Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Definiert die Zugriffsberechtigungen für einen Benutzer oder eine Rolle.
Zu den Berechtigungen gehören Zugriffsoptionen wie die Möglichkeit zum Lesen von Daten in Tabellen und Ansichten, zum Schreiben von Daten, zum Erstellen von Tabellen sowie zum Entfernen von Tabellen. Verwenden Sie diesen Befehl, um bestimmte Berechtigungen für eine Tabelle, eine Datenbank, ein Schema, eine Funktion, eine Prozedur, eine Sprache oder eine Spalte zu erteilen. Um Berechtigungen für ein Datenbankobjekt zu widerrufen, verwenden Sie den Befehl REVOKE.
Zu den Berechtigungen gehören auch die folgenden Zugriffsoptionen für Datashare-Produzenten:
-
Gewährung von Datashare-Zugriff auf Konsumenten-Namespaces und -Konten.
-
Gewähren der Berechtigung zum Ändern eines Datashares durch Hinzufügen oder Entfernen von Objekten aus dem Datashare.
-
Gewähren der Berechtigung zum Freigeben eines Datashares durch Hinzufügen oder Entfernen von Konsumenten-Namespaces aus dem Datashare.
Die Optionen für den Datashare-Zugriff für Konsumenten sind wie folgt:
-
Gewähren des vollen Zugriffs für Benutzer auf Datenbanken, die aus einem Datashare erstellt wurden, oder auf externe Schemata, die auf solche Datenbanken verweisen.
-
Gewähren von Berechtigungen auf Objektebene für Benutzer für Datenbanken, die aus einem Datashare erstellt wurden, wie dies für lokale Datenbankobjekte möglich ist. Um diese Berechtigungsebene zu gewähren, müssen Sie die WITH PERMISSIONS-Klausel verwenden, wenn Sie eine Datenbank aus dem Datashare erstellen. Weitere Informationen finden Sie unter CREATE DATABASE.
Weitere Informationen zu Datashare-Berechtigungen finden Sie unter Berechtigungen, die Sie Datashares gewähren können.
Sie können auch Rollen zuweisen, um die Datenbankberechtigungen zu verwalten und zu kontrollieren, welche Aktionen Benutzer in Bezug auf Ihre Daten durchführen können. Durch die Definition von Rollen und die Zuweisung von Rollen für Benutzer können Sie die Aktionen beschränken, die diese Benutzer ausführen können. So können Sie beispielsweise die Aktionen der Benutzer auf die Befehle CREATE TABLE und INSERT beschränken. Weitere Informationen zum Befehl CREATE ROLE finden Sie unter CREATE ROLE. In Amazon Redshift gibt es systemdefinierte Rollen, die Sie ebenfalls verwenden können, um Ihren Benutzern bestimmte Berechtigungen zu erteilen. Weitere Informationen finden Sie unter Systemdefinierte Amazon-Redshift-Rollen.
Sie können Nutzungsberechtigungen in einem externen Schema nur Datenbankbenutzern und Benutzergruppen gewähren oder entziehen, die die ON SCHEMA-Syntax verwenden. Wenn Sie ON EXTERNAL SCHEMA with verwenden AWS Lake Formation, können Sie nur die Berechtigungen GRANT und REVOKE für eine AWS Identity and Access Management (IAM-) Rolle gewähren. Eine Liste der Berechtigungen finden Sie in der Syntax.
Für gespeicherte Prozeduren kann nur die Berechtigung EXECUTE erteilt werden.
GRANT (auf einer externen Ressource) kann nicht innerhalb eines Transaktionsblocks (BEGIN ... END) ausgeführt werden. Weitere Informationen Transaktionen finden Sie unter Serialisierbare Isolierung.
Wenn Sie sehen möchten, welche Berechtigungen Benutzern für eine Datenbank erteilt wurden, verwenden Sie HAS_DATABASE_PRIVILEGE. Wenn Sie sehen möchten, welche Berechtigungen Benutzern für ein Schema erteilt wurden, verwenden Sie HAS_SCHEMA_PRIVILEGE. Wenn Sie sehen möchten, welche Berechtigungen Benutzern für eine Tabelle erteilt wurden, verwenden Sie HAS_TABLE_PRIVILEGE.
