Amazon Redshift フェデレーティッドアクセス許可を使用する場合の考慮事項 - Amazon Redshift

Amazon Redshift は、パッチ 198 以降、新しい Python UDF の作成をサポートしなくなります。既存の Python UDF は、2026 年 6 月 30 日まで引き続き機能します。詳細については、ブログ記事を参照してください。

Amazon Redshift フェデレーティッドアクセス許可を使用する場合の考慮事項

Amazon Redshift データを AWS Glue Data Catalog フェデレーティッドアクセス許可を使用して共有する際の考慮事項と制限事項は次のとおりです。データ共有の考慮事項と制限事項の一般情報については、「Amazon Redshift でのデータ共有に関する考慮事項」を参照してください。

この機能は、クラスターバージョン 197 以降でのみサポートされています。

サポートされていないリージョン

  • アフリカ (ケープタウン)

  • アジアパシフィック (ハイデラバード)

  • 欧州 (ミラノ)

  • 欧州 (スペイン)

  • 中東 (アラブ首長国連邦)

環境要件

登録された Redshift インスタンスとコンシューマー Redshift インスタンスの両方が、次の要件を満たしている必要があります。

  • インスタンスタイプ: RA3 でプロビジョニングされたクラスターまたはサーバーレスワークグループ

  • リージョン: 同じ AWS リージョン

  • アカウント: 同じ AWS アカウント

  • 暗号化: 有効

  • 分離レベル: スナップショットの分離

サポートされていないオブジェクト

コンシューマーインスタンスは、フェデレーティッドアクセス許可カタログから次のオブジェクトにアクセスできません。

  • SQL UDF、Python UDF、Lambda UDF

  • ML モデル

  • 登録されたインスタンスで作成された外部スキーマ

大まかなアクセスコントロールの制限

権限付与は、3 ドット表記のあるテーブル、データベース、スキーマ、関数でのみサポートされます。

きめ細かなアクセスコントロールの制限

Amazon Redshift の標準的な行レベルセキュリティ (RLS) ポリシーと動的データマスキング (DDM) ポリシーの制限に加えて、ポリシーに次のシステム関数が含まれている場合、コンシューマーインスタンスはフェデレーティッドアクセス許可カタログから RLS または DDM で保護されたオブジェクトにアクセスできません。

  • user_is_member_of

  • role_is_member_of

  • user_is_member_of_role

注: Redshift の現在のリリースでは、Redshift ウェアハウスの使用でアクセスされた FGAC 関連テーブルのメタデータがカタログに一時的に表示されます。

メタデータの検出

  • SHOW コマンドは、列、テーブル、ストアドプロシージャ、関数、パラメータでサポートされています。

Lake Formation

  • Lake Formation のアクセス許可は、Amazon Redshift フェデレーティッドアクセス許可カタログのオブジェクトではサポートされていません。

アイデンティティ

  • IAM または AWS IAM Identity Center に登録されているユーザーのみが、Amazon Redshift フェデレーティッドアクセス許可カタログのオブジェクトをクエリできます。

  • Amazon Redshift クラスターまたは Amazon Redshift Serverless 名前空間が Amazon Redshift フェデレーティッドアクセス許可に登録されている場合、IAM フェデレーティッドグループを使用して IAM フェデレーションユーザーのデータガバナンスを管理することはできません。これには、IAM フェデレーティッドグループを介したオブジェクトに対する、以前に設定されたきめ細かなアクセスコントロールが含まれます。

  • 既存の Amazon Redshift クラスターまたは Amazon Redshift Serverless 名前空間を Amazon Redshift フェデレーティッドアクセス許可カタログに登録する場合、以前にアクセス権を持っていたユーザーを含むすべての AWS IAM Identity Center フェデレーションユーザーに、クラスターまたはワークグループにアクセスするための CONNECT 権限を明示的に付与する必要があります。CONNECT 権限の付与の詳細については、「Connect 権限」を参照してください。

  • プリンシパルタグと一時的な IAM 認証情報を使用して Amazon Redshift クラスターまたはワークグループに接続する AWS IAM フェデレーションユーザーは、グローバル ID として認識されず、Amazon Redshift フェデレーティッドアクセス許可カタログにアクセスできません。AWS IAM Identity Center フェデレーションユーザーと AWS IAM フェデレーションユーザーまたはロールのみが、Amazon Redshift フェデレーティッドアクセス許可カタログをクエリする権限があります。

  • Amazon Redshift クラスターまたは Amazon Redshift Serverless 名前空間が Amazon Redshift フェデレーティッドアクセス許可に登録されている場合、AWS IAM Identity Center フェデレーションユーザーまたはロール、および AWS IAM フェデレーションユーザーまたはロールには、次の GRANT コマンドの制限が適用されます。

    • ユーザーまたはロールにフェデレーションロールを付与することはできません。このルールの 1 つの例外は、IAM フェデレーションユーザーに Redshift データベースロールを付与できることです。

    • フェデレーションロールまたはユーザーにロールを付与することはできません。このルールの 1 つの例外は、システム定義のロールをフェデレーションユーザーまたはロールに付与できることです。

エンジンアクセス

  • Redshift 以外のエンジンからのアクセスはサポートされていません

ユーザーセットのグローバル ID の変更

  • 「選択」、「削除」、「更新」、「表示」、「挿入」でのみサポート

  • ALTER USER SET GLOBAL IDENTITY を介してユーザーに関連付けられた IAM ロールは、クエリがフェデレーティッドアクセス許可を持つ Redshift ウェアハウスに対するものであり、クエリが SELECT、UDPATE、DELETE クエリなどのリレーションをターゲットとする場合にのみ使用されます。

  • このような IAM ロールは、フェデレーティッドアクセス許可を持つ Redshift ウェアハウスのリソースに対する SHOW DATABASES、SHOW SCHEMAS、SHOW TABLES クエリも使用されます。

  • このような IAM ロールは、CREATE、ALTER、DROP などのデータ定義クエリでは使用されません。

エラーメッセージ

  • Amazon Redshift フェデレーティッドアクセス許可カタログのデータベースに対するサポートされていない操作には、次のエラーが表示されます。

    Operation is not supported through datashares