使用IAM角色使用Python連接到Redshift

Question

我使用sqlalchemy和psycopg2將python連接到redshift。

engine = create_engine('postgresql://user:password@hostname:port/database_name') 

我想避免使用我的密碼連接到紅移和使用IAM角色。

Answer 1

AWS IAM用戶與Redshift數據庫用戶不同。雖然Redshift是postgres的（非常遙遠的）親戚，但它並不允許無密碼連接，afaik。

編輯：

我的回答是不再適用，檢查相關的代碼片段答案。

Answer 2

AWS提供了一種請求訪問Redshift羣集的臨時證書的方法。 Boto3實現了get_cluster_credentials，允許您執行以下操作。確保您已經按照instructions here設置您的IAM用戶和角色。

def db_connection(): 
    logger = logging.getLogger(__name__) 

    RS_PORT = 5439 
    RS_USER = 'myDbUser' 
    DATABASE = 'myDb' 
    CLUSTER_ID = 'myCluster' 
    RS_HOST = 'myClusterHostName' 

    client = boto3.client('redshift') 

    cluster_creds = client.get_cluster_credentials(DbUser=RS_USER, 
               DbName=DATABASE, 
              ClusterIdentifier=CLUSTER_ID, 
               AutoCreate=False) 

    try: 
     conn = psycopg2.connect(
     host=RS_HOST, 
     port=RS_PORT, 
     user=cluster_creds['DbUser'], 
     password=cluster_creds['DbPassword'], 
     database=DATABASE 
    ) 
     return conn 
    except psycopg2.Error: 
     logger.exception('Failed to open database connection.') 

Answer 3

AWS爲python中的IAM creds提供了像他們的JDBC驅動程序一樣的方便包裝器。您需要手動撥打GetClusterCredentials端點，然後將返回的用戶名和密碼傳遞給create_engine。看起來像這樣：

def get_redshift_credentials(): 
    role_creds = get_role_credentials() 
    client = boto3.client(
     'redshift', 
     region_name=CLUSTER_REGION, 
     aws_access_key_id=role_creds['AccessKeyId'], 
     aws_secret_access_key=role_creds['SecretAccessKey'], 
     aws_session_token=role_creds['SessionToken'], 
    ) 
    response = client.get_cluster_credentials(
     DbUser=PGUSER, 
     ClusterIdentifier=CLUSTER_IDENTIFIER, 
    ) 
    return response 

creds = get_redshift_credentials() 
engine = create_engine('postgresql://{creds.DbUser}:{creds.DbPassword}@hostname:port/database_name'.format(creds))