Amazon Redshift 系统定义的角色 - Amazon Redshift

Amazon Redshift 系统定义的角色

Amazon Redshift 提供了使用特定权限定义的一些系统定义角色。系统特定角色以 sys: 前缀开头。仅具有适当访问权限的用户才能更改系统定义角色或创建自定义的系统定义角色。您将 sys: 前缀用于自定义的系统定义角色。

下表总结了各种角色及其权限。

角色名称 描述
sys:monitor 此角色拥有访问目录或系统表的权限。
sys:operator 此角色拥有访问目录或系统表,以及分析、Vacuum 或取消查询的权限。
sys:dba 此角色拥有创建 Schema、创建表、删除 Schema、删除表和截断表的权限。它拥有创建或替换存储的过程、删除过程、创建或替换函数、创建或替换外部函数、创建视图和删除视图的权限。此外,此角色还继承了 sys:operator 角色的所有权限。
sys:superuser 此角色具有 RBAC 的系统权限 中定义的所有支持的系统权限。
sys:secadmin
  • 此角色拥有创建用户、更改用户、删除用户、创建角色、删除角色和授予角色的权限。

  • 此角色拥有对关系开启或关闭 RLS 的权限以及管理 RLS 和 DDM 策略的权限(CREATE、DROP、ATTACH、DETACH 和 ALTER)。另请注意,默认情况下,将向此角色授予 EXPLAIN RLS、IGNORE RLS 和 EXPLAIN MASKING 权限。

  • 只有在向角色显式授予权限时,此角色才能访问用户表。

用于数据共享的系统定义角色和用户

Amazon Redshift 创建的角色和用户供内部使用,这些角色和用户对应于数据共享和数据共享使用者。每个内部角色名称和用户名都有保留的命名空间前缀 ds:。它们具有以下格式:

名称 描述
ds:sharename 与数据共享对应的系统角色。
ds:sharename_consumer 与数据共享使用者对应的系统用户。

为每个数据共享创建一个数据共享角色。该角色拥有当前授予的对于数据共享的所有权限。将为数据共享的每个使用者创建一个数据共享用户。它被授予对单个数据共享角色的权限。添加到多个数据共享的使用者将为每个数据共享创建一个数据共享用户。

这些用户和角色是数据共享正常运行所必需的。不能修改或删除它们,也不能访问它们或将它们用于客户运行的任何任务。您可以放心地忽略它们。有关数据共享的更多信息,请参阅在 Amazon Redshift 中跨集群共享数据

注意

您不能使用 ds: 前缀来创建用户定义的角色或用户。