Syntax
GRANT { { SELECT | INSERT | UPDATE | DELETE | DROP | REFERENCES | ALTER | TRUNCATE } [,...] | ALL [ PRIVILEGES ] } ON { [ TABLE ] table_name [, ...] | ALL TABLES IN SCHEMA schema_name [, ...] } TO { username [ WITH GRANT OPTION ] | ROLE role_name | GROUP group_name | PUBLIC } [, ...] GRANT { { CREATE | TEMPORARY | TEMP | ALTER } [,...] | ALL [ PRIVILEGES ] } ON DATABASE db_name [, ...] TO { username [ WITH GRANT OPTION ] | ROLE role_name | GROUP group_name | PUBLIC } [, ...] GRANT { { CREATE | USAGE | ALTER | DROP } [,...] | ALL [ PRIVILEGES ] } ON SCHEMA schema_name [, ...] TO { username [ WITH GRANT OPTION ] | ROLE role_name | GROUP group_name | PUBLIC } [, ...] GRANT { EXECUTE | ALL [ PRIVILEGES ] } ON { FUNCTION function_name ( [ [ argname ] argtype [, ...] ] ) [, ...] | ALL FUNCTIONS IN SCHEMA schema_name [, ...] } TO { username [ WITH GRANT OPTION ] | ROLE role_name | GROUP group_name | PUBLIC } [, ...] GRANT { EXECUTE | ALL [ PRIVILEGES ] } ON { PROCEDURE procedure_name ( [ [ argname ] argtype [, ...] ] ) [, ...] | ALL PROCEDURES IN SCHEMA schema_name [, ...] } TO { username [ WITH GRANT OPTION ] | ROLE role_name | GROUP group_name | PUBLIC } [, ...] GRANT USAGE ON LANGUAGE language_name [, ...] TO { username [ WITH GRANT OPTION ] | ROLE role_name | GROUP group_name | PUBLIC } [, ...] GRANT { { ALTER | DROP} [,...] | ALL [ PRIVILEGES ] } ON COPY JOB job_name [,...] TO { username [ WITH GRANT OPTION ] | ROLE role_name | GROUP group_name | PUBLIC } [, ...]
Im Folgenden finden Sie die Syntax für Berechtigungen auf Spaltenebene für Amazon-Redshift-Tabellen und -Ansichten.
GRANT { { SELECT | UPDATE } ( column_name [, ...] ) [, ...] | ALL [ PRIVILEGES ] ( column_name [,...] ) } ON { [ TABLE ] table_name [, ...] } TO { username | ROLE role_name | GROUP group_name | PUBLIC } [, ...]
Im Folgenden finden Sie die Syntax für die Berechtigungen ASSUMEROLE, die Benutzern und Gruppen mit einer spezifizierten Rolle erteilt werden. Informationen zur Verwendung der ASSUMEROLE-Berechtigung finden Sie unter Hinweise zur Erteilung der Berechtigung ASSUMEROLE.
GRANT ASSUMEROLE ON { 'iam_role' [, ...] | default | ALL } TO { username | ROLE role_name | GROUP group_name | PUBLIC } [, ...] FOR { ALL | COPY | UNLOAD | EXTERNAL FUNCTION | CREATE MODEL } [, ...]
Im Folgenden finden Sie die Syntax für die Integration von Redshift Spectrum in Lake Formation.
GRANT { SELECT | ALL [ PRIVILEGES ] } ( column_list ) ON EXTERNAL TABLE schema_name.table_name TO { IAM_ROLE iam_role } [, ...] [ WITH GRANT OPTION ] GRANT { { SELECT | ALTER | DROP | DELETE | INSERT } [, ...] | ALL [ PRIVILEGES ] } ON EXTERNAL TABLE schema_name.table_name [, ...] TO { { IAM_ROLE iam_role } [, ...] | PUBLIC } [ WITH GRANT OPTION ] GRANT { { CREATE | ALTER | DROP } [, ...] | ALL [ PRIVILEGES ] } ON EXTERNAL SCHEMA schema_name [, ...] TO { IAM_ROLE iam_role } [, ...] [ WITH GRANT OPTION ]
Produzentenseitige Datashare-Berechtigungen
Im Folgenden finden Sie die Syntax zur Verwendung von GRANT zum Gewähren von ALTER- oder SHARE-Berechtigungen für einen Benutzer oder eine Rolle. Der Benutzer kann den Datashare mit der ALTER-Berechtigung ändern oder einem Konsumenten mit der SHARE-Berechtigung die Nutzung gestatten. ALTER und SHARE sind die einzigen Berechtigungen, die Sie Benutzern und Rollen für Datashares erteilen können.
GRANT { ALTER | SHARE } ON DATASHARE datashare_name TO { username [ WITH GRANT OPTION ] | ROLE role_name | GROUPgroup_name| PUBLIC } [, ...]
