例 - Amazon Redshift (original) (raw)

次の例では、SALES テーブルに対する SELECT 権限をユーザーに付与します。fred

grant select on table sales to fred;

次の例では、QA_TICKIT スキーマのすべてのテーブルに対する SELECT 権限をユーザー fred に付与します。

grant select on all tables in schema qa_tickit to fred;

次の例では、スキーマ QA_TICKIT に対するすべてのスキーマ権限をユーザーグループ QA_USERS に付与します。スキーマに対する権限は CREATE と USAGE です。USAGE は、スキーマ内のオブジェクトに対するアクセス権限をユーザーに付与しますが、それらのオブジェクトに対する INSERT や SELECT などの権限は付与しません。各オブジェクトに対する権限を個別に付与します。

create group qa_users;
grant all on schema qa_tickit to group qa_users;

次の例では、グループ QA_USERS のすべてのユーザーに対して、QA_TICKIT スキーマの SALES テーブルに対するすべての権限を付与します。

grant all on table qa_tickit.sales to group qa_users;

次の例では、グループ QA_USERS と RO_USERS のすべてのユーザーに対して、QA_TICKIT スキーマ内の SALES テーブルに対するすべての権限を付与します。

grant all on table qa_tickit.sales to group qa_users, group ro_users;

次の例では、グループ QA_USERS のすべてのユーザーに対して、QA_TICKIT スキーマの SALES テーブルに対する DROP 権限を付与します。

grant drop on table qa_tickit.sales to group qa_users;>

次の一連のコマンドは、スキーマに対するアクセス権限があっても、スキーマ内のテーブルに対する権限は付与されていないことを示しています。

create user schema_user in group qa_users password 'Abcd1234';
create schema qa_tickit;
create table qa_tickit.test (col1 int);
grant all on schema qa_tickit to schema_user;

set session authorization schema_user;
select current_user;


current_user
--------------
schema_user
(1 row)


select count(*) from qa_tickit.test;


ERROR: permission denied for relation test [SQL State=42501]


set session authorization dw_user;
grant select on table qa_tickit.test to schema_user;
set session authorization schema_user;
select count(*) from qa_tickit.test;


count
-------
0
(1 row)

次の一連のコマンドは、ビューに対するアクセス権限があっても、基礎となるテーブルに対するアクセス権限は付与されていないことを示しています。VIEW_USER というユーザーには VIEW_DATE に関するすべての権限が付与されていますが、DATE テーブルから選択することはできません。

create user view_user password 'Abcd1234';
create view view_date as select * from date;
grant all on view_date to view_user;
set session authorization view_user;
select current_user;


current_user
--------------
view_user
(1 row)


select count(*) from view_date;


count
-------
365
(1 row)


select count(*) from date;


ERROR:  permission denied for relation date

次の例では、cust_profileテーブルの cust_name 列と cust_phone 列に対する SELECT 権限をユーザー user1 に付与します。

grant select(cust_name, cust_phone) on cust_profile to user1;

次の例では、cust_name列と cust_phone 列に対する SELECT 権限、そして cust_profile テーブルの cust_contact_preference 列に対する UPDATE 権限を sales_group グループに付与します。

grant select(cust_name, cust_phone), update(cust_contact_preference) on cust_profile to group sales_group;

次の例では、ALL キーワードを使用して、テーブル cust_profile に対する SELECT および UPDATE 権限の両方を sales_admin グループに付与します。

grant ALL(cust_name, cust_phone,cust_contact_preference) on cust_profile to group sales_admin;

次の例では、cust_profile_vwビューの cust_name 列に対する SELECT 権限を user2 ユーザーに付与します。

grant select(cust_name) on cust_profile_vw to user2;

次の例は、データ共有から作成された特定のデータベースまたはスキーマに対する GRANT データ共有の使用許可を示しています。

次の例では、プロデューサー側の管理者が salesshare データ共有に対する USAGE アクセス許可を指定された名前空間に付与しています。

GRANT USAGE ON DATASHARE salesshare TO NAMESPACE '13b8833d-17c6-4f16-8fe4-1a018f5ed00d';

次の例では、コンシューマー側の管理者がsales_db に対する USAGE アクセス許可を Bob に付与しています。

GRANT USAGE ON DATABASE sales_db TO Bob;

次の例では、コンシューマー側の管理者が sales_schema スキーマに対する GRANT USAGE アクセス許可を Analyst_role ロールに付与しています。sales_schemaは sales_db を指す外部スキーマです。

GRANT USAGE ON SCHEMA sales_schema TO ROLE Analyst_role;

この時点で、BobAnalyst_role は、sales_schemasales_db のすべてデータベースオブジェクトにアクセスできます。

次の例は、共有データベース内のオブジェクトに追加のオブジェクトレベルのアクセス許可を付与する方法を示しています。これらの追加のアクセス許可は、共有データベースの作成に使用された CREATE DATABASE コマンドで WITH PERMISSIONS 句が使用された場合にのみ必要です。CREATE DATABASE コマンドで WITH PERMISSIONS を使用しなかった場合、共有データベースに USAGE を付与すると、そのデータベース内のすべてのオブジェクトへのフルアクセスが付与されます。

GRANT SELECT ON sales_db.sales_schema.tickit_sales_redshift to Bob;

