Amazon Redshift のセキュリティ - Amazon Redshift

Amazon Redshift のセキュリティ

AWS ではクラウドセキュリティが最優先事項です。セキュリティを最も重視する組織の要件を満たすために構築された AWS のデータセンターとネットワークアーキテクチャは、お客様に大きく貢献します。

セキュリティは、AWS と顧客の間の責任共有です。責任共有モデルでは、この責任がクラウドのセキュリティおよびクラウド内のセキュリティとして説明されています。

  • クラウドのセキュリティ - AWS は、AWS クラウドで AWS サービスを実行するインフラストラクチャを保護する責任を負います。また、AWS は、使用するサービスを安全に提供します。セキュリティの有効性は、AWS コンプライアンスプログラムの一環として、サードパーティーの審査機関によって定期的にテストおよび検証されています。Amazon Redshift に適用されるコンプライアンスプログラムについては、「コンプライアンスプログラムによる AWS 対象範囲内のサービス」を参照してください。

  • クラウド内のセキュリティ - お客様の責任は使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、組織の要件、および適用可能な法律および規制などの他の要因についても責任を担います。

Amazon Redshift リソースへのアクセスは 4 つのレベルで制御されます。

  • クラスターの管理 – クラスターを作成、設定、削除できるかどうかは、AWS セキュリティ認証情報と関連するユーザーやアカウントに付与したアクセス許可で制御します。適切なアクセス許可が付与されたユーザーは、AWS Management Console、AWS Command Line Interface (CLI)、または Amazon Redshift アプリケーションプログラミングインターフェイス (API) を使用して、クラスターを管理できます。このアクセスは、 ポリシーを使用して管理されます。

    重要

    Amazon Redshift には、アクセス許可、ID、および安全なアクセスを管理するためのベストプラクティス集が用意されています。Amazon Redshift を使い始めるにあたり、これらに慣れておくことをお勧めします。詳細については、「Amazon Redshift での Identity and Access Management」を参照してください。

  • クラスター接続性 – Amazon Redshift セキュリティグループにより、クラスレスドメイン間ルーティング (CIDR) 形式での Amazon Redshift クラスターへの接続が許可される AWS インスタンスが指定されます。Amazon Redshift、Amazon EC2、Amazon VPC セキュリティグループを作成し、それらをクラスターに関連付ける方法については、Amazon Redshift クラスターセキュリティグループ を参照してください。

  • データベースアクセス – テーブルやビューなどのデータベースオブジェクトにアクセスできるかどうかは、Amazon Redshift データベースのデータベースユーザーアカウントで制御します。ユーザーは、ユーザーアカウントがアクセス権限を付与されたデータベースのリソースにのみアクセス可能です。これらの Amazon Redshift ユーザーアカウントを作成してアクセス許可を管理するには、CREATE USERCREATE GROUPGRANTREVOKE SQL ステートメントを使用します。詳細については、「Amazon Redshift データベースデベロッパーガイド」の「データベースセキュリティの管理」を参照してください。

  • 一時的データベース認証情報およびシングルサインオン – CREATE USER や ALTER USER などの SQL コマンドを使用したデータベースユーザーの作成と管理に加えて、カスタム Amazon Redshift JDBC または ODBC ドライバーで SQL クライアントを設定できます。これらのドライバーは、データベースのログオンプロセスの一部として、データベースユーザーや仮パスワードを作成するプロセスを管理します。

    ドライバーは AWS Identity and Access Management (IAM) 認証に基づいてデータベースユーザーを認証します。既に AWS の外部でユーザー ID を管理している場合、Security Assertion Markup Language (SAML) 2.0 に準拠した ID プロバイダー (IdP) を使用して、Amazon Redshift リソースへのアクセスを管理できます。IAM ロールを使用して、フェデレーティッドユーザーが一時データベース認証情報を生成して Amazon Redshift データベースにログオンすることを許可するよう IdP および AWS を設定できます。詳細については、「IAM 認証を使用したデータベースユーザー認証情報の生成」を参照してください。

このドキュメントは、Amazon Redshift を使用する際の責任共有モデルの適用方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するように Amazon Redshift を設定する方法について説明します。また、Amazon Redshift リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。