Amazon Redshift のアクション、リソース、および条件キー
Amazon Redshift (サービスプレフィックス: redshift
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
Amazon Redshift で定義されるアクション
IAM ポリシーステートメントの Action
エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
AcceptReservedNodeExchange | 設定を変更せずに DC1 リザーブドノードを DC2 リザーブドノードと交換する許可を付与 | 書き込み | |||
AddPartner | パートナー統合をクラスターに追加する許可を付与 | 書き込み | |||
AssociateDataShareConsumer | コンシューマーをデータシェアに関連付ける許可を付与 | 書き込み | |||
AuthorizeClusterSecurityGroupIngress | Amazon Redshift セキュリティグループにインバウンド(進入)ルールを追加する許可を付与 | 書き込み | |||
AuthorizeDataShare | 指定されたデータシェアのコンシューマーにデータシェアの使用を許可する許可を付与 | 権限の管理 | |||
AuthorizeEndpointAccess | redshift マネージド vpc エンドポイントのエンドポイント関連のアクティビティを認可する許可を付与 | 権限の管理 | |||
AuthorizeInboundIntegration [アクセス許可のみ] | Amazon Redshift に、ターゲットデータウェアハウスがソース ARN からレプリケートされたデータを受信できるかどうかを継続的に検証する許可を付与する | 書き込み | |||
AuthorizeSnapshotAccess | 指定された AWS アカウント にスナップショットを復元する許可を付与 | Permissions management | |||
BatchDeleteClusterSnapshots | 最大 100 サイズのバッチでスナップショットを削除する許可を付与 | 書き込み | |||
BatchModifyClusterSnapshots | スナップショットのリストの設定を変更する許可を付与 | 書き込み | |||
CancelQuery [アクセス許可のみ] | Amazon Redshift コンソールを使用してクエリをキャンセルする許可を付与 | 書き込み | |||
CancelQuerySession [アクセス許可のみ] | Amazon Redshift コンソールでクエリを確認する許可を付与 | 書き込み | |||
CancelResize | サイズ変更操作をキャンセルする許可を付与 | 書き込み | |||
CopyClusterSnapshot | クラスタースナップショットをコピーする許可を付与 | 書き込み | |||
CreateAuthenticationProfile | Amazon Redshift 認証プロファイルを作成する許可を付与 | 書き込み | |||
CreateCluster | クラスターを作成する許可を付与 | 書き込み |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
CreateClusterParameterGroup | Amazon Redshift パラメータグループを作成する許可を付与 | 書き込み | |||
CreateClusterSecurityGroup | Amazon Redshift セキュリティグループを作成する許可を付与 | 書き込み | |||
CreateClusterSnapshot | 指定したクラスターの手動スナップショットを作成する許可を付与 | 書き込み | |||
CreateClusterSubnetGroup | Amazon Redshift サブネットグループを作成する許可を付与 | 書き込み | |||
CreateClusterUser | 指定された Amazon Redshift ユーザーが存在しない場合に、自動的に作成する許可を付与 | 権限の管理 | |||
CreateCustomDomainAssociation | クラスターのカスタムドメイン名を作成するための許可を付与します | 書き込み |
acm:DescribeCertificate |
||
CreateEndpointAccess | redshift マネージドエンドポイントを作成する許可を付与 | 書き込み | |||
CreateEventSubscription | Amazon Redshift イベント通知サブスクリプションを作成する許可を付与 | 書き込み | |||
CreateHsmClientCertificate | クラスターが HSM への接続に使用する HSM クライアント証明書を作成する許可を付与 | 書き込み | |||
CreateHsmConfiguration | ハードウェアセキュリティモジュール (HSM) においてクラスターがデータベース暗号化キーを保存または使用する際に必要とする情報を含んだ HSM 設定を作成する許可を付与。 | 書き込み | |||
