执行 Redshift Spectrum 查询

现在，已在 AWS Glue 数据目录中创建客户表，下面我们来使用 Redshift Spectrum 查询该表。

从您的查询工具登录 Amazon Redshift 集群。
运行下面的语句，为 Redshift Spectrum 创建一个称为

spectrumxacct 的外部架构，以指向 AWS Glue 数据目录数据库。此数据库在账户 B 中为

spectrumdb_account_b，已在 AWS Glue 控制台中创建。

SQL

   drop schema if exists spectrumxacct;
   create external schema spectrumxacct
   from data catalog 
   database 'spectrumdb_account_b'
   iam_role '<IAM role ARN of redshift_role_account_b,IAM role ARN of xacct_kms_role_account_b>'
   create external database if not exists;

**注意：**替换账户 B 中的 IAM 角色 ARN，用逗号隔开，周围不加任何空格。

运行下面的示例查询，以确认 Redshift Spectrum 可以成功查询数据。

SQL

   select * from spectrumxacct.customer limit 10;

注意：Redshift Spectrum 使用账户 B 中的 AWS Glue 数据目录，而非账户 A。

选项 2：账户 A 中的 AWS Glue 数据目录

****

设置权限

1.登录账户 A 的 AWS 控制台，然后将 AWS 区域更改为 us-west-2（俄勒冈）。

         a) 创建以下 IAM 策略：

• rs-xacct-bucket-policy，可授予对账户 A 中的 S3 存储桶的访问权限
• rs_xacct_kms_policy，可授予对账户 A 中的 CMK 的访问权限

策略名称：rs_xacct_bucket_policy

注意：将存储桶名称 rs-xacct-kms-bucket 替换为您的存储桶名称。

Json

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowS3",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::rs-xacct-kms-bucket/*",
                "arn:aws:s3:::rs-xacct-kms-bucket"
            ]
        }
    ]
}

策略名称：rs_xacct_kms_policy

注意：将 <ARN of kms_key_account_a from Account A> 替换为账户 A 中的 KMS 密钥 ARN。

Json

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUseOfTheKey",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "<ARN of kms_key_account_a from Account A>"
            ]
        },
        {
            "Sid": "AllowAttachmentOfPersistentResources",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": [
                "<ARN of kms_key_account_a from Account A>"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}

b) 为具有以下 IAM 策略的 Amazon Redshift 服务创建称为
xacct_kms_role_account_b 的新 IAM 角色：

•
rs_xacct_bucket_policy
•
rs_xacct_kms_policy
•
AWSGlueConsoleFullAccess（此托管策略为 AWS Glue 数据目录提供必需权限）

保存 IAM 角色 ARN，供稍后使用。

c) 通过选择编辑信任关系并将现有信任策略替换为以下内容来更改 IAM 角色
xacct_kms_role_account_a 的信任关系：

注意：将 <Account B> 替换为账户 B 的 AWS 账户 ID。

Json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<Account B>:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

d) 创建称为
glue_service_role_account_a 的 AWS Glue 服务 IAM 角色，并附加以下策略：

•
AWSGlueServiceRole（AWS 托管策略）
•
rs_xacct_bucket_policy（早前创建的托管策略）
•
rs_xacct_kms_policy（早前创建的托管策略）

注意：务必将 glue_service_role_account_a 更新为您自己的 IAM 角色

2.登录账户 B 的 AWS 控制台，并在尚未选择的情况下，将 AWS 区域更改为 us-west-2（俄勒冈）。

a) 修改现有的 IAM 策略
rs_xacct_assume_role_policy，并将现有的 JSON 策略替换为以下内容：

****注意：替换 <ARN for IAM role xacct_kms_role_account_a from Account A>。

Json

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1487639602000",
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": [
"<ARN for IAM role xacct_kms_role_account_a from Account A>"
            ]
        }
    ]
}

