本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在中管理 Amazon Redshift 命名空间的先决条件 AWS Glue Data Catalog 1. 创建数据湖管理员-创建有权接受命名空间邀请的 IAM 角色,创建 AWS Glue Data Catalog 对象(目录、数据库、表/视图),并向其他用户授予 Lake Formation 权限。 有关创建数据湖管理员的 step-by-step说明,请参阅[创建数据湖管理员](initial-lf-config.md#create-data-lake-admin)。 1. 更新数据湖管理员权限。 除了数据湖管理员权限外,数据湖管理员还需要以下权限才能在 Lake Formation 中接受 Amazon Redshift 命名空间邀请、创建或更新 Data Catalog 资源以及启用数据湖访问权限: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "glue-enable-datalake-access", "Statement": [{ "Effect": "Allow", "Action": [ "redshift:AssociateDataShareConsumer", "redshift:DescribeDataSharesForConsumer", "redshift:DescribeDataShares", "redshift-serverless:CreateNamespace", "redshift-serverless:CreateWorkgroup", "redshift-serverless:DeleteNamespace", "redshift-serverless:DeleteWorkgroup", "ec2:DescribeAccountAttributes", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeAvailabilityZones", "s3:createBucket", "s3:deleteBucket", "s3:putBucketPolicy", "s3:putEncryptionConfiguration", "s3:putLifecycleConfiguration", "s3:putBucketVersioning", "iam:CreateRole" ], "Resource": "*" }, { "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/data transfer role name", "Condition": { "StringLike": { "iam:PassedToService": [ "glue.amazonaws.com" ] } } } ] } ``` ------ 1. 如果用于创建联合目录的 IAM 角色不是数据湖管理员,则需要向该角色授予 `Create catalog` 权限。 **创建目录创建者** 1. 打开 Lake Formation 控制台,网址为[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。 1. 在**管理**下面,选择**管理角色和任务**。 1. 选择**授权**。 1. 在**授予权限**屏幕上,选择 IAM 用户或角色。 1. 选择**创建目录**权限。 1. 或者,您也可以授予可授予的**创建目录**权限。可授予的权限让目录创建者可以将 `Create catalog` 权限授予其他主体。 1. 选择**授权**。 AWS CLI 授予创建联合目录权限的示例。 ``` aws lakeformation grant-permissions \ --cli-input-json \ '{ "Principal": { "DataLakePrincipalIdentifier":"arn:aws:iam::123456789012:role/Admin" }, "Resource": { "Catalog": { } }, "Permissions": [ "CREATE_CATALOG", "DESCRIBE" ] }' ``` 1. 创建只读管理员角色,通过 Amazon Redshift 查询编辑器 v2 在 Data Catalog 中发现 Amazon Redshift 联合目录。 要从 Amazon Redshift 查询编辑器 v2 查询联合目录中的 Amazon Redshift 表,请确保只读管理员角色策略包含 Amazon Redshift 服务相关角色 `AWSServiceRoleForRedshift` 的 ARN。 ``` aws lakeformation put-data-lake-settings --region us-east-1 \ --data-lake-settings \ '{ "DataLakeAdmins": [{"DataLakePrincipalIdentifier":"arn:aws:iam::123456789012:role/Admin"}], "ReadOnlyAdmins":[{"DataLakePrincipalIdentifier":"arn:aws:iam::123456789012:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift"}], "CreateDatabaseDefaultPermissions":[], "CreateTableDefaultPermissions":[], "Parameters":{"CROSS_ACCOUNT_VERSION":"4","SET_CONTEXT":"TRUE"} }' ``` 1. 创建一个数据传输角色,让 Amazon Redshift 可以代表您与 Amazon S3 存储桶进行数据传输。 当您为兼容 Apache Iceberg 的查询引擎(例如 Athena、Amazon EC2 上的 Amazon EMR)启用数据湖访问权限以访问 Data Catalog 中的 Amazon Redshift 资源时,您需要创建一个 IAM 角色,该角色具有所需的权限,可以执行与 Amazon S3 存储桶之间的数据传输。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "glue-enable-datalake-access", "Statement": [{ "Sid": "DataTransferRolePolicy", "Effect": "Allow", "Action": [ "glue:GetCatalog", "glue:GetDatabase", "kms:GenerateDataKey", "kms:Decrypt"], "Resource": "*" } ] } ``` ------ 1. 将以下信任策略添加到 AWS Glue 和 Amazon Redshift 服务的数据传输角色中,以代入和传出 Amazon S3 存储桶的数据的角色。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": [ "redshift.amazonaws.com", "glue.amazonaws.com" ] }, "Action": "sts:AssumeRole" }] } ``` ------ 1. 如果您使用客户托管密钥加密 Amazon Redshift 集群/命名空间中的数据,请将以下密钥策略添加到密钥中。 AWS KMS 将账号替换为有效的 AWS 账号,并指定数据传输角色名称。默认情况下,Amazon Redshift 集群中的数据使用 KMS 密钥进行加密。Lake Formation 提供了创建自定义 KMS 密钥进行加密的选项。如果您使用客户管理型密钥,您必须向密钥添加特定的密钥策略。 有关管理客户管理型密钥权限的更多信息,请参阅[客户管理型密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "auto-redshift-3", "Statement": [{ "Sid": "RedshiftAllowAccessPolicy", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:CallerAccount": "111122223333", "kms:ViaService": "redshift.us-east-1.amazonaws.com" } } }, { "Sid": "RedshiftServerlessAllowAccessPolicy", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:CallerAccount": "111122223333", "kms:ViaService": "redshift-serverless.us-east-1.amazonaws.com" } } }, { "Sid": "DirectMetadataAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" }, { "Sid": "GenerateDataKeyDecryptDataTransferRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/data-transfer-role-name" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "s3.us-east-1.amazonaws.com" } } } ] } ``` ------