Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Redshift - Service-Authorization-Referenz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Redshift

Amazon Redshift (Servicepräfix:redshift) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM Berechtigungsrichtlinien bereit.

Referenzen:

Von Amazon Redshift definierte Aktionen

Sie können die folgenden Aktionen im Action Element einer IAM Richtlinienerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie normalerweise den Zugriff auf den API Vorgang oder CLI Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.

Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie in ARN einer Anweisung mit dieser Aktion einen Ressourcentyp angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Resource Element in einer IAM Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp ein ARN Oder-Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.

Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.

Anmerkung

Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.

Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen

Aktionen Beschreibung Zugriffsebene Ressourcentypen (*erforderlich) Bedingungsschlüssel Abhängige Aktionen
AcceptReservedNodeExchange Erteilt die Erlaubnis, einen DC1 reservierten Knoten ohne Änderungen an der Konfiguration gegen einen DC2 reservierten Knoten auszutauschen Schreiben
AddPartner Gewährt die Berechtigung zum Hinzufügen einer Partnerintegration zu einem Cluster Schreiben
AssociateDataShareConsumer Gewährt die Berechtigung, einen Verbraucher einem Datashare zu zuordnen Write

datashare*

redshift:ConsumerArn

redshift:AllowWrites

AuthorizeClusterSecurityGroupIngress Gewährt die Berechtigung, einer Amazon Redshift-Sicherheitsgruppe eine eingehende Regel hinzuzufügen Schreiben

securitygroup*

securitygroupingress-ec2securitygroup*

AuthorizeDataShare Gewährt die Berechtigung, dem angegebenen Datashare Consumer die Verwendung eines Datenspeichers zu autorisieren Berechtigungsverwaltung

datashare*

redshift:ConsumerIdentifier

redshift:AllowWrites

AuthorizeEndpointAccess Gewährt die Berechtigung zum Autorisieren von endpunktbezogenen Aktivitäten für von Redshift verwaltete VPC-Endpunkte Berechtigungsverwaltung
AuthorizeInboundIntegration [nur Berechtigung] Erteilt Amazon Redshift die Erlaubnis, kontinuierlich zu überprüfen, ob das Ziel-Data Warehouse Daten empfangen kann, die von der Quelle repliziert wurden ARN Schreiben

integration*

AuthorizeSnapshotAccess Erteilt dem angegebenen Benutzer die Erlaubnis AWS-Konto , einen Snapshot wiederherzustellen Berechtigungsverwaltung

snapshot*

BatchDeleteClusterSnapshots Gewährt die Berechtigung zum Löschen von Snapshots in einem Batch mit einer Größe von bis zu 100 Write

snapshot*

BatchModifyClusterSnapshots Gewährt die Berechtigung zum Ändern von Einstellungen für eine Snapshot-Liste Write

snapshot*

CancelQuery [nur Berechtigung] Gewährt die Berechtigung zum Abbrechen einer Abfrage über die Amazon Redshift-Konsole Write
CancelQuerySession [nur Berechtigung] Gewährt die Berechtigung zum Anzeigen von Abfragen in der Amazon Redshift-Konsole Write
CancelResize Gewährt die Berechtigung zum Abbrechen einer GrößenänderungsProduktion Write

cluster*

CopyClusterSnapshot Gewährt die Berechtigung zum Kopieren eines Cluster-Snapshots Schreiben

snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAuthenticationProfile Gewährt die Berechtigung zum Erstellen eines Amazon-Redshift-Authentifizierungsprofils Schreiben
CreateCluster Gewährt die Berechtigung zum Erstellen eines Clusters Write

cluster*

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

kms:RetireGrant

secretsmanager:CreateSecret

secretsmanager:DeleteSecret

secretsmanager:DescribeSecret

secretsmanager:GetRandomPassword

secretsmanager:RotateSecret

secretsmanager:TagResource

secretsmanager:UpdateSecret

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterParameterGroup Gewährt die Berechtigung zum Erstellen einer Amazon Redshift-Parametergruppe Write

parametergroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSecurityGroup Gewährt die Berechtigung zum Erstellen einer Amazon Redshift-Sicherheitsgruppe Write

securitygroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSnapshot Gewährt die Berechtigung, einen manuellen Snapshot des angegebenen Clusters zu erstellen Write

snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterSubnetGroup Gewährt die Berechtigung zum Erstellen einer Amazon Redshift-Subnetzgruppe Write

subnetgroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateClusterUser Gewährt die Berechtigung, den angegebenen Amazon Redshift-Benutzer automatisch zu erstellen, wenn er nicht existiert Berechtigungsverwaltung

dbuser*

redshift:DbUser

CreateCustomDomainAssociation Gewährt die Berechtigung zum Erstellen eines benutzerdefinierten Domain-Namens für einen Cluster Schreiben

cluster*

acm:DescribeCertificate

CreateEndpointAccess Gewährt die Berechtigung zum Erstellen eines von Redshift verwalteten VPC-Endpunkts Schreiben
CreateEventSubscription Gewährt die Berechtigung zum Erstellen eines Amazon Redshift-Ereignisbenachrichtigungsabonnements Schreiben

eventsubscription*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateHsmClientCertificate Erteilt die Berechtigung zum Erstellen eines HSM Client-Zertifikats, das ein Cluster verwendet, um eine Verbindung zu einem HSM Schreiben

hsmclientcertificate*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateHsmConfiguration Erteilt die Berechtigung zum Erstellen einer HSM Konfiguration, die Informationen enthält, die ein Cluster benötigt, um Datenbank-Verschlüsselungsschlüssel in einem Hardware-Sicherheitsmodul zu speichern und zu verwenden (HSM) Schreiben

hsmconfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInboundIntegration [nur Berechtigung] Erteilt dem Quellprinzipal die Berechtigung, eine eingehende Integration für Daten zu erstellen, die von der Quelle in das Ziel-Data Warehouse repliziert werden sollen Schreiben
CreateIntegration Erteilt die Erlaubnis, eine Amazon Redshift Zero-Integration zu erstellen ETL Schreiben

integration*

kms:CreateGrant

kms:DescribeKey

aws:RequestTag/${TagKey}

aws:TagKeys

redshift:IntegrationSourceArn

redshift:IntegrationTargetArn

CreateQev2IdcApplication [nur Berechtigung] Erteilt die Erlaubnis, eine Qev2-IDC-Anwendung zu erstellen Schreiben

sso:CreateApplication

sso:PutApplicationAccessScope

sso:PutApplicationAuthenticationMethod

sso:PutApplicationGrant

CreateRedshiftIdcApplication Gewährt die Berechtigung zum Erstellen einer Redshift-IDC-Anwendung Schreiben

sso:CreateApplication

sso:PutApplicationAccessScope

sso:PutApplicationAuthenticationMethod

sso:PutApplicationGrant

CreateSavedQuery [nur Berechtigung] Erteilt die Erlaubnis, gespeicherte SQL Abfragen über die Amazon Redshift Redshift-Konsole zu erstellen Schreiben
CreateScheduledAction Gewährt die Berechtigung zum Erstellen einer geplanten Amazon Redshift-Aktion Schreiben
CreateSnapshotCopyGrant Erteilt die Erlaubnis, eine Snapshot-Kopie zu erstellen, zu gewähren und kopierte Snapshots an einem Ziel zu verschlüsseln AWS-Region Berechtigungsverwaltung

snapshotcopygrant*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSnapshotSchedule Gewährt die Berechtigung zum Erstellen eines Snapshot-Zeitplans Write

snapshotschedule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTags Gewährt die Berechtigung zum Hinzufügen eines oder mehrerer Tags zu einer bestimmten Ressource Markieren

cluster

eventsubscription

hsmclientcertificate

hsmconfiguration

integration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

usagelimit

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUsageLimit Gewährt die Berechtigung zum Erstellen eines Nutzungslimits Schreiben

usagelimit*

aws:RequestTag/${TagKey}

aws:TagKeys

DeauthorizeDataShare gewährt die Berechtigung zum Entfernen der Berechtigung aus dem angegebenen Datashare Consumer zum Verbrauchen eines Datenaustauschs Berechtigungsverwaltung

datashare*

redshift:ConsumerIdentifier

DeleteAuthenticationProfile Gewährt die Berechtigung zum Löschen eines Amazon-Redshift-Authentifizierungsprofils Schreiben
DeleteCluster Gewährt die Berechtigung zum Löschen eines zuvor bereitgestellten Clusters Write

cluster*

DeleteClusterParameterGroup Gewährt die Berechtigung zum Löschen einer Amazon Redshift-Parametergruppe Write

parametergroup*

DeleteClusterSecurityGroup Gewährt die Berechtigung zum Löschen einer Amazon Redshift-Sicherheitsgruppe Write

securitygroup*

DeleteClusterSnapshot Gewährt die Berechtigung zum Löschen eines manuellen Snapshots Write

