Sécurité des bases de données

Vous pouvez gérer de la sécurité de la base de données en contrôlant les utilisateurs ayant accès aux objets qu’elle contient. Les utilisateurs peuvent se voir attribuer des rôles ou des groupes, et les autorisations que vous accordez aux utilisateurs, aux rôles ou aux groupes déterminent les objets de base de données auxquels ils peuvent accéder.

Rubriques

• Présentation de la sécurité d’Amazon Redshift
• Autorisations par défaut des utilisateurs de base de données
• Super-utilisateurs
• Users
• Groups
• Schémas
• Contrôle d'accès basé sur les rôles () RBAC
• Sécurité au niveau des lignes
• Sécurité des métadonnées
• Masquage dynamique des données
• Autorisations étendues

L'accès aux objets de base de données dépend des autorisations que vous accordez aux utilisateurs ou aux rôles. Les consignes suivantes résument le fonctionnement de la sécurité de la base de données :

• Par défaut, les autorisations sont accordées uniquement au propriétaire de l’objet.

• Les utilisateurs de la base de données Amazon Redshift sont appelés des utilisateurs qui peuvent se connecter à une base de données. Un utilisateur bénéficie des autorisations de deux façons : de manière explicite, en affectant ces autorisations directement au compte, ou implicitement, en étant membre d’un groupe qui bénéficie d’autorisations.

• Les groupes sont des ensembles d’utilisateurs qui peuvent bénéficier collectivement d’autorisations à des fins de maintenance de sécurité rationalisée.

• Les schémas sont des ensembles de tables de base de données et d’autres objets de base de données. Les schémas sont similaires aux répertoires de système de fichiers, sauf qu’ils ne peuvent pas s’imbriquer. Les utilisateurs peuvent bénéficier d’un accès à un seul schéma ou à plusieurs schémas.

En outre, Amazon Redshift utilise les fonctionnalités suivantes pour vous permettre de contrôler plus finement quels utilisateurs ont accès à quels objets de la base de données :

• Le contrôle d'accès basé sur les rôles (RBAC) vous permet d'attribuer des autorisations à des rôles que vous pouvez ensuite appliquer aux utilisateurs, ce qui vous permet de contrôler les autorisations pour de grands groupes d'utilisateurs. Contrairement aux groupes, les rôles peuvent hériter des autorisations d’autres rôles.

  La sécurité au niveau des lignes (RLS) vous permet de définir des politiques qui limitent l'accès aux lignes de votre choix, puis d'appliquer ces politiques aux utilisateurs ou aux groupes.

  Le masquage dynamique des données (DDM) protège davantage vos données en les transformant lors de l'exécution de la requête afin que vous puissiez autoriser les utilisateurs à accéder aux données sans révéler de détails sensibles.

Pour obtenir des exemples d’implémentation de la sécurité, consultez Exemple de contrôle d’accès utilisateur et de groupe.

Pour plus d’informations sur la protection de vos données, consultez Sécurité d’Amazon Redshift du Guide de la gestion du cluster Amazon Redshift.