Claves de condición, recursos y acciones de Amazon Redshift - AWS Identity and Access Management

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Claves de condición, recursos y acciones de Amazon Redshift

Amazon Redshift (prefijo de servicio: redshift) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas de servicios para su uso en IAM Las políticas de permisos de.

Referencias:

Acciones definidas por Amazon Redshift

Puede especificar las siguientes acciones en la Action elemento de un IAM instrucción de política. Uso de políticas de para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o al comando de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. De forma alternativa, algunas operaciones requieren varias acciones diferentes.

El Tipos de recurso indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el campo Resource elemento de la instrucción de política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con esa acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recurso en una instrucción que utiliza esta acción, debe ser de este tipo. Algunas acciones de admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener más información sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recurso (*obligatorio) Claves de condición Acciones dependientes
AcceptReservedNodeExchange Concede permiso para intercambiar un nodo reservado DC1 por un nodo reservado DC2 sin cambios en la configuración. Escritura
AuthorizeClusterSecurityGroupIngress Concede permiso para añadir una regla de entrada (ingress) a un grupo de seguridad de Amazon Redshift. Administración de permisos

securitygroup*

securitygroupingress-ec2securitygroup*

AuthorizeSnapshotAccess Concede permiso a la cuenta de AWS especificada para restaurar una instantánea. Administración de permisos

snapshot*

BatchDeleteClusterSnapshots Concede permiso para eliminar instantáneas de un lote de hasta 100. Escritura

snapshot*

BatchModifyClusterSnapshots Concede permiso para modificar la configuración de una lista de instantáneas. Escritura

snapshot*

CancelQuery [solo permiso] Concede permiso para cancelar una consulta a través de la consola de Amazon Redshift. Escritura
CancelQuerySession [solo permiso] Concede permiso para ver consultas en la consola de Amazon Redshift. Escritura
CancelResize Concede permiso para cancelar una operación de cambio de tamaño. Escritura

cluster*

CopyClusterSnapshot Otorga permiso para copiar una instantánea de clúster Escritura

snapshot*

CreateCluster Otorga permiso para crear un clúster Escritura

cluster*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterParameterGroup Concede permiso para crear un grupo de parámetros de Amazon Redshift. Escritura

parametergroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSecurityGroup Concede permiso para crear un grupo de seguridad de Amazon Redshift. Escritura

securitygroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSnapshot Concede permiso para crear una instantánea manual del clúster especificado. Escritura

snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSubnetGroup Concede permiso para crear un grupo de subredes de Amazon Redshift. Escritura

subnetgroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterUser Concede permiso para crear automáticamente el usuario de Amazon Redshift especificado si no existe. Administración de permisos

dbuser*

redshift:DbUser

CreateEventSubscription Concede permiso para crear una suscripción de notificación de eventos de Amazon Redshift. Escritura

eventsubscription*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateHsmClientCertificate Concede permiso para crear un certificado de cliente de HSM que un clúster utiliza para conectarse a un HSM. Escritura

hsmclientcertificate*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateHsmConfiguration Concede permiso para crear una configuración de HSM que contiene la información necesaria para que un clúster almacene y utilice claves de cifrado de base de datos en un módulo de seguridad de hardware (HSM). Escritura

hsmconfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSavedQuery [solo permiso] Concede permiso para crear consultas SQL guardadas a través de la consola de Amazon Redshift. Escritura
CreateScheduledAction Concede permiso para crear una acción programada de Amazon Redshift. Escritura
CreateSnapshotCopyGrant Concede permiso para crear una concesión de copia de instantánea y cifrar las instantáneas copiadas en una región de AWS de destino. Administración de permisos

snapshotcopygrant*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSnapshotSchedule Concede permiso para crear una programación de instantáneas. Escritura

snapshotschedule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTags Concede permiso para añadir una o varias etiquetas a un recurso especificado. Etiquetado

cluster

dbgroup

dbname

dbuser

eventsubscription

hsmclientcertificate

hsmconfiguration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteCluster Concede permiso para eliminar un clúster aprovisionado previamente. Escritura

cluster*

DeleteClusterParameterGroup Concede permiso para eliminar un grupo de parámetros de Amazon Redshift. Escritura

parametergroup*

DeleteClusterSecurityGroup Concede permiso para eliminar un grupo de seguridad de Amazon Redshift. Escritura

securitygroup*

DeleteClusterSnapshot Concede permiso para eliminar una instantánea manual. Escritura

snapshot*

DeleteClusterSubnetGroup Otorga permiso para eliminar un grupo de subredes de clúster Escritura

subnetgroup*

DeleteEventSubscription Concede permiso para eliminar una suscripción de notificación de eventos de Amazon Redshift. Escritura

eventsubscription*

DeleteHsmClientCertificate Concede permiso para eliminar un certificado de cliente de HSM. Escritura