snapshot*

DeleteClusterSubnetGroup Gewährt die Berechtigung zum Löschen einer Cluster-Subnetzgruppe Schreiben

subnetgroup*

DeleteCustomDomainAssociation Gewährt die Berechtigung zum Löschen eines benutzerdefinierten Domain-Namens für einen Cluster Schreiben

cluster*

DeleteEndpointAccess Gewährt die Berechtigung zum Löschen eines von Redshift verwalteten VPC-Endpunkts Schreiben
DeleteEventSubscription Gewährt die Berechtigung zum Löschen eines Amazon Redshift-Ereignisbenachrichtigungsabonnements Schreiben

eventsubscription*

DeleteHsmClientCertificate Erteilt die Berechtigung zum Löschen eines Client-Zertifikats HSM Schreiben

hsmclientcertificate*

DeleteHsmConfiguration Erteilt die Berechtigung zum Löschen einer Amazon Redshift Redshift-Konfiguration HSM Schreiben

hsmconfiguration*

DeleteIntegration Erteilt die Erlaubnis zum Löschen einer Amazon Redshift Zero-Integration ETL Schreiben

integration*

aws:ResourceTag/${TagKey}

DeletePartner Gewährt die Berechtigung zum Löschen einer Partnerintegration aus einem Cluster Schreiben
DeleteQev2IdcApplication [nur Berechtigung] Erteilt die Erlaubnis zum Löschen einer Qev2-IDC-Anwendung Schreiben

qev2idcapplication*

sso:DeleteApplication

DeleteRedshiftIdcApplication Gewährt die Berechtigung zum Löschen einer Redshift-IDC-Anwendung Schreiben

redshiftidcapplication*

sso:DeleteApplication

DeleteResourcePolicy Gewährt die Berechtigung zum Löschen der ressourcenbasierten Richtlinie einer angegebenen Ressource Berechtigungsverwaltung

namespace*

DeleteSavedQueries [nur Berechtigung] Erteilt die Erlaubnis, gespeicherte SQL Abfragen über die Amazon Redshift Redshift-Konsole zu löschen Schreiben
DeleteScheduledAction Gewährt die Berechtigung zum Löschen einer geplanten Amazon Redshift-Aktion Write
DeleteSnapshotCopyGrant Gewährt die Berechtigung zum Löschen einer Snapshot-Kopier-Berechtigung Write

snapshotcopygrant*

DeleteSnapshotSchedule Gewährt die Berechtigung zum Löschen eines Snapshot-Zeitplans Write

snapshotschedule*

DeleteTags Gewährt die Berechtigung zum Löschen eines oder mehrerer Tags aus einer Ressource Markieren

cluster

eventsubscription

hsmclientcertificate

hsmconfiguration

integration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

usagelimit

aws:TagKeys

DeleteUsageLimit Gewährt die Berechtigung zum Löschen eines Nutzungslimits Schreiben

usagelimit*

DescribeAccountAttributes Erteilt die Erlaubnis, Attribute zu beschreiben, die mit den angegebenen Daten verknüpft sind AWS-Konto Lesen
DescribeAuthenticationProfiles Gewährt die Berechtigung zum Beschreiben eines Amazon-Redshift-Authentifizierungsprofils Lesen
DescribeClusterDbRevisions Gewährt die Berechtigung zum Beschreiben von Datenbankrevisionen für einen Cluster List
DescribeClusterParameterGroups Gewährt die Berechtigung zum Beschreiben einer Liste der Amazon Redshift-Parametergruppen, einschließlich der von Ihnen erstellten Parametergruppen und der Standardparametergruppe Read
DescribeClusterParameters Gewährt die Berechtigung zum Beschreiben von Parametern, die in einer Amazon Redshift-Parametergruppe enthalten sind Read

