使用 Amazon Redshift 聯合許可時的考量事項 - Amazon Redshift

Amazon Redshift 將不再支援從修補程式 198 開始建立新的 Python UDFs。現有 Python UDF 將繼續正常運作至 2026 年 6 月 30 日。如需詳細資訊,請參閱部落格文章

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon Redshift 聯合許可時的考量事項

以下是 AWS Glue Data Catalog 使用聯合許可與 共用 Amazon Redshift 資料的考量和限制。如需資料共用考量和限制的一般資訊,請參閱在 Amazon Redshift 中使用資料共用時的考量

只有叢集版本 197 及更新版本才支援此功能。

不支援的區域

  • 非洲 (開普敦)

  • 亞太地區 (海德拉巴)

  • 歐洲 (米蘭)

  • 歐洲 (西班牙)

  • 中東 (阿拉伯聯合大公國)

環境需求

已註冊和取用者 Redshift 執行個體都必須符合下列要求:

  • 執行個體類型:RA3 佈建叢集或 Serverless 工作群組

  • 區域:相同 AWS 區域

  • 帳戶:相同 AWS 帳戶

  • 加密:已啟用

  • 隔離層級:快照隔離

不支援的物件

取用者執行個體無法從聯合許可目錄中存取下列物件:

  • SQL UDFs、Python UDFs和 Lambda UDFs

  • ML 模型

  • 在已註冊執行個體上建立的外部結構描述

粗略存取控制限制

只有資料表、資料庫、結構描述、搭配 3dot 表示法使用的函數才支援授與

精細存取控制限制

除了 Amazon Redshift 中的標準資料列層級安全性 (RLS) 和動態資料遮罩 (DDM) 政策限制之外,如果政策包含這些系統功能,則取用者執行個體無法從聯合許可目錄中存取受 RLS 或 DDM 保護的物件:

  • user_is_member_of

  • role_is_member_of

  • user_is_member_of_role

注意:在 Redshift 的目前版本中,在取用 Redshift 倉儲時存取的 FGAC 相關資料表中繼資料會暫時顯示在目錄中。

中繼資料探索

  • 資料欄、資料表、預存程序、函數和參數支援 SHOW 命令。

Lake Formation

  • Amazon Redshift 聯合許可目錄中的物件不支援 Lake Formation 許可。

身分

  • 只有向 IAM 註冊或 的使用者 AWS IAM Identity Center 才能查詢 Amazon Redshift 聯合許可目錄中的物件。

  • 當您的 Amazon Redshift Cluster 或 Amazon Redshift Serverless Namespace 向 Amazon Redshift 聯合身分許可註冊時,您無法使用 IAM 聯合身分群組 (IAM) 管理 IAM 聯合身分使用者的資料控管。這包括透過 IAM 聯合群組對物件設定的任何先前精細存取控制。

  • 向 Amazon Redshift 聯合許可目錄註冊現有的 Amazon Redshift 叢集或 Amazon Redshift Serverless 命名空間時,所有 AWS IAM Identity Center 聯合身分使用者,包括先前具有存取權的使用者,都必須明確授予 CONNECT 權限才能存取叢集或工作群組。如需授予 CONNECT 權限的詳細資訊,請參閱 Connect 權限

  • AWS 使用主體標籤和臨時 IAM 登入資料連線至 Amazon Redshift 叢集或工作群組的 IAM 聯合身分使用者無法辨識為全域身分,也無法存取 Amazon Redshift 聯合身分許可目錄。只有 AWS IAM Identity Center 聯合身分使用者和 AWS IAM 聯合身分使用者或角色有權查詢 Amazon Redshift 聯合身分許可目錄。

  • 當您的 Amazon Redshift Cluster 或 Amazon Redshift Serverless 命名空間向 Amazon Redshift 聯合許可註冊時,下列 GRANT 命令限制適用於 AWS IAM Identity Center 聯合身分使用者或角色,以及 AWS IAM 聯合身分使用者或角色:

    • 您無法將聯合角色授予任何使用者或角色。此規則的一個例外是,您可以將 Redshift 資料庫角色授予 IAM 聯合身分使用者。

    • 您無法將任何角色授予聯合角色或使用者。此規則的一個例外是,您可以將系統定義的角色授予聯合身分使用者或角色。

引擎存取

  • 不支援從 Redshift 以外的引擎存取

更改使用者集全域身分

  • 僅支援 "Select"、"Delete"、"Update"、"Show"、"Insert"

  • 透過 ALTER USER SET GLOBAL IDENTITY 與使用者相關聯的 IAM 角色,只會在查詢針對具有聯合許可的 Redshift Warehouse 時,以及查詢以 SELECT、UDPATE 和 DELETE 查詢等關係為目標時使用。

  • 此類 IAM 角色也會使用 SHOW DATABASES、SHOW SCHEMAS 和 SHOW TABLES 查詢,針對具有聯合許可的 Redshift Warehouse 中的資源。

  • 此類 IAM 角色不會用於資料定義查詢,例如 CREATE、ALTER 和 DROP。

錯誤訊息

  • 對於 Amazon Redshift 聯合許可目錄中的資料庫,任何不支援的操作都會顯示下列錯誤:

    Operation is not supported through datashares