Amazon Redshift のアクション、リソース、および条件キー - サービス認可リファレンス

Amazon Redshift のアクション、リソース、および条件キー

Amazon Redshift (サービスプレフィックス: redshift) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon Redshift で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AcceptReservedNodeExchange 設定を変更せずに DC1 リザーブドノードを DC2 リザーブドノードと交換する許可を付与 書き込み
AddPartner パートナー統合をクラスターに追加する許可を付与 書き込み
AssociateDataShareConsumer コンシューマーをデータシェアに関連付ける許可を付与 書き込み

datashare*

redshift:ConsumerArn

redshift:AllowWrites

AuthorizeClusterSecurityGroupIngress Amazon Redshift セキュリティグループにインバウンド(進入)ルールを追加する許可を付与 書き込み

securitygroup*

securitygroupingress-ec2securitygroup*

AuthorizeDataShare 指定されたデータシェアのコンシューマーにデータシェアの使用を許可する許可を付与 権限の管理

datashare*

redshift:ConsumerIdentifier

redshift:AllowWrites

AuthorizeEndpointAccess redshift マネージド vpc エンドポイントのエンドポイント関連のアクティビティを認可する許可を付与 権限の管理
AuthorizeInboundIntegration [アクセス許可のみ] Amazon Redshift に、ターゲットデータウェアハウスがソース ARN からレプリケートされたデータを受信できるかどうかを継続的に検証する許可を付与する 書き込み

integration*

AuthorizeSnapshotAccess 指定された AWS アカウント にスナップショットを復元する許可を付与 Permissions management

snapshot*

BatchDeleteClusterSnapshots 最大 100 サイズのバッチでスナップショットを削除する許可を付与 書き込み

snapshot*

BatchModifyClusterSnapshots スナップショットのリストの設定を変更する許可を付与 書き込み

snapshot*

CancelQuery [アクセス許可のみ] Amazon Redshift コンソールを使用してクエリをキャンセルする許可を付与 書き込み
CancelQuerySession [アクセス許可のみ] Amazon Redshift コンソールでクエリを確認する許可を付与 書き込み
CancelResize サイズ変更操作をキャンセルする許可を付与 書き込み

cluster*

CopyClusterSnapshot クラスタースナップショットをコピーする許可を付与 書き込み

snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAuthenticationProfile Amazon Redshift 認証プロファイルを作成する許可を付与 書き込み
CreateCluster クラスターを作成する許可を付与 書き込み

cluster*

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

kms:RetireGrant

secretsmanager:CreateSecret

secretsmanager:DeleteSecret

secretsmanager:DescribeSecret

secretsmanager:GetRandomPassword

secretsmanager:RotateSecret

secretsmanager:TagResource

secretsmanager:UpdateSecret

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterParameterGroup Amazon Redshift パラメータグループを作成する許可を付与 書き込み

parametergroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSecurityGroup Amazon Redshift セキュリティグループを作成する許可を付与 書き込み

securitygroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSnapshot 指定したクラスターの手動スナップショットを作成する許可を付与 書き込み

snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSubnetGroup Amazon Redshift サブネットグループを作成する許可を付与 書き込み

subnetgroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterUser 指定された Amazon Redshift ユーザーが存在しない場合に、自動的に作成する許可を付与 権限の管理

dbuser*

redshift:DbUser

CreateCustomDomainAssociation クラスターのカスタムドメイン名を作成するための許可を付与します 書き込み

cluster*

acm:DescribeCertificate

CreateEndpointAccess redshift マネージドエンドポイントを作成する許可を付与 書き込み
CreateEventSubscription Amazon Redshift イベント通知サブスクリプションを作成する許可を付与 書き込み

eventsubscription*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateHsmClientCertificate クラスターが HSM への接続に使用する HSM クライアント証明書を作成する許可を付与 書き込み

hsmclientcertificate*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateHsmConfiguration ハードウェアセキュリティモジュール (HSM) においてクラスターがデータベース暗号化キーを保存または使用する際に必要とする情報を含んだ HSM 設定を作成する許可を付与。 書き込み

hsmconfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInboundIntegration [アクセス許可のみ] ソースからターゲットデータウェアハウスにデータをレプリケートするためのインバウンド統合を作成する許可をソースプリンシパルに付与する 書き込み
CreateIntegration Amazon Redshift ゼロ ETL 統合を作成する許可を付与する 書き込み

integration*

kms:CreateGrant

kms:DescribeKey

aws:RequestTag/${TagKey}

aws:TagKeys

redshift:IntegrationSourceArn

redshift:IntegrationTargetArn

CreateQev2IdcApplication [アクセス許可のみ] QEV2 IDC アプリケーションを作成する許可を付与する 書き込み

sso:CreateApplication

sso:PutApplicationAccessScope

sso:PutApplicationAuthenticationMethod

sso:PutApplicationGrant

CreateRedshiftIdcApplication Redshift IDC アプリケーションを作成するためのアクセス許可を付与 書き込み

sso:CreateApplication

sso:PutApplicationAccessScope

sso:PutApplicationAuthenticationMethod

sso:PutApplicationGrant

CreateSavedQuery [アクセス許可のみ] Amazon Redshift コンソールを使用して、保存された SQL クエリを作成する許可を付与 書き込み
CreateScheduledAction Amazon Redshift のスケジュールされたアクションを作成する許可を付与 書き込み
CreateSnapshotCopyGrant スナップショットコピー許可を作成し、コピー先の AWS リージョン でコピーしたスナップショットを暗号化する許可を付与 Permissions management

snapshotcopygrant*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSnapshotSchedule スナップショットスケジュールを作成する許可を付与 書き込み

snapshotschedule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTags 指定したリソースに 1 つ以上のタグを追加する許可を付与 タグ付け

cluster

eventsubscription

hsmclientcertificate

hsmconfiguration

integration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

usagelimit

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUsageLimit 使用制限を作成するためのアクセス許可を付与 書き込み

usagelimit*

aws:RequestTag/${TagKey}

aws:TagKeys

DeauthorizeDataShare 指定したデータ共有のコンシューマーからデータ共有を使用する許可を削除する許可を付与 権限の管理

datashare*

redshift:ConsumerIdentifier

DeleteAuthenticationProfile Amazon Redshift 認証プロファイルを削除する許可を付与 書き込み
DeleteCluster 以前にプロビジョニングされたクラスターを削除する許可を付与 書き込み

cluster*

DeleteClusterParameterGroup Amazon Redshift パラメータグループを削除する許可を付与 書き込み

parametergroup*

DeleteClusterSecurityGroup Amazon Redshift セキュリティグループを削除する許可を付与 書き込み

securitygroup*

DeleteClusterSnapshot 手動スナップショットを削除する許可を付与 書き込み

snapshot*

DeleteClusterSubnetGroup クラスターサブネットグループを削除する許可を付与 書き込み

subnetgroup*

DeleteCustomDomainAssociation クラスターのカスタムドメイン名を削除するための許可を付与します 書き込み

cluster*

DeleteEndpointAccess redshift マネージドエンドポイントを削除する許可を付与 書き込み
DeleteEventSubscription Amazon Redshift イベント通知サブスクリプションを削除する許可を付与 書き込み

eventsubscription*

DeleteHsmClientCertificate HSM クライアント証明書を削除する許可を付与 書き込み

hsmclientcertificate*

DeleteHsmConfiguration Amazon Redshift HSM 設定を削除する許可を付与 書き込み

hsmconfiguration*

DeleteIntegration Amazon Redshift ゼロ ETL 統合を削除する許可を付与する 書き込み

integration*

aws:ResourceTag/${TagKey}

DeletePartner クラスターからパートナー統合を削除する許可を付与 書き込み
DeleteQev2IdcApplication [アクセス許可のみ] QEV2 IDC アプリケーションを削除するための許可を付与する 書き込み

