Amazon Redshift セキュリティの概要

サインイン認証情報 – Amazon Redshift の AWS マネジメントコンソールへのアクセスは、AWS アカウントのアクセス許可によって管理されます。詳細については、「サインイン認証情報」を参照してください。

アクセス管理 — 特定の Amazon Redshift リソースへのアクセスを管理するには、AWS Identity and Access Management (IAM) アカウントを定義します。詳細については、Amazon Redshift のリソースに対するアクセスの制御を参照してください。

クラスターセキュリティグループ – 他のユーザーに Amazon Redshift クラスターへのインバウンドアクセス権を付与するには、クラスターセキュリティグループを定義し、それをクラスターに関連付けます。詳細については、「Amazon Redshift クラスターセキュリティグループ」を参照してください。

VPC – 仮想ネットワーク環境を使用してクラスターへのアクセスを保護するには、Amazon Virtual Private Cloud (VPC) でクラスターを起動します。詳細については、「Virtual Private Cloud (VPC) でクラスターを管理する」を参照してください。

クラスターの暗号化 – ユーザーが作成したすべてのテーブル内のデータを暗号化するには、クラスターの起動時に、そのクラスターの暗号化を有効にします。詳細については、「Amazon Redshift クラスター」を参照してください。

SSL 接続 – SQL クライアントとクラスター間の接続を暗号化するには、Secure Sockets Layer (SSL) 暗号化を使用します。詳細については、「SSL を使用してクラスターに接続する」を参照してください。

ロードデータ暗号化 – テーブルロードデータファイルを Amazon S3 にアップロードするときに暗号化するには、サーバー側の暗号化またはクライアント側の暗号化を使用できます。サーバー側で暗号化されたデータからロードする場合、Amazon S3 が透過的に復号を処理します。クライアント側で暗号化されたデータからロードする場合、Amazon Redshift の COPY コマンドによって、テーブルをロードするときにデータが復号されます。詳細については、「Amazon S3 への暗号化されたデータのアップロード」を参照してください。

転送中のデータ – AWS クラウド内で転送されるデータを保護するために、Amazon Redshift では、COPY、UNLOAD、バックアップ、および復元オペレーションを実行する際、ハードウェアでアクセラレートされた SSL を使用して、Amazon S3 または Amazon DynamoDB と通信します。

列レベルのアクセスコントロール – Amazon Redshift でデータに対して列レベルのアクセスを制御するには、ビューベースのアクセスコントロールを実装したり、別のシステムを使用したりせずに、列レベルの許可ステートメントや revoke ステートメントを使用します。

行レベルのセキュリティ制御 — Amazon Redshift のデータに対して行レベルのセキュリティ制御を行うには、ポリシーで定義された行へのアクセスを制限するポリシーを作成してロールまたはユーザーにアタッチします。