スコープ付きアクセス許可を付与する例

次の例では、Sales_db データベース内の現在および将来のすべてのスキーマの使用を Sales ロールに付与します。

GRANT USAGE FOR SCHEMAS IN DATABASE Sales_db TO ROLE Sales;

次の例では、Sales_db データベース内の現在および将来のすべてのテーブルに対する SELECT アクセス許可をユーザー alice に付与し、また Sales_db のテーブルに対するスコープ付きアクセス許可を他のユーザーに付与する許可を alice に付与します。

GRANT SELECT FOR TABLES IN DATABASE Sales_db TO alice WITH GRANT OPTION;

次の例では、Sales_schema スキーマ内の関数に対する EXECUTE アクセス許可をユーザー bob に付与します。

GRANT EXECUTE FOR FUNCTIONS IN SCHEMA Sales_schema TO bob;

次の例では、ShareDb データベースの ShareSchema スキーマ内のすべてのテーブルに対するすべてのアクセス許可を Sales ロールに付与します。スキーマを指定するとき、2 つの部分からなる形式 database.schema を使用してスキーマのデータベースを指定できます。

GRANT ALL FOR TABLES IN SCHEMA ShareDb.ShareSchema TO ROLE Sales;

次の例では、前の例と同じです。2 つの部分からなる形式を使用する代わりに、DATABASE キーワードを使用してデータベースを指定できます。

GRANT ALL FOR TABLES IN SCHEMA ShareSchema DATABASE ShareDb TO ROLE Sales;

ASSUMEROLE 権限を付与する例

次に、ASSUMEROLE 権限を付与する例を示します。

以下に、ユーザーおよびグループに対して ASSUMEROLE 権限の使用を有効にするために、スーパーユーザーがクラスター上で 1 回実行する必要のある、REVOKE ステートメントの例を示します。次に、スーパーユーザーはユーザーおよびグループに対し、適切なコマンドを使用するための ASSUMEROLE 権限を付与します。ユーザーおよびグループに対する ASSUMEROLE 権限の使用を有効にする方法については、「ASSUMEROLE アクセス許可を付与するための使用上の注意事項」を参照してください。

revoke assumerole on all from public for all;

次の例では、IAM ロール Redshift-S3-Read が COPY オペレーションを実行するための ASSUMEROLE 権限をユーザー reg_user1 に付与します。

grant assumerole on 'arn:aws:iam::123456789012:role/Redshift-S3-Read'
to reg_user1 for copy;

次の例では、IAM ロールチェーン RoleARoleB が UNLOAD オペレーションを実行するための ASSUMEROLE 権限をユーザー reg_user1 に付与します。

grant assumerole
on 'arn:aws:iam::123456789012:role/RoleA,arn:aws:iam::210987654321:role/RoleB'
to reg_user1
for unload;

以下は、IAM ロールチェーン RoleARoleBを使用した UNLOAD コマンドの例です。

unload ('select * from venue limit 10')
to 's3://companyb/redshift/venue_pipe_'
iam_role 'arn:aws:iam::123456789012:role/RoleA,arn:aws:iam::210987654321:role/RoleB';

次の例では、IAM ロール Redshift-Exfunc が外部関数を作成するための ASSUMEROLE 権限を、ユーザー reg_user1 に対し付与しています。

grant assumerole on 'arn:aws:iam::123456789012:role/Redshift-Exfunc'
to reg_user1 for external function;

次の例では、IAM ロール Redshift-model が機械学習モデルを作成するための ASSUMEROLE 権限を、ユーザー reg_user1 に対し付与しています。

grant assumerole on 'arn:aws:iam::123456789012:role/Redshift-ML'
to reg_user1 for create model;

ROLE 権限を付与する例

次の例では、user1 にロール sample_role1 を付与しています。

CREATE ROLE sample_role1;
GRANT ROLE sample_role1 TO user1;

次の例では、WITH ADMIN OPTION を使用して sample_role1 を user1 に付与します。さらに user1 の現在のセッションを設定した上で、user1 から user2 に sample_role1 を付与しています。

GRANT ROLE sample_role1 TO user1 WITH ADMIN OPTION;
SET SESSION AUTHORIZATION user1;
GRANT ROLE sample_role1 TO user2;

次の例では、sample_role1 を sample_role2 に付与します。

GRANT ROLE sample_role1 TO ROLE sample_role2;

次の例では、sample_role2 を sample_role3 および sample_role4 に付与します。次に、sample_role3 を sample_role1 に付与しようと試みています。

GRANT ROLE sample_role2 TO ROLE sample_role3;
GRANT ROLE sample_role3 TO ROLE sample_role2;
ERROR: cannot grant this role, a circular dependency was detected between these roles

次の例では、CREATE USER のシステム権限を sample_role1 に付与しています。

GRANT CREATE USER TO ROLE sample_role1;

次の例では、システム定義のロール sys:dba を user1 に付与します。

GRANT ROLE sys:dba TO user1;

次の例では、循環依存関係を利用して、sample_role3 を sample_role2 に付与することを試みます。

CREATE ROLE sample_role3;
GRANT ROLE sample_role2 TO ROLE sample_role3;
GRANT ROLE sample_role3 TO ROLE sample_role2; -- fail
ERROR:  cannot grant this role, a circular dependency was detected between these roles