メニュー
AWS Identity and Access Management
ユーザーガイド

Amazon Redshift のアクション、リソース、および条件キー

Amazon Redshift (サービスプレフィックス: redshift) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon Redshift で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用することにより、AWS でオペレーションを実行するすべてのユーザーのアクセス許可を定義します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AuthorizeClusterSecurityGroupIngress Amazon Redshift セキュリティグループにインバウンド (進入) ルールを追加します。 アクセス権限の管理

securitygroup*

securitygroupingress-ec2securitygroup*

AuthorizeSnapshotAccess 指定された AWS 顧客アカウントに対し、指定されたスナップショットの復元を許可します。 アクセス権限の管理

snapshot*

CancelQuerySession[アクセス許可のみ] ユーザーが Amazon Redshift コンソールの [クラスター] セクションの [クエリ] タブでクエリを参照できるかどうかを制御します。 書き込み
CopyClusterSnapshot 指定された自動クラスタースナップショットを新しい手動クラスタースナップショットにコピーします。 書き込み

snapshot*

CreateCluster 新しいクラスターを作成します。 書き込み

cluster*

CreateClusterParameterGroup Amazon Redshift パラメータグループを作成します。 書き込み

parametergroup*

CreateClusterSecurityGroup 新しい Amazon Redshift セキュリティグループを作成します。 書き込み

securitygroup*

CreateClusterSnapshot 指定されたクラスターの手動スナップショットを作成します。 書き込み

snapshot*

CreateClusterSubnetGroup 新しい Amazon Redshift サブネットグループを作成します。 書き込み

subnetgroup*

CreateClusterUser 指定された Redshift ユーザーが存在しない場合に、それを自動作成するアクセス許可を付与します。 アクセス権限の管理

dbuser*

redshift:DbUser

CreateEventSubscription Amazon Redshift イベント通知サブスクリプションを作成します。 書き込み

eventsubscription*

CreateHsmClientCertificate Amazon Redshift クラスターがクライアントの HSM に接続する際に使用する HSM クライアント証明書を作成します。Amazon Redshift クラスターは、この接続を通じてクラスターデータベースの暗号化に使用されるキーを保存および取得します。 書き込み

hsmclientcertificate*

CreateHsmConfiguration Amazon Redshift クラスターがハードウェアセキュリティモジュール (HSM) においてデータベース暗号化キーを保存または使用する際に必要とする情報を含んだ HSM 設定を作成します。 書き込み

hsmconfiguration*

CreateSnapshotCopyGrant スナップショットコピー権限を作成します。この権限により、Amazon Redshift は、AWS Key Management Service (AWS KMS) からのカスタマーマスターキー (CMK) を使用してコピー先リージョン内にコピーされたスナップショットを暗号化できます。 アクセス権限の管理

snapshotcopygrant*

CreateTags 指定されたリソースに 1 つまたは複数のタグを追加します。 タグ付け
DeleteCluster 以前にプロビジョニングされたクラスターを削除します。 書き込み

cluster*

DeleteClusterParameterGroup 指定された Amazon Redshift パラメータグループを削除します。 書き込み

parametergroup*

DeleteClusterSecurityGroup Amazon Redshift セキュリティグループを削除します。 書き込み

securitygroup*

DeleteClusterSnapshot 指定された手動スナップショットを削除します。 書き込み

snapshot*

DeleteClusterSubnetGroup 指定されたクラスターサブネットグループを削除します。 書き込み

subnetgroup*

DeleteEventSubscription Amazon Redshift イベント通知サブスクリプションを削除します。 書き込み

eventsubscription*

DeleteHsmClientCertificate 指定された HSM クライアント証明書を削除します。 書き込み

hsmclientcertificate*

DeleteHsmConfiguration 指定された Amazon Redshift HSM 設定を削除します。 書き込み

hsmconfiguration*

DeleteSnapshotCopyGrant 指定されたスナップショット権限を削除します。 書き込み

snapshotcopygrant*

DeleteTags リソースからタグを削除します。 タグ付け
DescribeClusterParameterGroups Amazon Redshift パラメータグループ (自分で作成したパラメータグループとデフォルトのパラメータグループを含む) のリストを返します。 Read
DescribeClusterParameters 指定された Amazon Redshift パラメータグループに含まれるパラメータの詳細なリストを返します。 Read

