Amazon Redshift unterstützt UDFs ab Patch 198 nicht mehr die Erstellung von neuem Python. Das bestehende Python UDFs wird bis zum 30. Juni 2026 weiterhin funktionieren. Weitere Informationen finden Sie im Blog-Posting
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überlegungen zur Verwendung von Amazon Redshift Redshift-Verbundberechtigungen
Im Folgenden finden Sie Überlegungen und Einschränkungen für die gemeinsame Nutzung von Amazon Redshift Redshift-Daten AWS Glue Data Catalog mithilfe von Verbundberechtigungen. Allgemeine Informationen zu Überlegungen und Einschränkungen bei der gemeinsamen Nutzung von Daten finden Sie unter Überlegungen bei der Verwendung von Datenfreigabe in Amazon Redshift.
Diese Funktion wird nur mit den Cluster-Versionen 197 und höher unterstützt.
Nicht unterstützte Regionen
-
Afrika (Kapstadt)
-
Asien-Pazifik (Hyderabad)
-
Europa (Milan)
-
Europa (Spain)
-
Naher Osten (VAE)
Anforderungen an die Umgebung
Sowohl registrierte Redshift-Instances als auch Redshift Redshift-Instances müssen die folgenden Anforderungen erfüllen:
-
Instanztyp: RA3 bereitgestellte Cluster oder serverlose Arbeitsgruppen
-
Region: Gleich AWS-Region
-
Konto: Gleich AWS-Konto
-
Verschlüsselung: Aktiviert
-
Isolationsstufe: Snapshot-Isolierung
Nicht unterstützte Objekte
Verbraucherinstanzen können nicht auf die folgenden Objekte aus dem Verbundberechtigungskatalog zugreifen:
-
SQL UDFs UDFs, Python und Lambda UDFs
-
ML-Modelle
-
Externes Schema, das auf der registrierten Instanz erstellt wurde
Grobkörnige Einschränkungen der Zugriffskontrolle
Grant wird nur für Tabellen, Datenbanken, Schemas und Funktionen unterstützt, die mit 3-Punkt-Notation verwendet werden
Präzise Einschränkungen der Zugriffskontrolle
Zusätzlich zu den standardmäßigen Richtlinieneinschränkungen für Sicherheit auf Zeilenebene (RLS) und Dynamic Data Masking (DDM) in Amazon Redshift können Consumer-Instances nicht auf RLS- oder DDM-geschützte Objekte aus dem Verbundberechtigungskatalog zugreifen, wenn die Richtlinien die folgenden Systemfunktionen enthalten:
-
user_is_member_of -
role_is_member_of -
user_is_member_of_role
Hinweis: In der aktuellen Version von Redshift sind Metadaten von FGAC-bezogenen Tabellen, auf die bei der Nutzung von Redshift Warehouses zugegriffen wird, vorübergehend im Katalog sichtbar.
Erkennung von Metadaten
-
SHOW-Befehle werden für Spalten, Tabellen, gespeicherte Prozeduren, Funktionen und Parameter unterstützt.
Lake Formation
-
Lake Formation Formation-Berechtigungen werden für Objekte im Amazon Redshift Redshift-Verbundberechtigungskatalog nicht unterstützt.
Identität
-
Nur Benutzer, die bei IAM registriert sind oder Objekte im Amazon Redshift Redshift-Verbundberechtigungskatalog abfragen AWS IAM Identity Center können.
-
Wenn Ihr Amazon Redshift Cluster oder Amazon Redshift Serverless Namespace mit Amazon Redshift Redshift-Verbundberechtigungen registriert ist, können Sie die Datenverwaltung für IAM-Verbundbenutzer nicht mithilfe der IAM-Verbundgruppe (n) verwalten. Dazu gehören alle zuvor konfigurierten detaillierten Zugriffskontrollen für Objekte über IAM-Verbundgruppen.
-
Bei der Registrierung eines vorhandenen Amazon Redshift-Clusters oder Amazon Redshift Serverless Namespace mit einem Amazon Redshift Redshift-Verbundberechtigungskatalog müssen allen AWS IAM Identity Center Verbundbenutzern, einschließlich denen, die zuvor Zugriff hatten, explizit CONNECT-Rechte für den Zugriff auf den Cluster oder die Arbeitsgruppe gewährt werden. Weitere Informationen zur Gewährung von CONNECT-Rechten finden Sie unter. Rechte Connect
-
AWS IAM-Verbundbenutzer, die mithilfe von Principal-Tags und temporären IAM-Anmeldeinformationen eine Verbindung zu Amazon Redshift-Clustern oder -Arbeitsgruppen herstellen, werden nicht als globale Identitäten erkannt und können nicht auf die Verbundberechtigungskataloge von Amazon Redshift zugreifen. Nur AWS IAM Identity Center Verbundbenutzer und AWS IAM-Verbundbenutzer oder -Rollen sind berechtigt, Verbundberechtigungskataloge von Amazon Redshift abzufragen.
-
Wenn Ihr Amazon Redshift Cluster- oder Amazon Redshift Serverless-Namespace mit Amazon Redshift Redshift-Verbundberechtigungen registriert ist, gelten die folgenden GRANT-Befehlsbeschränkungen für Verbundbenutzer oder Rollen und AWS IAM Identity Center IAM-Verbundbenutzer oder -Rollen: AWS
-
Sie können keinem Benutzer oder keiner Rolle eine Verbundrolle zuweisen. Eine Ausnahme von dieser Regel besteht darin, dass Sie einem IAM-Verbundbenutzer eine Redshift-Datenbankrolle zuweisen können.
-
Sie können einer Verbundrolle oder einem verbundenen Benutzer keine Rolle zuweisen. Eine Ausnahme von dieser Regel besteht darin, dass Sie einem Verbundbenutzer oder einer Verbundrolle eine systemdefinierte Rolle zuweisen können.
-
Zugriff auf die Engine
-
Zugriff von anderen Engines als Redshift wird nicht unterstützt
Ändern Sie die globale Identität des Benutzersets
-
Wird nur bei „Auswählen“, „Löschen“, „Aktualisieren“, „Anzeigen“ und „Einfügen“ unterstützt
-
Die einem Benutzer über ALTER USER SET GLOBAL IDENTITY zugeordnete IAM-Rolle wird nur verwendet, wenn sich die Abfrage auf Redshift Warehouse with Federated Permissions bezieht und nur, wenn die Abfrage auf eine Beziehung abzielt, z. B. SELECT-, UDPATE- und DELETE-Abfragen.
-
Eine solche IAM-Rolle wird auch für SHOW DATABASES-, SHOW SCHEMAS- und SHOW TABLES-Abfragen für Ressourcen in Redshift Warehouse with Federated Permissions verwendet.
-
Eine solche IAM-Rolle wird bei Datendefinitionsabfragen wie CREATE, ALTER und DROP nicht verwendet.
Fehlermeldung
-
Bei allen nicht unterstützten Vorgängen mit Datenbanken im Amazon Redshift Federated Permissiones-Katalog wird der folgende Fehler angezeigt:
Operation is not supported through datashares