qev2idcapplication*

sso:DeleteApplication

DeleteRedshiftIdcApplication Redshift IDC アプリケーションを削除するためのアクセス許可を付与 書き込み

redshiftidcapplication*

sso:DeleteApplication

DeleteResourcePolicy 指定されたリソースのリソースポリシーを削除する許可を付与 権限の管理

namespace*

DeleteSavedQueries [アクセス許可のみ] Amazon Redshift コンソールを介して保存された SQL クエリを削除する許可を付与 書き込み
DeleteScheduledAction Amazon Redshift のスケジュールされたアクションを削除する許可を付与 書き込み
DeleteSnapshotCopyGrant スナップショットコピー許可を削除する許可を付与 書き込み

snapshotcopygrant*

DeleteSnapshotSchedule スナップショットスケジュールを削除する許可を付与 書き込み

snapshotschedule*

DeleteTags リソースから 1 つまたは複数のタグを削除する許可を付与 タグ付け

cluster

eventsubscription

hsmclientcertificate

hsmconfiguration

integration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

usagelimit

aws:TagKeys

DeleteUsageLimit 使用制限を削除するためのアクセス許可を付与 書き込み

usagelimit*

DescribeAccountAttributes 指定された AWS アカウント にアタッチされた属性を記述する許可を付与 読み取り
DescribeAuthenticationProfiles 作成された Amazon Redshift 認証プロファイルの詳細を取得する許可を付与 読み取り
DescribeClusterDbRevisions クラスターのデータベースリビジョンを記述する許可を付与 リスト
DescribeClusterParameterGroups Amazon Redshift パラメータグループ(自分で作成したパラメータグループとデフォルトのパラメータグループを含む)を記述する許可を付与 読み取り
DescribeClusterParameters Amazon Redshift パラメータグループに含まれるパラメータを記述する許可を付与 読み取り

parametergroup*

DescribeClusterSecurityGroups Amazon Redshift セキュリティグループを記述する許可を付与 読み取り
DescribeClusterSnapshots クラスタースナップショットに関するメタデータを含む 1 つ以上のスナップショットオブジェクトを記述する許可を付与 読み取り
DescribeClusterSubnetGroups クラスターサブネットグループに関するメタデータを含む 1 つまたは複数のクラスターサブネットグループオブジェクトを記述する許可を付与 読み取り
DescribeClusterTracks 使用可能なメンテナンストラックを記述する許可を付与 リスト
DescribeClusterVersions 利用可能な Amazon Redshift クラスターのバージョンを記述する許可を付与 読み取り
DescribeClusters プロビジョニングされたクラスターのプロパティを記述する許可を付与 リスト
DescribeCustomDomainAssociations クラスターのカスタムドメイン名を記述するための許可を付与します リスト
DescribeDataShares クラスターによって作成および消費されるデータシェアを記述する許可を付与 読み取り
DescribeDataSharesForConsumer クラスターによって消費されるデータシェアのみを記述する許可を付与 読み取り
DescribeDataSharesForProducer クラスターによって作成されるデータシェアのみを記述する許可を付与 読み取り
DescribeDefaultClusterParameters パラメータグループファミリーのパラメータ設定を記述する許可を付与 読み取り
DescribeEndpointAccess redshift マネージド VPC エンドポイントを記述する許可を付与 読み取り
DescribeEndpointAuthorization redshift マネージド VPC エンドポイントのアクティビティの記述を承認する許可を付与 リスト
DescribeEventCategories すべてのイベントソースタイプ、または指定されたソースタイプのイベントカテゴリを記述する許可を付与 読み取り
DescribeEventSubscriptions 指定された AWS アカウント の Amazon Redshift イベント通知サブスクリプションを記述する許可を付与 読み取り
DescribeEvents クラスター、セキュリティグループ、スナップショット、パラメータグループに関連する過去 14 日間のイベントを記述する許可を付与 リスト
DescribeHsmClientCertificates HSM クライアント証明書を記述する許可を付与 読み取り
DescribeHsmConfigurations Amazon Redshift HSM の設定を記述する許可を付与 読み取り
DescribeInboundIntegrations インバウンド統合を一覧表示する許可を付与 リスト

