Amazon Redshift のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon Redshift のアクション、リソース、および条件キー

Amazon Redshift (サービスプレフィックス: redshift) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon Redshift で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptReservedNodeExchange 設定を変更せずに DC1 リザーブドノードを DC2 リザーブドノードと交換するアクセス許可を付与します 書き込み
AuthorizeClusterSecurityGroupIngress Amazon Redshift セキュリティグループにインバウンド(進入)ルールを追加するアクセス許可を付与します アクセス権限の管理

securitygroup*

securitygroupingress-ec2securitygroup*

AuthorizeSnapshotAccess 指定された AWS アカウントにスナップショットを復元するためのアクセス許可を付与します アクセス権限の管理

snapshot*

BatchDeleteClusterSnapshots 最大 100 サイズのバッチでスナップショットを削除するアクセス許可を付与します 書き込み

snapshot*

BatchModifyClusterSnapshots スナップショットのリストの設定を変更するアクセス許可を付与します 書き込み

snapshot*

CancelQuery [アクセス許可のみ] Amazon Redshift コンソールを使用してクエリをキャンセルするアクセス許可を付与します 書き込み
CancelQuerySession [アクセス許可のみ] Amazon Redshift コンソールでクエリを確認するアクセス許可を付与します 書き込み
CancelResize サイズ変更操作をキャンセルするアクセス許可を付与します 書き込み

cluster*

CopyClusterSnapshot クラスタースナップショットをコピーするアクセス許可を付与します 書き込み

snapshot*

CreateCluster クラスターを作成するアクセス許可を付与します 書き込み

cluster*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterParameterGroup Amazon Redshift パラメータグループを作成するアクセス許可を付与します 書き込み

parametergroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSecurityGroup Amazon Redshift セキュリティグループを作成するアクセス許可を付与します 書き込み

securitygroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSnapshot 指定したクラスターの手動スナップショットを作成するアクセス許可を付与します 書き込み

snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSubnetGroup Amazon Redshift サブネットグループを作成するアクセス許可を付与します 書き込み

subnetgroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterUser 指定された Amazon Redshift ユーザーが存在しない場合に、自動的に作成するアクセス許可を付与します アクセス権限の管理

dbuser*

redshift:DbUser

CreateEventSubscription Amazon Redshift イベント通知サブスクリプションを作成するアクセス許可を付与します 書き込み

eventsubscription*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateHsmClientCertificate クラスターが HSM への接続に使用する HSM クライアント証明書を作成するアクセス許可を付与します 書き込み

hsmclientcertificate*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateHsmConfiguration ハードウェアセキュリティモジュール (HSM) においてクラスターがデータベース暗号化キーを保存または使用する際に必要とする情報を含んだ HSM 設定を作成するアクセス許可を付与します。 書き込み

hsmconfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSavedQuery [アクセス許可のみ] Amazon Redshift コンソールを使用して、保存された SQL クエリを作成するアクセス許可を付与します 書き込み
CreateScheduledAction Amazon Redshift のスケジュールされたアクションを作成するアクセス許可を付与します 書き込み
CreateSnapshotCopyGrant スナップショットコピー許可を作成し、コピー先の AWS リージョンでコピーしたスナップショットを暗号化するアクセス許可を付与します。 アクセス権限の管理

snapshotcopygrant*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSnapshotSchedule スナップショットスケジュールを作成するアクセス許可を付与します 書き込み

snapshotschedule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTags 指定したリソースに 1 つ以上のタグを追加するアクセス許可を付与します。 タグ付け

cluster

dbgroup

dbname

dbuser

eventsubscription

hsmclientcertificate

hsmconfiguration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteCluster 以前にプロビジョニングされたクラスターを削除するアクセス許可を付与します 書き込み

cluster*

DeleteClusterParameterGroup Amazon Redshift パラメータグループを削除するアクセス許可を付与します 書き込み

parametergroup*

DeleteClusterSecurityGroup Amazon Redshift セキュリティグループを削除するアクセス許可を付与します 書き込み

securitygroup*

DeleteClusterSnapshot 手動スナップショットを削除するアクセス許可を付与します 書き込み

snapshot*

DeleteClusterSubnetGroup クラスターサブネットグループを削除するアクセス許可を付与します 書き込み

subnetgroup*

DeleteEventSubscription Amazon Redshift イベント通知サブスクリプションを削除するアクセス許可を付与します 書き込み

eventsubscription*

DeleteHsmClientCertificate HSM クライアント証明書を削除するアクセス許可を付与します 書き込み

hsmclientcertificate*

DeleteHsmConfiguration Amazon Redshift HSM 設定を削除するアクセス許可を付与します 書き込み

hsmconfiguration*

DeleteSavedQueries [アクセス許可のみ] Amazon Redshift コンソールを介して保存された SQL クエリを削除するアクセス許可を付与します 書き込み
DeleteScheduledAction Amazon Redshift のスケジュールされたアクションを削除するアクセス許可を付与します 書き込み
DeleteSnapshotCopyGrant スナップショットコピー許可を削除するアクセス許可を付与します 書き込み

