Amazon Redshift でのシステム定義のロール

Amazon Redshift には、特定のアクセス許可が定義されたシステム定義のロールがいくつか用意されています。システム固有のロールには sys: がプレフィックスされます。適切なアクセス権を持つユーザーのみが、システム定義のロールを変更したり、カスタムなシステム定義のロールを作成したりできます。カスタムなシステム定義のロールでは、sys: のプレフィックスを使用することはできません。

次の表に、ロールとそのアクセス許可を一覧でまとめています。

ロール名	説明
`sys:monitor`	このロールには、カタログまたはシステムテーブルへのアクセス許可が付与されています。
`sys:operator`	このロールには、カタログまたはシステムテーブルへのアクセス、分析、バキューム処理、またはクエリのキャンセルを行うための許可が付与されています。
`sys:dba`	このロールには、スキーマの作成、テーブルの作成、スキーマの削除、テーブルの削除、およびテーブルの切り捨てを行うための許可が付与されています。これには、ストアドプロシージャの作成または置換、プロシージャの削除、関数の作成または置換、外部関数の作成または置換、ビューの作成、およびビューの削除を行うための許可が付与されています。同時にこのロールでは、sys: operator ロールからすべてのアクセス許可を継承しています。
`sys:superuser`	このロールには、RBAC でのシステムへのアクセス許可で定義されているすべてのサポート対象システムアクセス許可があります。
`sys:secadmin`	このロールが持つアクセス許可により、ユーザーの作成、ユーザーの変更、ユーザーの削除、ロールの作成、ロールの削除、およびロールの付与を行うことができます。このロールには、リレーションの RLS をオンまたはオフにするアクセス許可と、RLS および DDM ポリシー (作成、ドロップ、アタッチ、デタッチ、変更) を管理するアクセス許可があります。また、このロールにはデフォルトで、EXPLAIN RLS、IGNORE RLS、EXPLAIN MASKING アクセス許可が付与されていることにも注意してください。このロールは、そのためのアクセス許可が明示的に付与された場合にのみ、ユーザのテーブルにアクセスできます。

データ共有のためのシステム定義のロールとユーザー

Amazon Redshift は、データ共有とデータ共有コンシューマーに対応する内部使用を目的としたロールとユーザーを作成します。各内部ロール名とユーザー名には、予約された名前空間プレフィックス ds: が付いています。それには以下の形式があります。

名前	説明
`ds:sharename`	データ共有に対応するシステムロール。
`ds:sharename_consumer`	データ共有コンシューマーに対応するシステムロール。

データ共有ロールは、データ共有ごとに作成されます。このロールは、データ共有に現在付与されているすべてのアクセス許可を保持しています。データ共有ユーザーは、データ共有コンシューマーごとに作成されます。このユーザーには、単一のデータ共有ロールへのアクセス許可が付与されます。複数のデータ共有に追加されたコンシューマーでは、データ共有ごとにデータ共有ユーザーが作成されます。

データ共有が適切に機能するには、このようなユーザーとロールが必要です。これらのユーザーとロールは変更または削除することはできません。また、顧客が実行するタスクにアクセスしたり、使用したりすることはできません。このような場合、無視しても問題ありません。データ共有の詳細については、「Amazon Redshift でのクラスター間のデータの共有」を参照してください。

注記

ds: プレフィックスを使用してユーザー定義のロールまたはユーザーを作成することはできません。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ロールの割り当て

システムへのアクセス許可