从补丁 198 开始,Amazon Redshift 将不再支持创建新的 Python UDF。现有的 Python UDF 将继续正常运行至 2026 年 6 月 30 日。有关更多信息,请参阅[博客文章](https://www.amazonaws.cn/blogs/big-data/amazon-redshift-python-user-defined-functions-will-reach-end-of-support-after-june-30-2026/)。 # Amazon Redshift 中的安全性 Amazon的云安全性的优先级最高。作为 Amazon 客户,您将从专为满足大多数安全敏感型企业的要求而打造的数据中心和网络架构中受益。 安全性是 Amazon 和您的共同责任。[责任共担模式](https://www.amazonaws.cn/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性: + **云的安全性** – Amazon 负责保护在 Amazon 云中运行 Amazon 服务的基础设施。Amazon 还向您提供可安全使用的服务。作为 [Amazon 合规计划](https://www.amazonaws.cn/compliance/programs/)的一部分,我们的安全有效性会定期由第三方审核员进行测试和验证。要了解适用于 Amazon Redshift 的合规性计划,请参阅[合规性计划范围内的 Amazon 服务](https://www.amazonaws.cn/compliance/services-in-scope/)。 + **云中的安全性** - 您的责任由您使用的 Amazon 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。 您可以在以下四个级别控制对 Amazon Redshift 资源的访问: + **集群管理 –** 创建、配置和删除集群的能力由授予给与您的 Amazon 安全凭证关联的用户或账户的权限进行控制。具有适当权限的用户可以使用 Amazon Web Services 管理控制台、Amazon Command Line Interface(CLI)或 Amazon Redshift 应用程序编程接口(API)来管理其集群。可以借助 IAM 策略对这种访问加以管理。 **重要** Amazon Redshift 提供了有关管理权限、身份和安全访问的一系列最佳实践。我们建议您在开始使用 Amazon Redshift 时熟悉这些内容。有关更多信息,请参阅 [Amazon Redshift 中的 Identity and Access Management](redshift-iam-authentication-access-control.md)。 + **集群连接 –** Amazon Redshift 安全组用于指定有权连接到无类别域间路由 (CIDR) 格式的 Amazon Redshift 集群的 Amazon 实例。有关创建 Amazon Redshift、Amazon EC2 和 Amazon VPC 安全组以及将其与集群关联的信息,请参阅[Amazon Redshift 安全组](security-network-isolation.md#working-with-security-groups)。 + **数据库访问 –** 访问数据库对象(如表和视图)的能力由 Amazon Redshift 数据库中的数据库用户账户控制。用户只能访问其用户账户有权访问的数据库中的资源。您可以创建这些 Amazon Redshift 用户账户并使用 [CREATE USER](https://docs.amazonaws.cn/redshift/latest/dg/r_CREATE_USER.html)、[CREATE GROUP](https://docs.amazonaws.cn/redshift/latest/dg/r_CREATE_GROUP.html)、[GRANT](https://docs.amazonaws.cn/redshift/latest/dg/r_GRANT.html) 和 [REVOKE](https://docs.amazonaws.cn/redshift/latest/dg/r_REVOKE.html) SQL 语句管理权限。有关更多信息,请参阅 Amazon Redshift 数据库开发人员指南中的[管理数据库安全](https://docs.amazonaws.cn/redshift/latest/dg/r_Database_objects.html)。 + **临时数据库凭证和单点登录 –**除了使用 SQL 命令(如 CREATE USER 和 ALTER USER)创建和管理数据库用户之外,您还可以使用自定义 Amazon Redshift JDBC 或 ODBC 驱动程序配置 SQL 客户端。这些驱动程序将创建数据库用户和临时密码的过程作为数据库登录过程的一部分进行管理。 这些驱动程序将基于 Amazon Identity and Access Management (IAM) 身份验证来验证数据库用户的身份。如果您已在 Amazon 外部管理用户身份,则可以使用符合 SAML 2.0 标准的身份提供者 (IdP) 来管理对 Amazon Redshift 资源的访问。您使用 IAM 角色将 IdP 和 Amazon 配置为允许联合身份用户生成临时数据库凭证并登录 Amazon Redshift 数据库。有关更多信息,请参阅 [使用 IAM 身份验证生成数据库用户凭证](generating-user-credentials.md)。 此文档将帮助您了解如何在使用 Amazon Redshift 时应用责任共担模式。以下主题说明如何配置 Amazon Redshift 以实现您的安全性和合规性目标。您还会了解如何使用其他 Amazon 服务以帮助您监控和保护 Amazon Redshift 资源。 **Topics** + [Amazon Redshift 中的数据保护](security-data-protection.md) + [Amazon Redshift 中的 Identity and Access Management](redshift-iam-authentication-access-control.md) + [使用 Amazon Secrets Manager 管理 Amazon Redshift 管理员密码](redshift-secrets-manager-integration.md) + [Amazon Redshift 中的日志记录和监控](security-incident-response.md) + [Amazon Redshift 的合规性验证](security-compliance.md) + [Amazon Redshift 中的恢复能力](security-disaster-recovery-resiliency.md) + [Amazon Redshift 中的基础设施安全性](security-network-isolation.md) + [Amazon Redshift 中的配置和漏洞分析](security-vulnerability-analysis-and-management.md)