Im Folgenden finden Sie die Syntax für die Verwendung von GRANT für Datashare-Nutzungsberechtigungen in Amazon Redshift. Mit der Berechtigung USAGE gewähren Sie einem Konsumenten Zugriff auf ein Datashare. Sie können diese Berechtigung nicht an Benutzer oder Benutzergruppen erteilen. Diese Berechtigung unterstützt auch nicht die WITH GRANT OPTION für die GRANT-Anweisung. Nur Benutzer oder Benutzergruppen, denen zuvor die Berechtigung SHARE für das Datashare erteilt wurde, können diese Art von GRANT-Anweisung ausführen.
GRANT USAGE ON DATASHARE datashare_name TO NAMESPACE 'namespaceGUID' | ACCOUNT 'accountnumber' [ VIA DATA CATALOG ]
Im Folgenden finden Sie ein Beispiel dafür, wie Sie einem Lake-Formation-Konto die Berechtigung zur Nutzung eines Datashares gewähren können.
GRANT USAGE ON DATASHARE salesshare TO ACCOUNT '123456789012' VIA DATA CATALOG;Konsumentenseitige Datashare-Berechtigungen
Im Folgenden finden Sie die Syntax für die GRANT-Datashare-Nutzungsberechtigungen für eine bestimmte Datenbank oder ein bestimmtes Schema, die auf einem Datashare erstellt wurden.
Weitere Berechtigungen, die Konsumenten für den Zugriff auf eine aus einem Datashare erstellte Datenbank benötigen, hängen davon ab, ob der CREATE DATABASE-Befehl, mit dem die Datenbank aus dem Datashare erstellt wurde, die WITH PERMISSIONS-Klausel verwendet hat oder nicht. Weitere Informationen über den CREATE DATABASE-Befehl und die WITH PERMISSIONS-Klausel finden Sie unter CREATE DATABASE.
Ohne die WITH PERMISSIONS-Klausel erstellte Datenbanken
Wenn Sie die USAGE-Berechtigung für eine Datenbank gewähren, die aus einem Datashare ohne die WITH PERMISSIONS-Klausel erstellt wurde, müssen Sie Berechtigungen für die Objekte in der gemeinsam genutzten Datenbank nicht separat gewähren. Entitäten, denen die Verwendung für Datenbanken gewährt wurde, die aus Datashares ohne die WITH PERMISSIONS-Klausel erstellt wurden, haben automatisch Zugriff auf alle Objekte in der Datenbank.
Mit der WITH PERMISSIONS-Klausel erstellte Datenbanken
Wenn Sie die USAGE-Berechtigung für eine Datenbank gewähren, wobei die gemeinsam genutzte Datenbank mit der WITH PERMISSIONS-Klausel aus einem Datashare erstellt wurde, müssen konsumentenseitigen Identitäten dennoch die entsprechenden Berechtigungen für Datenbankobjekte in der gemeinsam genutzten Datenbank erteilt werden, um auf sie zugreifen zu können, genauso wie Sie Berechtigungen für lokale Datenbankobjekte gewähren würden. Verwenden Sie die dreiteilige Syntax database_name.schema_name.object_name, um Objekten in einer Datenbank, die aus einem Datashare erstellt wurde, Berechtigungen zu gewähren. Verwenden Sie die zweiteilige Syntax schema_name.object_name, um Objekten in einem externen Schema, das auf ein gemeinsam genutztes Schema innerhalb der gemeinsam genutzten Datenbank verweist, Berechtigungen zu gewähren.
GRANT USAGE ON { DATABASE shared_database_name [, ...] | SCHEMA shared_schema} TO { username | ROLE role_name | GROUP group_name | PUBLIC } [, ...]
Mit bereichsbezogenen Berechtigungen können Sie einem Benutzer oder einer Rolle Berechtigungen für alle Objekte eines Typs innerhalb einer Datenbank oder eines Schemas gewähren. Benutzer und Rollen mit bereichsbezogenen Berechtigungen verfügen über die angegebenen Berechtigungen für alle aktuellen und future Objekte innerhalb der Datenbank oder des Schemas.
Den Umfang der bereichsbezogenen Berechtigungen auf Datenbankebene finden Sie unter. SVV_DATABASE_PRIVILEGES Den Umfang der bereichsbezogenen Berechtigungen auf Schemaebene finden Sie unter. SVV_SCHEMA_PRIVILEGES
Weitere Informationen zu bereichsbezogenen Berechtigungen finden Sie unter. Bereichsbeschränkte Berechtigungen
Im Folgenden sehen Sie die Syntax zum Erteilen bereichsbezogener Berechtigungen für Benutzer oder Rollen.
