Amazon Redshift 中的安全性
AWS的云安全性的优先级最高。作为 AWS 客户,您将从专为满足大多数安全敏感型企业的要求而打造的数据中心和网络架构中受益。
安全性是 AWS 和您的共同责任。责任共担模式
-
云的安全性 – AWS 负责保护在 AWS 云中运行 AWS 服务的基础设施。AWS 还向您提供可安全使用的服务。作为 AWS 合规性计划
的一部分,我们的安全措施的有效性定期由第三方审计员进行测试和验证。要了解适用于 Amazon Redshift 的合规性计划,请参阅合规性计划范围内的 AWS 服务 。 -
云中的安全性 - 您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。
您可以在以下四个级别控制对 Amazon Redshift 资源的访问:
-
集群管理 – 创建、配置和删除集群的能力由授予给与您的 AWS 安全凭证关联的用户或账户的权限进行控制。具有适当权限的用户可以使用 AWS Management Console、AWS Command Line Interface(CLI)或 Amazon Redshift 应用程序编程接口(API)来管理其集群。可以借助 IAM 策略对这种访问加以管理。
重要
Amazon Redshift 提供了有关管理权限、身份和安全访问的一系列最佳实践。我们建议您在开始使用 Amazon Redshift 时熟悉这些内容。有关更多信息,请参阅 Amazon Redshift 中的 Identity and Access Management。
-
集群连接 – Amazon Redshift 安全组用于指定有权连接到无类别域间路由 (CIDR) 格式的 Amazon Redshift 集群的 AWS 实例。有关创建 Amazon Redshift、Amazon EC2 和 Amazon VPC 安全组以及将其与集群关联的信息,请参阅Amazon Redshift 安全组。
-
数据库访问 – 访问数据库对象(如表和视图)的能力由 Amazon Redshift 数据库中的数据库用户账户控制。用户只能访问其用户账户有权访问的数据库中的资源。您可以创建这些 Amazon Redshift 用户账户并使用 CREATE USER、CREATE GROUP、GRANT 和 REVOKE SQL 语句管理权限。有关更多信息,请参阅 Amazon Redshift 数据库开发人员指南中的管理数据库安全。
-
临时数据库凭证和单点登录 –除了使用 SQL 命令(如 CREATE USER 和 ALTER USER)创建和管理数据库用户之外,您还可以使用自定义 Amazon Redshift JDBC 或 ODBC 驱动程序配置 SQL 客户端。这些驱动程序将创建数据库用户和临时密码的过程作为数据库登录过程的一部分进行管理。
这些驱动程序将基于 AWS Identity and Access Management (IAM) 身份验证来验证数据库用户的身份。如果您已在 AWS 外部管理用户身份,则可以使用符合 SAML 2.0 标准的身份提供者 (IdP) 来管理对 Amazon Redshift 资源的访问。您使用 IAM 角色将 IdP 和 AWS 配置为允许联合身份用户生成临时数据库凭证并登录 Amazon Redshift 数据库。有关更多信息,请参阅 使用 IAM 身份验证生成数据库用户凭证。
此文档将帮助您了解如何在使用 Amazon Redshift 时应用责任共担模式。以下主题说明如何配置 Amazon Redshift 以实现您的安全性和合规性目标。您还会了解如何使用其他 AWS 服务以帮助您监控和保护 Amazon Redshift 资源。