parametergroup*

DescribeClusterSecurityGroups Gewährt die Berechtigung zum Beschreiben von Amazon Redshift-Sicherheitsgruppen Read
DescribeClusterSnapshots Gewährt die Berechtigung zum Beschreiben eines oder mehrerer Snapshot-Objekte, die Metadaten zu den Cluster-Snapshots enthalten Read
DescribeClusterSubnetGroups Gewährt die Berechtigung zum Beschreiben mindestens eines Cluster-Subnetzgruppenobjekts, das Metadaten zu Cluster-Subnetzgruppen enthält Read
DescribeClusterTracks Gewährt die Berechtigung zum Beschreiben verfügbarer Wartungsspuren List
DescribeClusterVersions Gewährt die Berechtigung zur Beschreibung der verfügbaren Amazon Redshift-Cluster-Versionen Read
DescribeClusters Gewährt die Berechtigung zum Beschreiben von Eigenschaften bereitgestellter Cluster Auflisten
DescribeCustomDomainAssociations Gewährt die Berechtigung zum Beschreiben eines benutzerdefinierten Domain-Namens für einen Cluster Auflisten
DescribeDataShares Gewährt die Berechtigung zum Beschreiben von Datashares, die von Ihren Clustern erstellt und verwendet werden Read
DescribeDataSharesForConsumer Gewährt die Berechtigung, nur Datashares zu beschreiben, die von Ihren Clustern verwendet werden Read
DescribeDataSharesForProducer Gewährt die Berechtigung, nur Datashares zu beschreiben, die von Ihren Clustern erstellt wurden Read
DescribeDefaultClusterParameters Gewährt die Berechtigung zum Beschreiben von Parametereinstellungen für eine Parametergruppenfamilie Lesen
DescribeEndpointAccess Gewährt die Berechtigung, von Redshift verwaltete VPC-Endpunkte zu beschreiben Lesen
DescribeEndpointAuthorization Gewährt die Berechtigung, die Beschreibungsaktivität für von Redshift verwaltete VPC-Endpunkte zu autorisieren Auflisten
DescribeEventCategories Gewährt die Berechtigung zum Beschreiben von Ereigniskategorien für alle Ereignisquelltypen oder für einen angegebenen Quelltyp Lesen
DescribeEventSubscriptions Erteilt die Genehmigung zur Beschreibung von Amazon Redshift Redshift-Abonnements für Ereignisbenachrichtigungen für die angegebenen AWS-Konto Lesen
DescribeEvents Gewährt die Berechtigung zum Beschreiben der Ereignisse bezüglich Clustern, Sicherheitsgruppen, Snapshots und Parametergruppen in den vergangenen 14 Tagen Auflisten
DescribeHsmClientCertificates Erteilt die Erlaubnis zur Beschreibung von HSM Client-Zertifikaten Lesen
DescribeHsmConfigurations Erteilt die Erlaubnis, Amazon Redshift Redshift-Konfigurationen HSM zu beschreiben Lesen
DescribeInboundIntegrations Gewährt die Berechtigung zum Auflisten der eingehenden Integrationen Auflisten

redshift:InboundIntegrationArn

DescribeIntegrations Erteilt die Erlaubnis, eine Amazon Redshift Zero-Integration zu beschreiben ETL Auflisten

integration*

aws:ResourceTag/${TagKey}

DescribeLoggingStatus Gewährt die Berechtigung zu beschreiben, ob Informationen wie Abfragen und Verbindungsversuche für einen Cluster protokolliert werden Read

cluster*

DescribeNodeConfigurationOptions Gewährt die Berechtigung zum Beschreiben von Eigenschaften möglicher Knotenkonfigurationen wie Knotentyp, Anzahl der Knoten und Festplattenbelegung für den angegebenen Aktionstyp List
DescribeOrderableClusterOptions Gewährt die Berechtigung zum Beschreiben von sortierbaren Cluster-Optionen Lesen
DescribePartners Gewährt die Berechtigung zum Abrufen von Informationen zu den für einen Cluster definierten Partnerintegrationen Lesen
DescribeQev2IdcApplications [nur Berechtigung] Erteilt die Erlaubnis zur Beschreibung von Qev2-IDC-Anwendungen Auflisten
DescribeQuery [nur Berechtigung] Gewährt die Berechtigung zum Beschreiben einer Abfrage über die Amazon Redshift-Konsole Lesen
DescribeRedshiftIdcApplications Gewährt die Berechtigung zum Beschreiben von Redshift-IDC-Anwendungen Auflisten

sso:GetApplicationGrant

sso:ListApplicationAccessScopes

DescribeReservedNodeExchangeStatus Erteilt die Berechtigung, Austauschstatusdetails und zugehörige Metadaten für einen Austausch mit reservierten Knoten zu beschreiben. Zu den Status gehören Werte wie „in Bearbeitung“ und „Angefordert“ Lesen
DescribeReservedNodeOfferings Gewährt die Berechtigung zum Beschreiben verfügbarer reservierter Knotenangebote durch Amazon Redshift Read
DescribeReservedNodes Gewährt die Berechtigung zum Beschreiben der reservierten Knoten Read
DescribeResize Gewährt die Berechtigung zum Beschreiben der letzten GrößenänderungsProduktion für einen Cluster Read

