API 的编程式请求(直接或使用 Amazon 软件开发工具包)。按照《IAM 用户指南》中管理 IAM 用户的访问密钥中的说明进行操作。 以下示例创建一个已禁用密码的用户。
create user temp_creds_user password disable;
以下示例禁用现有用户的密码。
alter user temp_creds_user password disable;
-
使用 CREATE GROUP 创建数据库用户组。
-
使用 GRANT 命令为组定义访问权限。