Considerazioni sull'utilizzo delle autorizzazioni federate di Amazon Redshift - Amazon Redshift

Amazon Redshift non supporterà più la creazione di nuovi Python UDFs a partire dalla Patch 198. Python esistente UDFs continuerà a funzionare fino al 30 giugno 2026. Per ulteriori informazioni, consulta il post del blog.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni sull'utilizzo delle autorizzazioni federate di Amazon Redshift

Di seguito sono riportate considerazioni e limitazioni per la condivisione dei dati di Amazon Redshift AWS Glue Data Catalog con l'utilizzo di autorizzazioni federate. Per informazioni generali su considerazioni e limitazioni sulla condivisione dei dati, consulta Considerazioni sull'utilizzo della condivisione dei dati in Amazon Redshift.

Questa funzionalità è supportata solo con le versioni del cluster 197 e successive.

Regioni non supportate

  • Africa (Città del Capo)

  • Asia Pacifico (Hyderabad)

  • Europa (Milano)

  • Europa (Spagna)

  • Medio Oriente (Emirati Arabi Uniti)

Requisiti ambientali

Sia le istanze Redshift registrate che quelle consumer devono soddisfare i seguenti requisiti:

  • Tipo di istanza: cluster con RA3 provisioning o gruppi di lavoro serverless

  • Regione: Stessa Regione AWS

  • Account: Stesso Account AWS

  • Crittografia: abilitata

  • Livello di isolamento: isolamento delle istantanee

Oggetti non supportati

Le istanze consumer non possono accedere ai seguenti oggetti dal catalogo di autorizzazioni federate:

  • SQL UDFs, Python e UDFs Lambda UDFs

  • Modelli ML

  • Schema esterno creato sull'istanza registrata

Restrizioni di controllo degli accessi a grana grossa

Grant è supportato solo su tabelle, database, schemi e funzioni utilizzate con notazione a 3 punti

Restrizioni dettagliate sul controllo degli accessi

Oltre alle restrizioni delle policy standard di Row-level Security (RLS) e Dynamic Data Masking (DDM) in Amazon Redshift, le istanze consumer non possono accedere agli oggetti protetti RLS o DDM dal catalogo delle autorizzazioni federate se le policy contengono queste funzioni di sistema:

  • user_is_member_of

  • role_is_member_of

  • user_is_member_of_role

Nota: nella versione corrente di Redshift, i metadati delle tabelle relative a FGAC a cui si accede utilizzando Redshift Warehouses sono temporaneamente visibili nel catalogo.

Scoperta dei metadati

  • I comandi SHOW sono supportati per colonne, tabelle, stored procedure, funzioni e parametri.

Lake Formation

  • Le autorizzazioni di Lake Formation non sono supportate sugli oggetti nel catalogo delle autorizzazioni federate di Amazon Redshift.

Identità

  • Solo gli utenti registrati con IAM o AWS IAM Identity Center possono eseguire query sugli oggetti nel catalogo di autorizzazioni federate di Amazon Redshift.

  • Quando il tuo Amazon Redshift Cluster o Amazon Redshift Serverless Namespace è registrato con le autorizzazioni federate di Amazon Redshift, non puoi gestire la governance dei dati per gli utenti federati IAM utilizzando i gruppi federati IAM. Ciò include tutti i controlli di accesso granulari precedentemente configurati sugli oggetti tramite gruppi federati IAM.

  • Quando si registra un cluster Amazon Redshift o Amazon Redshift Serverless Namespace esistente con un catalogo di autorizzazioni federate di Amazon Redshift, a tutti gli utenti federati, inclusi quelli che in precedenza avevano accesso AWS IAM Identity Center , devono essere concessi esplicitamente i privilegi CONNECT per accedere al cluster o al gruppo di lavoro. Per ulteriori informazioni sulla concessione dei privilegi CONNECT, consulta. Privilegi Connect

  • AWS Gli utenti federati IAM che si connettono a cluster o gruppi di lavoro Amazon Redshift utilizzando tag principali e credenziali IAM temporanee non sono riconosciuti come identità globali e non possono accedere ai cataloghi di autorizzazioni federate di Amazon Redshift. Solo gli utenti AWS IAM Identity Center federati e gli utenti o i ruoli federati AWS IAM sono autorizzati a interrogare i cataloghi di autorizzazioni federate di Amazon Redshift.

  • Quando il tuo spazio dei nomi Amazon Redshift Cluster o Amazon Redshift Serverless è registrato con le autorizzazioni federate di Amazon Redshift, le seguenti limitazioni dei comandi GRANT AWS IAM Identity Center si applicano agli utenti o ruoli federati e agli utenti o ruoli federati IAM: AWS

    • Non puoi concedere un ruolo federato a nessun utente o ruolo. Un'eccezione a questa regola è che puoi concedere un ruolo del database Redshift a un utente federato IAM.

    • Non è possibile concedere alcun ruolo a un ruolo o utente federato. Un'eccezione a questa regola è che puoi concedere un ruolo definito dal sistema a un utente o un ruolo federato.

Accesso al motore

  • L'accesso da motori diversi da Redshift non è supportato

Alter User Set Global identity

  • Supportato solo su «Seleziona», «Elimina», «Aggiorna», «Mostra», «Inserisci»

  • Il ruolo IAM associato a un utente tramite ALTER USER SET GLOBAL IDENTITY viene utilizzato solo quando la query è rivolta a Redshift Warehouse with Federated Permissions e solo quando la query ha come obiettivo una relazione, come le query SELECT, UDPATE e DELETE.

  • Tale ruolo IAM viene utilizzato anche per le query SHOW DATABASES, SHOW SCHEMAS e SHOW TABLES su risorse in Redshift Warehouse with Federated Permissions.

  • Tale ruolo IAM non viene utilizzato nelle query di definizione dei dati come CREATE, ALTER e DROP.

Messaggio di errore

  • Qualsiasi operazione non supportata sul database nel catalogo di Amazon Redshift Federated Permissions mostrerà il seguente errore:

    Operation is not supported through datashares