CreateInboundIntegration [アクセス許可のみ] | ソースからターゲットデータウェアハウスにデータをレプリケートするためのインバウンド統合を作成する許可をソースプリンシパルに付与する | 書き込み | |||
CreateIntegration | Amazon Redshift ゼロ ETL 統合を作成する許可を付与する | 書き込み |
kms:CreateGrant kms:DescribeKey |
||
CreateQev2IdcApplication [アクセス許可のみ] | QEV2 IDC アプリケーションを作成する許可を付与する | 書き込み |
sso:CreateApplication sso:PutApplicationAccessScope sso:PutApplicationAuthenticationMethod sso:PutApplicationGrant |
||
CreateRedshiftIdcApplication | Redshift IDC アプリケーションを作成するためのアクセス許可を付与 | 書き込み |
sso:CreateApplication sso:PutApplicationAccessScope sso:PutApplicationAuthenticationMethod sso:PutApplicationGrant |
||
CreateSavedQuery [アクセス許可のみ] | Amazon Redshift コンソールを使用して、保存された SQL クエリを作成する許可を付与 | 書き込み | |||
CreateScheduledAction | Amazon Redshift のスケジュールされたアクションを作成する許可を付与 | 書き込み | |||
CreateSnapshotCopyGrant | スナップショットコピー許可を作成し、コピー先の AWS リージョン でコピーしたスナップショットを暗号化する許可を付与 | Permissions management | |||
CreateSnapshotSchedule | スナップショットスケジュールを作成する許可を付与 | 書き込み | |||
CreateTags | 指定したリソースに 1 つ以上のタグを追加する許可を付与 | タグ付け | |||
CreateUsageLimit | 使用制限を作成するためのアクセス許可を付与 | 書き込み | |||
DeauthorizeDataShare | 指定したデータ共有のコンシューマーからデータ共有を使用する許可を削除する許可を付与 | 権限の管理 | |||
DeleteAuthenticationProfile | Amazon Redshift 認証プロファイルを削除する許可を付与 | 書き込み | |||
DeleteCluster | 以前にプロビジョニングされたクラスターを削除する許可を付与 | 書き込み | |||
DeleteClusterParameterGroup | Amazon Redshift パラメータグループを削除する許可を付与 | 書き込み | |||
DeleteClusterSecurityGroup | Amazon Redshift セキュリティグループを削除する許可を付与 | 書き込み | |||
DeleteClusterSnapshot | 手動スナップショットを削除する許可を付与 | 書き込み | |||
DeleteClusterSubnetGroup | クラスターサブネットグループを削除する許可を付与 | 書き込み | |||
DeleteCustomDomainAssociation | クラスターのカスタムドメイン名を削除するための許可を付与します | 書き込み | |||
DeleteEndpointAccess | redshift マネージドエンドポイントを削除する許可を付与 | 書き込み | |||
DeleteEventSubscription | Amazon Redshift イベント通知サブスクリプションを削除する許可を付与 | 書き込み | |||
DeleteHsmClientCertificate | HSM クライアント証明書を削除する許可を付与 | 書き込み | |||
DeleteHsmConfiguration | Amazon Redshift HSM 設定を削除する許可を付与 | 書き込み | |||
DeleteIntegration | Amazon Redshift ゼロ ETL 統合を削除する許可を付与する | 書き込み | |||
DeletePartner | クラスターからパートナー統合を削除する許可を付与 | 書き込み | |||
DeleteQev2IdcApplication [アクセス許可のみ] | QEV2 IDC アプリケーションを削除するための許可を付与する | 書き込み |
sso:DeleteApplication |
||
DeleteRedshiftIdcApplication | Redshift IDC アプリケーションを削除するためのアクセス許可を付与 | 書き込み |
sso:DeleteApplication |
||
DeleteResourcePolicy | 指定されたリソースのリソースポリシーを削除する許可を付与 | 権限の管理 | |||
DeleteSavedQueries [アクセス許可のみ] | Amazon Redshift コンソールを介して保存された SQL クエリを削除する許可を付与 | 書き込み | |||
DeleteScheduledAction | Amazon Redshift のスケジュールされたアクションを削除する許可を付与 | 書き込み | |||
