从补丁 198 开始,Amazon Redshift 将不再支持创建新的 Python UDF。现有的 Python UDF 将继续正常运行至 2026 年 6 月 30 日。有关更多信息,请参阅[博客文章](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)。
# 创建临时 IAM 凭证
在本节中,您可以了解如何配置系统以生成基于 IAM 的临时数据库用户凭证,并使用新凭证登录到数据库。
概括来说,流程如下所示:
1. [步骤 1:创建用于 IAM 单点登录访问的 IAM 角色](#generating-iam-credentials-sso-role)
(可选)您可以将 IAM 身份验证和第三方身份提供者 (IdP) 进行集成,对访问 Amazon Redshift 数据库的用户进行身份验证。
1. [步骤 2:为 IdP 配置 SAML 断言](#configuring-saml-assertions)
(可选)要使用 IdP 进行 IAM 身份验证,您需要在 IdP 应用程序中定义一个声明规则,将组织中的用户或组映射到 IAM 角色。或者,您可以包含属性元素以设置 `GetClusterCredentials` 参数。
1. [步骤 3:创建有权调用 GetClusterCredentialsWithIAM 或 GetClusterCredentials 的 IAM 角色](#generating-iam-credentials-role-permissions)
您的 SQL 客户端应用程序在调用 `GetClusterCredentials` 操作时代入用户。如果您创建了用于身份提供者访问的 IAM 角色,则可向该角色添加必要权限。
1. [步骤 4:创建数据库用户和数据库组](#generating-iam-credentials-user-and-groups)
(可选)默认情况下,`GetClusterCredentials` 返回凭证;如果用户名不存在,则会创建一个新用户。您也可以选择指定用户在登录时加入的用户组。默认情况下,数据库用户加入 PUBLIC 组。
1. [步骤 5:配置 JDBC 或 ODBC 连接以使用 IAM 凭证](#generating-iam-credentials-configure-jdbc-odbc)
要连接到您的 Amazon Redshift 数据库,可将 SQL 客户端配置为使用 Amazon Redshift JDBC 或 ODBC 驱动程序。
## 步骤 1:创建用于 IAM 单点登录访问的 IAM 角色
如果您未使用身份提供者进行单点登录访问,则可跳过此步骤。
如果您已在 AWS 外部管理用户身份,则可将 IAM 身份验证和第三方 SAML-2.0 身份提供者 (IdP) 集成,对访问 Amazon Redshift 数据库的用户进行身份验证。
有关更多信息,请参阅 *IAM 用户指南*中的[身份提供者和联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。
在使用 Amazon Redshift IdP 身份验证之前,请先创建一个 AWS SAML 身份提供者。您可以在 IAM 控制台中创建一个 IdP,以向 AWS 通知该 IdP 及其配置。这样将在您的 AWS 账户和 IdP 之间建立信任。有关创建角色的步骤,请参阅《IAM 用户指南》**中的[创建用于 SAML 2.0 联合的角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html?icmpid=docs_iam_console)。
## 步骤 2:为 IdP 配置 SAML 断言
在创建 IAM 角色后,您可以在 IdP 应用程序中定义一个声明规则,以将组织中的用户或组映射到 IAM 角色。有关更多信息,请参阅 *IAM 用户指南*中的[为身份验证响应配置 SAML 断言](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。
如果选择使用可选的 `GetClusterCredentials` 参数 `DbUser`、`AutoCreate` 和 `DbGroups`,您有两个选择。您可以使用 JDBC 或 ODBC 连接设置这些参数的值,也可以将 SAML 属性元素添加到 IdP 以设置这些值。有关 `DbUser`、`AutoCreate` 和 `DbGroups` 参数的更多信息,请参阅[步骤 5:配置 JDBC 或 ODBC 连接以使用 IAM 凭证](#generating-iam-credentials-configure-jdbc-odbc)。
**注意**
如果您使用 IAM 策略变量 `${redshift:DbUser}`(如[GetClusterCredentials 的资源策略](redshift-iam-access-control-identity-based.md#redshift-policy-resources.getclustercredentials-resources)中所述),则 `DbUser` 的值将被替换为由 API 操作的请求上下文检索的值。Amazon Redshift 驱动程序使用由连接 URL 提供的 `DbUser` 变量的值,而不是作为 SAML 属性提供的值。
为了帮助保护该配置,我们建议您在 IAM 策略中使用一个条件以通过 `DbUser` 验证 `RoleSessionName` 值。您可以在 [示例 8:使用 GetClusterCredentials 的 IAM 策略](redshift-iam-access-control-identity-based.md#redshift-policy-examples-getclustercredentials) 中找到如何使用 IAM 策略设置条件。
要配置 IdP 以设置 `DbUser`、`AutoCreate` 和 `DbGroups` 参数,请包含以下 `Attribute` 元素:
+ `Attribute` 属性设置为“https://redshift.amazon.com/SAML/Attributes/DbUser”的 `Name` 元素
将 `AttributeValue` 元素设置为要连接到 Amazon Redshift 数据库的用户的名称。
`AttributeValue` 元素中的值必须为小写形式,以字母开头,仅包含字母数字字符、下划线 (\_)、加号 (\+)、圆点 (.)、@ 符号或连字符 (-),并且应少于 128 个字符。通常,用户名为用户 ID (例如,bobsmith) 或电子邮件地址 (例如,bobsmith@example.com)。此值不能包含空格 (例如,像 Bob Smith 这样的用户显示名称)。
```
user-name
```
+ Name 属性设置为“https://redshift.amazon.com/SAML/Attributes/AutoCreate”的 Attribute 元素
可以将 AttributeValue 元素设置为 true 以创建新的数据库用户(如果不存在)。将 AttributeValue 设置为 false 可指定数据库用户必须存在于 Amazon Redshift 数据库中。
```
true
```
+ `Attribute` 属性设置为“https://redshift.amazon.com/SAML/Attributes/DbGroups”的 `Name` 元素
该元素包含一个或多个 `AttributeValue` 元素。将每个 `AttributeValue` 元素设置为一个数据库组名称,`DbUser` 将在连接到 Amazon Redshift 数据库的会话期间加入该组。
```
group1
group2
group3
```
## 步骤 3:创建有权调用 GetClusterCredentialsWithIAM 或 GetClusterCredentials 的 IAM 角色
您的 SQL 客户端需要授权才能代表您调用 ` GetClusterCredentialsWithIAM` 或 `GetClusterCredentials` 操作。要提供该授权,可以创建用户或角色并附加用于授予必要权限的策略。这两项操作都可用于获取集群凭证,但它们的身份验证方法不同。` GetClusterCredentialsWithIAM` 使用 IAM 角色进行身份验证,这将自动创建一个映射到该角色的数据库用户,从而帮助管理 IAM 角色级别的权限,而 `GetClusterCredentials` 则会为数据库中的给定用户名提供凭证。
**创建有权调用 GetClusterCredentialsWithIAM 的 IAM 角色**
1. 利用 IAM 服务,创建用户或角色。您也可以使用现有用户或角色。例如,如果您创建了一个用于身份提供者访问的 IAM 角色,则可向该角色附加必要的 IAM 策略。
1. 附加有权调用 ` redshift:GetClusterCredentialsWithIAM` 操作的权限策略。以下策略示例说明了允许对特定集群和数据库、集群中的任意数据库以及任意集群中的任意数据库执行操作的选项。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SpecificClusterAndDBName",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentialsWithIAM",
"Resource": [
"arn:aws:redshift:us-east-1:123456789012:dbname:testcluster/testdatabase"
]
},
{
"Sid": "SpecificClusterAndAnyDBName",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentialsWithIAM",
"Resource": "arn:aws:redshift:us-east-1:123456789012:dbname:examplecluster/*",
},
{
"Sid": "AnyClusterAnyDatabase",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentialsWithIAM",
"Resource": "*"
}
]
}
```
**创建有权调用 GetClusterCredentials 的 IAM 角色**
1. 利用 IAM 服务,创建用户或角色。您也可以使用现有用户或角色。例如,如果您创建了一个用于身份提供者访问的 IAM 角色,则可向该角色附加必要的 IAM 策略。
1. 附加有权调用 `redshift:GetClusterCredentials` 操作的权限策略。根据指定的可选参数,您还可在策略中允许或限制其他操作和资源:
+ 要允许您的 SQL 客户端检索 Redshift 集群资源的集群 ID、AWS 区域和端口,可包含调用 `redshift:DescribeClusters` 操作的权限。
+ 如果您使用 `AutoCreate` 选项,请包含对 `redshift:CreateClusterUser` 资源调用 `dbuser` 的权限。以下 Amazon 资源名称(ARN)指定 Amazon Redshift `dbuser`。将 {{`region`}}、{{`account-id`}} 和 {{`cluster-name`}} 替换为您的 AWS 区域、账户和集群的相应值。对于 {{`dbuser-name`}},指定用于登录到集群数据库的用户名。
```
arn:aws:redshift:{{region}}:{{account-id}}:dbuser:{{cluster-name}}/{{dbuser-name}}
