Consideraciones al usar permisos federados de Amazon Redshift - Amazon Redshift

Amazon Redshift dejará de admitir la creación de nuevas UDF de Python a partir del parche 198. Las UDF de Python existentes seguirán funcionando hasta el 30 de junio de 2026. Para obtener más información, consulte la publicación del blog.

Consideraciones al usar permisos federados de Amazon Redshift

A continuación, se indican las consideraciones y las limitaciones para compartir datos de Amazon Redshift con AWS Glue Data Catalog mediante permisos federados. Para obtener información general sobre las consideraciones y limitaciones del uso compartido de datos, consulte Consideraciones sobre el uso compartido de datos en Amazon Redshift.

Esta característica solo es compatible con las versiones de clúster 197 y posteriores.

Regiones no admitidas

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Hyderabad)

  • Europa (Milán)

  • Europa (España)

  • Medio Oriente (EAU)

Requisitos del entorno

Las instancias registradas y de Redshift del consumidor deben cumplir estos requisitos:

  • Tipo de instancia: clústeres aprovisionados de RA3 o grupos de trabajo sin servidor

  • Región: la misma Región de AWS

  • Cuenta: la misma Cuenta de AWS

  • Cifrado: habilitado

  • Nivel de aislamiento: aislamiento instantáneo

Objetos no admitidos

Las instancias de consumidor no pueden acceder a los siguientes objetos del catálogo de permisos federados:

  • UDF de SQL, UDF de Python y UDF de Lambda

  • Modelos de ML

  • Esquema externo creado en la instancia registrada

Restricciones de control de acceso básicas

La concesión solo se admite en tablas, bases de datos, esquemas y funciones utilizadas con la notación de 3 puntos

Restricciones de control de acceso específicas

Además de las restricciones de la política de seguridad a nivel de fila (RLS) y enmascaramiento dinámico de datos (DDM) estándar de Amazon Redshift, las instancias de consumo no pueden acceder a los objetos protegidos por RLS o DDM del catálogo de permisos federados si las políticas contienen estas funciones del sistema:

  • user_is_member_of

  • role_is_member_of

  • user_is_member_of_role

Nota: En la versión actual de Redshift, los metadatos de las tablas relacionadas con FGAC a las que se accede desde los almacenes de Redshift de consumo están visibles temporalmente en el catálogo.

Detección de metadatos

  • Los comandos SHOW son compatibles con columnas, tablas, procedimientos almacenados, funciones y parámetros.

Lake Formation

  • Los permisos de Lake Formation no se admiten en los objetos del catálogo de permisos federados de Amazon Redshift.

Identidad

  • Solo los usuarios registrados con IAM o AWS IAM Identity Center pueden consultar objetos en el catálogo de permisos federados de Amazon Redshift.

  • Si el clúster de Amazon Redshift o espacio de nombres de Amazon Redshift sin servidor está registrado con los permisos federados de Amazon Redshift, no podrá administrar la gobernanza de datos de los usuarios federados de IAM mediante los grupos federados de IAM. Esto incluye cualquier control de acceso granular previamente configurado a los objetos a través de grupos federados de IAM.

  • Al registrar un clúster de Amazon Redshift o un espacio de nombres de Amazon Redshift sin servidor existente en un catálogo de permisos federados de Amazon Redshift, todos los usuarios federados de AWS IAM Identity Center, incluidos aquellos que anteriormente tenían acceso, deben disponer de forma explícita de los privilegios CONNECT concedidos para acceder al clúster o grupo de trabajo. Para obtener más información sobre cómo conceder privilegios CONNECT, consulte Privilegios de conexión.

  • Los usuarios federados de AWS IAM que se conectan a clústeres o grupos de trabajo de Amazon Redshift mediante etiquetas de entidades principales y credenciales de IAM temporales no se reconocen como identidades globales y no pueden acceder a los catálogos de permisos federados de Amazon Redshift. Solo los usuarios federados de AWS IAM Identity Center y los usuarios o roles federados de AWS IAM están autorizados a consultar los catálogos de permisos federados de Amazon Redshift.

  • Cuando el espacio de nombres del clúster de Amazon Redshift o Amazon Redshift sin servidor esté registrado con permisos federados de Amazon Redshift, las siguientes limitaciones del comando GRANT se aplican a los usuarios o roles federados de AWS IAM Identity Center y a los usuarios o roles federados de AWS IAM:

    • No puede conceder un rol federado a ningún usuario o rol. Una excepción a esta regla es que puede conceder un rol de base de datos de Redshift a un usuario federado de IAM.

    • No puede conceder ningún rol a un rol o usuario federado. Una excepción a esta regla es que puede conceder un rol definido por el sistema a un usuario o rol federado.

Acceso de motor

  • No se admite el acceso desde motores distintos de Redshift

Modificación de la identidad global del conjunto de usuarios

  • Solo se admite en las opciones “Seleccionar”, “Eliminar”, “Actualizar”, “Mostrar” e “Insertar”

  • El rol de IAM asociado a un usuario mediante ALTER USER SET GLOBAL IDENTITY solo se usa cuando la consulta se dirige al almacén de Redshift con permisos federados y solo cuando la consulta se dirige a una relación, como las consultas SELECT, UDPATE y DELETE.

  • Este rol de IAM también se utiliza en las consultas SHOW DATABASES, SHOW SCHEMAS y SHOW TABLES en los recursos del almacén de Redshift con permisos federados.

  • Este rol de IAM no se utiliza en consultas de definición de datos como CREATE, ALTER y DROP.

Mensaje de error

  • Cualquier operación no compatible en la base de datos del catálogo de permisos federados de Amazon Redshift mostrará el siguiente error:

    Operation is not supported through datashares