DeleteSnapshotCopyGrant | スナップショットコピー許可を削除する許可を付与 | 書き込み | |||
DeleteSnapshotSchedule | スナップショットスケジュールを削除する許可を付与 | 書き込み | |||
DeleteTags | リソースから 1 つまたは複数のタグを削除する許可を付与 | タグ付け | |||
DeleteUsageLimit | 使用制限を削除するためのアクセス許可を付与 | 書き込み | |||
DescribeAccountAttributes | 指定された AWS アカウント にアタッチされた属性を記述する許可を付与 | 読み取り | |||
DescribeAuthenticationProfiles | 作成された Amazon Redshift 認証プロファイルの詳細を取得する許可を付与 | 読み取り | |||
DescribeClusterDbRevisions | クラスターのデータベースリビジョンを記述する許可を付与 | リスト | |||
DescribeClusterParameterGroups | Amazon Redshift パラメータグループ(自分で作成したパラメータグループとデフォルトのパラメータグループを含む)を記述する許可を付与 | 読み取り | |||
DescribeClusterParameters | Amazon Redshift パラメータグループに含まれるパラメータを記述する許可を付与 | 読み取り | |||
DescribeClusterSecurityGroups | Amazon Redshift セキュリティグループを記述する許可を付与 | 読み取り | |||
DescribeClusterSnapshots | クラスタースナップショットに関するメタデータを含む 1 つ以上のスナップショットオブジェクトを記述する許可を付与 | 読み取り | |||
DescribeClusterSubnetGroups | クラスターサブネットグループに関するメタデータを含む 1 つまたは複数のクラスターサブネットグループオブジェクトを記述する許可を付与 | 読み取り | |||
DescribeClusterTracks | 使用可能なメンテナンストラックを記述する許可を付与 | リスト | |||
DescribeClusterVersions | 利用可能な Amazon Redshift クラスターのバージョンを記述する許可を付与 | 読み取り | |||
DescribeClusters | プロビジョニングされたクラスターのプロパティを記述する許可を付与 | リスト | |||
DescribeCustomDomainAssociations | クラスターのカスタムドメイン名を記述するための許可を付与します | リスト | |||
DescribeDataShares | クラスターによって作成および消費されるデータシェアを記述する許可を付与 | 読み取り | |||
DescribeDataSharesForConsumer | クラスターによって消費されるデータシェアのみを記述する許可を付与 | 読み取り | |||
DescribeDataSharesForProducer | クラスターによって作成されるデータシェアのみを記述する許可を付与 | 読み取り | |||
DescribeDefaultClusterParameters | パラメータグループファミリーのパラメータ設定を記述する許可を付与 | 読み取り | |||
DescribeEndpointAccess | redshift マネージド VPC エンドポイントを記述する許可を付与 | 読み取り | |||
DescribeEndpointAuthorization | redshift マネージド VPC エンドポイントのアクティビティの記述を承認する許可を付与 | リスト | |||
DescribeEventCategories | すべてのイベントソースタイプ、または指定されたソースタイプのイベントカテゴリを記述する許可を付与 | 読み取り | |||
DescribeEventSubscriptions | 指定された AWS アカウント の Amazon Redshift イベント通知サブスクリプションを記述する許可を付与 | 読み取り | |||
DescribeEvents | クラスター、セキュリティグループ、スナップショット、パラメータグループに関連する過去 14 日間のイベントを記述する許可を付与 | リスト | |||
DescribeHsmClientCertificates | HSM クライアント証明書を記述する許可を付与 | 読み取り | |||
DescribeHsmConfigurations | Amazon Redshift HSM の設定を記述する許可を付与 | 読み取り | |||
DescribeInboundIntegrations | インバウンド統合を一覧表示する許可を付与 | リスト | |||
DescribeIntegrations | Amazon Redshift ゼロ ETL 統合を記述する許可を付与する | リスト | |||
DescribeLoggingStatus | クエリや接続試行などの情報がクラスターでログに記録されているかどうかを記述する許可を付与 | 読み取り | |||