parametergroup*

DescribeClusterSecurityGroups Amazon Redshift セキュリティグループに関する情報を返します。 Read
DescribeClusterSnapshots クラスタースナップショットに関するメタデータを含む 1 つまたは複数のスナップショットオブジェクトを返します。 Read
DescribeClusterSubnetGroups クラスターサブネットグループに関するメタデータを含む 1 つまたは複数のクラスターサブネットグループオブジェクトを返します。 Read
DescribeClusterVersions 使用可能な Amazon Redshift クラスターバージョンの説明を返します。 Read
DescribeClusters プロビジョニングされたクラスターのプロパティを返します。一般的なクラスタープロパティ、クラスターデータベースプロパティ、メンテナンスおよびバックアップのプロパティ、セキュリティおよびアクセスのプロパティなどが含まれます。 リスト
DescribeDefaultClusterParameters 指定されたパラメータグループファミリーのパラメータ設定のリストを返します。 Read
DescribeEventCategories すべてのイベントソースタイプ、または指定されたソースタイプのイベントカテゴリを一覧表示します。 Read
DescribeEventSubscriptions 顧客アカウントの Amazon Redshift イベント通知サブスクリプションの説明を一覧表示します。 Read
DescribeEvents クラスター、セキュリティグループ、スナップショット、パラメータグループに関連する過去 14 日間のイベントを返します。 リスト
DescribeHsmClientCertificates 指定された HSM クライアント証明書に関する情報を返します。 Read
DescribeHsmConfigurations 指定された Amazon Redshift HSM 設定に関する情報を返します。 Read
DescribeLoggingStatus 指定された Amazon Redshift クラスターに対してクエリや接続試行などの情報が記録されているかどうかを説明します。 Read

cluster*

DescribeOrderableClusterOptions 注文可能なクラスターオプションのリストを返します。 Read
DescribeReservedNodeOfferings Amazon Redshift で使用可能なリザーブドノードサービスのリストを返します。リストには、ノードタイプ、ノードの予約にかかる固定料金および定期料金、ノードを予約できる期間などの説明も含まれます。 Read
DescribeReservedNodes リザーブドノードの説明を返します。 Read
DescribeResize 指定されたクラスターの直前のサイズ変更オペレーションに関する情報を返します。 Read

cluster*

DescribeSnapshotCopyGrants コピー先のリージョン内で AWS アカウントが所有しているスナップショットコピー権限のリストを返します。 Read
DescribeTableRestoreStatus RestoreTableFromClusterSnapshot API アクションを使用して行われた 1 つまたは複数のテーブル復元リクエストのステータスを一覧表示します。 Read
DescribeTags タグのリストを返します。 Read
DisableLogging 指定された Amazon Redshift クラスターに対し、クエリや接続試行などの情報の記録を停止します。 書き込み

cluster*

DisableSnapshotCopy 指定されたクラスターに対し、リージョン間でのスナップショットの自動コピーを無効にします。 書き込み

cluster*

EnableLogging 指定された Amazon Redshift クラスターに対し、クエリや接続試行などの情報の記録を開始します。 書き込み

cluster*

EnableSnapshotCopy 指定されたクラスターに対し、リージョン間でのスナップショットの自動コピーを有効にします。 書き込み

cluster*

GetClusterCredentials 指定された Redshift ユーザーの一時的なクラスター認証情報を取得します。 Read

dbuser*

dbgroup

dbname

redshift:DbName

redshift:DbUser

redshift:DurationSeconds

JoinGroup 指定された Redshift グループに参加するアクセス許可を付与します。 アクセス権限の管理

dbgroup*

ModifyCluster クラスターの設定を変更します。 書き込み

cluster*

ModifyClusterIamRoles クラスターが他の AWS サービスにアクセスする際に使用できる AWS Identity and Access Management (IAM) ロールのリストを変更します。 アクセス権限の管理

