Amazon Redshift 中的安全性 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Redshift 中的安全性

Amazon 的云安全性的优先级最高。作为 Amazon 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。

安全性是 Amazon 和您的共同责任。责任共担模型将其描述为云安全性和云的安全性:

  • 云的安全性–Amazon负责保护运行Amazon services in the Amazon云Amazon还向您提供可安全使用的服务。作为 Amazon 合规计划的一部分,我们的安全有效性会定期由第三方审核员进行测试和验证。要了解适用于 Amazon Redshift 的合规性计划,请参阅Amazon合规性计划范围内的服务

  • 云中的安全性— 您的责任由Amazon服务。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。

Amazon Redshift 资源的访问可以在以下四个级别控制:

  • 集群管理创建、配置和删除集群的功能由向 IAM 用户或账户授予的权限所控制Amazon安全凭证。具有适当权限的 IAM 用户可以使用Amazon Web Services Management Console、Amazon Command Line Interface(CLI) 或 Amazon Redshift 应用程序编程接口 (API) 来管理其集群。可以借助 IAM 策略对这种访问加以管理。有关详细信息,请参阅 Amazon Redshift 中的 Identity or Redshift

  • 群集连接 —Amazon Redshift 安全组Amazon实例,可以连接到无类别域间路由 (CIDR) 格式的 Amazon Redshift 集群。有关创建 Amazon Redshift、Amazon EC2 和 Amazon VPC 安全组以及将它们与集群关联的信息,请参阅Amazon Redshift 群集安全组

  • 数据库访问 —访问数据库对象(如表和视图)的功能由 Amazon Redshift 数据库中的用户帐户所控制。用户只能访问其用户账户有权访问的数据库中的资源。您可以创建这些 Amazon Redshift 用户帐户并通过使用创建用户创建组授予, 和撤销SQL 语句。有关更多信息,请参阅 。管理数据库安全性在 Amazon Redshift 数据库开发人员指南中。

  • 临时数据库凭证和单点登录 —除了使用 SQL 命令(如 CREATE USER 和 ALTER USER)创建和管理数据库用户之外,您还可以使用自定义 Amazon Redshift JDBC 或 ODBC 驱动程序配置 SQL 客户端。这些驱动程序将创建数据库用户和临时密码的过程作为数据库登录过程的一部分进行管理。

    这些驱动程序将基于 Amazon Identity and Access Management (IAM) 身份验证来验证数据库用户的身份。如果您已经管理Amazon,您可以使用符合 SAML 2.0 标准的身份提供商 (IdP) 来管理对 Amazon Redshift 资源的访问。您可以使用 IAM 角色配置 IdP 和Amazon以允许联合身份用户生成临时数据库凭证并登录 Amazon Redshift 数据库。有关更多信息,请参阅使用 IAM 身份验证生成数据库用户凭证

此文档将帮助您了解如何在使用 Amazon Redshift 时应用责任共担模式。以下主题说明如何配置 Amazon Redshift 以实现您的安全性和合规性目标。您还会了解如何使用其他Amazon服务,帮助您监控和保护 Amazon Redshift 资源。