redshift:InboundIntegrationArn

DescribeIntegrations Amazon Redshift ゼロ ETL 統合を記述する許可を付与する リスト

integration*

aws:ResourceTag/${TagKey}

DescribeLoggingStatus クエリや接続試行などの情報がクラスターでログに記録されているかどうかを記述する許可を付与 読み取り

cluster*

DescribeNodeConfigurationOptions 指定されたアクションタイプのノードタイプ、ノード数、ディスク使用量など、可能なノード設定のプロパティを記述する許可を付与 リスト
DescribeOrderableClusterOptions 順序設定可能なクラスターオプションを記述する許可を付与 読み取り
DescribePartners クラスターに対して定義されたパートナー統合に関する情報を取得する許可を付与 読み取り
DescribeQev2IdcApplications [アクセス許可のみ] QEV2 IDC アプリケーションを記述する許可を付与する リスト
DescribeQuery [アクセス許可のみ] Amazon Redshift コンソールを介してクエリを記述する許可を付与 読み取り
DescribeRedshiftIdcApplications Redshift IDC アプリケーションを記述するためのアクセス許可を付与 リスト

sso:GetApplicationGrant

sso:ListApplicationAccessScopes

DescribeReservedNodeExchangeStatus 予約済みノード交換の交換ステータスの詳細と関連するメタデータを記述するアクセス許可を付与。ステータスには、進行中やリクエスト済みなどの値があります 読み取り
DescribeReservedNodeOfferings Amazon Redshift で利用可能なリザーブドノードサービスを記述する許可を付与 読み取り
DescribeReservedNodes リザーブドノードを記述する許可を付与 読み取り
DescribeResize クラスターの直近のサイズ変更操作を記述する許可を付与 読み取り

cluster*

DescribeSavedQueries [アクセス許可のみ] Amazon Redshift コンソールを介して保存されたクエリを記述する許可を付与 読み取り
DescribeScheduledActions 作成された Amazon Redshift のスケジュールされたアクションを記述する許可を付与 読み取り
DescribeSnapshotCopyGrants コピー先の AWS リージョン の指定された AWS アカウント が所有するスナップショットコピー許可を記述する許可を付与 読み取り
DescribeSnapshotSchedules スナップショットスケジュールを記述する許可を付与 読み取り

snapshotschedule*

DescribeStorage アカウントレベルのバックアップのストレージサイズと暫定ストレージを記述する許可を付与 読み取り
DescribeTable [アクセス許可のみ] Amazon Redshift コンソールを使用してテーブルを記述する許可を付与 読み取り
DescribeTableRestoreStatus RestoreTableFromClusterSnapshot API アクションを使用して行われた 1 つまたは複数のテーブル復元リクエストのステータスを記述する許可を付与 読み取り
DescribeTags タグを記述する許可を付与 読み取り

cluster

eventsubscription

hsmclientcertificate

hsmconfiguration

integration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

usagelimit

DescribeUsageLimits 使用制限を記述するためのアクセス許可を付与 読み取り

usagelimit*

DisableLogging クラスターのログ記録情報(クエリや接続の試行など)を無効にする許可を付与 書き込み

cluster*

DisableSnapshotCopy クラスターのスナップショットの自動コピーを無効にする許可を付与 書き込み

cluster*

DisassociateDataShareConsumer コンシューマーとデータシェアの関連付けを解除する許可を付与 書き込み

datashare*

redshift:ConsumerArn

EnableLogging クラスターのログ記録情報(クエリや接続の試行など)を有効にする許可を付与 書き込み

cluster*

EnableSnapshotCopy クラスターのスナップショットの自動コピーを有効にする許可を付与 書き込み

cluster*

ExecuteQuery [アクセス許可のみ] Amazon Redshift コンソールを介してクエリを実行する許可を付与 書き込み
FailoverPrimaryCompute マルチ AZ クラスターのプライマリコンピューティングを別の AZ にフェイルオーバーするアクセス許可を付与 書き込み

cluster*

FetchResults [アクセス許可のみ] Amazon Redshift コンソールを介してクエリ結果を取得する許可を付与 読み取り
GetClusterCredentials 指定された AWS アカウント で Amazon Redshift データベースにアクセスするための一時的な認証情報を取得する許可を付与 書き込み

