Amazon Redshift 中的安全

雲端本身的安全：AWS 負責保護在 AWS Cloud 中執行 AWS 服務的基礎設施。AWS 也提供您可安全使用的服務。第三方稽核人員定期檢測及驗證安全的效率也是我們 AWS 合規計劃的一部分。若要了解適用於 Amazon Redshift 的合規計畫，請參閱合規計畫範圍內的 AWS 服務。

雲端內部的安全 – 您的責任取決於所使用的 AWS 服務。您也必須對其他因素負責，包括資料的敏感度、您組織的需求和適用的法律及法規。

叢集管理 — 建立、設定和刪除叢集的功能是透過提供給予 AWS 安全性登入資料關聯的使用者或帳戶的許可來控制。具有適當許可的使用者可以使用 AWS Management Console、AWS Command Line Interface (CLI) 或 Amazon Redshift 應用程式介面 (API) 來管理其叢集。此存取透過使用 IAM 政策來管理。

叢集連線 — Amazon Redshift 安全性群組會指定 AWS 執行個體，其獲授權可連線至格式為無類別網域間路由 (CIDR) 的 Amazon Redshift 叢集。如需建立 Amazon Redshift、Amazon EC2 和 Amazon VPC 安全群組以及將它們與叢集建立關聯的詳細資訊，請參閱 Amazon Redshift 安全群組。

資料庫存取 — 存取資料庫物件 (例如資料表和檢視) 的功能是透過 Amazon Redshift 資料庫中的資料庫使用者帳戶控制。使用者只能存取其使用者帳戶已獲存取許可之資料庫中的資源。您可以透過使用 CREATE USER、CREATE GROUP、GRANT 和 REVOKE SQL 陳述式來建立這些 Amazon Redshift 使用者帳戶並管理許可。如需詳細資訊，請參閱《Amazon Redshift 資料庫開發人員指南》中的管理資料庫安全。

暫時資料庫登入資料和單一登入 — 除了使用 SQL 命令 (例如 CREATE USER 和 ALTER USER) 來建立和管理資料庫使用者，您可以使用自訂 Amazon Redshift JDBC 或 ODBC 驅動程式 (可在資料庫登入程序中管理資料庫使用者的建立程序和暫時密碼)，來設定 SQL 用戶端。這些驅動程式會管理隨著資料庫登入的一部分建立使用者資料庫和暫時密碼的程序。

該驅動程式會根據 AWS Identity and Access Management (IAM) 身分驗證來驗證資料庫使用者。如果您已管理 AWS 外的使用者身分，便可使用符合 SAML 2.0 的身分提供者 (IdP) 來管理 Amazon Redshift 資源的存取。您可以使用 IAM 角色來設定您的 IdP 和 AWS，以允許您的聯合身分使用者產生暫時資料庫登入資料和登入 Amazon Redshift 資料庫。如需詳細資訊，請參閱使用IAM身分驗證來產生資料庫使用者憑證。