Considérations relatives à l'utilisation des autorisations fédérées Amazon Redshift

Les considérations et limites suivantes concernent le partage de données Amazon Redshift à AWS Glue Data Catalog l'aide d'autorisations fédérées. Pour obtenir des informations générales sur les considérations et les limites du partage de données, consultez la section Considérations relatives à l'utilisation du partage de données dans Amazon Redshift.

Cette fonctionnalité n'est prise en charge qu'avec les versions de cluster 197 et ultérieures.

Régions non prises en charge

Afrique (Le Cap)
Asie-Pacifique (Hyderabad)
Europe (Milan)
Europe (Espagne)
Moyen-Orient (EAU)

Exigences relatives à l'environnement

Les instances Redshift enregistrées et celles destinées aux particuliers doivent répondre aux exigences suivantes :

Type d'instance : clusters RA3 provisionnés ou groupes de travail sans serveur
Région : Même Région AWS
Compte : Identique Compte AWS
Chiffrement : activé
Niveau d'isolation : isolation instantanée

Objets non pris en charge

Les instances de consommateurs ne peuvent pas accéder aux objets suivants à partir du catalogue d'autorisations fédérées :

SQL UDFs, Python et UDFs Lambda UDFs
Modèles ML
Schéma externe créé sur l'instance enregistrée

Restrictions de contrôle d'accès grossières

La subvention est prise en charge uniquement sur les tables, les bases de données, les schémas et les fonctions utilisées avec la notation à 3 points

Restrictions de contrôle d'accès précises

Outre les restrictions standard relatives à la sécurité au niveau des lignes (RLS) et au masquage dynamique des données (DDM) dans Amazon Redshift, les instances grand public ne peuvent pas accéder aux objets protégés par RLS ou DDM depuis le catalogue d'autorisations fédérées si les politiques contiennent les fonctions système suivantes :

user_is_member_of
role_is_member_of
user_is_member_of_role

Remarque : Dans la version actuelle de Redshift, les métadonnées des tables associées au FGAC accessibles sur les entrepôts Redshift consommateurs sont temporairement visibles dans le catalogue.

Découverte des métadonnées

Les commandes SHOW sont prises en charge pour les colonnes, les tables, les procédures stockées, les fonctions et les paramètres.

Lake Formation

Les autorisations Lake Formation ne sont pas prises en charge sur les objets du catalogue d'autorisations fédérées Amazon Redshift.

Identité

Seuls les utilisateurs enregistrés auprès d'IAM AWS IAM Identity Center peuvent interroger des objets dans le catalogue d'autorisations fédérées Amazon Redshift.
Lorsque votre cluster Amazon Redshift ou votre espace de noms Amazon Redshift Serverless est enregistré avec des autorisations fédérées Amazon Redshift, vous ne pouvez pas gérer la gouvernance des données pour les utilisateurs fédérés IAM à l'aide du ou des groupes fédérés IAM. Cela inclut tous les contrôles d'accès granulaires précédemment configurés sur les objets par le biais de groupes fédérés IAM.
Lors de l'enregistrement d'un cluster Amazon Redshift existant ou d'un espace de noms Amazon Redshift sans serveur dans un catalogue d'autorisations fédérées Amazon Redshift AWS IAM Identity Center , tous les utilisateurs fédérés, y compris ceux qui y avaient précédemment accès, doivent se voir explicitement accorder des privilèges CONNECT pour accéder au cluster ou au groupe de travail. Pour plus d'informations sur l'octroi de privilèges CONNECT, consultezPrivilèges Connect.
AWS Les utilisateurs IAM Federated qui se connectent à des clusters ou à des groupes de travail Amazon Redshift à l'aide de balises principales et d'informations d'identification IAM temporaires ne sont pas reconnus comme des identités globales et ne peuvent pas accéder aux catalogues d'autorisations fédérées Amazon Redshift. Seuls les utilisateurs AWS IAM Identity Center fédérés et les utilisateurs ou rôles fédérés AWS IAM sont autorisés à interroger les catalogues d'autorisations fédérées Amazon Redshift.
Lorsque votre cluster Amazon Redshift ou votre espace de noms Amazon Redshift Serverless est enregistré avec des autorisations fédérées Amazon Redshift, les limites de commande GRANT suivantes s'appliquent AWS IAM Identity Center aux utilisateurs ou rôles fédérés et aux utilisateurs ou rôles fédérés IAM : AWS
- Vous ne pouvez pas accorder de rôle fédéré à un utilisateur ou à un rôle. Une exception à cette règle est que vous pouvez accorder un rôle de base de données Redshift à un utilisateur fédéré IAM.
- Vous ne pouvez attribuer aucun rôle à un rôle ou à un utilisateur fédéré. Une exception à cette règle est que vous pouvez accorder un rôle défini par le système à un utilisateur ou à un rôle fédéré.

Accès au moteur

L'accès depuis des moteurs autres que Redshift n'est pas pris en charge

Modifier l'identité globale définie par l'utilisateur

Pris en charge uniquement sur « Sélectionner », « Supprimer », « Mettre à jour », « Afficher », « Insérer »
Le rôle IAM associé à un utilisateur via ALTER USER SET GLOBAL IDENTITY n'est utilisé que lorsque la requête concerne Redshift Warehouse avec des autorisations fédérées et uniquement lorsque la requête cible une relation, telle que les requêtes SELECT, UDPATE et DELETE.
Ce rôle IAM est également utilisé pour les requêtes SHOW DATABASES, SHOW SCHEMAS et SHOW TABLES sur les ressources de Redshift Warehouse avec des autorisations fédérées.
Ce rôle IAM n'est pas utilisé dans les requêtes de définition de données telles que CREATE, ALTER et DROP.

Message d’erreur

Toute opération non prise en charge sur la base de données dans le catalogue Amazon Redshift Federated Permissions affichera l'erreur suivante :
```
Operation is not supported through datashares
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Autorisations fédérées

Conditions préalables