dbuser*

dbgroup

dbname

redshift:DbName

redshift:DbUser

redshift:DurationSeconds

GetClusterCredentialsWithIAM 指定された AWS アカウント で Amazon Redshift データベースにアクセスするための一時的な拡張認証情報を取得する許可を付与 書き込み

dbname

redshift:DbName

redshift:DurationSeconds

GetReservedNodeExchangeConfigurationOptions 予約済みノード交換の設定オプションを取得するアクセス許可を付与 読み取り
GetReservedNodeExchangeOfferings 指定された DC1 リザーブドノードの支払いタイプ、期間、および使用料金に一致する DC2 ReservedNodeOfferings の配列を取得する許可を付与 読み取り
GetResourcePolicy 指定されたリソースのリソースポリシーを取得する許可を付与 読み取り

namespace*

JoinGroup 指定された Amazon Redshift グループに参加する許可を付与 Permissions management

dbgroup*

ListDatabases [アクセス許可のみ] Amazon Redshift コンソールを介してデータベースを一覧表示する許可を付与 リスト
ListRecommendations Advisor レコメンデーションを一覧表示する許可を付与する リスト
ListSavedQueries [アクセス許可のみ] Amazon Redshift コンソールを介して、保存されたクエリを一覧表示する許可を付与 リスト
ListSchemas [アクセス許可のみ] Amazon Redshift コンソールを介してスキーマを一覧表示する許可を付与 リスト
ListTables [アクセス許可のみ] Amazon Redshift コンソールを介してテーブルを一覧表示する許可を付与 リスト
ModifyAquaConfiguration クラスターの AQUA 設定を変更する許可を付与 書き込み

cluster*

ModifyAuthenticationProfile 既存の Amazon Redshift 認証プロファイルを変更する許可を付与 書き込み
ModifyCluster クラスターの設定を変更する許可を付与 書き込み

cluster*

acm:DescribeCertificate

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

kms:RetireGrant

secretsmanager:CreateSecret

secretsmanager:DeleteSecret

secretsmanager:DescribeSecret

secretsmanager:GetRandomPassword

secretsmanager:RotateSecret

secretsmanager:TagResource

secretsmanager:UpdateSecret

ModifyClusterDbRevision クラスターのデータベースリビジョンを変更する許可を付与 書き込み

cluster*

ModifyClusterIamRoles クラスターが他の AWS のサービスにアクセスする際に使用できる AWS Identity and Access Management (IAM) ロールのリストを変更する許可を付与 Permissions management

cluster*

ModifyClusterMaintenance クラスターのメンテナンス設定を変更する許可を付与 書き込み
ModifyClusterParameterGroup パラメータグループのパラメータを変更する許可を付与 書き込み

parametergroup*

ModifyClusterSnapshot スナップショットの設定を変更する許可を付与 書き込み

snapshot*

ModifyClusterSnapshotSchedule クラスターのスナップショットスケジュールを変更する許可を付与 書き込み

cluster*

ModifyClusterSubnetGroup VPC サブネットの指定リストを含めるためにクラスターサブネットグループを変更する許可を付与 書き込み

subnetgroup*

ModifyCustomDomainAssociation クラスターのカスタムドメイン名を変更するための許可を付与します 書き込み

cluster*

acm:DescribeCertificate

ModifyEndpointAccess Redshift マネージド VPC エンドポイントを変更する許可を付与 書き込み
ModifyEventSubscription 既存の Amazon Redshift イベント通知サブスクリプションを変更する許可を付与 書き込み

