クラスターへの接続時にデータベースグループに参加する
データベースグループは、データベースユーザーのコレクションです。データベース権限はグループに付与できます。管理者は、SQL を Data API で実行するときに、これらのデータベースグループを考慮に入れて IAM ロールを設定できます。データベースグループの詳細については、「Amazon Redshift データベース開発者ガイド」の「グループ」を参照してください。
Data API がクラスターに接続したときに、呼び出しで指定したデータベースユーザーがデータベースグループに参加するように、Data API 呼び出し元の IAM ロールを設定できます。この機能は、プロビジョニングされたクラスターに接続する場合にのみサポートされます。Redshift Serverless ワークグループに接続する場合はサポートされません。Data API の呼び出し元の IAM ロールでは、redshift:JoinGroup
アクションも許可する必要があります。
これを設定するには、IAM ロールにタグを追加します。呼び出し元の IAM ロールの管理者は、キー RedshiftDbGroups
およびデータベースグループのリストのキー値を使用してタグを追加します。値は、コロン (:) で区切られたデータベースグループの名前のリストで、全長は最大 256 文字です。データベースグループは、接続されたデータベースで事前に定義しておく必要があります。指定したグループがデータベースに見つからない場合、そのグループは無視されます。例えば、データベースグループ accounting
および retail
の場合、キー値は accounting:retail
です。タグのキーおよび値のペア {"Key":"RedshiftDbGroups","Value":"accounting:retail"}
は、Data API への呼び出しで、どのデータベースグループが指定のデータベースユーザーに関連付けられているかを Data API で判断するために使用します。
データベースグループに参加するには
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
コンソールのナビゲーションペインで、ロール を選択し、編集するロールの名前を選択します。
-
[タグ] タブ、[タグを管理] の順に選択します。
-
[タグを追加] を選択し、キー RedshiftDbGroups と値 (
database-groups-colon-separated
のリスト) を追加します。 -
[Save changes] (変更の保存) をクリックします。
これで、この IAM ロールがアタッチされた IAM プリンシパルから Data API を呼び出すと、指定したデータベースユーザーが IAM ロールに指定されたデータベースグループに参加します。
IAM ロールや IAM ユーザーなど、プリンシパルにタグをアタッチする方法については、「IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。