cluster*

DescribeSavedQueries [nur Berechtigung] Gewährt die Berechtigung, gespeicherte Abfragen über die Amazon Redshift-Konsole zu beschreiben Read
DescribeScheduledActions Gewährt die Berechtigung zum Beschreiben von erstellten und geplanten Amazon Redshift-Aktionen Lesen
DescribeSnapshotCopyGrants Erteilt die Berechtigung zur Beschreibung von Snapshot-Kopien, die Eigentum der im Ziel angegebenen AWS-Konto Person sind AWS-Region Lesen
DescribeSnapshotSchedules Gewährt die Berechtigung zum Beschreiben von Snapshot-Zeitplänen Read

snapshotschedule*

DescribeStorage Gewährt die Berechtigung zum Beschreiben der Sicherungsspeichergröße und des vorläufigen Speichers auf Kontoebene Read
DescribeTable [nur Berechtigung] Gewährt die Berechtigung zum Beschreiben einer Tabelle über die Amazon Redshift-Konsole Lesen
DescribeTableRestoreStatus Erteilt die Berechtigung, den Status einer oder mehrerer Anfragen zur Tabellenwiederherstellung zu beschreiben, die mithilfe der RestoreTableFromClusterSnapshot API Aktion gestellt wurden Lesen
DescribeTags Gewährt die Berechtigung, Tags zu beschreiben Read

cluster

eventsubscription

hsmclientcertificate

hsmconfiguration

integration

parametergroup

securitygroup

securitygroupingress-cidr

securitygroupingress-ec2securitygroup

snapshot

snapshotcopygrant

snapshotschedule

subnetgroup

usagelimit

DescribeUsageLimits Gewährt die Berechtigung zum Beschreiben von Nutzungslimits Read

usagelimit*

DisableLogging Gewährt die Berechtigung zum Deaktivieren von Protokollierungsinformationen, z. B. Abfragen und Verbindungsversuche, für einen Cluster Write

cluster*

DisableSnapshotCopy Gewährt die Berechtigung zum Deaktivieren der automatischen Kopie von Snapshots für einen Cluster Write

cluster*

DisassociateDataShareConsumer Gewährt die Berechtigung, einen Verbraucher von einem Datashare zu trennen Write

datashare*

redshift:ConsumerArn

EnableLogging Gewährt die Berechtigung zum Aktivieren von Protokollierungsinformationen, z. B. Abfragen und Verbindungsversuche, für einen Cluster Write

cluster*

EnableSnapshotCopy Gewährt die Berechtigung zum Aktivieren der automatischen Kopie von Snapshots für einen Cluster Write

cluster*

ExecuteQuery [nur Berechtigung] Gewährt die Berechtigung zum Ausführen einer Abfrage über die Amazon Redshift-Konsole Schreiben
FailoverPrimaryCompute Gewährt die Berechtigung zum Failover der primären Datenverarbeitung eines Multi-AZ-Clusters auf eine andere AZ Schreiben

cluster*

FetchResults [nur Berechtigung] Gewährt die Berechtigung zum Abrufen von Abfrageergebnissen über die Amazon Redshift-Konsole Lesen
GetClusterCredentials Erteilt die Erlaubnis, temporäre Anmeldeinformationen für den Zugriff auf eine Amazon Redshift Redshift-Datenbank gemäß den angegebenen Bedingungen abzurufen AWS-Konto Schreiben

dbuser*

dbgroup

dbname

redshift:DbName

redshift:DbUser

redshift:DurationSeconds

GetClusterCredentialsWithIAM Erteilt die Genehmigung zum Abrufen erweiterter temporärer Anmeldeinformationen für den Zugriff auf eine Amazon Redshift Redshift-Datenbank gemäß den angegebenen AWS-Konto Schreiben

dbname

redshift:DbName

redshift:DurationSeconds

GetReservedNodeExchangeConfigurationOptions Gewährt die Berechtigung zum Abrufen von Konfigurationsoptionen für den Austausch mit reserviertem Knoten Lesen
GetReservedNodeExchangeOfferings Erteilt die Erlaubnis, ein Array davon abzurufen DC2 ReservedNodeOfferings , das der Zahlungsart, der Laufzeit und dem Nutzungspreis des angegebenen DC1 reservierten Knotens entspricht Lesen
GetResourcePolicy Gewährt die Berechtigung zum Abrufen der ressourcenbasierten Richtlinie für die angegebene Ressource Lesen