GRANT { CREATE | USAGE | ALTER | DROP } [,...] | ALL [ PRIVILEGES ] } FOR SCHEMAS IN DATABASE db_name TO { username [ WITH GRANT OPTION ] | ROLE role_name } [, ...] GRANT { { SELECT | INSERT | UPDATE | DELETE | DROP | ALTER | TRUNCATE | REFERENCES } [, ...] } | ALL [PRIVILEGES] } } FOR TABLES IN {SCHEMA schema_name [DATABASE db_name ] | DATABASE db_name } TO { username [ WITH GRANT OPTION ] | ROLE role_name} [, ...] GRANT { EXECUTE | ALL [ PRIVILEGES ] } FOR FUNCTIONS IN {SCHEMA schema_name [DATABASE db_name ] | DATABASE db_name } TO { username [ WITH GRANT OPTION ] | ROLE role_name | } [, ...] GRANT { EXECUTE | ALL [ PRIVILEGES ] } FOR PROCEDURES IN {SCHEMA schema_name [DATABASE db_name ] | DATABASE db_name } TO { username [ WITH GRANT OPTION ] | ROLE role_name | } [, ...] GRANT USAGE FOR LANGUAGES IN {DATABASE db_name} TO { username [ WITH GRANT OPTION ] | ROLE role_name } [, ...] GRANT { { CREATE | ALTER | DROP} [,...] | ALL [ PRIVILEGES ] } FOR COPY JOBS IN DATABASE db_name TO { username [ WITH GRANT OPTION ] | ROLE role_name } [, ...]
Beachten Sie, dass bei bereichsbezogenen Berechtigungen nicht zwischen Berechtigungen für Funktionen und Prozeduren unterschieden wird. Die folgende Anweisung gewährt beispielsweise bob die EXECUTE Berechtigung sowohl für Funktionen als auch für Prozeduren im Schema. Sales_schema
GRANT EXECUTE FOR FUNCTIONS IN SCHEMA Sales_schema TO bob;Im Folgenden finden Sie die Syntax für Berechtigungen für Machine-Learning-Modelle in Amazon Redshift.
GRANT CREATE MODEL TO { username [ WITH GRANT OPTION ] | ROLE role_name | GROUP group_name | PUBLIC } [, ...] GRANT { EXECUTE | ALL [ PRIVILEGES ] } ON MODEL model_name [, ...] TO { username [ WITH GRANT OPTION ] | ROLE role_name | GROUP group_name | PUBLIC } [, ...]
Im Folgenden finden Sie die Syntax für die Zuweisung von Rollen in Amazon Redshift.
GRANT { ROLE role_name } [, ...] TO { { user_name [ WITH ADMIN OPTION ] } | ROLE role_name }[, ...]
Im Folgenden finden Sie die Syntax zum Erteilen von Systemberechtigungen für Rollen in Amazon Redshift. Beachten Sie, dass Sie nur Rollen, nicht Benutzern, Berechtigungen gewähren können.
GRANT { { CREATE USER | DROP USER | ALTER USER | CREATE SCHEMA | DROP SCHEMA | ALTER DEFAULT PRIVILEGES | ACCESS CATALOG | ACCESS SYSTEM TABLE CREATE TABLE | DROP TABLE | ALTER TABLE | CREATE OR REPLACE FUNCTION | CREATE OR REPLACE EXTERNAL FUNCTION | DROP FUNCTION | CREATE OR REPLACE PROCEDURE | DROP PROCEDURE | CREATE OR REPLACE VIEW | DROP VIEW | CREATE MODEL | DROP MODEL | CREATE DATASHARE | ALTER DATASHARE | DROP DATASHARE | CREATE LIBRARY | DROP LIBRARY | CREATE ROLE | DROP ROLE | TRUNCATE TABLE VACUUM | ANALYZE | CANCEL | IGNORE RLS | EXPLAIN RLS | EXPLAIN MASKING }[, ...] } | { ALL [ PRIVILEGES ] } TO ROLE role_name [, ...]
Im Folgenden finden Sie die Syntax zum Erteilen von Berechtigungen zum Erklären der RLS-Richtlinienfilter auf Zeilenebene einer Abfrage im EXPLAIN-Plan. Sie können die Berechtigung mit der REVOKE-Anweisung entziehen.
GRANT EXPLAIN RLS TO ROLE rolename
Im Folgenden finden Sie die Syntax zum Erteilen von Berechtigungen zum Umgehen von RLS-Richtlinien auf Zeilenebene für eine Abfrage.
GRANT IGNORE RLS TO ROLE rolename
Im Folgenden finden Sie die Syntax zum Erteilen von Berechtigungen für die angegebene RLS-Richtlinie auf Zeilenebene.
