Amazon Redshift Serverless のアクション、リソース、条件キー
Amazon Redshift Serverless (サービスプレフィックス: 「redshift-serverless」) は、IAM 許可ポリシーで使用する次のサービス固有のリソース、アクション、条件コンテキストキーを提供します。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
トピック
Amazon Redshift Serverless で定義されたアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| ConvertRecoveryPointToSnapshot | 復旧ポイントをスナップショットに変換する許可の付与 | 書き込み | |||
| CreateCustomDomainAssociation | Amazon Redshift Serverless でカスタムドメインの関連付けを作成するアクセス許可を付与 | 書き込み |
acm:DescribeCertificate |
||
| CreateEndpointAccess | Amazon Redshift Serverless マネージド VPC エンドポイントを作成するアクセス許可の付与 | 書き込み | |||
| CreateNamespace | Amazon Redshift Serverless 名前空間を作成する許可の付与 | 書き込み |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
| CreateScheduledAction | 指定された Amazon Redshift Serverless 名前空間にスケジュールされたアクションを作成するためのアクセス許可を付与 | 書き込み | |||
| CreateSnapshot | 名前空間にあるすべてのデータベースのスナップショットを作成する許可の付与 | 書き込み | |||
| CreateSnapshotCopyConfiguration | 指定された Amazon Redshift Serverless 名前空間にスナップショットコピー設定を作成するためのアクセス許可を付与 | 書き込み | |||
| CreateUsageLimit | 指定された Amazon Redshift Serverless の使用タイプに対して使用制限を作成する許可の付与 | 書き込み | |||
| CreateWorkgroup | Amazon Redshift Serverless でワークグループを作成する許可の付与 | 書き込み | |||
| DeleteCustomDomainAssociation | カスタムドメインの関連付けを削除するアクセス許可を付与 | 書き込み | |||
| DeleteEndpointAccess | Amazon Redshift Serverless マネージ VCP ドエンドポイントを削除する許可の付与 | 書き込み | |||
| DeleteNamespace | Amazon Redshift Serverless から名前空間を削除する許可の付与 | 書き込み |
kms:DescribeKey kms:RetireGrant secretsmanager:DeleteSecret secretsmanager:DescribeSecret |
||
| DeleteResourcePolicy | 指定したリソースポリシーを削除する許可の付与 | 書き込み | |||
| DeleteScheduledAction | Amazon Redshift Serverless からスケジュールされたアクションを削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteSnapshot | Amazon Redshift Serverless からスナップショットを削除する許可の付与 | 書き込み | |||
| DeleteSnapshotCopyConfiguration | Amazon Redshift Serverless 名前空間のスナップショットコピー設定を削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteUsageLimit | Amazon Redshift Serverless から使用制限を削除する許可の付与 | 書き込み | |||
| DeleteWorkgroup | ワークグループを削除する許可を付与 | 書き込み | |||
| DescribeOneTimeCredit |
Amazon Redshift Serverless コンソールで、無料トライアルクレジットの残数と有効期限を確認するアクセス許可を付与します | 読み取り | |||
| GetCredentials | Amazon Redshift Serverless にログオンするため、一時的な権限を備えたデータベースユーザー名と一時的なパスワードを取得する許可の付与 | 書き込み | |||
| GetCustomDomainAssociation | 特定のカスタムドメインの関連付けに関する情報を取得するアクセス許可の付与 | 読み取り | |||
| GetEndpointAccess | Amazon Redshift Serverless マネージド VPC エンドポイントを作成するアクセス許可の付与 | 読み取り | |||
| GetNamespace | Amazon Redshift Serverless の名前空間に関する情報を取得する許可の付与 | 読み取り | |||
| GetRecoveryPoint | リカバリポイントに関する情報を取得する許可の付与 | 読み取り | |||
| GetResourcePolicy | リソースポリシーを取得する許可の付与 | 読み取り | |||
| GetScheduledAction | 特定のスケジュールされたアクションに関する情報を取得するためのアクセス許可を付与 | 読み取り | |||
| GetSnapshot | 特定のスナップショットに関する情報を取得する許可の付与 | 読み取り | |||
| GetTableRestoreStatus | 特定のスナップショットに関する情報を取得するアクセス許可を付与 | 読み取り | |||
| GetUsageLimit | Amazon Redshift Serverless の使用制限に関する情報を取得する許可の付与 | 読み取り | |||
| GetWorkgroup | 特定のワークグループに関する情報を取得する許可の付与 | 読み取り | |||
| ListCustomDomainAssociations | Amazon Redshift Serverless でカスタムドメインの関連付けを一覧表示するアクセス許可の付与 | リスト | |||
| ListEndpointAccess | EndpointAccess オブジェクトと関連情報を一覧表示する許可の付与 | リスト | |||
| ListNamespaces | Amazon Redshift Serverless の名前空間を一覧表示する許可の付与 | リスト | |||