DescribeNodeConfigurationOptions | 指定されたアクションタイプのノードタイプ、ノード数、ディスク使用量など、可能なノード設定のプロパティを記述する許可を付与 | リスト | |||
DescribeOrderableClusterOptions | 順序設定可能なクラスターオプションを記述する許可を付与 | 読み取り | |||
DescribePartners | クラスターに対して定義されたパートナー統合に関する情報を取得する許可を付与 | 読み取り | |||
DescribeQev2IdcApplications [アクセス許可のみ] | QEV2 IDC アプリケーションを記述する許可を付与する | リスト | |||
DescribeQuery [アクセス許可のみ] | Amazon Redshift コンソールを介してクエリを記述する許可を付与 | 読み取り | |||
DescribeRedshiftIdcApplications | Redshift IDC アプリケーションを記述するためのアクセス許可を付与 | リスト |
sso:GetApplicationGrant sso:ListApplicationAccessScopes |
||
DescribeReservedNodeExchangeStatus | 予約済みノード交換の交換ステータスの詳細と関連するメタデータを記述するアクセス許可を付与。ステータスには、進行中やリクエスト済みなどの値があります | 読み取り | |||
DescribeReservedNodeOfferings | Amazon Redshift で利用可能なリザーブドノードサービスを記述する許可を付与 | 読み取り | |||
DescribeReservedNodes | リザーブドノードを記述する許可を付与 | 読み取り | |||
DescribeResize | クラスターの直近のサイズ変更操作を記述する許可を付与 | 読み取り | |||
DescribeSavedQueries [アクセス許可のみ] | Amazon Redshift コンソールを介して保存されたクエリを記述する許可を付与 | 読み取り | |||
DescribeScheduledActions | 作成された Amazon Redshift のスケジュールされたアクションを記述する許可を付与 | 読み取り | |||
DescribeSnapshotCopyGrants | コピー先の AWS リージョン の指定された AWS アカウント が所有するスナップショットコピー許可を記述する許可を付与 | 読み取り | |||
DescribeSnapshotSchedules | スナップショットスケジュールを記述する許可を付与 | 読み取り | |||
DescribeStorage | アカウントレベルのバックアップのストレージサイズと暫定ストレージを記述する許可を付与 | 読み取り | |||
DescribeTable [アクセス許可のみ] | Amazon Redshift コンソールを使用してテーブルを記述する許可を付与 | 読み取り | |||
DescribeTableRestoreStatus | RestoreTableFromClusterSnapshot API アクションを使用して行われた 1 つまたは複数のテーブル復元リクエストのステータスを記述する許可を付与 | 読み取り | |||
DescribeTags | タグを記述する許可を付与 | 読み取り | |||
DescribeUsageLimits | 使用制限を記述するためのアクセス許可を付与 | 読み取り | |||
DisableLogging | クラスターのログ記録情報(クエリや接続の試行など)を無効にする許可を付与 | 書き込み | |||
DisableSnapshotCopy | クラスターのスナップショットの自動コピーを無効にする許可を付与 | 書き込み | |||
DisassociateDataShareConsumer | コンシューマーとデータシェアの関連付けを解除する許可を付与 | 書き込み | |||
EnableLogging | クラスターのログ記録情報(クエリや接続の試行など)を有効にする許可を付与 | 書き込み | |||
EnableSnapshotCopy | クラスターのスナップショットの自動コピーを有効にする許可を付与 | 書き込み | |||
ExecuteQuery [アクセス許可のみ] | Amazon Redshift コンソールを介してクエリを実行する許可を付与 | 書き込み | |||
FailoverPrimaryCompute | マルチ AZ クラスターのプライマリコンピューティングを別の AZ にフェイルオーバーするアクセス許可を付与 | 書き込み | |||
FetchResults [アクセス許可のみ] | Amazon Redshift コンソールを介してクエリ結果を取得する許可を付与 | 読み取り | |||
GetClusterCredentials | 指定された AWS アカウント で Amazon Redshift データベースにアクセスするための一時的な認証情報を取得する許可を付与 | 書き込み | |||
GetClusterCredentialsWithIAM | 指定された AWS アカウント で Amazon Redshift データベースにアクセスするための一時的な拡張認証情報を取得する許可を付与 | 書き込み | |||
GetReservedNodeExchangeConfigurationOptions | 予約済みノード交換の設定オプションを取得するアクセス許可を付与 | 読み取り | |||
