Pertimbangan saat menggunakan izin federasi Amazon Redshift - Amazon Redshift

Amazon Redshift tidak akan lagi mendukung pembuatan Python UDFs baru mulai Patch 198. Python yang ada UDFs akan terus berfungsi hingga 30 Juni 2026. Untuk informasi lebih lanjut, lihat posting blog.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertimbangan saat menggunakan izin federasi Amazon Redshift

Berikut ini adalah pertimbangan dan batasan untuk berbagi data Amazon Redshift AWS Glue Data Catalog dengan menggunakan izin federasi. Untuk informasi umum tentang pertimbangan dan batasan berbagi data, lihat Pertimbangan saat menggunakan berbagi data di Amazon Redshift.

Fitur ini hanya didukung dengan klaster versi 197 dan seterusnya.

Wilayah yang Tidak Didukung

  • Africa (Cape Town)

  • Asia Pasifik (Hyderabad)

  • Europe (Milan)

  • Eropa (Spanyol)

  • Timur Tengah (UAE)

Persyaratan Lingkungan

Instans Redshift terdaftar dan konsumen harus memenuhi persyaratan ini:

  • Jenis instans: kluster yang RA3 disediakan atau grup kerja Tanpa Server

  • Wilayah: Sama Wilayah AWS

  • Akun: Sama Akun AWS

  • Enkripsi: Diaktifkan

  • Tingkat isolasi: Isolasi snapshot

Objek Tidak Didukung

Instance konsumen tidak dapat mengakses objek berikut dari katalog izin federasi:

  • SQL UDFs, UDFs Python, dan Lambda UDFs

  • Model ML

  • Skema eksternal dibuat pada instance terdaftar

Pembatasan Kontrol Akses Berbutir Kasar

Hibah hanya didukung pada tabel, database, skema, fungsi yang digunakan dengan notasi 3dot

Pembatasan kontrol akses berbutir halus

Selain pembatasan kebijakan Row-level Security (RLS) dan Dynamic Data Masking (DDM) standar di Amazon Redshift, instance konsumen tidak dapat mengakses objek yang dilindungi RLS atau DDM dari katalog izin federasi jika kebijakan berisi fungsi sistem ini:

  • user_is_member_of

  • role_is_member_of

  • user_is_member_of_role

Catatan: Dalam rilis Redshift saat ini, metadata tabel terkait FGAC yang diakses saat mengkonsumsi Redshift Warehouses sementara terlihat di katalog.

Penemuan Metadata

  • Perintah SHOW didukung untuk Kolom, Tabel, Prosedur Tersimpan, Fungsi, dan Parameter.

Formasi Danau

  • Izin Lake Formation tidak didukung pada objek di katalog izin federasi Amazon Redshift.

Identitas

  • Hanya pengguna yang terdaftar dengan IAM atau AWS IAM Identity Center dapat menanyakan objek di katalog izin federasi Amazon Redshift.

  • Jika Cluster Amazon Redshift atau Ruang Nama Tanpa Server Amazon Redshift terdaftar dengan izin federasi Amazon Redshift, Anda tidak dapat mengelola tata kelola data untuk pengguna federasi IAM menggunakan grup federasi IAM. Ini termasuk kontrol akses granular yang dikonfigurasi sebelumnya pada objek melalui grup federasi IAM.

  • Saat mendaftarkan Cluster Amazon Redshift atau Ruang Nama Tanpa Server Amazon Redshift yang ada dengan katalog izin federasi Amazon Redshift, semua pengguna federasi, termasuk pengguna yang sebelumnya memiliki akses AWS IAM Identity Center , harus secara eksplisit diberikan hak istimewa CONNECT untuk mengakses klaster atau grup kerja. Untuk informasi selengkapnya tentang pemberian hak istimewa CONNECT, lihat. Hak istimewa Connect

  • AWS Pengguna Federasi IAM yang terhubung ke klaster Amazon Redshift atau grup kerja menggunakan tag utama dan kredensyal IAM sementara tidak dikenali sebagai identitas global dan tidak dapat mengakses katalog izin federasi Amazon Redshift. Hanya pengguna AWS IAM Identity Center federasi dan pengguna atau peran federasi AWS IAM yang diizinkan untuk menanyakan katalog izin federasi Amazon Redshift.

  • Jika namespace Amazon Redshift Cluster atau Amazon Redshift Tanpa Server terdaftar dengan izin federasi Amazon Redshift, AWS IAM Identity Center batasan perintah GRANT berikut berlaku untuk pengguna atau peran federasi dan pengguna atau peran federasi IAM: AWS

    • Anda tidak dapat memberikan peran federasi kepada pengguna atau peran mana pun. Satu pengecualian untuk aturan ini adalah Anda dapat memberikan peran database Redshift ke pengguna federasi IAM.

    • Anda tidak dapat memberikan peran apa pun kepada peran atau pengguna federasi. Satu pengecualian untuk aturan ini adalah Anda dapat memberikan peran yang ditentukan sistem kepada pengguna atau peran federasi.

Akses Mesin

  • Akses dari mesin selain Redshift tidak didukung

Ubah Pengguna Set Identitas global

  • Didukung hanya pada “Pilih”, “Hapus”, “Perbarui”, “Tampilkan”, “Sisipkan”

  • Peran IAM yang terkait dengan pengguna melalui ALTER USER SET GLOBAL IDENTITY hanya digunakan ketika kueri bertentangan dengan Redshift Warehouse dengan Izin Federasi dan hanya ketika kueri menargetkan relasi, seperti kueri SELECT, UDPATE, dan DELETE.

  • Peran IAM tersebut juga digunakan SHOW DATABASES, SHOW SCHEMAS dan SHOW TABLES query terhadap sumber daya di Redshift Warehouse dengan Federated Permissions.

  • Peran IAM tersebut tidak digunakan pada kueri definisi data seperti CREATE, ALTER dan DROP.

Pesan Kesalahan

  • Setiap operasi yang tidak didukung terhadap database di katalog Izin Federasi Amazon Redshift akan menampilkan kesalahan berikut:

    Operation is not supported through datashares