namespace*

JoinGroup Gewährt die Berechtigung, der angegebenen Amazon Redshift-Gruppe beizutreten Berechtigungsverwaltung

dbgroup*

ListDatabases [nur Berechtigung] Gewährt die Berechtigung zum Auflisten von Datenbanken über die Amazon Redshift-Konsole Auflisten
ListRecommendations Erteilt die Erlaubnis, Advisor-Empfehlungen aufzulisten Auflisten
ListSavedQueries [nur Berechtigung] Gewährt die Berechtigung zum Auflisten gespeicherter Abfragen über die Amazon Redshift-Konsole List
ListSchemas [nur Berechtigung] Gewährt die Berechtigung zum Auflisten von Schemata über die Amazon Redshift-Konsole List
ListTables [nur Berechtigung] Gewährt die Berechtigung zum Auflisten von Tabellen über die Amazon Redshift-Konsole Auflisten
ModifyAquaConfiguration Erteilt die Berechtigung, die AQUA Konfiguration eines Clusters zu ändern Schreiben

cluster*

ModifyAuthenticationProfile Gewährt die Berechtigung zum Ändern eines Amazon-Redshift-Authentifizierungsprofils Schreiben
ModifyCluster Gewährt die Berechtigung zum Ändern der Einstellungen eines Clusters Write

cluster*

acm:DescribeCertificate

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

kms:RetireGrant

secretsmanager:CreateSecret

secretsmanager:DeleteSecret

secretsmanager:DescribeSecret

secretsmanager:GetRandomPassword

secretsmanager:RotateSecret

secretsmanager:TagResource

secretsmanager:UpdateSecret

ModifyClusterDbRevision Gewährt die Berechtigung zum Ändern der Datenbankversion eines Clusters Schreiben

cluster*

ModifyClusterIamRoles Erteilt die Berechtigung, die Liste der AWS Identity and Access Management Zugriffsverwaltungsrollen (IAM) zu ändern, die von einem Cluster für den Zugriff auf andere AWS Dienste verwendet werden können Berechtigungsverwaltung

cluster*

ModifyClusterMaintenance Gewährt die Berechtigung zum Ändern der Wartungseinstellungen eines Clusters Write
ModifyClusterParameterGroup Gewährt die Berechtigung zum Ändern der Parameter einer Parametergruppe Write

parametergroup*

ModifyClusterSnapshot Gewährt die Berechtigung zum Ändern der Einstellungen eines Snapshots Write

snapshot*

ModifyClusterSnapshotSchedule Gewährt die Berechtigung zum Ändern des Snapshot-Zeitplans für einen Cluster Schreiben

cluster*

ModifyClusterSubnetGroup Erteilt die Berechtigung, eine Cluster-Subnetzgruppe so zu ändern, dass sie die angegebene Liste von VPC Subnetzen enthält Schreiben

subnetgroup*

ModifyCustomDomainAssociation Gewährt die Berechtigung zum Ändern eines benutzerdefinierten Domain-Namens für einen Cluster Schreiben

cluster*

acm:DescribeCertificate

ModifyEndpointAccess Gewährt die Berechtigung zum Ändern eines von Redshift verwalteten VPC-Endpunkts Schreiben
ModifyEventSubscription Gewährt die Berechtigung zum Ändern eines bestehenden Amazon Redshift-Ereignisbenachrichtigungsabonnements Schreiben

eventsubscription*

ModifyIntegration Erteilt die Erlaubnis, eine Amazon Redshift Zero-Integration zu ändern ETL Schreiben

integration*

aws:ResourceTag/${TagKey}

ModifyQev2IdcApplication [nur Berechtigung] Erteilt die Erlaubnis, eine Qev2-IDC-Anwendung zu ändern Schreiben

qev2idcapplication*

sso:UpdateApplication

ModifyRedshiftIdcApplication Gewährt die Berechtigung zum Ändern einer Redshift-IDC-Anwendung Schreiben

redshiftidcapplication*

sso:DeleteApplicationAccessScope

sso:DeleteApplicationGrant

sso:GetApplicationGrant

sso:ListApplicationAccessScopes

sso:PutApplicationAccessScope

sso:PutApplicationGrant

sso:UpdateApplication

ModifySavedQuery [nur Berechtigung] Gewährt die Berechtigung, eine vorhandene gespeicherte Abfrage über die Amazon Redshift-Konsole zu ändern Write
ModifyScheduledAction Gewährt die Berechtigung zum Ändern einer bestehenden geplanten Amazon Redshift-Aktion Schreiben
ModifySnapshotCopyRetentionPeriod Erteilt die Berechtigung, die Anzahl der Tage zu ändern, für die Snapshots AWS-Region nach dem Kopieren aus der Quelle im Ziel aufbewahrt werden AWS-Region Schreiben