GRANT SELECT ON [ TABLE ] table_name [, ...] TO RLS POLICY policy_name [, ...]
Parameter
- SELECT
-
Erteilt die Berechtigung, Daten aus einer Tabelle oder Ansicht mittels einer SELECT-Anweisung auszuwählen. Die Berechtigung SELECT ist auch erforderlich, um vorhandene Spaltenwerte für UPDATE- oder DELETE-Operationen zu referenzieren.
- INSERT
-
Erteilt die Berechtigung, Daten in eine Tabelle mittels einer INSERT- oder COPY-Anweisung zu laden.
- UPDATE
-
Erteilt die Berechtigung, eine Tabellenspalte mittels einer UPDATE-Anweisung zu aktualisieren. UPDATE-Operationen erfordern ebenfalls die Berechtigung SELECT, da sie Tabellenspalten referenzieren müssen, um zu ermitteln, welche Zeilen aktualisiert werden sollen, oder um neue Werte für Spalten zu berechnen.
- DELETE
-
Erteilt die Berechtigung, eine Datenzeile aus einer Tabelle zu löschen. DELETE-Operationen erfordern ebenfalls die Berechtigung SELECT, da sie Tabellenspalten referenzieren müssen, um zu ermitteln, welche Zeilen gelöscht werden sollen.
- DROP
-
Gewährt dem Benutzer oder der Rolle je nach Datenbankobjekt die folgenden Berechtigungen:
-
Für Tabellen erteilt DROP die Erlaubnis, eine Tabelle oder Ansicht zu löschen. Weitere Informationen finden Sie unter DROP TABLE.
-
Für Datenbanken erteilt DROP die Erlaubnis, eine Datenbank zu löschen. Weitere Informationen finden Sie unter DROP DATABASE.
-
Für Schemas erteilt DROP die Erlaubnis, ein Schema zu löschen. Weitere Informationen finden Sie unter DROP SCHEMA.
-
- REFERENCES
-
Erteilt die Berechtigung, eine Fremdschlüsseleinschränkung zu erstellen. Sie müssen diese Berechtigung sowohl für die referenzierte als auch für die referenzierende Tabelle erteilen. Andernfalls kann der Benutzer die Einschränkung nicht erstellen.
- ALTER
-
Erteilt dem Benutzer oder der Benutzergruppe die folgenden Berechtigungen, abhängig vom Datenbankobjekt:
-
Für Tabellen erteilt ALTER die Berechtigung, eine Tabelle oder Ansicht zu ändern. Weitere Informationen finden Sie unter ALTER TABLE.
-
Für Datenbanken erteilt ALTER die Berechtigung, eine Datenbank zu ändern. Weitere Informationen finden Sie unter ALTER DATABASE.
-
Für Schemata erteilt ALTER die Berechtigung, ein Schema zu ändern. Weitere Informationen finden Sie unter ALTER SCHEMA.
-
Für externe Tabellen erteilt ALTER t die Berechtigung zum Ändern einer Tabelle in einem AWS Glue Data Catalog , der für Lake Formation aktiviert ist. Diese Berechtigung gilt nur bei Verwendung von Lake Formation.
-
- TRUNCATE
-
Gewährt die Berechtigung zum Kürzen einer Tabelle. Ohne diese Berechtigung kann nur der Eigentümer einer Tabelle oder ein Superuser eine Tabelle kürzen. Weitere Informationen zur Verwendung des TRUNCATE-Befehls finden Sie unter TRUNCATE.
- ALL [ PRIVILEGES ]
-
Gewährt dem angegebenen Benutzer oder der angegebenen Rolle alle verfügbaren Berechtigungen gleichzeitig. Das Schlüsselwort PRIVILEGES ist optional.
GRANT ALL ON SCHEMA erteilt keine Berechtigungen CREATE für externe Schemata.
Sie können einer Tabelle in einer, die für Lake Formation aktiviert ist AWS Glue Data Catalog , die ALL-Berechtigung erteilen. In diesem Fall werden die einzelnen Berechtigungen (wie SELECT, ALTER usw.) im Datenkatalog aufgezeichnet.
Anmerkung
Amazon Redshift unterstützt die Berechtigungen RULE und TRIGGER nicht. Weitere Informationen finden Sie unter Nicht unterstützte PostgreSQL-Funktionen.
- ASSUMEROLE
-
Erteilt Benutzern, Rollen oder Gruppen mit einer angegebenen Rolle die Berechtigung zum Ausführen der Befehle COPY, UNLOAD, EXTERNAL FUNCTION und CREATE MODEL. Der Benutzer, die Rolle oder die Gruppe übernimmt diese Rolle beim Ausführen des jeweiligen Befehls. Informationen zur Verwendung der Berechtigung ASSUMEROLE finden Sie unter Hinweise zur Erteilung der Berechtigung ASSUMEROLE.