snapshotcopygrant*

DeleteSnapshotSchedule スナップショットスケジュールを削除するアクセス許可を付与します 書き込み

snapshotschedule*

DeleteTags リソースから 1 つまたは複数のタグを削除するアクセス許可を付与します タグ付け

cluster

dbgroup

dbname

dbuser

eventsubscription

hsmclientcertificate

hsmconfiguration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

aws:TagKeys

DescribeAccountAttributes 指定された AWS アカウントにアタッチされた属性を記述するアクセス許可を付与します Read
DescribeClusterDbRevisions クラスターのデータベースリビジョンを記述するアクセス許可を付与します リスト
DescribeClusterParameterGroups Amazon Redshift パラメータグループ(自分で作成したパラメータグループとデフォルトのパラメータグループを含む)を記述するアクセス許可を付与します。 Read
DescribeClusterParameters Amazon Redshift パラメータグループに含まれるパラメータを記述するアクセス許可を付与します Read

parametergroup*

DescribeClusterSecurityGroups Amazon Redshift セキュリティグループを記述するアクセス許可を付与します Read
DescribeClusterSnapshots クラスタースナップショットに関するメタデータを含む 1 つ以上のスナップショットオブジェクトを記述するアクセス許可を付与します Read
DescribeClusterSubnetGroups クラスターサブネットグループに関するメタデータを含む 1 つまたは複数のクラスターサブネットグループオブジェクトを記述するアクセス許可を付与します。 Read
DescribeClusterTracks 使用可能なメンテナンストラックを記述するアクセス許可を付与します リスト
DescribeClusterVersions 利用可能な Amazon Redshift クラスターのバージョンを記述するアクセス許可を付与します Read
DescribeClusters プロビジョニングされたクラスターのプロパティを記述するアクセス許可を付与します リスト
DescribeDefaultClusterParameters パラメータグループファミリーのパラメータ設定を記述するアクセス許可を付与します Read
DescribeEventCategories すべてのイベントソースタイプ、または指定されたソースタイプのイベントカテゴリを記述するアクセス許可を付与します Read
DescribeEventSubscriptions 指定された AWS アカウントの Amazon Redshift イベント通知サブスクリプションを記述するアクセス許可を付与します Read
DescribeEvents クラスター、セキュリティグループ、スナップショット、パラメータグループに関連する過去 14 日間のイベントを記述するアクセス許可を付与します。 リスト
DescribeHsmClientCertificates HSM クライアント証明書を記述するアクセス許可を付与します Read
DescribeHsmConfigurations Amazon Redshift HSM の設定を記述するアクセス許可を付与します Read
DescribeLoggingStatus クエリや接続試行などの情報がクラスターでログに記録されているかどうかを記述するアクセス許可を付与します Read

cluster*

DescribeNodeConfigurationOptions 指定されたアクションタイプのノードタイプ、ノード数、ディスク使用量など、可能なノード設定のプロパティを記述するアクセス許可を付与します リスト
DescribeOrderableClusterOptions 順序設定可能なクラスターオプションを記述するアクセス許可を付与します Read
DescribeQuery [アクセス許可のみ] Amazon Redshift コンソールを介してクエリを記述するアクセス許可を付与します Read
DescribeReservedNodeOfferings Amazon Redshift で利用可能なリザーブドノードサービスを記述するアクセス許可を付与します Read
DescribeReservedNodes リザーブドノードを記述するアクセス許可を付与します Read
DescribeResize クラスターの直近のサイズ変更操作を記述するアクセス許可を付与します Read

cluster*

DescribeSavedQueries [アクセス許可のみ] Amazon Redshift コンソールを介して保存されたクエリを記述するアクセス許可を付与します Read
DescribeScheduledActions 作成された Amazon Redshift のスケジュールされたアクションを記述するアクセス許可を付与します Read
DescribeSnapshotCopyGrants コピー先の AWS リージョンの指定された AWS アカウントが所有するスナップショットコピー許可を記述するアクセス許可を付与します Read
DescribeSnapshotSchedules スナップショットスケジュールを記述するアクセス許可を付与します Read

