本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Redshift Serverless 的動作、資源和條件索引鍵
Amazon Redshift 無伺服器 (服務前綴:redshift-serverless) 提供下列服務特定資源、動作和條件內容金鑰,可用於IAM許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視此服務可用的API作業清單。
-
了解如何使用IAM權限原則保護此服務及其資源。
主題
Amazon Redshift Serverless 定義的動作
您可以在IAM策略聲明的Action元素中指定下列動作。使用政策來授予在 AWS中執行操作的許可。當您在策略中使用動作時,通常會允許或拒絕存取具有相同名稱的API作業或CLI命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料行包含資源類型,則您可以使用該動作在陳述式中指定該類型ARN的類型。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用策略中的Resource元素限制資源存取,IAM則必須針對每個所需資源類型包含ARN或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| ConvertRecoveryPointToSnapshot | 准許將復原點轉換為快照 | 寫入 | |||
| CreateCustomDomainAssociation | 准許在 Amazon Redshift Serverless 中建立自訂網域關聯 | 寫入 |
acm:DescribeCertificate |
||
| CreateEndpointAccess | 授予建立亞馬遜無伺服器受管端點的權限 VPC | 寫入 | |||
| CreateNamespace | 准許建立 Amazon Redshift Serverless 命名空間 | 寫入 |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
| CreateScheduledAction | 准許為指定的 Amazon Redshift Serverless 命名空間建立排程動作 | 寫入 | |||
| CreateSnapshot | 准許在命名空間中建立所有資料庫快照 | 寫入 | |||
| CreateSnapshotCopyConfiguration | 准許為指定的 Amazon Redshift Serverless 命名空間建立快照副本組態 | 寫入 | |||
| CreateUsageLimit | 准許為指定的 Amazon Redshift Serverless 用量類型建立用量限制 | 寫入 | |||
| CreateWorkgroup | 准許在 Amazon Redshift Serverless 中建立工作群組 | 寫入 | |||
| DeleteCustomDomainAssociation | 准許刪除自訂網域關聯 | 寫入 | |||
| DeleteEndpointAccess | 授予刪除 Amazon Redshift 無伺服器受管端點的權限 VPC | 寫入 | |||
| DeleteNamespace | 准許從 Amazon Redshift Serverless 刪除命名空間 | 寫入 |
kms:DescribeKey kms:RetireGrant secretsmanager:DeleteSecret secretsmanager:DescribeSecret |
||
| DeleteResourcePolicy | 准許刪除指定的資源政策 | 寫入 | |||
| DeleteScheduledAction | 准許從 Amazon Redshift Serverless 刪除排程動作 | 寫入 | |||
| DeleteSnapshot | 准許從 Amazon Redshift Serverless 刪除快照 | 寫入 | |||
| DeleteSnapshotCopyConfiguration | 准許刪除 Amazon Redshift Serverless 命名空間的快照副本組態 | 寫入 | |||
| DeleteUsageLimit | 准許從 Amazon Redshift Serverless 刪除用量限制 | 寫入 | |||
| DeleteWorkgroup | 准許刪除工作群組 | 寫入 | |||
| DescribeOneTimeCredit |
准許在 Amazon Redshift Serverless 主控台上查看剩餘免費試用點數數量及其到期日期 | 讀取 | |||
| GetCredentials | 准許使用臨時授權來取得資料庫使用者名稱和臨時密碼,以便登入 Amazon Redshift Serverless | 寫入 | |||
| GetCustomDomainAssociation | 准許取得特定自訂網域關聯的相關資訊 | 讀取 | |||
| GetEndpointAccess | 授予建立亞馬遜無伺服器受管端點的權限 VPC | 讀取 | |||
| GetNamespace | 准許取得 Amazon Redshift Serverless 中的命名空間資訊 | 讀取 | |||
| GetRecoveryPoint | 准許取得復原點的相關資訊 | 讀取 | |||
| GetResourcePolicy | 准許取得資源政策 | 讀取 | |||
| GetScheduledAction | 准許取得排程動作的相關資訊 | 讀取 | |||
| GetSnapshot | 准許取得特定快照的相關資訊 | 讀取 | |||
| GetTableRestoreStatus | 准許取得特定快照的資料表還原狀態 | 讀取 | |||
| GetUsageLimit | 准許取得 Amazon Redshift Serverless 中的用量限制資訊 | 讀取 | |||
| GetWorkgroup | 准許取得特定工作群組的相關資訊 | 讀取 | |||
| ListCustomDomainAssociations | 准許列出 Amazon Redshift Serverless 中的自訂網域關聯 | 清單 | |||