- ON [ TABLE ] table_name
-
Erteilt die angegebenen Berechtigungen für eine Tabelle oder Ansicht. Das Schlüsselwort TABLE ist optional. Sie können in einer einzelnen Anweisung mehrere Tabellen und Ansichten auflisten.
- ON ALL TABLES IN SCHEMA schema_name
-
Erteilt die angegebenen Berechtigungen für alle Tabellen und Ansichten im referenzierten Schema.
- ( column_name [,...] ) ON TABLE table_name
-
Erteilt Benutzern, Gruppen oder PUBLIC die angegebenen Berechtigungen für die angegebenen Spalten der Amazon-Redshift-Tabelle oder -Ansicht.
- ( column_list ) ON EXTERNAL TABLE schema_name.table_name
-
Erteilt einer IAM-Rolle die angegebenen Berechtigungen für die angegebenen Spalten der Lake-Formation-Tabelle im referenzierten Schema.
- ON EXTERNAL TABLE schema_name.table_name
-
Erteilt einer IAM-Rolle die angegebenen Berechtigungen für die angegebenen Lake-Formation-Tabellen im referenzierten Schema.
- ON EXTERNAL SCHEMA schema_name
-
Erteilt einer IAM-Rolle die angegebenen Berechtigungen für das referenzierte Schema.
- ON iam_role
-
Erteilt einer IAM-Rolle die angegebenen Berechtigungen.
- TO username
-
Gibt den Benutzer an, der die Berechtigungen erhält.
- TO IAM_ROLE iam_role
-
Gibt die IAM-Rolle an, die die Berechtigungen erhält.
- WITH GRANT OPTION
-
Gibt an, dass der Benutzer, der die Berechtigungen erhält, anderen Benutzern dieselben Berechtigungen gewähren kann. Die Berechtigung WITH GRANT OPTION kann keiner Gruppe oder PUBLIC gewährt werden.
- ROLE rollen_name
-
Erteilt die Berechtigungen einer Rolle.
- GROUP group_name
-
Erteilt die Berechtigungen einer Benutzergruppe. Dies kann eine durch Kommata getrennte Liste sein, wenn mehrere Benutzergruppen angegeben werden.
- PUBLIC
-
Erteilt allen Benutzern die angegebenen Berechtigungen, einschließlich Benutzern, die später erstellt werden. PUBLIC stellt eine Gruppe dar, die stets alle Benutzer enthält. Die Berechtigungen eines einzelnen Benutzers sind die Summe der Berechtigungen, die PUBLIC gewährt werden, der Berechtigungen, die Gruppen gewährt werden, zu denen der Benutzer gehört, und der Berechtigungen, die dem einzelnen Benutzer gewährt werden.
Wenn Sie die Berechtigung PUBLIC einer EXTERNAL TABLE von Lake Formation gewähren, wird die Berechtigung der Lake-Formation-Gruppe everyone erteilt.
- CREATE
-
Erteilt dem Benutzer oder der Benutzergruppe die folgenden Berechtigungen, abhängig vom Datenbankobjekt:
-
Im Fall von Datenbanken ermöglicht CREATE Benutzern das Erstellen von Schemata innerhalb der Datenbank.
-
Im Fall von Schemata ermöglicht CREATE Benutzern das Erstellen von Objekten innerhalb eines Schemas. Um ein Objekt umzubenennen, muss der Benutzer über die Berechtigung CREATE verfügen und Eigentümer des Objekts sein, das umbenannt werden soll.
-
CREATE ON SCHEMA wird für externe Amazon-Redshift-Spectrum-Schematas nicht unterstützt. Um Rechte zur Nutzung externer Tabellen in einem externen Schema zu gewähren, müssen Sie den Benutzern, die diesen Zugriff benötigen, USAGE ON SCHEMA gewähren. Nur der Eigentümer eines externen Schemas oder ein Superuser darf externe Tabellen im externen Schema erstellen. Mit dem Befehl ALTER SCHEMA können Sie den Besitzer eines externen Schemas ändern.
-
- TEMPORARY | TEMP
-
Erteilt die Berechtigung, in der angegebenen Datenbank temporäre Tabellen zu erstellen. Um Amazon Redshift Spectrum-Abfragen auszuführen, benötigt der Datenbankbenutzer die Berechtigung, temporäre Tabellen in der Datenbank zu erstellen.