cluster*

ModifyClusterParameterGroup パラメータグループのパラメータを変更します。 書き込み

parametergroup*

ModifyClusterSubnetGroup クラスターサブネットグループを変更し、指定された VPC サブネットのリストを含めます。 書き込み

subnetgroup*

ModifyEventSubscription 既存の Amazon Redshift イベント通知サブスクリプションを変更します。 書き込み

eventsubscription*

ModifySnapshotCopyRetentionPeriod ソースリージョンから自動コピーされたスナップショットをコピー先リージョンで保持する日数を変更します。 書き込み

cluster*

PurchaseReservedNodeOffering リザーブドノードの購入を許可します。Amazon Redshift では、事前定義された一連のリザーブドノードサービスを提供しています。 書き込み
RebootCluster クラスターを再起動します。 書き込み

cluster*

ResetClusterParameterGroup 指定されたパラメータグループの 1 つまたは複数のパラメータをデフォルト値に設定し、パラメータのソース値を「エンジンのデフォルト」に設定します。 書き込み

parametergroup*

RestoreFromClusterSnapshot スナップショットから新しいクラスターを作成します。 書き込み

snapshot*

RestoreTableFromClusterSnapshot Amazon Redshift クラスタースナップショット内のテーブルから新しいテーブルを作成します。 書き込み

cluster*

snapshot*

RevokeClusterSecurityGroupIngress 以前に承認された IP 範囲または Amazon EC2 セキュリティグループに対し、Amazon Redshift セキュリティグループ内の進入ルールを取り消します。 アクセス権限の管理

securitygroup*

securitygroupingress-ec2securitygroup*

RevokeSnapshotAccess 指定された AWS 顧客アカウントに対し、指定されたスナップショットの復元許可を削除します。 アクセス権限の管理

snapshot*

RotateEncryptionKey クラスターの暗号化キーを回転させます。 アクセス権限の管理

cluster*

ViewQueriesInConsole[アクセス許可のみ] ユーザーが Amazon Redshift コンソールの [クラスター] セクションから実行中のクエリとロードを終了できるかどうかを制御します。 リスト

Redshift で定義されるリソース

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。「アクション」テーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
cluster arn:${Partition}:redshift:${Region}:${Account}:cluster:${ClusterName}
dbgroup arn:${Partition}:redshift:${Region}:${Account}:dbgroup:${ClusterName}/${DbGroup}
dbname arn:${Partition}:redshift:${Region}:${Account}:dbname:${ClusterName}/${DbName}
dbuser arn:${Partition}:redshift:${Region}:${Account}:dbuser:${ClusterName}/${DbUser}
eventsubscription arn:${Partition}:redshift:${Region}:${Account}:eventsubscription:${EventSubscriptionName}
hsmclientcertificate arn:${Partition}:redshift:${Region}:${Account}:hsmclientcertificate:${HSMClientCertificateId}
hsmconfiguration arn:${Partition}:redshift:${Region}:${Account}:hsmconfiguration:${HSMConfigurationId}
parametergroup arn:${Partition}:redshift:${Region}:${Account}:parametergroup:${ParameterGroupName}
securitygroup arn:${Partition}:redshift:${Region}:${Account}:securitygroup:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ec2SecurityGroupId}
securitygroupingress-cidr arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/cidrip/${IpRange}
securitygroupingress-ec2securitygroup arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ece2SecuritygroupId}
snapshot arn:${Partition}:redshift:${Region}:${Account}:${ClusterName}/${SnapshotName}
snapshotcopygrant arn:${Partition}:redshift:${Region}:${Account}:snapshotcopygrant:${SnapshotCopyGrantName}
subnetgroup arn:${Partition}:redshift:${Region}:${Account}:subnetgroup:${SubnetGroupName}

Amazon Redshift の条件キー

Amazon Redshift では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「IAM ポリシーの参照」の「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
redshift:DbName データベース名に基づいてアクセスを制御します。 文字列
redshift:DbUser データベースユーザー名に基づいてアクセスを制御します。 文字列
redshift:DurationSeconds 一時的な認証情報のセットの有効期限 (秒数) に基づいてアクセスを制御します。 文字列