| ListEndpointAccess | 授予列出 EndpointAccess 物件和相關資訊的權限 | 清單 | |||
| ListNamespaces | 准許列出在 Amazon Redshift Serverless 中的命名空間 | 清單 | |||
| ListRecoveryPoints | 准許列出復原點的陣列 | 清單 | |||
| ListScheduledActions | 准許列出排程動作 | 清單 | |||
| ListSnapshotCopyConfigurations | 授予列出 SnapshotCopyConfiguration 物件和相關資訊的權限 | 清單 | |||
| ListSnapshots | 准許列出快照 | 清單 | |||
| ListTableRestoreStatus | 准許列出資料表還原狀態 | 清單 | |||
| ListTagsForResource | 准許列出指派給資源的標籤 | 清單 | |||
| ListUsageLimits | 准許列出在 Amazon Redshift Serverless 內的所有用量限制 | 清單 | |||
| ListWorkgroups | 准許列出在 Amazon Redshift Serverless 中的工作群組 | 清單 | |||
| PutResourcePolicy | 准許建立或更新資源政策 | 寫入 | |||
| RestoreFromRecoveryPoint | 准許從復原點還原資料 | 寫入 | |||
| RestoreFromSnapshot | 准許從快照還原命名空間 | 寫入 |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
| RestoreTableFromRecoveryPoint | 准許從復原點還原資料表 | 寫入 | |||
| RestoreTableFromSnapshot | 准許從快照還原資料表 | 寫入 | |||
| TagResource | 准許將一或多個標籤指派到資源 | 標記 | |||
| UntagResource | 准許移除資源中的一個或一組標籤 | 標記 | |||
| UpdateCustomDomainAssociation | 准許更新與自訂網域相關聯的憑證 | 寫入 |
acm:DescribeCertificate |
||
| UpdateEndpointAccess | 授予更新亞馬遜無伺服器受管端點的權限 VPC | 寫入 | |||
| UpdateNamespace | 准許透過指定的組態設定來更新命名空間 | 寫入 |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
| UpdateScheduledAction | 准許更新排程動作 | 寫入 | |||
| UpdateSnapshot | 准許更新快照 | 寫入 | |||
| UpdateSnapshotCopyConfiguration | 准許更新 Amazon Redshift Serverless 命名空間的快照副本組態 | 寫入 | |||
| UpdateUsageLimit | 准許更新在 Amazon Redshift Serverless 中的用量限制 | 寫入 | |||
| UpdateWorkgroup | 准許透過指定的組態設定來更新 Amazon Redshift Serverless 工作群組 | 寫入 |
Amazon Redshift Serverless 定義的資源類型
下列資源類型由此服務定義,可用於IAM權限原則陳述式的Resource元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| namespace |
arn:${Partition}:redshift-serverless:${Region}:${Account}:namespace/${NamespaceId}
|
|
| snapshot |
arn:${Partition}:redshift-serverless:${Region}:${Account}:snapshot/${SnapshotId}
|
|
| workgroup |
arn:${Partition}:redshift-serverless:${Region}:${Account}:workgroup/${WorkgroupId}
|
|
| recoveryPoint |
arn:${Partition}:redshift-serverless:${Region}:${Account}:recoverypoint/${RecoveryPointId}
|
|
| endpointAccess |
arn:${Partition}:redshift-serverless:${Region}:${Account}:managedvpcendpoint/${EndpointAccessId}
|
Amazon Redshift Serverless 的條件索引鍵
Amazon Redshift 無伺服器定義下列可用於政策Condition元素的條件金鑰。IAM您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依要求中傳遞的標籤來篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源關聯的標籤來篩選存取權 | 字串 |
| aws:TagKeys | 依要求中傳遞的標籤索引鍵來篩選存取權 | ArrayOfString |
| redshift-serverless:endpointAccessId | 依端點存取識別符篩選存取權 | 字串 |
| redshift-serverless:namespaceId | 依命名空間識別符篩選存取權 | 字串 |
| redshift-serverless:recoveryPointId | 依復原點識別符篩選存取權 | 字串 |
| redshift-serverless:snapshotId | 依快照識別符篩選存取權 | 字串 |
| redshift-serverless:tableRestoreRequestId | 依資料表還原請求識別符篩選存取權 | 字串 |
| redshift-serverless:workgroupId | 依工作群組識別符篩選存取權 | 字串 |
