Amazon Redshift
管理指南 (API Version 2012-12-01)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

安全性

您可以在以下三个级别控制对 Amazon Redshift 资源的访问:

  • 群集管理 – 创建、配置和删除群集的功能由向您的 AWS 安全凭证关联用户或账户授予的权限所控制。具有适当权限的 AWS 用户可以使用 AWS 管理控制台、AWS Command Line Interface (CLI) 或 Amazon Redshift 应用程序编程接口 (API) 来管理他们的群集。可以借助 IAM 策略对这种访问加以管理。有关详细信息,请参阅 Amazon Redshift 的身份验证和访问控制

  • 群集连接 – Amazon Redshift 安全组用于指定有权连接到无类别域间路由 (CIDR) 格式的 Amazon Redshift 群集的 AWS 实例。有关创建 Amazon Redshift、Amazon EC2 和 Amazon VPC 安全组以及将其与群集关联的信息,请参阅Amazon Redshift 群集安全组

  • 数据库访问 – 访问数据库对象(如表和视图)的功能由 Amazon Redshift 数据库中的用户账户所控制。用户只能访问其用户账户有权访问的数据库中的资源。使用 CREATE USERCREATE GROUPGRANTREVOKE SQL 语句即可创建这些 Amazon Redshift 用户账户并管理权限。有关更多信息,请转至管理数据库安全

  • 临时数据库凭证和单一登录 - 除了使用 SQL 命令 (如 CREATE USER 和 ALTER USER) 创建和管理数据库用户之外,您还可以使用自定义 Amazon Redshift JDBC 或 ODBC 驱动程序配置 SQL 客户端,这些驱动程序将创建数据库用户和临时密码的过程作为数据库登录过程的一部分进行管理。

    这些驱动程序将基于 AWS Identity and Access Management (IAM) 身份验证来验证数据库用户的身份。如果您已在 AWS 外部管理用户身份,则可以使用符合 SAML 2.0 标准的身份提供商 (IdP) 来管理对 Amazon Redshift 资源的访问。您使用 IAM 角色将 IdP 和 AWS 配置为允许联合身份用户生成临时数据库凭证并登录 Amazon Redshift 数据库。有关更多信息,请参阅 使用 IAM 身份验证生成数据库用户凭证

您可以使用 Amazon Redshift SQL 命令 CREATE USER 和 ALTER USER 创建和管理数据库用户,也可以使用自定义 Amazon Redshift JDBC 或 ODBC 驱动程序配置 SQL 客户端,这些驱动程序将创建数据库用户和临时密码的过程作为数据库登录过程的一部分进行管理。

这些驱动程序将基于 AWS Identity and Access Management (IAM) 身份验证来验证数据库用户的身份。如果您已在 AWS 外部管理用户身份,则可以使用符合 SAML 2.0 标准的身份提供商 (IdP) 来管理对 Amazon Redshift 资源的访问。您使用 IAM 角色将 IdP 和 AWS 配置为允许联合身份用户生成临时数据库凭证并登录 Amazon Redshift 数据库。有关更多信息,请参阅使用 IAM 身份验证生成数据库用户凭证