GetReservedNodeExchangeOfferings | 指定された DC1 リザーブドノードの支払いタイプ、期間、および使用料金に一致する DC2 ReservedNodeOfferings の配列を取得する許可を付与 | 読み取り | |||
GetResourcePolicy | 指定されたリソースのリソースポリシーを取得する許可を付与 | 読み取り | |||
JoinGroup | 指定された Amazon Redshift グループに参加する許可を付与 | Permissions management | |||
ListDatabases [アクセス許可のみ] | Amazon Redshift コンソールを介してデータベースを一覧表示する許可を付与 | リスト | |||
ListRecommendations | Advisor レコメンデーションを一覧表示する許可を付与する | リスト | |||
ListSavedQueries [アクセス許可のみ] | Amazon Redshift コンソールを介して、保存されたクエリを一覧表示する許可を付与 | リスト | |||
ListSchemas [アクセス許可のみ] | Amazon Redshift コンソールを介してスキーマを一覧表示する許可を付与 | リスト | |||
ListTables [アクセス許可のみ] | Amazon Redshift コンソールを介してテーブルを一覧表示する許可を付与 | リスト | |||
ModifyAquaConfiguration | クラスターの AQUA 設定を変更する許可を付与 | 書き込み | |||
ModifyAuthenticationProfile | 既存の Amazon Redshift 認証プロファイルを変更する許可を付与 | 書き込み | |||
ModifyCluster | クラスターの設定を変更する許可を付与 | 書き込み |
acm:DescribeCertificate kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
ModifyClusterDbRevision | クラスターのデータベースリビジョンを変更する許可を付与 | 書き込み | |||
ModifyClusterIamRoles | クラスターが他の AWS のサービスにアクセスする際に使用できる AWS Identity and Access Management (IAM) ロールのリストを変更する許可を付与 | Permissions management | |||
ModifyClusterMaintenance | クラスターのメンテナンス設定を変更する許可を付与 | 書き込み | |||
ModifyClusterParameterGroup | パラメータグループのパラメータを変更する許可を付与 | 書き込み | |||
ModifyClusterSnapshot | スナップショットの設定を変更する許可を付与 | 書き込み | |||
ModifyClusterSnapshotSchedule | クラスターのスナップショットスケジュールを変更する許可を付与 | 書き込み | |||
ModifyClusterSubnetGroup | VPC サブネットの指定リストを含めるためにクラスターサブネットグループを変更する許可を付与 | 書き込み | |||
ModifyCustomDomainAssociation | クラスターのカスタムドメイン名を変更するための許可を付与します | 書き込み |
acm:DescribeCertificate |
||
ModifyEndpointAccess | Redshift マネージド VPC エンドポイントを変更する許可を付与 | 書き込み | |||
ModifyEventSubscription | 既存の Amazon Redshift イベント通知サブスクリプションを変更する許可を付与 | 書き込み | |||
ModifyIntegration | Amazon Redshift ゼロ ETL 統合を変更する許可を付与する | 書き込み | |||
ModifyQev2IdcApplication [アクセス許可のみ] | QEV2 IDC アプリケーションを変更する許可を付与する | 書き込み |
sso:UpdateApplication |
||
ModifyRedshiftIdcApplication | Redshift IDC アプリケーションを変更するためのアクセス許可を付与 | 書き込み |
sso:DeleteApplicationAccessScope sso:DeleteApplicationGrant sso:GetApplicationGrant sso:ListApplicationAccessScopes sso:PutApplicationAccessScope sso:PutApplicationGrant sso:UpdateApplication |
||
ModifySavedQuery [アクセス許可のみ] | Amazon Redshift コンソールを介して、既存の保存されたクエリを変更する許可を付与 | 書き込み | |||
ModifyScheduledAction | 既存の Amazon Redshift のスケジュールされたアクションを変更する許可を付与 | 書き込み | |||
