从 2025 年 11 月 1 日起,Amazon Redshift 将不再支持创建新的 Python UDF。如果您想要使用 Python UDF,请在该日期之前创建 UDF。现有的 Python UDF 将继续正常运行。有关更多信息,请参阅博客文章
Amazon Redshift 中的 Identity and Access Management
访问 Amazon Redshift 时需要可供 Amazon 用来验证您的请求的凭证。这些凭证必须有权访问 Amazon 资源,如 Amazon Redshift 集群。下面几节提供详细信息来说明如何使用 Amazon Identity and Access Management (IAM) 和 Amazon Redshift 控制谁能访问您的资源,从而对这些资源进行保护:
重要
本主题包含有关管理权限、身份和安全访问的一系列最佳实践。我们建议您熟悉掌握将 IAM 与 Amazon Redshift 结合使用的最佳实践。这些最佳实践包括使用 IAM 角色应用权限。充分了解这些部分有助于您维护更安全的 Amazon Redshift 数据仓库。
使用身份进行身份验证
身份验证是您使用身份凭证登录 Amazon 的方法。您必须作为 Amazon Web Services 账户根用户、IAM 用户或通过担任 IAM 角色进行身份验证。
对于编程访问,Amazon 提供了 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅《IAM 用户指南》中的适用于 API 请求的 Amazon 签名版本 4。
Amazon Web Services 账户 根用户
当您创建 Amazon Web Services 账户 时,您从一个称为 Amazon Web Services 账户 根用户的登录身份开始,该身份拥有对所有 Amazon Web Services 服务 和资源的完全访问权限。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅《IAM 用户指南》中的需要根用户凭证的任务。
IAM 用户和群组
IAM 用户是对某个人员或应用程序具有特定权限的一个身份。我们建议使用临时凭证,而不是具有长期凭证的 IAM 用户。有关更多信息,请参阅《IAM 用户指南》中的要求人类用户使用带有身份提供商的联合身份验证才能使用临时凭证访问 Amazon。
IAM 组指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅《IAM 用户指南》中的 IAM 用户使用案例。
IAM 角色
IAM 角色是具有特定权限的身份,可提供临时凭证。您可以通过从用户切换到 IAM 角色(控制台)或调用 Amazon CLI 或 Amazon API 操作来担任角色。有关更多信息,请参阅《IAM 用户指南》中的担任角色的方法。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》中的 IAM 中的跨账户资源访问。
注意
Redshift 中的转发访问会话(FAS,Forward Access Session)的有效期仅为 12 小时。在此期限之后,使用 FAS 与其他服务集成的任何连接会话都必须重建。
访问控制
您可以使用有效的凭证来对自己的请求进行身份验证,但您还必须拥有权限才能创建或访问 Amazon Redshift 资源。例如,您必须拥有权限才能创建 Amazon Redshift 集群、创建快照、添加事件订阅等。
下面几节介绍如何管理 Amazon Redshift 的权限。我们建议您先阅读概述。