Seguridad en Amazon Redshift

La seguridad en la nube de AWS es la máxima prioridad. Como cliente de AWS, se beneficia de una arquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y el usuario. El modelo de responsabilidad compartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta los servicios de AWS en la nube de AWS AWS también proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS. Para obtener más información acerca de los programas de conformidad que corresponde aplicar a Amazon Redshift, consulte Servicios de AWS en el ámbito del programa de conformidad.

• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. Usted también es responsable de otros factores incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.

El acceso a los recursos de Amazon Redshift se controla en cuatro niveles:

• Administración de clústeres: la capacidad para crear, configurar y eliminar clústeres se controla mediante los permisos que se conceden al usuario o la cuenta asociados a las credenciales de seguridad de AWS. Los usuarios con los permisos correspondientes pueden usar la AWS Management Console, la AWS Command Line Interface (CLI) o la interfaz de programación de aplicaciones (API) de Amazon Redshift para administrar sus clústeres. Este acceso se administra con políticas de IAM.

  importante

  Amazon Redshift tiene una serie de prácticas recomendadas para administrar los permisos, las identidades y el acceso seguro. Le recomendamos que se familiarice con estos elementos cuando comience a utilizar Amazon Redshift. Para obtener más información, consulte Administración de identidades y accesos en Amazon Redshift.

• Conectividad de los clústeres: los grupos de seguridad de Amazon Redshift especifican las instancias de AWS que tienen autorización para conectarse a un clúster de Amazon Redshift en formato CIDR (enrutamiento entre dominios sin clases). Para obtener más información sobre cómo crear grupos de seguridad de Amazon Redshift, Amazon EC2 y Amazon VPC, y cómo asociarlos a los clústeres, consulte Grupos de seguridad del clúster de Amazon Redshift.

• Acceso a la base de datos: la capacidad para obtener acceso a objetos de la base de datos, como tablas y vistas, se controla con las cuentas de usuario de la base de datos de Amazon Redshift. Los usuarios solo pueden obtener acceso a los recursos de la base de datos para los cuales sus cuentas de usuario han recibido permiso. Las cuentas de usuario de Amazon Redshift y los permisos de administración se crean mediante las instrucciones CREATE USER, CREATE GROUP, GRANT y REVOKE de SQL. Para obtener más información, consulte Administración de la seguridad de bases de datos en la Guía para desarrolladores de bases de datos de Amazon Redshift.

• Credenciales temporales de bases de datos e inicio de sesión único: además de crear y administrar los usuarios de las bases de datos a través de comandos SQL, como CREATE USER y ALTER USER, puede configurar el cliente SQL con controladores personalizados JDBC u ODBC de Amazon Redshift. Estos controladores administran el proceso de creación de usuarios de bases de datos y contraseñas temporales como parte del proceso de inicio de sesión en la base de datos.

  Los controladores autentican a los usuarios de la base de datos en función de la autenticación de AWS Identity and Access Management (IAM). Si ya administra las identidades de los usuarios fuera de AWS, puede utilizar un proveedor de identidad (IdP) conforme con SAML 2.0 para administrar el acceso a los recursos de Amazon Redshift. Puede utilizar un rol de IAM para configurar el proveedor de identidad y AWS para permitir que los usuarios federados generen credenciales de base de datos temporales e inicien sesión en bases de datos de Amazon Redshift. Para obtener más información, consulte Uso de la autenticación de IAM para generar credenciales de usuario de base de datos.

Esta documentación lo ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Amazon Redshift. En los siguientes temas, se le mostrará cómo configurar Amazon Redshift para cumplir sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS que ayudan a monitorear y proteger los recursos de Amazon Redshift.

Temas

• Protección de los datos en Amazon Redshift
• Administración de identidades y accesos en Amazon Redshift
• Administración de las contraseñas de administrador de Amazon Redshift mediante AWS Secrets Manager
• Registro y monitoreo en Amazon Redshift
• Validación de la conformidad para Amazon Redshift
• Resiliencia en Amazon Redshift
• Seguridad de la infraestructura de Amazon Redshift
• Configuración y análisis de vulnerabilidades en Amazon Redshift