ModifySnapshotCopyRetentionPeriod | コピー元の AWS リージョン からコピーされた後、コピー先の AWS リージョン でスナップショットを保持する日数を変更する許可を付与 | 書き込み | |||
ModifySnapshotSchedule | スナップショットスケジュールを変更する許可を付与 | 書き込み | |||
ModifyUsageLimit | 使用制限を変更するためのアクセス許可を付与 | 書き込み | |||
PauseCluster | クラスターを一時停止する許可を付与 | 書き込み | |||
PurchaseReservedNodeOffering | リザーブドノードを購入する許可を付与 | 書き込み | |||
PutResourcePolicy | 指定されたリソースのリソースポリシーを更新する許可を付与 | 権限の管理 | |||
RebootCluster | クラスターを再起動する許可を付与 | 書き込み | |||
RejectDataShare | 別のアカウントから共有されたデータシェアを拒否する許可を付与 | Permissions management | |||
ResetClusterParameterGroup | パラメータグループの 1 つまたは複数のパラメータをデフォルト値に設定し、パラメータのソース値を「エンジンのデフォルト」に設定する許可を付与 | 書き込み | |||
ResizeCluster | クラスターのサイズを変更する許可を付与 | 書き込み | |||
RestoreFromClusterSnapshot | スナップショットからクラスターを作成する許可を付与 | 書き込み |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
RestoreTableFromClusterSnapshot | Amazon Redshift クラスタースナップショットのテーブルからテーブルを作成する許可を付与 | 書き込み | |||
ResumeCluster | クラスターを再開する許可を付与 | 書き込み | |||
RevokeClusterSecurityGroupIngress | 以前に承認された IP 範囲または Amazon EC2 セキュリティグループに対し、Amazon Redshift セキュリティグループ内の進入ルールを取り消すアクセス許可を付与 | 書き込み | |||
RevokeEndpointAccess | redshift マネージド vpc エンドポイントのエンドポイント関連アクティビティへのアクセスを取り消す許可を付与 | 権限の管理 | |||
RevokeSnapshotAccess | 指定された AWS アカウント からのアクセスを取り消してスナップショットを復元する許可を付与 | Permissions management | |||
RotateEncryptionKey | クラスターの暗号化キーをローテーションする許可を付与 | 書き込み | |||
UpdatePartnerStatus | パートナー統合のステータスを更新する許可を付与 | 書き込み | |||
ViewQueriesFromConsole [アクセス許可のみ] | Amazon Redshift コンソールを介してクエリ結果を表示する許可を付与 | リスト | |||
ViewQueriesInConsole [アクセス許可のみ] | Amazon Redshift コンソールを介して、実行中のクエリとロードを終了する許可を付与 | リスト |
Amazon Redshift で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
cluster |
arn:${Partition}:redshift:${Region}:${Account}:cluster:${ClusterName}
|
|
datashare |
arn:${Partition}:redshift:${Region}:${Account}:datashare:${ProducerClusterNamespace}/${DataShareName}
|
|
dbgroup |
arn:${Partition}:redshift:${Region}:${Account}:dbgroup:${ClusterName}/${DbGroup}
|
|
dbname |
arn:${Partition}:redshift:${Region}:${Account}:dbname:${ClusterName}/${DbName}
|
|
dbuser |
arn:${Partition}:redshift:${Region}:${Account}:dbuser:${ClusterName}/${DbUser}
|
|
eventsubscription |
arn:${Partition}:redshift:${Region}:${Account}:eventsubscription:${EventSubscriptionName}
|
|
hsmclientcertificate |
arn:${Partition}:redshift:${Region}:${Account}:hsmclientcertificate:${HSMClientCertificateId}
|
|
hsmconfiguration |
arn:${Partition}:redshift:${Region}:${Account}:hsmconfiguration:${HSMConfigurationId}