eventsubscription*

ModifyIntegration Amazon Redshift ゼロ ETL 統合を変更する許可を付与する 書き込み

integration*

aws:ResourceTag/${TagKey}

ModifyQev2IdcApplication [アクセス許可のみ] QEV2 IDC アプリケーションを変更する許可を付与する 書き込み

qev2idcapplication*

sso:UpdateApplication

ModifyRedshiftIdcApplication Redshift IDC アプリケーションを変更するためのアクセス許可を付与 書き込み

redshiftidcapplication*

sso:DeleteApplicationAccessScope

sso:DeleteApplicationGrant

sso:GetApplicationGrant

sso:ListApplicationAccessScopes

sso:PutApplicationAccessScope

sso:PutApplicationGrant

sso:UpdateApplication

ModifySavedQuery [アクセス許可のみ] Amazon Redshift コンソールを介して、既存の保存されたクエリを変更する許可を付与 書き込み
ModifyScheduledAction 既存の Amazon Redshift のスケジュールされたアクションを変更する許可を付与 書き込み
ModifySnapshotCopyRetentionPeriod コピー元の AWS リージョン からコピーされた後、コピー先の AWS リージョン でスナップショットを保持する日数を変更する許可を付与 書き込み

cluster*

ModifySnapshotSchedule スナップショットスケジュールを変更する許可を付与 書き込み

snapshotschedule*

ModifyUsageLimit 使用制限を変更するためのアクセス許可を付与 書き込み

usagelimit*

PauseCluster クラスターを一時停止する許可を付与 書き込み

cluster*

PurchaseReservedNodeOffering リザーブドノードを購入する許可を付与 書き込み
PutResourcePolicy 指定されたリソースのリソースポリシーを更新する許可を付与 権限の管理

namespace*

RebootCluster クラスターを再起動する許可を付与 書き込み

cluster*

RejectDataShare 別のアカウントから共有されたデータシェアを拒否する許可を付与 Permissions management

datashare*

ResetClusterParameterGroup パラメータグループの 1 つまたは複数のパラメータをデフォルト値に設定し、パラメータのソース値を「エンジンのデフォルト」に設定する許可を付与 書き込み

parametergroup*

ResizeCluster クラスターのサイズを変更する許可を付与 書き込み

cluster*

RestoreFromClusterSnapshot スナップショットからクラスターを作成する許可を付与 書き込み

cluster*

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

kms:RetireGrant

secretsmanager:CreateSecret

secretsmanager:DeleteSecret

secretsmanager:DescribeSecret

secretsmanager:GetRandomPassword

secretsmanager:RotateSecret

secretsmanager:TagResource

secretsmanager:UpdateSecret

snapshot*

aws:TagKeys

RestoreTableFromClusterSnapshot Amazon Redshift クラスタースナップショットのテーブルからテーブルを作成する許可を付与 書き込み

cluster*

snapshot*

ResumeCluster クラスターを再開する許可を付与 書き込み

cluster*

RevokeClusterSecurityGroupIngress 以前に承認された IP 範囲または Amazon EC2 セキュリティグループに対し、Amazon Redshift セキュリティグループ内の進入ルールを取り消すアクセス許可を付与 書き込み

securitygroup*

securitygroupingress-ec2securitygroup*

RevokeEndpointAccess redshift マネージド vpc エンドポイントのエンドポイント関連アクティビティへのアクセスを取り消す許可を付与 権限の管理
RevokeSnapshotAccess 指定された AWS アカウント からのアクセスを取り消してスナップショットを復元する許可を付与 Permissions management

snapshot*

RotateEncryptionKey クラスターの暗号化キーをローテーションする許可を付与 書き込み

cluster*

UpdatePartnerStatus パートナー統合のステータスを更新する許可を付与 書き込み
ViewQueriesFromConsole [アクセス許可のみ] Amazon Redshift コンソールを介してクエリ結果を表示する許可を付与 リスト
ViewQueriesInConsole [アクセス許可のみ] Amazon Redshift コンソールを介して、実行中のクエリとロードを終了する許可を付与 リスト

