Amazon Redshift 페더레이션 권한 사용 시 고려 사항 - Amazon Redshift

Amazon Redshift는 패치 198부터 새 Python UDF 생성을 더 이상 지원하지 않습니다. 기존 Python UDF는 2026년 6월 30일까지 계속 작동합니다. 자세한 내용은 블로그 게시물을 참조하세요.

Amazon Redshift 페더레이션 권한 사용 시 고려 사항

다음은 페더레이션 권한을 사용하여 AWS Glue Data Catalog와 Amazon Redshift 데이터를 공유할 때 고려해야 할 사항과 제한 사항입니다. 데이터 공유 고려 사항 및 제한 사항에 대한 일반 정보는 Amazon Redshift에서 데이터 공유를 사용할 때의 고려 사항을 참조하세요.

이 기능은 클러스터 버전 197 이상에서만 지원됩니다.

지원되지 않는 리전

  • 아프리카(케이프타운)

  • 아시아 태평양(하이데라바드)

  • 유럽(밀라노)

  • 유럽(스페인)

  • 중동(UAE)

환경 요구 사항

등록된 Redshift 인스턴스와 소비자 Redshift 인스턴스 모두 다음 요구 사항을 충족해야 합니다.

  • 인스턴스 유형: RA3 프로비저닝된 클러스터 또는 서버리스 작업 그룹

  • 리전: 동일한 AWS 리전

  • 계정: 동일한 AWS 계정

  • 암호화: 활성화

  • 격리 수준: 스냅샷 격리

지원되지 않는 객체

소비자 인스턴스는 페더레이션 권한 카탈로그에서 다음 객체에 액세스할 수 없습니다.

  • SQL UDF, Python UDF, Lambda UDF

  • ML 모델

  • 등록된 인스턴스에서 생성된 외부 스키마

세분화되지 않은 액세스 제어 제한

권한 부여는 3점 주석으로 사용되는 테이블, 데이터베이스, 스키마, 함수에서만 지원됩니다.

세분화된 액세스 제어 제한

Amazon Redshift의 표준 행 수준 보안(RLS) 및 동적 데이터 마스킹(DDM) 정책 제한 외에도 정책에 다음 시스템 함수가 포함된 경우 소비자 인스턴스는 페더레이션 권한 카탈로그에서 RLS 또는 DDM 보호 객체에 액세스할 수 없습니다.

  • user_is_member_of

  • role_is_member_of

  • user_is_member_of_role

참고: Redshift의 현재 릴리스에서는 Redshift 웨어하우스를 사용할 때 액세스하는 FGAC 관련 테이블의 메타데이터가 카탈로그에 일시적으로 표시됩니다.

메타데이터 검색

  • SHOW 명령은 열, 테이블, 저장된 프로시저, 함수 및 파라미터에 대해 지원됩니다.

Lake Formation

  • Lake Formation 권한은 Amazon Redshift 페더레이션 권한 카탈로그의 객체에서 지원되지 않습니다.

ID

  • IAM 또는 AWS IAM Identity Center에 등록된 사용자만 Amazon Redshift 페더레이션 권한 카탈로그의 객체를 쿼리할 수 있습니다.

  • Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 네임스페이스가 Amazon Redshift 페더레이션 권한으로 등록된 경우 IAM 페더레이션 그룹을 사용하여 IAM 페더레이션 사용자에 대한 데이터 거버넌스를 관리할 수 없습니다. 여기에는 IAM 페더레이션 그룹을 통해 객체에 대해 이전에 구성된 세분화된 액세스 제어가 포함됩니다.

  • 기존 Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 네임스페이스를 Amazon Redshift 페더레이션 권한 카탈로그에 등록할 때 이전에 액세스한 사용자를 포함한 모든 AWS IAM Identity Center 페더레이션 사용자에게 클러스터 또는 작업 그룹에 액세스할 수 있는 CONNECT 권한을 명시적으로 부여해야 합니다. CONNECT 권한 부여에 대한 자세한 내용은 연결 권한 섹션을 참조하세요.

  • 보안 주체 태그와 임시 IAM 자격 증명을 사용하여 Amazon Redshift 클러스터 또는 작업 그룹에 연결하는 AWS IAM 페더레이션 사용자는 글로벌 자격 증명으로 인식되지 않으며 Amazon Redshift 페더레이션 권한 카탈로그에 액세스할 수 없습니다. AWS IAM Identity Center 페더레이션 사용자 및 AWS IAM 페더레이션 사용자 또는 역할만 Amazon Redshift 페더레이션 권한 카탈로그를 쿼리할 수 있습니다.

  • Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 네임스페이스가 Amazon Redshift 페더레이션 권한으로 등록된 경우 AWS IAM Identity Center 페더레이션 사용자 또는 역할과 AWS IAM 페더레이션 사용자 또는 역할에 다음 GRANT 명령 제한이 적용됩니다.

    • 사용자 또는 역할에 페더레이션 역할을 부여할 수 없습니다. 이 규칙의 한 가지 예외는 IAM 페더레이션 사용자에게 Redshift 데이터베이스 역할을 부여할 수 있다는 것입니다.

    • 페더레이션 역할 또는 사용자에게는 어떤 역할도 부여할 수 없습니다. 이 규칙의 한 가지 예외는 페더레이션 사용자 또는 역할에 시스템 정의 역할을 부여할 수 있다는 것입니다.

엔진 액세스

  • Redshift가 아닌 다른 엔진에서의 액세스는 지원되지 않습니다.

사용자 세트 전역 자격 증명 변경

  • ‘선택’, ‘삭제’, ‘업데이트’, ‘표시’, ‘삽입’에서만 지원됩니다.

  • ALTER USER SET GLOBAL IDENTITY를 통해 사용자와 연결된 IAM 역할은 쿼리가 페더레이션 권한이 있는 Redshift 웨어하우스를 대상으로 하는 경우와 쿼리가 SELECT, UDPATE 및 DELETE 쿼리와 같은 관계를 대상으로 하는 경우에만 사용됩니다.

  • 이러한 IAM 역할은 페더레이션 권한이 있는 Redshift 웨어하우스의 리소스에 대한 SHOW DATABASES, SHOW SCHEMAS 및 SHOW TABLES 쿼리도 사용됩니다.

  • 이러한 IAM 역할은 CREATE, ALTER 및 DROP과 같은 데이터 정의 쿼리에는 사용되지 않습니다.

오류 메시지

  • Amazon Redshift 페더레이션 권한 카탈로그의 데이터베이스에 대해 지원되지 않는 작업은 다음 오류를 표시합니다.

    Operation is not supported through datashares