```
+ (可选)添加一个 ARN,以使用以下格式指定 Amazon Redshift `dbname` 资源。将 {{`region`}}、{{`account-id`}} 和 {{`cluster-name`}} 替换为您的 AWS 区域、账户和集群的相应值。对于 `{{database-name}}`,指定用户将登录到的数据库的名称。
```
arn:aws:redshift:{{region}}:{{account-id}}:dbname:{{cluster-name}}/{{database-name}}
```
+ 如果您使用 `DbGroups` 选项,请使用以下格式包含对 Amazon Redshift `dbgroup` 资源调用 `redshift:JoinGroup` 操作的权限。将 {{`region`}}、{{`account-id`}} 和 {{`cluster-name`}} 替换为您的 AWS 区域、账户和集群的相应值。对于 `{{dbgroup-name}}`,请指定用户在登录时加入的用户组的名称。
```
arn:aws:redshift:{{region}}:{{account-id}}:dbgroup:{{cluster-name}}/{{dbgroup-name}}
```
有关更多信息以及示例,请参阅 [GetClusterCredentials 的资源策略](redshift-iam-access-control-identity-based.md#redshift-policy-resources.getclustercredentials-resources)。
## 步骤 4:创建数据库用户和数据库组
(可选)您可以创建一个用于登录到集群数据库的数据库用户。如果您为现有用户创建临时用户凭证,则可禁用此用户的密码以强制用户使用临时密码进行登录。(可选)您可以使用 `GetClusterCredentials` 选项自动创建新的数据库用户。
您可以创建希望 IAM 数据库用户在登录时加入的数据库用户组并提供相应的权限。在调用 `GetClusterCredentials` 操作时,您可以指定新用户在登录时加入的用户组名称列表。这些组成员资格仅对特定请求生成的凭证所创建的会话有效。
**创建数据库用户和数据库组**
1. 登录到 Amazon Redshift 数据库,并使用 [CREATE USER](https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_USER.html) 创建数据库用户或使用 [ALTER USER](https://docs.aws.amazon.com/redshift/latest/dg/r_ALTER_USER.html) 修改现有用户。
1. (可选)指定 PASSWORD DISABLE 选项可阻止用户使用密码。在禁用用户的密码后,用户只能使用临时凭证进行登录。如果未禁用密码,用户可以使用密码或临时凭证进行登录。您不能禁用超级用户的密码。
如果用户需要在 AWS 管理控制台之外与 AWS 交互,则需要编程式访问权限。授予编程式访问权限的方法取决于访问 AWS 的用户类型。
要向用户授予编程式访问权限,请选择以下选项之一。
****
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/redshift/latest/mgmt/generating-iam-credentials-steps.html)
以下示例创建一个已禁用密码的用户。
```
create user temp_creds_user password disable;
```
以下示例禁用现有用户的密码。
```
alter user temp_creds_user password disable;
```
1. 使用 [CREATE GROUP](https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_GROUP.html) 创建数据库用户组。
1. 使用 [GRANT](https://docs.aws.amazon.com/redshift/latest/dg/r_GRANT.html) 命令为组定义访问权限。
## 步骤 5:配置 JDBC 或 ODBC 连接以使用 IAM 凭证
您可以使用 Amazon Redshift JDBC 或 ODBC 驱动程序配置 SQL 客户端。此驱动程序管理创建数据库用户凭证以及在 SQL 客户端和 Amazon Redshift 数据库之间建立连接的过程。
如果您使用身份提供者进行身份验证,请指定凭证提供商插件名称。Amazon Redshift JDBC 和 ODBC 驱动程序包括以下基于 SAML 的身份提供者的插件:
+ Active Directory 联合身份验证服务 (AD FS)
+ PingOne
+ Okta
+ Microsoft Azure AD
有关将 Microsoft Azure AD 设置为身份提供者的步骤,请参阅[设置 JDBC 或 ODBC 单点登录身份验证](setup-azure-ad-identity-provider.md)。
**配置 JDBC 连接以使用 IAM 凭证**
1. 从 [为 Amazon Redshift 配置 JDBC 驱动程序版本 2.x 连接](jdbc20-install.md) 页面下载最新的 Amazon Redshift JDBC 驱动程序。
1. 使用下列格式之一创建包含 IAM 凭证选项的 JDBC URL。要使用 IAM 身份验证,请将 `iam:` 添加到 Amazon Redshift JDBC URL 中的 `jdbc:redshift:` 后面,如以下示例中所示。
```
jdbc:redshift:iam://
```