|
|
integration |
arn:${Partition}:redshift:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
namespace |
arn:${Partition}:redshift:${Region}:${Account}:namespace:${ClusterNamespace}
|
|
parametergroup |
arn:${Partition}:redshift:${Region}:${Account}:parametergroup:${ParameterGroupName}
|
|
securitygroup |
arn:${Partition}:redshift:${Region}:${Account}:securitygroup:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ec2SecurityGroupId}
|
|
securitygroupingress-cidr |
arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/cidrip/${IpRange}
|
|
securitygroupingress-ec2securitygroup |
arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ece2SecuritygroupId}
|
|
snapshot |
arn:${Partition}:redshift:${Region}:${Account}:snapshot:${ClusterName}/${SnapshotName}
|
|
snapshotcopygrant |
arn:${Partition}:redshift:${Region}:${Account}:snapshotcopygrant:${SnapshotCopyGrantName}
|
|
snapshotschedule |
arn:${Partition}:redshift:${Region}:${Account}:snapshotschedule:${ScheduleIdentifier}
|
|
subnetgroup |
arn:${Partition}:redshift:${Region}:${Account}:subnetgroup:${SubnetGroupName}
|
|
usagelimit |
arn:${Partition}:redshift:${Region}:${Account}:usagelimit:${UsageLimitId}
|
|
redshiftidcapplication |
arn:${Partition}:redshift:${Region}:${Account}:redshiftidcapplication:${RedshiftIdcApplicationId}
|
|
qev2idcapplication |
arn:${Partition}:redshift:${Region}:${Account}:qev2idcapplication:${Qev2IdcApplicationId}
|
Amazon Redshift の条件キー
Amazon Redshift では、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | [Type] (タイプ) |
---|---|---|
aws:RequestTag/${TagKey} | 各タグで許可されている値のセットに基づいて、アクションでアクセスをフィルタリングします | 文字列 |
aws:ResourceTag/${TagKey} | リソースに関連付けられたタグ値に基づいて、アクションでアクセスをフィルタリングします | 文字列 |
aws:TagKeys | リクエスト内の必須タグのプレゼンスに基づいて、アクションでアクセスをフィルタリングします | ArrayOfString |
redshift:AllowWrites | allowWrites 入力パラメータでアクセスをフィルタリングします | Bool |
redshift:ConsumerArn | データ共有コンシューマの ARN によるアクセスをフィルタリングします | ARN |
redshift:ConsumerIdentifier | データシェアコンシューマーによるアクセスをフィルタリングします | 文字列 |
redshift:DbName | データベース名でアクセスをフィルタリングします | 文字列 |
redshift:DbUser | データベースユーザー名でアクセスをフィルタリングします | 文字列 |
redshift:DurationSeconds | 一時的な認証情報のセットが有効期限になるまで秒数によりアクセスをフィルタリングします | 文字列 |
redshift:InboundIntegrationArn | インバウンドゼロ ETL 統合リソースの ARN でアクセスをフィルタリングします | ARN |
redshift:IntegrationSourceArn | ゼロ ETL 統合リソースの ARN でアクセスをフィルタリングする | ARN |
redshift:IntegrationTargetArn | ゼロ ETL 統合ターゲットの ARN でアクセスをフィルタリングする | ARN |