Amazon Redshift 系統定義角色 - Amazon Redshift

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Redshift 系統定義角色

Amazon Redshift 會提供使用特定許可定義的系統定義角色。系統專屬角色會以 sys: 字首開頭。只有具有適當存取權的使用者才能修改系統定義角色或建立自訂的系統定義角色。您無法針對自訂系統定義角色使用 sys: 字首。

下表摘要說明角色及其許可。

角色名稱 描述
sys:monitor 此角色具有存取目錄或系統資料表的許可。
sys:operator 此角色具有存取目錄或系統資料表、分析、清除或取消查詢的許可。
sys:dba 此角色具有建立結構描述、建立資料表、捨棄結構描述、捨棄資料表和截斷資料表的許可。其有權建立或取代預存程序、捨棄程序、建立或替代函數、建立或取代外部函數、建立檢視和捨棄檢視。此外,此角色會繼承 sys:operator 角色的所有許可。
sys:superuser 此角色具有 RBAC 的系統許可 中定義的所有受支援的系統權限。
sys:secadmin
  • 此角色有權建立使用者、修改使用者、捨棄使用者、建立角色、捨棄角色和授予角色許可。

  • 此角色有權在關係上開啟或關閉 RLS,以及管理 RLS 和 DDM 政策 (CREATE、DROP、ATTACH、DETACH 和 ALTER)。此外,請注意,依預設會授予此角色 EXPLAIN RLS、IGNORE RLS 和 EXPLAIN MASKING 權限。

  • 只有將許可明確授予該角色時,此角色才能存取使用者資料表。

用於資料共用的系統定義角色和使用者

Amazon Redshift 會建立角色和使用者供內部使用,這些角色和使用者對應於資料存取者和資料清單取用者。每個內部角色名稱和使用者名稱都有保留的命名空間前置詞ds:。它們具有以下格式:

名稱 描述
ds:sharename 與資料相對應的系統角色。
ds:sharename_consumer 與資料相對應的使用者的系統使用者。

系統會為每個資料清單建立資料共用角色。它擁有目前授予資料命令的所有權限。系統會為每個資料存取者建立一個資料共用使用者。它被授與單一資料共用角色的權限。添加到多個數據庫的消費者將為每個數據保護創建一個數據共享用戶。

這些使用者和角色需要資料共用才能正常運作。無法修改或刪除它們,也無法存取或用於客戶執行的任何工作。您可以放心地忽略它們。如需有關資料共用的詳細資訊,請參閱 Amazon Redshift 中的跨叢集共用資料

注意

您無法使用ds:前置詞來建立使用者定義的角色或使用者。