Anmerkung
Standardmäßig wird Benutzern aufgrund ihrer automatischen Mitgliedschaft in der Gruppe PUBLIC die Berechtigung gewährt, temporäre Tabellen zu erstellen. Um die Berechtigung zum Erstellen temporärer Tabellen für alle Benutzer zu entfernen, entziehen Sie der Gruppe PUBLIC die Berechtigung TEMP. Erteilen Sie dann explizit die Berechtigung, temporäre Tabellen für bestimmte Benutzer oder Benutzergruppen zu erstellen.
- ON DATABASE db_name
-
Erteilt die angegebenen Berechtigungen für eine Datenbank.
- USAGE
-
Erteilt die Berechtigung USAGE für ein bestimmtes Schema, um Objekte in diesem Schema für Benutzer zugänglich zu machen. Spezifische Aktionen für diese Objekte müssen für lokale Amazon-Redshift-Schemata getrennt gewährt werden (z. B. Berechtigung SELECT oder UPDATE für Tabellen). Standardmäßig besitzen alle Benutzer die Berechtigungen CREATE und USAGE für das Schema PUBLIC.
Wenn Sie externen Schemas mithilfe der ON SCHEMA-Syntax USAGE-Berechtigung zuweisen, müssen Sie Aktionen für die Objekte in dem externen Schema nicht separat gewähren. Die entsprechenden Katalogberechtigungen steuern differenzierte Berechtigungen für die externen Schemaobjekte.
- ON SCHEMA schema_name
-
Erteilt die angegebenen Berechtigungen für ein Schema.
GRANT CREATE ON SCHEMA und die Berechtigung CREATE in GRANT ALL ON SCHEMA werden für externe Amazon-Redshift-Spectrum-Schemata nicht unterstützt. Um Rechte zur Nutzung externer Tabellen in einem externen Schema zu gewähren, müssen Sie den Benutzern, die diesen Zugriff benötigen, USAGE ON SCHEMA gewähren. Nur der Eigentümer eines externen Schemas oder ein Superuser darf externe Tabellen im externen Schema erstellen. Mit dem Befehl ALTER SCHEMA können Sie den Besitzer eines externen Schemas ändern.
- EXECUTE ON ALL FUNCTIONS IN SCHEMA schema_name
-
Erteilt die angegebenen Berechtigungen für alle Funktionen im referenzierten Schema.
Amazon Redshift unterstützt keine Anweisungen für GRANT (erteilen) oder REVOKE (widerrufen) für integrierte pg_proc-Einträge, die im Namespace pg_catalog definiert sind.
- EXECUTE ON PROCEDURE procedure_name
-
Erteilt die Berechtigung EXECUTE für eine spezifische gespeicherte Prozedur. Da die Namen gespeicherter Prozeduren überladen sein können, müssen Sie die Argumentliste für die Prozedur angeben. Weitere Informationen finden Sie unter Benennen von gespeicherten Prozeduren.
- EXECUTE ON ALL PROCEDURES IN SCHEMA schema_name
-
Erteilt die angegebenen Berechtigungen für alle gespeicherten Prozeduren im referenzierten Schema.
- USAGE ON LANGUAGE language_name
-
Erteilt die Berechtigung USAGE für eine Sprache.
Die Berechtigung USAGE ON LANGUAGE ist erforderlich, um benutzerdefinierte Funktionen (UDFs) durch Ausführen des CREATE FUNCTION Befehls zu erstellen. Weitere Informationen finden Sie unter UDF-Sicherheit und Berechtigungen.
Die Berechtigung USAGE ON LANGUAGE ist erforderlich, um gespeicherte Prozeduren durch Ausführen des Befehls CREATE PROCEDURE zu erstellen. Weitere Informationen finden Sie unter Sicherheit und Berechtigungen für gespeicherte Prozeduren .
Verwenden Sie für Python UDFs
plpythonu. Verwenden Sie für SQL UDFssql. Für gespeicherte Prozeduren verwenden Sieplpgsql. - BEIM KOPIEREN DES JOBS job_name
-
Gewährt die angegebenen Berechtigungen für einen Kopierjob.
- FOR { ALL | COPY | UNLOAD | EXTERNAL FUNCTION | CREATE MODEL } [, ...]
-
Gibt den SQL-Befehl an, für den die Berechtigung erteilt wird. Sie können ALL angeben, um die Berechtigung für die Anweisungen COPY, UNLOAD, EXTERNAL FUNCTION und CREATE MODEL zu erteilen. Diese Klausel gilt nur für die Erteilung der Berechtigung ASSUMEROLE.