添加 `cluster-name`、`region` 和 `account-id`。JDBC 驱动程序使用您的 IAM 账户信息和集群名称来检索集群 ID和 AWS 区域。为此,您的用户或角色必须有权针对指定的集群调用 `redshift:DescribeClusters` 操作。如果您的用户或角色无权调用 `redshift:DescribeClusters` 操作,请包含集群 ID、AWS 区域和端口,如以下示例中所示。端口号是可选的。
```
jdbc:redshift:iam://examplecluster.abc123xyz789.us-west-2.redshift.amazonaws.com:5439/dev
```
1. 添加 JDBC 选项可提供 IAM 凭证。使用不同的 JDBC 选项组合可提供 IAM 凭证。有关更多信息,请参阅 [用于创建数据库用户凭证的 JDBC 和 ODBC 选项](options-for-providing-iam-credentials.md#jdbc-and-odbc-options-for-database-credentials)。
以下 URL 为用户指定 AccessKeyID 和 SecretAccessKey。
```
jdbc:redshift:iam://examplecluster:us-west-2/dev?AccessKeyID=AKIAIOSFODNN7EXAMPLE&SecretAccessKey=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
```
以下示例指定包含 IAM 凭证的命名配置文件。
```
jdbc:redshift:iam://examplecluster:us-west-2/dev?Profile=user2
```
1. 添加 JDBC 驱动程序用来调用 `GetClusterCredentials` API 操作的 JDBC 选项。如果您以编程方式调用 `GetClusterCredentials` API 操作,请不要包括这些选项。
以下示例包括 JDBC `GetClusterCredentials` 选项。
```
jdbc:redshift:iam://examplecluster:us-west-2/dev?plugin_name=com.amazon.redshift.plugin.AzureCredentialsProvider&UID=user&PWD=password&idp_tenant=my_tenant&client_secret=my_secret&client_id=my_id
```
**配置 ODBC 连接以使用 IAM 凭证**
在以下过程中,您只能找到用于配置 IAM 身份验证的步骤。有关使用标准身份验证 (采用数据库用户名和密码) 的步骤,请参阅[为 Amazon Redshift 配置 ODBC 驱动程序版本 2.x 连接](odbc20-install.md)。
1. 为您的操作系统安装和配置最新的 Amazon Redshift OBDC 驱动程序。有关更多信息,请参阅[为 Amazon Redshift 配置 ODBC 驱动程序版本 2.x 连接](odbc20-install.md)页面。
**重要**
Amazon Redshift ODBC 驱动程序必须为版本 1.3.6.1000 或更高版本。
1. 根据您的操作系统选择配置连接设置需要遵循的步骤。
1. 在 Microsoft Windows 操作系统上,访问“Amazon Redshift ODBC 驱动程序 DSN 设置”窗口。
1. 在**连接设置**下,输入以下信息:
+ **数据源名称**
+ **服务器**(可选)
+ **端口**(可选)
+ **数据库**
如果您的用户或角色有权调用 `redshift:DescribeClusters` 操作,仅需要**数据源名称**和**数据库**。Amazon Redshift 通过调用 `DescribeCluster` 操作使用 **ClusterId** 和**区域**来获取服务器和端口。
如果您的用户或角色无权调用 `redshift:DescribeClusters` 操作,请指定**服务器**和**端口**。
1. 在**身份验证**下,为**身份验证类型**选择一个值。
对于每种身份验证类型,请输入如下列出的值:
AWS 配置文件
输入以下信息:
+ **ClusterID**
+ **区域**
+ **配置文件名称**
输入 AWS config 文件中包含 ODBC 连接选项值的配置文件的名称。有关更多信息,请参阅 [使用配置文件](options-for-providing-iam-credentials.md#using-configuration-profile)。
(可选)提供 ODBC 驱动程序用于调用 `GetClusterCredentials` API 操作的选项的详细信息:
+ **DbUser**
+ **User AutoCreate**
+ **DbGroups**
有关更多信息,请参阅 [用于创建数据库用户凭证的 JDBC 和 ODBC 选项](options-for-providing-iam-credentials.md#jdbc-and-odbc-options-for-database-credentials)。
IAM 凭证
输入以下信息:
+ **ClusterID**
+ **区域**
+ **AccessKeyID** 和 **SecretAccessKey**
为 IAM 数据库身份验证配置的 IAM 角色或用户的访问密钥 ID 和秘密访问密钥。
+ **SessionToken**
对于具有临时凭证的 IAM 角色,**SessionToken** 是必填的。有关更多信息,请参阅[临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)。
提供 ODBC 驱动程序用于调用 `GetClusterCredentials` API 操作的选项的详细信息:
+ **DbUser**(必填)
+ **User AutoCreate**(可选)
+ **DbGroups**(可选)
有关更多信息,请参阅 [用于创建数据库用户凭证的 JDBC 和 ODBC 选项](options-for-providing-iam-credentials.md#jdbc-and-odbc-options-for-database-credentials)。
Identity Provider: AD FS
对于使用 AD FS 的 Windows 集成身份验证,请将 **User** 和 **Password** 保留为空。
提供 IdP 详细信息:
+ **IdP Host**
企业身份提供者主机的名称。此名称不应包含任何斜线 (/)。
+ **IdP Port**(可选)
身份提供者使用的端口。默认值为 443。
+ **Preferred Role**
SAML 断言中的 `AttributeValue` 属性的多值 `Role` 元素中的 IAM 角色 Amazon 资源名称(ARN)。请与 IdP 管理员一起查找适合首选角色的值。有关更多信息,请参阅 [步骤 2:为 IdP 配置 SAML 断言](#configuring-saml-assertions)。
(可选)提供 ODBC 驱动程序用于调用 `GetClusterCredentials` API 操作的选项的详细信息:
+ **DbUser**
+ **User AutoCreate**
+ **DbGroups**
有关更多信息,请参阅 [用于创建数据库用户凭证的 JDBC 和 ODBC 选项](options-for-providing-iam-credentials.md#jdbc-and-odbc-options-for-database-credentials)。
Identity Provider: PingFederate
对于**用户**和**密码**,键入您的 IdP 用户名和密码。
提供 IdP 详细信息:
+ **IdP Host**
企业身份提供者主机的名称。此名称不应包含任何斜线 (/)。
+ **IdP Port**(可选)
身份提供者使用的端口。默认值为 443。
+ **Preferred Role**
SAML 断言中的 `AttributeValue` 属性的多值 `Role` 元素中的 IAM 角色 Amazon 资源名称(ARN)。请与 IdP 管理员一起查找适合首选角色的值。有关更多信息,请参阅 [步骤 2:为 IdP 配置 SAML 断言](#configuring-saml-assertions)。
(可选)提供 ODBC 驱动程序用于调用 `GetClusterCredentials` API 操作的选项的详细信息:
+ **DbUser**
+ **User AutoCreate**
+ **DbGroups**
有关更多信息,请参阅 [用于创建数据库用户凭证的 JDBC 和 ODBC 选项](options-for-providing-iam-credentials.md#jdbc-and-odbc-options-for-database-credentials)。
Identity Provider: Okta
对于**用户**和**密码**,键入您的 IdP 用户名和密码。
提供 IdP 详细信息:
+ **IdP Host**
企业身份提供者主机的名称。此名称不应包含任何斜线 (/)。
+ **IdP Port **
Okta 不使用此值。
+ **Preferred Role**
SAML 断言中的 `AttributeValue` 属性的 `Role` 元素中的 IAM 角色 Amazon 资源名称(ARN)。请与 IdP 管理员一起查找适合首选角色的值。有关更多信息,请参阅 [步骤 2:为 IdP 配置 SAML 断言](#configuring-saml-assertions)。
+ **Okta App ID**
Okta 应用程序的 ID。应用程序 ID 的值位于 Okta 应用程序嵌入链接中的“amazon\_aws”之后。与您的 IdP 管理员一起获取此值。
(可选)提供 ODBC 驱动程序用于调用 `GetClusterCredentials` API 操作的选项的详细信息:
+ **DbUser**
+ **User AutoCreate**
+ **DbGroups**
有关更多信息,请参阅 [用于创建数据库用户凭证的 JDBC 和 ODBC 选项](options-for-providing-iam-credentials.md#jdbc-and-odbc-options-for-database-credentials)。
身份提供者:Azure AD
对于**用户**和**密码**,键入您的 IdP 用户名和密码。
对于**集群 ID** 和**区域**,输入 Amazon Redshift 集群的集群 ID 和 AWS 区域。
对于**数据库**,输入您为 Amazon Redshift 集群创建的数据库。
提供 IdP 详细信息:
+ **IdP 租户**
用于 Azure AD 的租户。
+ **Azure 客户端密钥**
Azure 中的 Amazon Redshift 企业应用程序的客户端密钥。
+ **Azure 客户端 ID**
Azure 中的 Amazon Redshift 企业应用程序的客户端 ID(应用程序 ID)。
(可选)提供 ODBC 驱动程序用于调用 `GetClusterCredentials` API 操作的选项的详细信息:
+ **DbUser**
+ **User AutoCreate**
+ **DbGroups**
有关更多信息,请参阅 [用于创建数据库用户凭证的 JDBC 和 ODBC 选项](options-for-providing-iam-credentials.md#jdbc-and-odbc-options-for-database-credentials)。