snapshotschedule*

DescribeStorage アカウントレベルのバックアップのストレージサイズと暫定ストレージを記述するアクセス許可を付与します Read
DescribeTable [アクセス許可のみ] Amazon Redshift コンソールを使用してテーブルを記述するアクセス許可を付与します Read
DescribeTableRestoreStatus RestoreTableFromClusterSnapshot API アクションを使用して行われた 1 つまたは複数のテーブル復元リクエストのステータスを記述するアクセス許可を付与します。 Read
DescribeTags タグを記述するアクセス許可を付与します。 Read

cluster

dbgroup

dbname

dbuser

eventsubscription

hsmclientcertificate

hsmconfiguration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

DisableLogging クラスターのログ記録情報(クエリや接続の試行など)を無効にするアクセス許可を付与します 書き込み

cluster*

DisableSnapshotCopy クラスターのスナップショットの自動コピーを無効にするアクセス許可を付与します 書き込み

cluster*

EnableLogging クラスターのログ記録情報(クエリや接続の試行など)を有効にするアクセス許可を付与します 書き込み

cluster*

EnableSnapshotCopy クラスターのスナップショットの自動コピーを有効にするアクセス許可を付与します 書き込み

cluster*

ExecuteQuery [アクセス許可のみ] Amazon Redshift コンソールを介してクエリを実行するアクセス許可を付与します 書き込み
FetchResults [アクセス許可のみ] Amazon Redshift コンソールを介してクエリ結果を取得するアクセス許可を付与します Read
GetClusterCredentials 指定された AWS アカウントによって Amazon Redshift データベースにアクセスするための一時的な認証情報を取得するアクセス許可を付与します 書き込み

dbuser*

dbgroup

dbname

redshift:DbName

redshift:DbUser

redshift:DurationSeconds

GetReservedNodeExchangeOfferings 指定された DC1 リザーブドノードの支払いタイプ、期間、および使用料金に一致する DC2 ReservedNodeOfferings の配列を取得するアクセス許可を付与します。 Read
JoinGroup 指定された Amazon Redshift グループに参加するアクセス許可を付与します アクセス権限の管理

dbgroup*

ListDatabases [アクセス許可のみ] Amazon Redshift コンソールを介してデータベースを一覧表示するアクセス許可を付与します リスト
ListSavedQueries [アクセス許可のみ] Amazon Redshift コンソールを介して、保存されたクエリを一覧表示するアクセス許可を付与します リスト
ListSchemas [アクセス許可のみ] Amazon Redshift コンソールを介してスキーマを一覧表示するアクセス許可を付与します リスト
ListTables [アクセス許可のみ] Amazon Redshift コンソールを介してテーブルを一覧表示するアクセス許可を付与します リスト
ModifyAquaConfiguration クラスターの AQUA 設定を変更するためのアクセス権限を付与します 書き込み

cluster*

ModifyCluster クラスターの設定を変更するアクセス許可を付与します 書き込み

cluster*

ModifyClusterDbRevision クラスターのデータベースリビジョンを変更するアクセス許可を付与します 書き込み

cluster*

ModifyClusterIamRoles クラスターが他の AWS サービスにアクセスする際に使用できる AWS Identity and Access Management (IAM) ロールのリストを変更するアクセス許可を付与します。 アクセス権限の管理

cluster*

ModifyClusterMaintenance クラスターのメンテナンス設定を変更するアクセス許可を付与します 書き込み
ModifyClusterParameterGroup パラメータグループのパラメータを変更するアクセス許可を付与します 書き込み

parametergroup*

ModifyClusterSnapshot スナップショットの設定を変更するアクセス許可を付与します 書き込み

snapshot*

ModifyClusterSnapshotSchedule クラスターのスナップショットスケジュールを変更するアクセス許可を付与します 書き込み

cluster*

ModifyClusterSubnetGroup VPC サブネットの指定リストを含めるためにクラスターサブネットグループを変更するアクセス許可を付与します 書き込み

subnetgroup*

ModifyEventSubscription 既存の Amazon Redshift イベント通知サブスクリプションを変更するアクセス許可を付与します 書き込み

eventsubscription*

ModifySavedQuery [アクセス許可のみ] Amazon Redshift コンソールを介して、既存の保存されたクエリを変更するアクセス許可を付与します 書き込み
ModifyScheduledAction 既存の Amazon Redshift のスケジュールされたアクションを変更するアクセス許可を付与します 書き込み
ModifySnapshotCopyRetentionPeriod コピー元の AWS リージョンからコピーされた後、コピー先の AWS リージョンでスナップショットを保持する日数を変更するアクセス許可を付与します 書き込み

cluster*

ModifySnapshotSchedule スナップショットスケジュールを変更するアクセス許可を付与します 書き込み

snapshotschedule*

PauseCluster クラスターを一時停止するアクセス許可を付与します 書き込み

cluster*

PurchaseReservedNodeOffering リザーブドノードを購入するアクセス許可を付与します 書き込み
RebootCluster クラスターを再起動するアクセス許可を付与します。 書き込み