- ALTER
-
Erteilt Benutzern die Berechtigung ALTER zum Hinzufügen von Objekten zu einem Datashare oder zum Entfernen daraus oder zum Festlegen der Eigenschaft PUBLICACCESSIBLE. Weitere Informationen finden Sie unter ALTER DATASHARE.
- SHARE
-
Erteilt Benutzern und Benutzergruppen Berechtigungen zum Hinzufügen von Datenkonsumenten zu einem Datashare. Diese Berechtigung ist erforderlich, damit der betreffende Konsument (Konto oder Namespace) von seinen Clustern aus auf das Datashare zugreifen kann. Bei dem Verbraucher kann es sich um dasselbe oder ein anderes AWS Konto mit demselben oder einem anderen Cluster-Namespace handeln, der durch eine GUID (Globally Unique Identifier) angegeben wird.
-
Erteilt die angegebenen Berechtigungen für das referenzierte Datashare. Informationen über die Granularität der Zugriffskontrolle für Verbraucher finden Sie unter Datenaustausch auf verschiedenen Ebenen in Amazon Redshift.
- USAGE
-
Wenn USAGE einem Konsumenten-Konto oder einem Namespace innerhalb desselben Kontos gewährt wird, kann dieses Konsumenten-Konto oder der Namespace innerhalb des Kontos schreibgeschützt auf das Datashare und die Objekte auf dem Datashare zugreifen.
- TO NAMESPACE 'clusternamespace GUID'
-
Gibt einen Namespace in demselben Konto an, in dem Konsumenten die angegebenen Berechtigungen für das Datashare erhalten können. Namespaces verwenden eine alphanumerische 128-Bit-GUID.
- TO ACCOUNT 'Kontonummer' [ VIA DATA CATALOG ]
-
Gibt die Nummer eines anderen Kontos an, dessen Konsumenten die angegebenen Berechtigungen für das Datashare erhalten können. Die Angabe „VIA DATA CATALOG“ bedeutet, dass Sie einem Lake-Formation-Konto die Berechtigung zur Nutzung des Datashares gewähren. Wenn Sie diesen Parameter weglassen, gewähren Sie die Nutzungsberechtigung einem Konto, dem der Cluster gehört.
-
Erteilt die angegebenen Nutzungsberechtigungen für die angegebene Datenbank, die im angegebenen Datashare erstellt wird.
-
Erteilt die angegebenen Berechtigungen für das angegebene Schema, das im angegebenen Datashare erstellt wird.
- FÜR {SCHEMAS | TABELLEN | FUNKTIONEN | PROZEDUREN | SPRACHEN | KOPIERJOBS} IN
-
Gibt die Datenbankobjekte an, für die Berechtigungen gewährt werden sollen. Die Parameter nach IN definieren den Bereich der gewährten Berechtigung.
- CREATE MODEL
-
Erteilt bestimmten Benutzern oder Benutzergruppen die Berechtigung CREATE MODEL.
- ON MODEL model_name
-
Erteilt die Berechtigung EXECUTE für ein spezifisches Modell.
- ACCESS CATALOG
-
Gewährt die Berechtigung, relevante Metadaten von Objekten anzuzeigen, auf die die Rolle Zugriff hat.
- { role } [, ...]
-
Die Rolle, die einer anderen Rolle, einem Benutzer oder PUBLIC gewährt werden soll.
PUBLIC stellt eine Gruppe dar, die stets alle Benutzer enthält. Die Berechtigungen eines einzelnen Benutzers sind die Summe der Berechtigungen, die PUBLIC gewährt werden, der Berechtigungen, die Gruppen gewährt werden, zu denen der Benutzer gehört, und der Berechtigungen, die dem einzelnen Benutzer gewährt werden.
- TO { { benutzer_name [ WITH ADMIN OPTION ] } | role }[, ...]
-
Gewährt die angegebene Rolle einem bestimmten Benutzer mit WITH ADMIN OPTION, einer anderen Rolle oder PUBLIC.
Die WITH ADMIN OPTION-Klausel bietet allen Berechtigungsempfängern die Verwaltungsoptionen für alle erteilten Rollen.
- EXPLAIN RLS TO ROLE Rollenname
-
Erteilt die Berechtigung, einer Rolle die RLS-Richtlinienfilter einer Abfrage im EXPLAIN-Plan zu erläutern.
- IGNORE RLS TO ROLE Rollenname
-
Erteilt die Berechtigung, RLS-Richtlinien für eine Abfrage an eine Rolle zu umgehen.
Nutzungshinweise
Weitere Informationen zu den Nutzungshinweisen für GRANT finden Sie unter Nutzungshinweise.
Beispiele
Beispiele für die Verwendung von GRANT finden Sie unter Beispiele.
