Note per l'utilizzo - Amazon Redshift
Note di utilizzo per la revoca dell'autorizzazione ASSUMEROLENote di utilizzo per la revoca delle autorizzazioni di machine learning

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Note per l'utilizzo

Per revocare i privilegi a un oggetto, è necessario soddisfare uno dei seguenti criteri:

  • Essere il proprietario dell'oggetto.

  • Essere un utente con privilegi avanzati.

  • Avere un privilegio di concessione per l'oggetto e il privilegio.

    Ad esempio, il comando seguente consente all'utente HR sia di eseguire SELECT comandi sulla tabella dei dipendenti sia di concedere e revocare lo stesso privilegio ad altri utenti.

    grant select on table employees to HR with grant option;

    HR non può revocare i privilegi per alcuna operazione diversa o su qualsiasi tabella diversa SELECT dai dipendenti.

I superutenti possono accedere a tutti gli oggetti indipendentemente dai REVOKE comandi che impostano i GRANT privilegi degli oggetti.

PUBLICrappresenta un gruppo che include sempre tutti gli utenti. Per impostazione predefinita, tutti i membri di PUBLIC hanno CREATE e hanno USAGE privilegi sullo PUBLIC schema. Per limitare le autorizzazioni di qualsiasi utente sullo PUBLIC schema, devi prima revocare tutte le autorizzazioni dallo PUBLIC PUBLIC schema, quindi concedere i privilegi a utenti o gruppi specifici. L'esempio seguente controlla i privilegi di creazione delle tabelle nello schema. PUBLIC

revoke create on schema public from public;

Per revocare i privilegi da una tabella Lake Formation, il IAM ruolo associato allo schema esterno della tabella deve avere l'autorizzazione a revocare i privilegi sulla tabella esterna. L'esempio seguente crea uno schema esterno con un ruolo associato. IAM myGrantor IAMrole myGrantor ha il permesso di revocare le autorizzazioni ad altri. Il REVOKE comando utilizza l'autorizzazione del IAM ruolo myGrantor associato allo schema esterno per revocare l'autorizzazione al ruolo. IAM myGrantee

create external schema mySchema
from data catalog
database 'spectrum_db'
iam_role 'arn:aws:iam::123456789012:role/myGrantor'
create external database if not exists;

revoke select
on external table mySchema.mytable
from iam_role 'arn:aws:iam::123456789012:role/myGrantee';
Nota

Se il IAM ruolo dispone anche dell'ALLautorizzazione in un account AWS Glue Data Catalog abilitato per Lake Formation, l'ALLautorizzazione non viene revocata. Viene revocata solo autorizzazione SELECT. È possibile visualizzare le autorizzazioni Lake Formation nella console Lake Formation.

Note di utilizzo per la revoca dell'autorizzazione ASSUMEROLE

Le seguenti note d'uso si applicano alla revoca del ASSUMEROLE privilegio in Amazon Redshift.

Solo un superutente del database può revocare il privilegio a utenti e gruppi. ASSUMEROLE Un superutente conserva sempre il privilegio. ASSUMEROLE

Per abilitare l'uso del ASSUMEROLE privilegio per utenti e gruppi, un superutente esegue la seguente istruzione una volta nel cluster. Prima di concedere il ASSUMEROLE privilegio a utenti e gruppi, un superutente deve eseguire la seguente istruzione una volta nel cluster. 

revoke assumerole on all from public for all;

Note di utilizzo per la revoca delle autorizzazioni di machine learning

Non è possibile concedere o revocare direttamente le autorizzazioni relative a una funzione ML. Una funzione ML appartiene a un modello ML e le autorizzazioni sono controllate tramite il modello. È invece possibile revocare le autorizzazioni relative al modello ML. L'esempio seguente dimostra come revocare le autorizzazioni di esecuzione a tutti gli utenti associati al modello customer_churn.

REVOKE EXECUTE ON MODEL customer_churn FROM PUBLIC;

Puoi anche revocare tutte le autorizzazioni a un utente per il modello ML customer_churn.

REVOKE ALL on MODEL customer_churn FROM ml_user;

La concessione o la revoca dell'autorizzazione EXECUTE relativa a una funzione ML avrà esito negativo se nello schema è presente una funzione ML, anche se tale funzione ML dispone già dell'autorizzazione EXECUTE tramite GRANT EXECUTE ON MODEL. Si consiglia di utilizzare uno schema separato quando si utilizza il comando CREATE MODEL per mantenere le funzioni ML in uno schema separato. L'esempio seguente mostra come fare.

CREATE MODEL ml_schema.customer_churn
FROM customer_data
TARGET churn
FUNCTION ml_schema.customer_churn_prediction
IAM_ROLE default
SETTINGS (
 S3_BUCKET 'amzn-s3-demo-bucket'
);