Amazon Redshift のセキュリティ

クラウドのセキュリティ - AWS は、AWS クラウドで AWS サービスを実行するインフラストラクチャを保護する責任を負います。また、AWS は、使用するサービスを安全に提供します。セキュリティの有効性は、AWS コンプライアンスプログラムの一環として、サードパーティーの審査機関によって定期的にテストおよび検証されています。Amazon Redshift に適用されるコンプライアンスプログラムについては、「コンプライアンスプログラムによる AWS 対象範囲内のサービス」を参照してください。

クラウド内のセキュリティ - お客様の責任は使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、組織の要件、および適用可能な法律および規制などの他の要因についても責任を担います。

クラスターの管理 – クラスターを作成、設定、削除できるかどうかは、AWS セキュリティ認証情報と関連するユーザーやアカウントに付与したアクセス許可で制御します。適切なアクセス許可が付与されたユーザーは、AWS Management Console、AWS Command Line Interface (CLI)、または Amazon Redshift アプリケーションプログラミングインターフェイス (API) を使用して、クラスターを管理できます。このアクセスは、 ポリシーを使用して管理されます。

クラスター接続性 – Amazon Redshift セキュリティグループにより、クラスレスドメイン間ルーティング (CIDR) 形式での Amazon Redshift クラスターへの接続が許可される AWS インスタンスが指定されます。Amazon Redshift、Amazon EC2、Amazon VPC セキュリティグループを作成し、それらをクラスターに関連付ける方法については、Amazon Redshift セキュリティグループ を参照してください。

データベースアクセス – テーブルやビューなどのデータベースオブジェクトにアクセスできるかどうかは、Amazon Redshift データベースのデータベースユーザーアカウントで制御します。ユーザーは、ユーザーアカウントがアクセス権限を付与されたデータベースのリソースにのみアクセス可能です。これらの Amazon Redshift ユーザーアカウントを作成してアクセス許可を管理するには、CREATE USER、CREATE GROUP、GRANT、REVOKE SQL ステートメントを使用します。詳細については、「Amazon Redshift データベースデベロッパーガイド」の「データベースセキュリティの管理」を参照してください。

一時的データベース認証情報およびシングルサインオン – CREATE USER や ALTER USER などの SQL コマンドを使用したデータベースユーザーの作成と管理に加えて、カスタム Amazon Redshift JDBC または ODBC ドライバーで SQL クライアントを設定できます。これらのドライバーは、データベースのログオンプロセスの一部として、データベースユーザーや仮パスワードを作成するプロセスを管理します。

ドライバーは AWS Identity and Access Management (IAM) 認証に基づいてデータベースユーザーを認証します。既に AWS の外部でユーザー ID を管理している場合、Security Assertion Markup Language (SAML) 2.0 に準拠した ID プロバイダー (IdP) を使用して、Amazon Redshift リソースへのアクセスを管理できます。IAM ロールを使用して、フェデレーティッドユーザーが一時データベース認証情報を生成して Amazon Redshift データベースにログオンすることを許可するよう IdP および AWS を設定できます。詳細については、「IAM 認証を使用したデータベースユーザー認証情報の生成」を参照してください。