cluster*

ModifySnapshotSchedule Gewährt die Berechtigung zum Ändern eines Snapshot-Zeitplans Write

snapshotschedule*

ModifyUsageLimit Gewährt die Berechtigung zum Ändern eines Nutzungslimits Write

usagelimit*

PauseCluster Gewährt die Berechtigung zum Anhalten eines Clusters Write

cluster*

PurchaseReservedNodeOffering Gewährt die Berechtigung zum Kauf eines reservierten Knotens Schreiben
PutResourcePolicy Gewährt die Berechtigung zum Aktualisieren einer ressourcenbasierten Richtlinie für die angegebene Ressource Berechtigungsverwaltung

namespace*

RebootCluster Gewährt die Berechtigung, einen Cluster neu zu starten Write

cluster*

RejectDataShare Gewährt die Berechtigung zum Ablehnen eines Datashare, der von einem anderen Konto Permissions management

datashare*

ResetClusterParameterGroup Gewährt die Berechtigung zum Festlegen einzelner oder mehrerer Parameter der angegebenen Parametergruppe auf die Standardwerte und zum Zuweisen als Ausgangswert für die Parameter „engine-default“ Write

parametergroup*

ResizeCluster Gewährt die Berechtigung, die Größe eines Clusters zu ändern Write

cluster*

RestoreFromClusterSnapshot Gewährt die Berechtigung zum Erstellen eines Clusters aus einem Snapshot Write

cluster*

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

kms:RetireGrant

secretsmanager:CreateSecret

secretsmanager:DeleteSecret

secretsmanager:DescribeSecret

secretsmanager:GetRandomPassword

secretsmanager:RotateSecret

secretsmanager:TagResource

secretsmanager:UpdateSecret

snapshot*

aws:TagKeys

RestoreTableFromClusterSnapshot Gewährt die Berechtigung, aus einer Tabelle in einem Amazon Redshift-Cluster-Snapshot eine Tabelle zu erstellen Write

cluster*

snapshot*

ResumeCluster Gewährt die Berechtigung, die Ausführung eines Cluster fortzusetzen Schreiben

cluster*

RevokeClusterSecurityGroupIngress Erteilt die Erlaubnis, eine Eingangsregel in einer Amazon Redshift Redshift-Sicherheitsgruppe für einen zuvor autorisierten IP-Bereich oder eine EC2 Amazon-Sicherheitsgruppe zu widerrufen Schreiben

securitygroup*

securitygroupingress-ec2securitygroup*

RevokeEndpointAccess Gewährt die Berechtigung zum Aufheben des Zugriffs für endpunktbezogene Aktivitäten für von Redshift verwaltete VPC-Endpunkte Berechtigungsverwaltung
RevokeSnapshotAccess Erteilt die Berechtigung, den Zugriff auf die angegebene Person zu widerrufen AWS-Konto , um einen Snapshot wiederherzustellen Berechtigungsverwaltung

snapshot*

RotateEncryptionKey Gewährt die Berechtigung zum Rotieren des Verschlüsselungsschlüssels für einen Cluster Schreiben

cluster*

UpdatePartnerStatus Gewährt die Berechtigung zum Aktualisieren des Status einer Partnerintegration Schreiben
ViewQueriesFromConsole [nur Berechtigung] Gewährt die Berechtigung zum Anzeigen von Abfrageergebnissen über die Amazon Redshift-Konsole List
ViewQueriesInConsole [nur Berechtigung] Gewährt die Berechtigung zum Beenden von Abfragen und Lasten über die Amazon Redshift-Konsole List

Von Amazon Redshift definierte Ressourcentypen

Die folgenden Ressourcentypen werden von diesem Dienst definiert und können als Resource Element von IAM Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.