hsmclientcertificate*

DeleteHsmConfiguration Concede permiso para eliminar una configuración de HSM de Amazon Redshift. Escritura

hsmconfiguration*

DeleteSavedQueries [solo permiso] Concede permiso para eliminar consultas SQL guardadas a través de la consola de Amazon Redshift. Escritura
DeleteScheduledAction Concede permiso para eliminar una acción programada de Amazon Redshift. Escritura
DeleteSnapshotCopyGrant Concede permiso para eliminar una concesión de copia de instantánea. Escritura

snapshotcopygrant*

DeleteSnapshotSchedule Concede permiso para eliminar una programación de instantáneas. Escritura

snapshotschedule*

DeleteTags Concede permiso para eliminar una o varias etiquetas de un recurso. Etiquetado

cluster

dbgroup

dbname

dbuser

eventsubscription

hsmclientcertificate

hsmconfiguration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

aws:TagKeys

DescribeAccountAttributes Concede permiso para describir atributos asociados a la cuenta de AWS especificada. Lectura
DescribeClusterDbRevisions Otorga permiso para describir revisiones de base de datos para un clúster List
DescribeClusterParameterGroups Concede permiso para describir grupos de parámetros de Amazon Redshift, incluidos los grupos de parámetros que ha creado y el grupo de parámetros predeterminado. Lectura
DescribeClusterParameters Otorga permiso para describir los parámetros contenidos en un grupo de parámetros de Amazon Redshift. Lectura

parametergroup*

DescribeClusterSecurityGroups Otorga permiso para describir grupos de seguridad de Amazon Redshift. Lectura
DescribeClusterSnapshots Concede permiso para describir uno o varios objetos de instantánea, que contienen metadatos sobre las instantáneas del clúster. Lectura
DescribeClusterSubnetGroups Concede permiso para describir uno o varios objetos de grupo de subredes de clúster, que contienen metadatos sobre los grupos de subredes de clúster. Lectura
DescribeClusterTracks Otorga permiso para describir las pistas de mantenimiento disponibles List
DescribeClusterVersions Concede permiso para describir las versiones de clúster de Amazon Redshift disponibles. Lectura
DescribeClusters Otorga permiso para describir las propiedades de los clústeres aprovisionados List
DescribeDefaultClusterParameters Otorga permiso para describir la configuración de parámetros para una familia de grupos de parámetros Lectura
DescribeEventCategories Otorga permiso para describir categorías de eventos para todos los tipos de origen de eventos o para un tipo de origen especificado Lectura
DescribeEventSubscriptions Concede permiso para describir las suscripciones de notificación de eventos de Amazon Redshift para la cuenta de AWS especificada. Lectura
DescribeEvents Concede permiso para describir eventos relacionados con clústeres, grupos de seguridad, instantáneas y grupos de parámetros durante los últimos 14 días. List
DescribeHsmClientCertificates Otorga permiso para describir certificados de cliente de HSM. Lectura
DescribeHsmConfigurations Otorga permiso para describir configuraciones de HSM de Amazon Redshift. Lectura
DescribeLoggingStatus Otorga permiso para describir si se está registrando información, como consultas e intentos de conexión, para un clúster Lectura

cluster*

DescribeNodeConfigurationOptions Otorga permiso para describir las propiedades de posibles configuraciones de nodos como el tipo de nodo, el número de nodos y el uso del disco para el tipo de acción especificado List
DescribeOrderableClusterOptions Otorga permiso para describir opciones de clúster ordenables. Lectura
DescribeQuery [solo permiso] Concede permiso para describir una consulta a través de la consola de Amazon Redshift. Lectura
DescribeReservedNodeOfferings Concede permiso para describir las ofertas de nodos reservados disponibles de Amazon Redshift. Lectura
DescribeReservedNodes Otorga permiso para describir los nodos reservados Lectura
DescribeResize Otorga permiso para describir la última operación de cambio de tamaño de un clúster Lectura

cluster*

DescribeSavedQueries [solo permiso] Concede permiso para describir las consultas guardadas a través de la consola de Amazon Redshift. Lectura
DescribeScheduledActions Concede permiso para describir las acciones programadas de Amazon Redshift creadas. Lectura
DescribeSnapshotCopyGrants Concede permiso para describir concesiones de copia de instantáneas propiedad de la cuenta de AWS especificada en la región de AWS de destino. Lectura
DescribeSnapshotSchedules Otorga permiso para describir programaciones de instantáneas. Lectura

snapshotschedule*

DescribeStorage Concede permiso para describir el tamaño del almacenamiento de copias de seguridad de nivel de cuenta y el almacenamiento provisional. Lectura
DescribeTable [solo permiso] Concede permiso para describir una tabla a través de la consola de Amazon Redshift. Lectura
DescribeTableRestoreStatus Otorga permiso para describir el estado de una o varias solicitudes de restauración de tabla realizadas mediante la acción RestoreTableFromClusterSnapshot de la API Lectura
DescribeTags Otorga permiso para describir etiquetas. Lectura

