Erstellen eines Secrets und einer IAM-Rolle für die Verwendung von Verbundabfragen - Amazon Redshift
Voraussetzungen

Amazon Redshift unterstützt ab dem 1. November 2025 nicht mehr die Erstellung neuer Python-UDFs. Wenn Sie Python-UDFs verwenden möchten, erstellen Sie die UDFs vor diesem Datum. Bestehende Python-UDFs funktionieren weiterhin wie gewohnt. Weitere Informationen finden Sie im Blog-Posting.

Erstellen eines Secrets und einer IAM-Rolle für die Verwendung von Verbundabfragen

Die folgenden Schritte zeigen, wie Sie ein Secret und eine IAM-Rolle erstellen, die mit einer Verbundabfrage verwendet werden sollen.

Voraussetzungen

Sie müssen die folgenden Voraussetzungen erfüllen, um ein Secret und eine IAM-Rolle für die Verwendung mit Verbundabfragen zu erstellen:

  • Eine RDS-PostgreSQL-, Aurora-PostgreSQL-DB-Instance, RDS-MySQL- oder Aurora MySQL-DB-Instance mit Benutzernamen- und Passwortauthentifizierung.

  • Ein Amazon-Redshift-Cluster mit einer Cluster-Wartungsversion, die Verbundabfragen unterstützt.

So erstellen Sie mit ein Secret (Benutzername und Passwort): AWS Secrets Manager

  1. Melden Sie sich bei der Secrets-Manager-Konsole mit dem Konto an, das Ihre Instance im RDS- oder Aurora-DB-Cluster besitzt.

  2. Wählen Sie Store a new secret (Ein neues Secret speichern).

  3. Wählen Sie die Kachel Credentials for RDS database (Anmeldeinformationen für die RDS-Datenbank) aus. Geben Sie unter User name (Benutzername) und Password (Passwort) Entsprechendes für Ihre Instance ein. Bestätigen oder wählen Sie einen Wert für den Verschlüsselungsschlüssel aus. Wählen Sie dann die RDS-Datenbank aus, auf die Ihr Secret zugreifen soll.

    Anmerkung

    Wir raten zur Verwendung des Standard-Verschlüsselungsschlüssels (DefaultEncryptionKey). Wenn Sie einen benutzerdefinierten Verschlüsselungsschlüssel verwenden, muss die IAM-Rolle, die für den Zugriff auf den geheimen Schlüssel verwendet wird, als Schlüsselbenutzer hinzugefügt werden.

  4. Geben Sie einen Namen für das Secret ein, fahren Sie unter Verwendung der Standardoptionen mit den Erstellungsschritten fort ,und klicken Sie auf Store (Speichern).

  5. Lassen Sie sich Ihr Secret anzeigen und notieren Sie sich den Secret-ARN-Wert den Sie erstellt haben, um das Secret zu identifizieren.

So erstellen Sie mit dem Secret eine Sicherheitsrichtlinie

  1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Erstellen Sie eine Richtlinie mit JSON ähnlich der folgenden.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AccessSecret",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:123456789012:secret:my-rds-secret-VNenFy"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetRandomPassword",
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        }
    ]
}

    Zum Abrufen des Secrets benötigen Sie Listen- und Lese- Aktionen. Es wird empfohlen, die Ressource auf das bestimmte Secret zu beschränken, das Sie erstellt haben. Verwenden Sie dazu den Amazon-Ressourcennamen (ARN) des Secrets, um die Ressource zu beschränken. Sie können die Berechtigungen und Ressourcen auch mithilfe des visuellen Editors auf der IAM-Konsole angeben.

  3. Geben Sie der Richtlinie einen Namen und beenden Sie die Erstellung.

  4. Navigieren Sie zu IAM roles (IAM-Rollen).

  5. Erstellen Sie eine IAM-Rolle für Redshift – Customizable (Redshift – Anpassbar).

  6. Fügen Sie entweder die soeben erstellte IAM-Richtlinie an eine vorhandene IAM-Rolle an oder erstellen Sie eine neue IAM-Rolle und fügen Sie die Richtlinie an.

  7. Bestätigen Sie auf der Registerkarte Trust relationships (Vertrauensstellungen) Ihrer IAM-Rolle, dass sie die Vertrauensentität redshift.amazonaws.com enthält.

  8. Notieren Sie den Rollen-ARN den Sie erstellt haben. Dieser ARN hat Zugriff auf das Secret.

So fügen Sie die IAM-Rolle an Ihren Amazon-Redshift-Cluster an

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-Redshift-Konsole unter https://console.aws.amazon.com/redshiftv2/.

  2. Wählen Sie im Navigationsmenü Clusters (Cluster) aus. Die Cluster für Ihr Konto in der aktuellen AWS-Region werden aufgelistet.

  3. Wählen Sie den Cluster-Namen in der Liste aus, um weitere Details zu einem Cluster anzuzeigen.

  4. Wählen Sie für Actions (Aktionen) Manage IAM roles (IAM-Rollen verwalten) aus. Es wird die Seite Manage IAM roles (IAM-Rollen verwalten) angezeigt.

  5. Fügen Sie dem Cluster Ihre IAM-Rolle hinzu.