クラスターへの接続時にデータベースグループに参加する - Amazon Redshift

クラスターへの接続時にデータベースグループに参加する

データベースグループは、データベースユーザーのコレクションです。データベース権限はグループに付与できます。管理者は、SQL を Data API で実行するときに、これらのデータベースグループを考慮に入れて IAM ロールを設定できます。データベースグループの詳細については、「Amazon Redshift データベース開発者ガイド」の「グループ」を参照してください。

Data API がクラスターに接続したときに、呼び出しで指定したデータベースユーザーがデータベースグループに参加するように、Data API 呼び出し元の IAM ロールを設定できます。この機能は、プロビジョニングされたクラスターに接続する場合にのみサポートされます。Redshift Serverless ワークグループに接続する場合はサポートされません。Data API の呼び出し元の IAM ロールでは、redshift:JoinGroup アクションも許可する必要があります。

これを設定するには、IAM ロールにタグを追加します。呼び出し元の IAM ロールの管理者は、キー RedshiftDbGroups およびデータベースグループのリストのキー値を使用してタグを追加します。値は、コロン (:) で区切られたデータベースグループの名前のリストで、全長は最大 256 文字です。データベースグループは、接続されたデータベースで事前に定義しておく必要があります。指定したグループがデータベースに見つからない場合、そのグループは無視されます。例えば、データベースグループ accounting および retail の場合、キー値は accounting:retail です。タグのキーおよび値のペア {"Key":"RedshiftDbGroups","Value":"accounting:retail"} は、Data API への呼び出しで、どのデータベースグループが指定のデータベースユーザーに関連付けられているかを Data API で判断するために使用します。

データベースグループに参加するには
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. コンソールのナビゲーションペインで、ロール を選択し、編集するロールの名前を選択します。

  3. [タグ] タブ、[タグを管理] の順に選択します。

  4. [タグを追加] を選択し、キー RedshiftDbGroups と値 (database-groups-colon-separated のリスト) を追加します。

  5. [Save changes] (変更の保存) をクリックします。

    これで、この IAM ロールがアタッチされた IAM プリンシパルから Data API を呼び出すと、指定したデータベースユーザーが IAM ロールに指定されたデータベースグループに参加します。

IAM ロールや IAM ユーザーなど、プリンシパルにタグをアタッチする方法については、「IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。