Amazon Redshift 中的安全性

云的安全性 – Amazon 负责保护在 Amazon 云中运行 Amazon 服务的基础设施。Amazon 还向您提供可安全使用的服务。作为 Amazon 合规性计划的一部分，我们的安全措施的有效性定期由第三方审计员进行测试和验证。要了解适用于 Amazon Redshift 的合规性计划，请参阅合规性计划范围内的 Amazon 服务。

云中的安全性 - 您的责任由您使用的 Amazon 服务决定。您还需要对其他因素负责，包括您的数据的敏感性、您组织的要求以及适用的法律法规。

集群管理 – 创建、配置和删除集群的能力由授予给与您的 Amazon 安全凭证关联的用户或账户的权限进行控制。具有适当权限的用户可以使用 Amazon Web Services Management Console、Amazon Command Line Interface（CLI）或 Amazon Redshift 应用程序编程接口（API）来管理其集群。可以借助 IAM 策略对这种访问加以管理。

集群连接 – Amazon Redshift 安全组用于指定有权连接到无类别域间路由 (CIDR) 格式的 Amazon Redshift 集群的 Amazon 实例。有关创建 Amazon Redshift、Amazon EC2 和 Amazon VPC 安全组以及将其与集群关联的信息，请参阅Amazon Redshift 集群安全组。

数据库访问 – 访问数据库对象（如表和视图）的能力由 Amazon Redshift 数据库中的数据库用户账户控制。用户只能访问其用户账户有权访问的数据库中的资源。您可以创建这些 Amazon Redshift 用户账户并使用 CREATE USER、CREATE GROUP、GRANT 和 REVOKE SQL 语句管理权限。有关更多信息，请参阅 Amazon Redshift 数据库开发人员指南中的管理数据库安全。

临时数据库凭证和单点登录 –除了使用 SQL 命令（如 CREATE USER 和 ALTER USER）创建和管理数据库用户之外，您还可以使用自定义 Amazon Redshift JDBC 或 ODBC 驱动程序配置 SQL 客户端。这些驱动程序将创建数据库用户和临时密码的过程作为数据库登录过程的一部分进行管理。

这些驱动程序将基于 Amazon Identity and Access Management (IAM) 身份验证来验证数据库用户的身份。如果您已在 Amazon 外部管理用户身份，则可以使用符合 SAML 2.0 标准的身份提供者 (IdP) 来管理对 Amazon Redshift 资源的访问。您使用 IAM 角色将 IdP 和 Amazon 配置为允许联合身份用户生成临时数据库凭证并登录 Amazon Redshift 数据库。有关更多信息，请参阅使用 IAM 身份验证生成数据库用户凭证。