cluster

dbgroup

dbname

dbuser

eventsubscription

hsmclientcertificate

hsmconfiguration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

DisableLogging Concede permiso para deshabilitar la información de registro, como consultas e intentos de conexión, de un clúster. Escritura

cluster*

DisableSnapshotCopy Concede permiso para deshabilitar la copia automática de instantáneas para un clúster. Escritura

cluster*

EnableLogging Concede permiso para habilitar la información de registro, como consultas e intentos de conexión, para un clúster. Escritura

cluster*

EnableSnapshotCopy Otorga permiso para habilitar la copia automática de instantáneas para un clúster Escritura

cluster*

ExecuteQuery [solo permiso] Concede permiso para ejecutar una consulta a través de la consola de Amazon Redshift. Escritura
FetchResults [solo permiso] Concede permiso para obtener resultados de consultas a través de la consola de Amazon Redshift. Lectura
GetClusterCredentials Concede permiso para obtener credenciales temporales para obtener acceso a una base de datos de Amazon Redshift mediante la cuenta de AWS especificada. Escritura

dbuser*

dbgroup

dbname

redshift:DbName

redshift:DbUser

redshift:DurationSeconds

GetReservedNodeExchangeOfferings Concede permiso para obtener una matriz de ReservedNodeOfferings DC2 que coincida con el tipo de pago, el plazo y el precio de uso del nodo reservado DC1 dado. Lectura
JoinGroup Concede permiso para unirse al grupo de Amazon Redshift especificado. Administración de permisos

dbgroup*

ListDatabases [solo permiso] Concede permiso para enumerar bases de datos a través de la consola de Amazon Redshift. List
ListSavedQueries [solo permiso] Concede permiso para mostrar las consultas guardadas a través de la consola de Amazon Redshift. List
ListSchemas [solo permiso] Concede permiso para enumerar esquemas a través de la consola de Amazon Redshift. List
ListTables [solo permiso] Concede permiso para enumerar tablas a través de la consola de Amazon Redshift. List
ModifyCluster Concede permiso para modificar la configuración de un clúster. Escritura

cluster*

ModifyClusterDbRevision Concede permiso para modificar la revisión de la base de datos de un clúster. Escritura

cluster*

ModifyClusterIamRoles Concede permiso para modificar la lista de roles de AWS Identity and Access Management (IAM) que un clúster puede utilizar para obtener acceso a otros servicios de AWS. Administración de permisos

cluster*

ModifyClusterMaintenance Otorga permiso para modificar la configuración de mantenimiento de un clúster Escritura
ModifyClusterParameterGroup Otorga permiso para modificar los parámetros de un grupo de parámetros Escritura

parametergroup*

ModifyClusterSnapshot Concede permiso para modificar la configuración de una instantánea. Escritura

snapshot*

ModifyClusterSnapshotSchedule Concede permiso para modificar una programación de instantáneas para un clúster. Escritura

cluster*

ModifyClusterSubnetGroup Otorga permiso para modificar un grupo de subredes de clúster para incluir la lista especificada de subredes de VPC Escritura

subnetgroup*

ModifyEventSubscription Concede permiso para modificar una suscripción de notificación de eventos de Amazon Redshift existente. Escritura

eventsubscription*

ModifySavedQuery [solo permiso] Concede permiso para modificar una consulta guardada existente a través de la consola de Amazon Redshift. Escritura
ModifyScheduledAction Concede permiso para modificar una acción programada de Amazon Redshift existente. Escritura
ModifySnapshotCopyRetentionPeriod Concede permiso para modificar el número de días que se deben conservar las instantáneas en la región de AWS de destino después de que se copien de la región de AWS de origen. Escritura

cluster*

ModifySnapshotSchedule Concede permiso para modificar una programación de instantáneas. Escritura

snapshotschedule*

PauseCluster Concede permiso para pausar un clúster. Escritura

cluster*

PurchaseReservedNodeOffering Concede permiso para comprar un nodo reservado. Escritura
RebootCluster Concede permiso para reiniciar un clúster. Escritura

cluster*

ResetClusterParameterGroup Concede permiso para establecer uno o más parámetros de un grupo de parámetros en sus valores predeterminados y establecer los valores de origen de los parámetros en "engine-default" Escritura

parametergroup*

ResizeCluster Otorga permiso para cambiar el tamaño de un clúster Escritura

cluster*

RestoreFromClusterSnapshot Concede permiso para crear un clúster a partir de una instantánea. Escritura

cluster*

snapshot*

RestoreTableFromClusterSnapshot Concede permiso para crear una tabla a partir de una tabla en una instantánea de clúster de Amazon Redshift. Escritura