执行 Amazon Redshift COPY

1.从您的查询工具登录 Amazon Redshift 集群并使用下面的 DDL 创建
客户表。

SQL

CREATE TABLE customer 
(
  c_custkey      INTEGER NOT NULL,
  c_name         VARCHAR(25) NOT NULL,
  c_address      VARCHAR(25) NOT NULL,
  c_city         VARCHAR(10) NOT NULL,
  c_nation       VARCHAR(15) NOT NULL,
  c_region       VARCHAR(12) NOT NULL,
  c_phone        VARCHAR(15) NOT NULL,
  c_mktsegment   VARCHAR(10) NOT NULL
);

2.现在，您应该能够成功地运行下面的 COPY 语句。

SQL

copy customer from 's3://rs-xacct-kms-bucket/customer/' 
iam_role '<ARN for IAM role redshift_role_account_b from Account B,<ARN for IAM role xacct_kms_role_account_a from Account A>'
gzip
region 'us-west-2';

注意：替换 IAM 角色 ARN，用逗号隔开，周围不加任何空格。

3.运行示例查询，以验证数据已成功加载。

SQL

select * from customer limit 10;

为要查询的 Redshift Spectrum 设置 AWS Glue 数据目录表

现在，我们在账户 A 中创建 AWS Glue 爬网程序，以对相同的
客户数据进行爬网，并按照下面的步骤在账户 A 的 AWS Glue 数据目录数据库
spectrumdb_account_a 中创建称为客户的表：

按照选项 1 中列出的步骤操作，并使用下面的更改运行爬网程序：

这一次，在账户 A 中创建爬网程序（与选项 1 中的账户 B 相反）。
在账户 A 中创建 AWS Glue 数据目录数据库

spectrumdb_account_a（与账户 B 中的

spectrumdb_account_b 相反，然后为爬网程序选择该数据库以创建

客户表。
提供 S3 路径的同时，选择选项我的账户中的指定路径 （与为选项 1 选择的另一个账户中的指定路径不同）。
确保将早前创建的

glue_service_role_account_a 用作 AWS Glue 服务 IAM 角色。=

执行 Redshift Spectrum 查询**

**

现在，已在 AWS Glue 数据目录中创建
客户表，下面我们来使用 Redshift Spectrum 查询该表。

1.从您的查询工具登录 Amazon Redshift 集群，并运行下面的语句。这将会为 Redshift Spectrum 创建一个称为
spectrumxacct2 的外部架构，该架构指向账户 A 中的 AWS Glue 数据目录数据库
spectrumdb_account_a（早前从 AWS Glue 控制台中创建）。

SQL

drop schema if exists spectrumxacct2;
create external schema spectrumxacct2
from data catalog 
database 'spectrumdb_account_a' 
iam_role '<ARN for IAM role redshift_role_account_b from Account B,<ARN for IAM role xacct_kms_role_account_a from Account A>'
create external database if not exists;

注意：替换 IAM 角色 ARN，用逗号隔开，周围不加任何空格。

2.运行下面的查询，该查询应成功运行。

SQL

select * from spectrumxacct2.customer limit 10;

注意：Spectrum 使用账户 A 中的 AWS Glue 数据目录，而非账户 B_。_

小结

此博文显示了如何使用 Redshift Spectrum 为 Amazon S3 中的示例 KMS 加密数据集设置跨账户 Amazon Redshift COPY 和查询的逐步演练。它演示了两种解决方案选项，可根据您希望将哪个账户的 AWS Glue 目录用于 Redshift Spectrum 进行选择。

本文转载自AWS技术博客。

原文链接：https://amazonaws-china.com/cn/blogs/china/how-to-enable-cross-account-amazon-redshift-copy-and-redshift-spectrum-query-for-aws-kms-encrypted-data-in-amazon-s3/

创作场景

如何为 Amazon S3 中的 AWS KMS 加密数据启用跨账户 Amazon Redshift COPY 和 Redshift Spectrum 查询（四）