Amazon Redshift
Clusterverwaltungshandbuch

Sicherheit in Amazon Redshift

Cloud-Sicherheit hat bei AWS höchste Priorität. Als AWS-Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die zur Erfüllung der Anforderungen von Organisationen entwickelt wurden, für die Sicherheit eine kritische Bedeutung hat.

Sicherheit ist eine übergreifende Verantwortlichkeit zwischen AWS und Ihnen. Im Modell der übergreifenden Verantwortlichkeit wird Folgendes mit „Sicherheit der Cloud“ bzw. „Sicherheit in der Cloud“ umschrieben:

  • Sicherheit der Cloud – AWS ist für den Schutz der Infrastruktur verantwortlich, in der AWS-Services in der AWS Cloud ausgeführt werden. AWS bietet Ihnen außerdem Services, die Sie auf sichere Weise verwenden können. Die Wirksamkeit unserer Sicherheitsfunktionen wird regelmäßig von externen Prüfern im Rahmen des AWS-Compliance-Programms getestet und überprüft. Weitere Informationen zu den Compliance-Programmen für Amazon Redshift finden Sie unter Im Rahmen des Compliance-Programms zugelassene AWS-Services.

  • Sicherheit in der Cloud in – Ihr Verantwortungsumfang wird durch den AWS-Service bestimmt, den Sie verwenden. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften.

Der Zugriff auf Amazon Redshift-Ressourcen wird auf vier Ebenen gesteuert:

  • Cluster-Management – Die Fähigkeit zum Erstellen, Konfigurieren und Löschen von Clustern wird durch die Berechtigungen gesteuert, die der mit Ihren AWS-Sicherheitsanmeldedaten verbundene IAM-Benutzer bzw. das entsprechende Konto erhält. IAM-Benutzer mit den geeigneten Berechtigungen können die AWS Management Console, AWS Command Line Interface (CLI) oder die Amazon Redshift Application Programming Interface (API) zur Verwaltung ihrer Cluster verwenden. Dieser Zugriff wird mit IAM-Richtlinien gesteuert. Details dazu finden Sie unter Identitäts- und Zugriffsverwaltung in Amazon Redshift.

  • Cluster-Konnektivität – Amazon Redshift-Sicherheitsgruppen geben die AWS-Instances, die zur Verbindung mit einem Amazon Redshift-Cluster berechtigt sind, im Classless Inter-Domain Routing (CIDR)-Format an. Für Informationen zur Erstellung von Amazon Redshift-, Amazon EC2- und Amazon VPC-Sicherheitsgruppen und ihre Zuweisung zu Clustern vgl. Amazon Redshift-Cluster-Sicherheitsgruppen.

  • Datenbankzugriff – Die Möglichkeit zum Zugriff auf Datenbankobjekte, wie etwa Tabellen oder Ansichten, wird von Benutzerkonten in der Amazon Redshift;-Datenbank gesteuert. Benutzer können nur auf Ressourcen in der Datenbank zugreifen, für die ihre Benutzerkonten Zugriffsberechtigungen erhalten haben. Sie erstellen diese Amazon Redshift-Benutzerkonten und verwalten Berechtigungen mithilfe der SQL-Anweisungen CREATE USER, CREATE GROUP, GRANT und REVOKE. Weitere Informationen finden Sie unter Verwalten der Datenbanksicherheit im Amazon Redshift Database Developer Guide.

  • Temporäre Datenbankanmeldedaten und einmalige Anmeldung – Zusätzlich zum Erstellen und Verwalten von Datenbankbenutzern mithilfe von SQL-Befehlen wie beispielsweise CREATE USER und ALTER USER können Sie Ihren SQL-Client mit benutzerdefinierten Amazon Redshift-JDBC- oder -ODBC-Treibern konfigurieren. Diese Treiber verwalten die Erstellung von Datenbankbenutzern und temporären Passwörtern als Teil der Datenbankanmeldung.

    Die Treiber authentifizieren Datenbankbenutzer basierend auf der Authentifizierung durch AWS Identity and Access Management (IAM). Wenn Sie bereits Benutzeridentitäten außerhalb von AWS verwalten, können Sie einen SAML 2.0-konformen Identitätsanbieter (Identity Provider, IdP) für die Verwaltung von Zugriff auf Amazon Redshift-Ressourcen verwenden. Sie verwenden eine IAM-Rolle, um den Identitätsanbieter zu konfigurieren, und AWS, um verbundenen Benutzern zu ermöglichen, temporäre Datenbankanmeldeinformationen zu erstellen und sich bei Amazon Redshift-Datenbanken anzumelden. Weitere Informationen finden Sie unter Verwenden der IAM-Authentifizierung zur Erstellung von Benutzeranmeldeinformationen für die Datenbank.

Diese Dokumentation erläutert, wie das Modell der geteilten Verantwortung bei der Verwendung von Amazon Redshift zum Tragen kommt. Die folgenden Themen veranschaulichen, wie Sie Amazon Redshift zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie erfahren außerdem, wie Sie andere AWS-Services verwenden, um Ihre Amazon Redshift-Ressourcen zu überwachen und zu schützen.