Amazon Redshift 中的安全性 - Amazon Redshift
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon Redshift 中的安全性

Amazon的云安全性的优先级最高。作为 Amazon 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。

安全性是 Amazon 和您的共同责任。责任共担模型将其描述为云 安全性和云 的安全性:

  • 云的安全性 – Amazon负责保护在Amazon云中运行Amazon服务的基础设施。Amazon还向您提供可安全使用的服务。作为 Amazon 合规计划的一部分,我们的安全有效性会定期由第三方审核员进行测试和验证。要了解适用于 Amazon Redshift 的合规性计划,请参阅合规性计划范围内的 Amazon 服务

  • 云中的安全性 - 您的责任由您使用的 Amazon 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。

您可以在以下四个级别控制对 Amazon Redshift 资源的访问:

  • 集群管理 – 创建、配置和删除集群的能力由授予给与您的 Amazon 安全凭证相关的 IAM 用户或账户的权限进行控制。具有适当权限的 IAM 用户可以使用 Amazon Web Services Management Console、Amazon Command Line Interface (CLI) 或 Amazon Redshift 应用程序编程接口 (API) 来管理其集群。可以借助 IAM 策略对这种访问加以管理。有关详细信息,请参阅Amazon Redshift 中的 Identity and Access Management

  • 集群连接 – Amazon Redshift 安全组用于指定有权连接到无类别域间路由 (CIDR) 格式的 Amazon Redshift 集群的 Amazon 实例。有关创建 Amazon Redshift、Amazon EC2 和 Amazon VPC 安全组以及将其与集群关联的信息,请参阅Amazon Redshift 集群安全组

  • 数据库访问 – 访问数据库对象(如表和视图)的功能由 Amazon Redshift 数据库中的用户账户所控制。用户只能访问其用户账户有权访问的数据库中的资源。您可以创建这些 Amazon Redshift 用户账户并使用 CREATE USERCREATE GROUPGRANTREVOKE SQL 语句管理权限。有关更多信息,请参阅 Amazon Redshift 数据库开发人员指南中的管理数据库安全

  • 临时数据库凭证和单点登录 –除了使用 SQL 命令(如 CREATE USER 和 ALTER USER)创建和管理数据库用户之外,您还可以使用自定义 Amazon Redshift JDBC 或 ODBC 驱动程序配置 SQL 客户端。这些驱动程序将创建数据库用户和临时密码的过程作为数据库登录过程的一部分进行管理。

    这些驱动程序将基于 Amazon Identity and Access Management (IAM) 身份验证来验证数据库用户的身份。如果您已在 Amazon 外部管理用户身份,则可以使用符合 SAML 2.0 标准的身份提供商 (IdP) 来管理对 Amazon Redshift 资源的访问。您使用 IAM 角色将 IdP 和 Amazon 配置为允许联合身份用户生成临时数据库凭证并登录 Amazon Redshift 数据库。有关更多信息,请参阅使用 IAM 身份验证生成数据库用户凭证

此文档将帮助您了解如何在使用 Amazon Redshift 时应用责任共担模式。以下主题说明如何配置 Amazon Redshift 以实现您的安全性和合规性目标。您还会了解如何使用其他 Amazon 服务以帮助您监控和保护 Amazon Redshift 资源。