cluster*

ResetClusterParameterGroup パラメータグループの 1 つまたは複数のパラメータをデフォルト値に設定し、パラメータのソース値を「エンジンのデフォルト」に設定するアクセス許可を付与します。 書き込み

parametergroup*

ResizeCluster クラスターのサイズを変更するアクセス許可を付与します 書き込み

cluster*

RestoreFromClusterSnapshot スナップショットからクラスターを作成するアクセス許可を付与します 書き込み

cluster*

snapshot*

RestoreTableFromClusterSnapshot Amazon Redshift クラスタースナップショットのテーブルからテーブルを作成するアクセス許可を付与します 書き込み

cluster*

snapshot*

ResumeCluster クラスターを再開するアクセス許可を付与します 書き込み

cluster*

RevokeClusterSecurityGroupIngress 以前に承認された IP 範囲または Amazon EC2 セキュリティグループに対し、Amazon Redshift セキュリティグループ内の進入ルールを取り消すアクセス許可を付与します。 アクセス権限の管理

securitygroup*

securitygroupingress-ec2securitygroup*

RevokeSnapshotAccess スナップショットを復元するために、指定された AWS アカウントからのアクセスを取り消すアクセス許可を付与します アクセス権限の管理

snapshot*

RotateEncryptionKey クラスターの暗号化キーをローテーションするアクセス許可を付与します アクセス権限の管理

cluster*

ViewQueriesFromConsole [アクセス許可のみ] Amazon Redshift コンソールを介してクエリ結果を表示するアクセス許可を付与します リスト
ViewQueriesInConsole [アクセス許可のみ] Amazon Redshift コンソールを介して、実行中のクエリとロードを終了するアクセス許可を付与します リスト

Amazon Redshift で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
cluster arn:${Partition}:redshift:${Region}:${Account}:cluster:${ClusterName}

aws:ResourceTag/${TagKey}

dbgroup arn:${Partition}:redshift:${Region}:${Account}:dbgroup:${ClusterName}/${DbGroup}

aws:ResourceTag/${TagKey}

dbname arn:${Partition}:redshift:${Region}:${Account}:dbname:${ClusterName}/${DbName}

aws:ResourceTag/${TagKey}

dbuser arn:${Partition}:redshift:${Region}:${Account}:dbuser:${ClusterName}/${DbUser}

aws:ResourceTag/${TagKey}

eventsubscription arn:${Partition}:redshift:${Region}:${Account}:eventsubscription:${EventSubscriptionName}

aws:ResourceTag/${TagKey}

hsmclientcertificate arn:${Partition}:redshift:${Region}:${Account}:hsmclientcertificate:${HSMClientCertificateId}

aws:ResourceTag/${TagKey}

hsmconfiguration arn:${Partition}:redshift:${Region}:${Account}:hsmconfiguration:${HSMConfigurationId}

aws:ResourceTag/${TagKey}

parametergroup arn:${Partition}:redshift:${Region}:${Account}:parametergroup:${ParameterGroupName}

aws:ResourceTag/${TagKey}

securitygroup arn:${Partition}:redshift:${Region}:${Account}:securitygroup:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ec2SecurityGroupId}

aws:ResourceTag/${TagKey}

securitygroupingress-cidr arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/cidrip/${IpRange}

aws:ResourceTag/${TagKey}

securitygroupingress-ec2securitygroup arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ece2SecuritygroupId}

aws:ResourceTag/${TagKey}

snapshot arn:${Partition}:redshift:${Region}:${Account}:snapshot:${ClusterName}/${SnapshotName}

aws:ResourceTag/${TagKey}

snapshotcopygrant arn:${Partition}:redshift:${Region}:${Account}:snapshotcopygrant:${SnapshotCopyGrantName}

aws:ResourceTag/${TagKey}

snapshotschedule arn:${Partition}:redshift:${Region}:${Account}:snapshotschedule:${ParameterGroupName}

aws:ResourceTag/${TagKey}

subnetgroup arn:${Partition}:redshift:${Region}:${Account}:subnetgroup:${SubnetGroupName}

aws:ResourceTag/${TagKey}

Amazon Redshift の条件キー

Amazon Redshift では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} 各タグで許可されている値のセットに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられている tag-value に基づいてアクションをフィルタリングします。 文字列
aws:TagKeys リクエスト内の必須タグのプレゼンスに基づいてアクションをフィルタリングします 文字列
redshift:DbName データベース名でアクセスをフィルタリングします 文字列
redshift:DbUser データベースユーザー名でアクセスをフィルタリングします 文字列
redshift:DurationSeconds 一時的な認証情報のセットが有効期限になるまで秒数によりアクセスを制御します。 文字列