Amazon Redshift 將不再支援從修補程式 198 開始建立新的 Python UDFs。現有 Python UDF 將繼續正常運作至 2026 年 6 月 30 日。如需詳細資訊,請參閱[部落格文章](https://aws.amazon.com/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 限制對 IAM 角色的存取
根據預設,Amazon Redshift 叢集上可用的 IAM 角色適用於該叢集上所有的使用者。但您可以選擇將 IAM 角色限制為只有特定叢集上的特定 Amazon Redshift 資料庫使用者或特定區域可存取。
若只要允許特定資料庫使用者使用 IAM 角色,請遵循以下步驟。
**識別可存取 IAM 角色的特定資料庫使用者**
1. 識別 Amazon Redshift 叢集中資料庫使用者的 Amazon Resource Name (ARN)。資料庫使用者的 ARN 格式如下:`arn:aws:redshift:{{region}}:{{account-id}}:dbuser:{{cluster-name}}/{{user-name}}`。
對於 Amazon Redshift Serverless,請使用以下 ARN 格式。`arn:aws:redshift:{{region}}:{{account-id}}:dbuser:serverless-{{account-id}}-{{workgroup-id}}/{{user-name}}`
1. 開啟 [ IAM 主控台](https://console.aws.amazon.com/iam/home?#home)。
1. 在導覽窗格中,選擇 **Roles** (角色)。
1. 選擇您想要限制只有特定 Amazon Redshift 資料庫使用者可存取的 IAM 角色。
1. 選擇 **Trust Relationships (信任關係)** 索引標籤,然後選擇 **Edit Trust Relationship (編輯信任關係)**。允許 Amazon Redshift AWS 代表您存取其他服務的新 IAM 角色具有信任關係,如下所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "redshift.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 新增條件至信任關係的 `sts:AssumeRole` 動作區段,將 `sts:ExternalId` 欄位限制在您所指定的值。包含您想要授予角色存取之各資料庫使用者的 ARN。外部 ID 可以是任何唯一的字串。
例如,以下的信任關係指定只有 `user1` 區域中 `user2` 叢集上的 `my-cluster` 和 `us-west-2` 資料庫使用者有使用此 IAM 角色的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "redshift.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": [
"arn:aws:redshift:us-west-2:123456789012:dbuser:my-cluster/user1",
"arn:aws:redshift:us-west-2:123456789012:dbuser:my-cluster/user2"
]
}
}
}]
}
```
------
1. 選擇 **Update Trust Policy** (更新信任政策)。