Consideraciones sobre el uso de roles en RBAC

Amazon Redshift no permite ciclos de autorizaciones de roles. No se puede conceder r1 a r2 y luego conceder r2 a r1.

RBAC funciona tanto para objetos nativos de Amazon Redshift como para tablas de Amazon Redshift Spectrum.

Como administrador de Amazon Redshift, puede activar RBAC actualizando el clúster al último parche de mantenimiento para comenzar.

Únicamente los superusuarios y los usuarios con el permiso del sistema CREATE ROLE pueden crear roles.

Únicamente los superusuarios y administradores de roles pueden modificar o eliminar roles.

El nombre de un rol no puede ser el mismo que el nombre de un usuario.

El nombre de un rol no puede contener caracteres no válidos, como “:/\n.”.

El nombre de un rol no puede ser una palabra reservada, como PUBLIC.

El nombre del rol no puede comenzar con el prefijo reservado para los roles predeterminados, sys:.

No se puede eliminar un rol que tenga el parámetro RESTRICT cuando está concedido a otro rol. La configuración predeterminada es RESTRICT. Amazon Redshift genera un error cuando se intenta eliminar un rol que ha heredado otro rol.

Los usuarios que no tengan permisos de administración para un rol no pueden conceder ni revocar un rol.

RBAC no es totalmente compatible con tablas y vistas del sistema. Los permisos de RBAC para las tablas y vistas del sistema no se conservan durante las actualizaciones, las degradaciones o los cambios de tamaño. Recomendamos utilizar Roles definidos por el sistema de Amazon Redshift para administrar los permisos de tablas y vistas del sistema. Para obtener más información sobre las tablas del sistema, vaya a Referencia de las tablas y vistas de sistema.