Considerações ao usar permissões federadas do Amazon Redshift - Amazon Redshift

O Amazon Redshift não permitirá mais a criação de UDFs do Python a partir do Patch 198. As UDFs do Python existentes continuarão a funcionar normalmente até 30 de junho de 2026. Para ter mais informações, consulte a publicação de blog .

Considerações ao usar permissões federadas do Amazon Redshift

Veja a seguir considerações e limitações sobre o compartilhamento de dados do Amazon Redshift com o AWS Glue Data Catalog usando permissões federadas. Para acessar informações sobre considerações e limitações de compartilhamento de dados, consulte Considerações ao usar o compartilhamento de dados no Amazon Redshift.

Esse recurso é compatível somente com as versões de cluster 197 e posterior.

Regiões não compatíveis

  • África (Cidade do Cabo)

  • Ásia-Pacífico (Hyderabad)

  • Europa (Milão)

  • Europa (Espanha)

  • Oriente Médio (Emirados Árabes Unidos)

Requisitos de ambiente

Instâncias registradas e do Redshift de consumidor devem atender a estes requisitos:

  • Tipo de instância: clusters provisionados RA3 ou grupos de trabalho sem servidor.

  • Região: a mesma Região da AWS.

  • Conta: a mesma Conta da AWS.

  • Criptografia: habilitada.

  • Nível de isolamento: isolamento de snapshot.

Objetos não aceitos

As instâncias de consumidor não podem acessar os seguintes objetos do catálogo de permissões federadas:

  • UDFs SQL, UDFs Python e UDFs Lambda

  • Modelos de ML

  • Esquema externo criado na instância registrada

Restrições amplas de controle de acesso

A concessão é aceita somente em tabelas, bancos de dados, esquemas e funções usadas com a notação de 3 pontos.

Restrições refinadas de controle de acesso

Além das restrições de política padrão de segurança por linha (RLS) e mascaramento dinâmico de dados (DDM) no Amazon Redshift, as instâncias de consumidor não poderão acessar objetos protegidos por RLS ou DDM do catálogo de permissões federadas se as políticas contiverem estas funções do sistema:

  • user_is_member_of

  • role_is_member_of

  • user_is_member_of_role

Observação: na versão atual do Redshift, os metadados das tabelas relacionadas ao FGAC acessadas em warehouses do Redshift de consumo estão temporariamente visíveis no catálogo.

Descoberta de metadados

  • Os comandos SHOW são aceitas em colunas, tabelas, procedimentos armazenados, funções e parâmetros.

Lake Formation

  • As permissões do Lake Formation não são aceitas em objetos no catálogo de permissões federadas do Amazon Redshift.

Identidade

  • Somente usuários registrados no IAM ou no AWS IAM Identity Center podem consultar objetos no catálogo de permissões federadas do Amazon Redshift.

  • Quando o cluster do Amazon Redshift ou o namespace do Amazon Redshift sem servidor é registrado com permissões federadas do Amazon Redshift, você não pode gerenciar a governança de dados para usuários federados do IAM usando os grupos federados do IAM. Isso inclui todos os controles de acesso granulares configurados anteriormente em objetos por meio de grupos federados do IAM.

  • Ao registrar um cluster do Amazon Redshift ou um namespace do Amazon Redshift sem servidor existente com um catálogo de permissões federadas do Amazon Redshift, todos os usuários federados do AWS IAM Identity Center, incluindo aqueles que já tinham acesso, devem receber explicitamente os privilégios CONNECT para acessar o cluster ou o grupo de trabalho. Para acessar mais informações sobre como conceder privilégios CONNECT, consulte Privilégios Connect.

  • Os usuários federados do AWS IAM que se conectam aos clusters ou grupos de trabalho do Amazon Redshift usando tags de entidade principal e credenciais temporárias do IAM não são reconhecidos como identidades globais e não podem acessar os catálogos de permissões federadas do Amazon Redshift. Somente usuários federados do AWS IAM Identity Center e perfis ou usuários federados do AWS IAM estão autorizados a consultar os catálogos de permissões federadas do Amazon Redshift.

  • Quando seu cluster do Amazon Redshift ou namespace do Amazon Redshift sem servidor é registrado com permissões federadas do Amazon Redshift, as seguintes limitações do comando GRANT se aplicam a perfis ou usuários federados do AWS IAM Identity Center e a perfis ou usuários federados do AWS IAM:

    • Você não pode conceder um perfil federado a nenhum usuário ou perfil. Uma exceção a essa regra é que você pode conceder um perfil de banco de dados do Redshift a um usuário federado do IAM.

    • Você não pode conceder nenhum perfil a um usuário ou perfil federado. Uma exceção a essa regra é que você pode conceder um perfil definido pelo sistema a um usuário ou perfil federado.

Acesso ao mecanismo

  • O acesso de mecanismos diferentes do Redshift não é aceito

Alterar identidade global do conjunto de usuários

  • Aceito apenas em “Selecionar”, “Excluir”, “Atualizar”, “Mostrar”, “Inserir”

  • O perfil do IAM associado a um usuário por meio de ALTER USER SET GLOBAL IDENTITY só é usado quando a consulta é feita no warehouse do Redshift com permissões federadas e somente quando a consulta tem como destino uma relação, como as consultas SELECT, UDPATE e DELETE.

  • Esse perfil do IAM também é usado nas consultas SHOW DATABASES, SHOW SCHEMAS e SHOW TABLES em relação a recursos no warehouse do Redshift com permissões federadas.

  • Esse perfil do IAM não é usado em consultas de definição de dados, como CREATE, ALTER e DROP.

Mensagem de erro

  • Qualquer operação não aceita no banco de dados no catálogo de permissões federadas do Amazon Redshift mostrará o seguinte erro:

    Operation is not supported through datashares