ロールベースのアクセスコントロール (RBAC) を使用して、Amazon Redshift でのデータベース許可を管理することで、Amazon Redshift 内のセキュリティに関する許可の管理を簡略化できます。ユーザーが実行できる操作を、広範な、または詳細なレベルの両方で制御することで、機密データへのアクセスを保護できます。また、通常はスーパーユーザーに制限されるタスクへのユーザーによるアクセスを制御することもできます。異なるロールに異なるアクセス許可を割り当て、それらを異なるユーザーに割り当てることで、ユーザーアクセスをより細かく制御できます。
ロールが割り当てられたユーザーは、そのロールが指定し承認したタスクのみ実行できます。例えば、CREATE TABLE および DROP TABLE 許可を持つロールが割り当てられたユーザーについては、これらのタスクの実行のみが承認されます。作業で必要とするデータに対する各ユーザーアクセスを制御するには、セキュリティに関するさまざまなレベルの許可を、それぞれのユーザーに付与します。
RBAC では、対象となるオブジェクトのタイプに関係なく、ロールの要件に基づいて、最小許可の原則をユーザーに適用します。アクセス許可の付与と取り消しはロールレベルで実行され、個々のデータベースオブジェクトにおいてアクセス許可を更新する必要はありません。
RBAC では、スーパーユーザーのアクセスが必要となるコマンドを実行するための、アクセス許可を持つロールを作成できます。これらの許可を含むロールで承認されているのであれば、ユーザーはこの種類のコマンドを実行できます。同様に、特定のコマンドへのアクセスを制限するロールを作成し、その中で承認されたスーパーユーザーまたはユーザーのいずれかに対して、ロールを割り当てることもできます。
Amazon Redshift RBAC の仕組みについては、以下の動画をご覧ください。