Ressourcentypen ARN Bedingungsschlüssel
cluster arn:${Partition}:redshift:${Region}:${Account}:cluster:${ClusterName}

aws:ResourceTag/${TagKey}

datashare arn:${Partition}:redshift:${Region}:${Account}:datashare:${ProducerClusterNamespace}/${DataShareName}

aws:ResourceTag/${TagKey}

dbgroup arn:${Partition}:redshift:${Region}:${Account}:dbgroup:${ClusterName}/${DbGroup}
dbname arn:${Partition}:redshift:${Region}:${Account}:dbname:${ClusterName}/${DbName}
dbuser arn:${Partition}:redshift:${Region}:${Account}:dbuser:${ClusterName}/${DbUser}
eventsubscription arn:${Partition}:redshift:${Region}:${Account}:eventsubscription:${EventSubscriptionName}

aws:ResourceTag/${TagKey}

hsmclientcertificate arn:${Partition}:redshift:${Region}:${Account}:hsmclientcertificate:${HSMClientCertificateId}

aws:ResourceTag/${TagKey}

hsmconfiguration arn:${Partition}:redshift:${Region}:${Account}:hsmconfiguration:${HSMConfigurationId}

aws:ResourceTag/${TagKey}

integration arn:${Partition}:redshift:${Region}:${Account}:integration:${IntegrationIdentifier}

aws:ResourceTag/${TagKey}

namespace arn:${Partition}:redshift:${Region}:${Account}:namespace:${ClusterNamespace}

aws:ResourceTag/${TagKey}

parametergroup arn:${Partition}:redshift:${Region}:${Account}:parametergroup:${ParameterGroupName}

aws:ResourceTag/${TagKey}

securitygroup arn:${Partition}:redshift:${Region}:${Account}:securitygroup:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ec2SecurityGroupId}

aws:ResourceTag/${TagKey}

securitygroupingress-cidr arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/cidrip/${IpRange}

aws:ResourceTag/${TagKey}

securitygroupingress-ec2securitygroup arn:${Partition}:redshift:${Region}:${Account}:securitygroupingress:${SecurityGroupName}/ec2securitygroup/${Owner}/${Ece2SecuritygroupId}

aws:ResourceTag/${TagKey}

snapshot arn:${Partition}:redshift:${Region}:${Account}:snapshot:${ClusterName}/${SnapshotName}

aws:ResourceTag/${TagKey}

snapshotcopygrant arn:${Partition}:redshift:${Region}:${Account}:snapshotcopygrant:${SnapshotCopyGrantName}

aws:ResourceTag/${TagKey}

snapshotschedule arn:${Partition}:redshift:${Region}:${Account}:snapshotschedule:${ScheduleIdentifier}

aws:ResourceTag/${TagKey}

subnetgroup arn:${Partition}:redshift:${Region}:${Account}:subnetgroup:${SubnetGroupName}

aws:ResourceTag/${TagKey}

usagelimit arn:${Partition}:redshift:${Region}:${Account}:usagelimit:${UsageLimitId}

aws:ResourceTag/${TagKey}

redshiftidcapplication arn:${Partition}:redshift:${Region}:${Account}:redshiftidcapplication:${RedshiftIdcApplicationId}
qev2idcapplication arn:${Partition}:redshift:${Region}:${Account}:qev2idcapplication:${Qev2IdcApplicationId}

Bedingungsschlüssel für Amazon Redshift

Amazon Redshift definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).

Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.

Bedingungsschlüssel Beschreibung Typ
aws:RequestTag/${TagKey} Filtert Zugriff nach Aktionen, basierend auf den zulässigen Werten für die einzelnen Tags String
aws:ResourceTag/${TagKey} Filtert Zugriff nach Aktionen, basierend auf dem Tag-Wert, der der Ressource zugeordnet ist String
aws:TagKeys Filtert Zugriff nach Aktionen, basierend auf den obligatorischen Tags in der Anforderung ArrayOfString
redshift:AllowWrites Filtert den Zugriff nach dem allowWrites Eingabeparameter Bool
redshift:ConsumerArn Filtert den Zugriff nach Datashare-Consumer-ARN. ARN
redshift:ConsumerIdentifier Filtert den Zugriff nach Datashare Consumer Zeichenfolge
redshift:DbName Filtert den Zugriff nach dem Datenbanknamen Zeichenfolge
redshift:DbUser Filtert den Zugriff nach dem Datenbankbenutzernamen Zeichenfolge
redshift:DurationSeconds Filtern Zugriff nach der Anzahl der Sekunden bis zum Ablauf eines Satzes temporärer Anmeldeinformationen String
redshift:InboundIntegrationArn Filtert den Zugriff ARN einer eingehenden ETL Null-Integrations-Ressource ARN
redshift:IntegrationSourceArn Filtert den Zugriff nach ARN einer ETL Nullintegrationsquelle ARN
redshift:IntegrationTargetArn Filtert den ARN Zugriff nach einem Ziel ohne ETL Integration ARN