| ListRecoveryPoints | リカバリポイントの配列を一覧表示する許可の付与 | リスト | |||
| ListScheduledActions | スケジュールされたアクションを一覧表示するためのアクセス許可を付与 | リスト | |||
| ListSnapshotCopyConfigurations | SnapshotCopyConfiguration オブジェクトと関連情報を一覧表示するためのアクセス許可を付与 | リスト | |||
| ListSnapshots | スナップショットを一覧表示する許可の付与 | リスト | |||
| ListTableRestoreStatus | テーブルの復元ステータスを一覧表示するアクセス許可を付与 | リスト | |||
| ListTagsForResource | リソースに割り当てられたタグを一覧表示する許可の付与 | リスト | |||
| ListUsageLimits | Amazon Redshift Serverless のすべての使用制限を一覧表示する許可の付与 | リスト | |||
| ListWorkgroups | Amazon Redshift Serverless のワークグループを一覧表示する許可の付与 | リスト | |||
| PutResourcePolicy | リソースポリシーを作成または更新する許可を付与します。 | 書き込み | |||
| RestoreFromRecoveryPoint | リカバリポイントからデータを復元する許可の付与 | 書き込み | |||
| RestoreFromSnapshot | スナップショットから名前空間を復元する許可の付与 | 書き込み |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
| RestoreTableFromRecoveryPoint | リカバリポイントからテーブルを復元するためのアクセス許可を付与 | 書き込み | |||
| RestoreTableFromSnapshot | スナップショットからテーブルを復元するアクセス許可を付与 | 書き込み | |||
| TagResource | リソースに 1 つ以上のタグを割り当てる許可の付与 | タグ付け | |||
| UntagResource | リソースから 1 つのタグまたは一連のタグを削除する許可の付与 | タグ付け | |||
| UpdateCustomDomainAssociation | カスタムドメインに関連付けられた証明書を更新するアクセス許可の付与 | 書き込み |
acm:DescribeCertificate |
||
| UpdateEndpointAccess | Amazon Redshift Serverless マネージド VPC エンドポイントを更新する許可の付与 | 書き込み | |||
| UpdateNamespace | 指定された設定セッティングで名前空間を更新する許可の付与 | 書き込み |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
| UpdateScheduledAction | スケジュールされたアクションを更新するためのアクセス許可を付与 | 書き込み | |||
| UpdateSnapshot | スナップショットを更新する許可の付与 | 書き込み | |||
| UpdateSnapshotCopyConfiguration | Amazon Redshift Serverless 名前空間のスナップショットコピー設定を更新するためのアクセス許可を付与 | 書き込み | |||
| UpdateUsageLimit | Amazon Redshift Serverless の使用制限を更新する許可の付与 | 書き込み | |||
| UpdateWorkgroup | 指定された設定セッティングで Amazon Redshift Serverless ワークグループを更新するアクセス許可の付与 | 書き込み |
Amazon Redshift Serverless で定義されたリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| namespace |
arn:${Partition}:redshift-serverless:${Region}:${Account}:namespace/${NamespaceId}
|
|
| snapshot |
arn:${Partition}:redshift-serverless:${Region}:${Account}:snapshot/${SnapshotId}
|
|
| workgroup |
arn:${Partition}:redshift-serverless:${Region}:${Account}:workgroup/${WorkgroupId}
|
|
| recoveryPoint |
arn:${Partition}:redshift-serverless:${Region}:${Account}:recoverypoint/${RecoveryPointId}
|
|
| endpointAccess |
arn:${Partition}:redshift-serverless:${Region}:${Account}:managedvpcendpoint/${EndpointAccessId}
|
Amazon Redshift Serverless の条件キー
Amazon Redshift Serverless は、IAM ポリシーの 「Condition」 要素で使用できる次の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエストで渡されたタグでアクセスをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | リソースに関連付けられたタグでアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリングします | ArrayOfString |
| redshift-serverless:endpointAccessId | エンドポイントのアクセス識別子でアクセスのフィルタリング | 文字列 |
| redshift-serverless:namespaceId | 名前空間の識別子でアクセスのフィルタリング | 文字列 |
| redshift-serverless:recoveryPointId | リカバリポイントで識別子でアクセスのフィルタリング | 文字列 |
| redshift-serverless:snapshotId | スナップショットで識別子でアクセスのフィルタリング | 文字列 |
| redshift-serverless:tableRestoreRequestId | テーブル復元リクエスト ID でアクセスをフィルタリングします | 文字列 |
| redshift-serverless:workgroupId | ワークグループの識別子でアクセスのフィルタリング | 文字列 |