Amazon Redshift で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
cluster arn:${Partition}:redshift:${Region}:${Account}:cluster:${ClusterName}

aws:ResourceTag/${TagKey}

datashare arn:${Partition}:redshift:${Region}:${Account}:datashare:${ProducerClusterNamespace}/${DataShareName}

aws:ResourceTag/${TagKey}

dbgroup arn:${Partition}:redshift:${Region}:${Account}:dbgroup:${ClusterName}/${DbGroup}
dbname arn:${Partition}:redshift:${Region}:${Account}:dbname:${ClusterName}/${DbName}
dbuser arn:${Partition}:redshift:${Region}:${Account}:dbuser:${ClusterName}/${DbUser}
eventsubscription arn:${Partition}:redshift:${Region}:${Account}:eventsubscription:${EventSubscriptionName}

aws:ResourceTag/${TagKey}

hsmclientcertificate arn:${Partition}:redshift:${Region}:${Account}:hsmclientcertificate:${HSMClientCertificateId}

aws:ResourceTag/${TagKey}

hsmconfiguration arn:${Partition}:redshift:${Region}:${Account}:hsmconfiguration:${HSMConfigurationId}

aws:ResourceTag/${TagKey}

integration arn:${Partition}:redshift:${Region}:${Account}:integration:${IntegrationIdentifier}

aws:ResourceTag/${TagKey}

namespace arn:${Partition}:redshift:${Region}:${Account}:namespace:${ClusterNamespace}

aws:ResourceTag/${TagKey}

parametergroup arn:${Partition}:redshift:${Region}:${Account}:parametergroup:${ParameterGroupName}

aws:ResourceTag/${TagKey}

securitygroup arn:${Partition}:redshift:${Region}:${Account}:securitygroup:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ec2SecurityGroupId}

aws:ResourceTag/${TagKey}

securitygroupingress-cidr arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/cidrip/${IpRange}

aws:ResourceTag/${TagKey}

securitygroupingress-ec2securitygroup arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ece2SecuritygroupId}

aws:ResourceTag/${TagKey}

snapshot arn:${Partition}:redshift:${Region}:${Account}:snapshot:${ClusterName}/${SnapshotName}

aws:ResourceTag/${TagKey}

snapshotcopygrant arn:${Partition}:redshift:${Region}:${Account}:snapshotcopygrant:${SnapshotCopyGrantName}

aws:ResourceTag/${TagKey}

snapshotschedule arn:${Partition}:redshift:${Region}:${Account}:snapshotschedule:${ScheduleIdentifier}

aws:ResourceTag/${TagKey}

subnetgroup arn:${Partition}:redshift:${Region}:${Account}:subnetgroup:${SubnetGroupName}

aws:ResourceTag/${TagKey}

usagelimit arn:${Partition}:redshift:${Region}:${Account}:usagelimit:${UsageLimitId}

aws:ResourceTag/${TagKey}

redshiftidcapplication arn:${Partition}:redshift:${Region}:${Account}:redshiftidcapplication:${RedshiftIdcApplicationId}
qev2idcapplication arn:${Partition}:redshift:${Region}:${Account}:qev2idcapplication:${Qev2IdcApplicationId}

Amazon Redshift の条件キー

Amazon Redshift では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} 各タグで許可されている値のセットに基づいて、アクションでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられたタグ値に基づいて、アクションでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内の必須タグのプレゼンスに基づいて、アクションでアクセスをフィルタリングします ArrayOfString
redshift:AllowWrites allowWrites 入力パラメータでアクセスをフィルタリングします Bool
redshift:ConsumerArn データ共有コンシューマの ARN によるアクセスをフィルタリングします ARN
redshift:ConsumerIdentifier データシェアコンシューマーによるアクセスをフィルタリングします 文字列
redshift:DbName データベース名でアクセスをフィルタリングします 文字列
redshift:DbUser データベースユーザー名でアクセスをフィルタリングします 文字列
redshift:DurationSeconds 一時的な認証情報のセットが有効期限になるまで秒数によりアクセスをフィルタリングします 文字列
redshift:InboundIntegrationArn インバウンドゼロ ETL 統合リソースの ARN でアクセスをフィルタリングします ARN
redshift:IntegrationSourceArn ゼロ ETL 統合リソースの ARN でアクセスをフィルタリングする ARN
redshift:IntegrationTargetArn ゼロ ETL 統合ターゲットの ARN でアクセスをフィルタリングする ARN