本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Redshift Serverless 的操作、资源和条件键
Amazon Redshift Serverless(服务前缀:redshift-serverless)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。
参考:
Amazon Redshift Serverless 定义的操作
您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| ConvertRecoveryPointToSnapshot | 授予将恢复点转换为快照的权限 | 写入 | |||
| CreateCustomDomainAssociation | 授予在 Amazon Redshift Serverless 中创建自定义域关联的权限 | 写入 |
acm:DescribeCertificate |
||
| CreateEndpointAccess | 授予创建 Amazon Redshift Serverless 托管 VPC 端点的权限 | 写入 | |||
| CreateNamespace | 授予创建 Amazon Redshift Serverless 命名空间的权限 | 写入 |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
| CreateScheduledAction | 授予为指定的 Amazon Redshift Serverless 命名空间创建计划操作的权限 | 写入 | |||
| CreateSnapshot | 授予创建命名空间中所有数据库快照的权限 | 写入 | |||
| CreateSnapshotCopyConfiguration | 授予为指定的 Amazon Redshift Serverless 命名空间创建快照复制配置的权限 | 写入 | |||
| CreateUsageLimit | 授予为指定的 Amazon Redshift Serverless 使用类型创建使用限制的权限 | 写入 | |||
| CreateWorkgroup | 授予在 Amazon Redshift Serverless 中创建工作组的权限 | 写入 | |||
| DeleteCustomDomainAssociation | 授予删除自定义域关联的权限 | 写入 | |||
| DeleteEndpointAccess | 授予删除 Amazon Redshift Serverless 托管 VPC 端点的权限 | 写入 | |||
| DeleteNamespace | 授予从 Amazon Redshift Serverless 删除命名空间的权限 | 写入 |
kms:DescribeKey kms:RetireGrant secretsmanager:DeleteSecret secretsmanager:DescribeSecret |
||
| DeleteResourcePolicy | 授予删除指定资源策略的权限 | 写入 | |||
| DeleteScheduledAction | 授予从 Amazon Redshift Serverless 删除计划操作的权限 | 写入 | |||
| DeleteSnapshot | 授予从 Amazon Redshift Serverless 删除快照的权限 | 写入 | |||
| DeleteSnapshotCopyConfiguration | 授予删除 Amazon Redshift Serverless 命名空间的快照复制配置的权限 | 写入 | |||
| DeleteUsageLimit | 授予从 Amazon Redshift Serverless 删除使用限制的权限 | 写入 | |||
| DeleteWorkgroup | 授予删除工作组的权限 | 写入 | |||
|
DescribeOneTimeCredit |
授予权限以在 Amazon Redshift Serverless 控制台上查看剩余的免费试用服务抵扣金数量及其到期日期 | 读取 | |||
| GetCredentials | 授予获取数据库用户名和临时密码的权限,并获得登录 Amazon Redshift Serverless 的临时授权 | 写入 | |||
| GetCustomDomainAssociation | 授予获取特定自定义域关联相关信息的权限 | 读取 | |||
| GetEndpointAccess | 授予创建 Amazon Redshift Serverless 托管 VPC 端点的权限 | 读取 | |||
| GetManagedWorkgroup | 授予使用指定配置设置创建 Amazon Redshift 托管无服务器工作组的权限 | 读取 | |||
| GetNamespace | 授予获取有关 Amazon Redshift Serverless 中命名空间信息的权限 | 读取 | |||
| GetRecoveryPoint | 授予获取有关恢复点的信息的权限 | 读取 | |||
| GetResourcePolicy | 授予获取资源策略的权限 | 读取 | |||
| GetScheduledAction | 授予获取特定计划操作信息的权限 | 读取 | |||
| GetSnapshot | 授予获取有关特定快照的信息的权限 | 读取 | |||
| GetTableRestoreStatus | 授予获取特定快照的表还原状态的权限 | 读取 | |||
| GetUsageLimit | 授予获取有关 Amazon Redshift Serverless 中使用限制的信息的权限 | 读取 | |||
| GetWorkgroup | 授予获取有关特定工作组的信息的权限 | 读取 | |||
| ListCustomDomainAssociations | 授予列出 Amazon Redshift Serverless 中的自定义域关联的权限 | 列表 | |||
| ListEndpointAccess | 授予列出 EndpointAccess 对象和相关信息的权限 | 列表 | |||
| ListManagedWorkgroups | 授予在 Amazon Redshift Serverless 中列出托管工作组的权限 | 列表 | |||
| ListNamespaces | 授予列出 Amazon Redshift Serverless 中命名空间的权限 | 列表 | |||
| ListRecoveryPoints | 授予列出恢复点数组的权限 | 列表 | |||
| ListScheduledActions | 授予列出计划操作的权限 | 列表 | |||