cluster*

snapshot*

ResumeCluster Concede permiso para reanudar un clúster. Escritura

cluster*

RevokeClusterSecurityGroupIngress Concede permiso para revocar una regla de entrada en un grupo de seguridad de Amazon Redshift para un rango de IP o grupo de seguridad de Amazon EC2 previamente autorizado. Administración de permisos

securitygroup*

securitygroupingress-ec2securitygroup*

RevokeSnapshotAccess Concede permiso para revocar el acceso desde la cuenta de AWS especificada para restaurar una instantánea. Administración de permisos

snapshot*

RotateEncryptionKey Concede permiso para rotar una clave de cifrado para un clúster. Administración de permisos

cluster*

ViewQueriesFromConsole [solo permiso] Concede permiso para ver los resultados de las consultas a través de la consola de Amazon Redshift. List
ViewQueriesInConsole [solo permiso] Concede permiso para terminar las consultas y cargas en ejecución a través de la consola de Amazon Redshift. List

Tipos de recurso definidos por Amazon Redshift

Los siguientes tipos de recursos están definidos por este servicio y se pueden utilizar en el Resource elemento de IAM Las instrucciones de política de permisos de. Cada acción de la Tabla de acciones identifica los tipos de recursos que se pueden especificar con esa acción. Un tipo de recurso también puede definir qué claves de condición puede incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener más información sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso [EMPTY] Claves de condición
cluster arn:${Partition}:redshift:${Region}:${Account}:cluster:${ClusterName}

aws:ResourceTag/${TagKey}

dbgroup arn:${Partition}:redshift:${Region}:${Account}:dbgroup:${ClusterName}/${DbGroup}

aws:ResourceTag/${TagKey}

dbname arn:${Partition}:redshift:${Region}:${Account}:dbname:${ClusterName}/${DbName}

aws:ResourceTag/${TagKey}

dbuser arn:${Partition}:redshift:${Region}:${Account}:dbuser:${ClusterName}/${DbUser}

aws:ResourceTag/${TagKey}

eventsubscription arn:${Partition}:redshift:${Region}:${Account}:eventsubscription:${EventSubscriptionName}

aws:ResourceTag/${TagKey}

hsmclientcertificate arn:${Partition}:redshift:${Region}:${Account}:hsmclientcertificate:${HSMClientCertificateId}

aws:ResourceTag/${TagKey}

hsmconfiguration arn:${Partition}:redshift:${Region}:${Account}:hsmconfiguration:${HSMConfigurationId}

aws:ResourceTag/${TagKey}

parametergroup arn:${Partition}:redshift:${Region}:${Account}:parametergroup:${ParameterGroupName}

aws:ResourceTag/${TagKey}

securitygroup arn:${Partition}:redshift:${Region}:${Account}:securitygroup:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ec2SecurityGroupId}

aws:ResourceTag/${TagKey}

securitygroupingress-cidr arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/cidrip/${IpRange}

aws:ResourceTag/${TagKey}

securitygroupingress-ec2securitygroup arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ece2SecuritygroupId}

aws:ResourceTag/${TagKey}

snapshot arn:${Partition}:redshift:${Region}:${Account}:snapshot:${ClusterName}/${SnapshotName}

aws:ResourceTag/${TagKey}

snapshotcopygrant arn:${Partition}:redshift:${Region}:${Account}:snapshotcopygrant:${SnapshotCopyGrantName}

aws:ResourceTag/${TagKey}

snapshotschedule arn:${Partition}:redshift:${Region}:${Account}:snapshotschedule:${ParameterGroupName}

aws:ResourceTag/${TagKey}

subnetgroup arn:${Partition}:redshift:${Region}:${Account}:subnetgroup:${SubnetGroupName}

aws:ResourceTag/${TagKey}

Claves de condición de Amazon Redshift

Amazon Redshift define las siguientes claves de condición que se pueden utilizar en el Condition elemento de un IAM de la política de. Puede utilizar estas claves para refinar aún más las condiciones en las que se aplica la instrucción de política. Para obtener más información sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales de que están disponibles para todos los servicios de , consulte Claves de condición globales disponibles en el IAM Referencia de la política.

Claves de condición Descripción [EMPTY]
aws:RequestTag/${TagKey} Filtra acciones en función del conjunto de valores permitidos para cada una de las etiquetas Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función del valor de etiqueta asociado al recurso. Cadena
aws:TagKeys Filtra acciones en función de la presencia de etiquetas obligatorias en la solicitud Cadena
redshift:DbName Filtra el acceso por el nombre de la base de datos Cadena
redshift:DbUser Filtra el acceso por el nombre de usuario de la base de datos Cadena
redshift:DurationSeconds Filtra el acceso por el número de segundos hasta que caduca un conjunto de credenciales temporal Cadena