| ListSnapshotCopyConfigurations | 授予列出 SnapshotCopyConfiguration 对象和相关信息的权限 | 列表 | |||
| ListSnapshots | 授予列出快照的权限 | 列表 | |||
| ListTableRestoreStatus | 授予列出表还原状态的权限 | 列表 | |||
| ListTagsForResource | 授予列出分配给资源的标签的权限 | 列表 | |||
| ListUsageLimits | 授予列出 Amazon Redshift Serverless 中所有使用限制的权限 | 列表 | |||
| ListWorkgroups | 授予列出 Amazon Redshift Serverless 中的工作组的权限 | 列表 | |||
| PutResourcePolicy | 授予权限以创建或更新资源策略 | 写入 | |||
| RestoreFromRecoveryPoint | 授予从恢复点还原数据的权限 | 写入 | |||
| RestoreFromSnapshot | 授予从快照还原命名空间的权限 | 写入 |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
| RestoreTableFromRecoveryPoint | 授予从恢复点还原表的权限 | 写入 | |||
| RestoreTableFromSnapshot | 授予从快照还原表的权限 | 写入 | |||
| TagResource | 授予将一个或多个标签分配给资源的权限 | 标记 | |||
| UntagResource | 授予从资源中删除一个或一组标签的权限 | 标记 | |||
| UpdateCustomDomainAssociation | 授予更新自定义域所关联的证书的权限 | 写入 |
acm:DescribeCertificate |
||
| UpdateEndpointAccess | 授予更新 Amazon Redshift Serverless 托管 VPC 端点的权限 | 写入 | |||
| UpdateNamespace | 授予使用指定配置设置更新命名空间的权限 | 写入 |
kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:RetireGrant secretsmanager:CreateSecret secretsmanager:DeleteSecret secretsmanager:DescribeSecret secretsmanager:GetRandomPassword secretsmanager:RotateSecret secretsmanager:TagResource secretsmanager:UpdateSecret |
||
| UpdateScheduledAction | 授予更新计划操作的权限 | 写入 | |||
| UpdateSnapshot | 授予更新快照的权限 | 写入 | |||
| UpdateSnapshotCopyConfiguration | 授予更新 Amazon Redshift Serverless 命名空间的快照复制配置的权限 | 写入 | |||
| UpdateUsageLimit | 授予在 Amazon Redshift Serverless 中更新使用限制的权限 | 写入 | |||
| UpdateWorkgroup | 授予使用指定配置设置更新Amazon Redshift Serverless 工作组的权限 | 写入 |
Amazon Redshift Serverless 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| namespace |
arn:${Partition}:redshift-serverless:${Region}:${Account}:namespace/${NamespaceId}
|
|
| snapshot |
arn:${Partition}:redshift-serverless:${Region}:${Account}:snapshot/${SnapshotId}
|
|
| workgroup |
arn:${Partition}:redshift-serverless:${Region}:${Account}:workgroup/${WorkgroupId}
|
|
| managed-workgroup |
arn:${Partition}:redshift-serverless:${Region}:${Account}:managed-workgroup/${ManagedWorkgroupName}
|
|
| recoveryPoint |
arn:${Partition}:redshift-serverless:${Region}:${Account}:recoverypoint/${RecoveryPointId}
|
|
| endpointAccess |
arn:${Partition}:redshift-serverless:${Region}:${Account}:managedvpcendpoint/${EndpointAccessId}
|
Amazon Redshift Serverless 的条件键
Amazon Redshift Serverless 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 按请求中传递的标签筛选访问权限 | 字符串 |
| aws:ResourceTag/${TagKey} | 按与资源关联的标签筛选访问权限 | 字符串 |
| aws:TagKeys | 按请求中传递的标签键筛选访问权限 | ArrayOfString |
| redshift-serverless:endpointAccessId | 按端点的访问标识符筛选访问权限 | 字符串 |
| redshift-serverless:managedWorkgroupName | 按托管工作组标识符筛选访问权限 | 字符串 |
| redshift-serverless:namespaceId | 按命名空间标识符筛选访问权限 | 字符串 |
| redshift-serverless:recoveryPointId | 按恢复点标识符筛选访问权限 | 字符串 |
| redshift-serverless:snapshotId | 按快照标识符筛选访问权限 | 字符串 |
| redshift-serverless:tableRestoreRequestId | 按表还原请求标识符筛选访问 | 字符串 |
| redshift-serverless:workgroupId | 按工作组标识符筛选访问权限 | 字符串 |
