Amazon Redshift
クラスター管理ガイド (API バージョン 2012-12-01)

セキュリティ

Amazon Redshift リソースへのアクセスは 4 つのレベルで制御されます。

  • クラスター管理 – クラスターを作成、設定、削除する機能は、ユーザーまたは AWS セキュリティ認証情報に関連付けられているアカウントに与えられるアクセス権限によって制御されます。適切なアクセス権を持つ AWS ユーザーは、AWS マネジメントコンソール、AWS Command Line Interface (CLI)、または Amazon Redshift アプリケーションプログラミングインターフェイス (API) を使用してクラスターを管理できます。このアクセスは、IAM ポリシーを使用して管理されます。詳細については、「Amazon Redshift に対する認証とアクセスコントロール」を参照してください。

  • クラスター接続性 – Amazon Redshift セキュリティグループにより、クラスレスドメイン間ルーティング (CIDR) 形式での AWS クラスターへの接続が許可される Amazon Redshift インスタンスが指定されます。Amazon Redshift、Amazon EC2、Amazon VPC セキュリティグループを作成し、それらのグループとクラスターを関連付ける方法の詳細については、「Amazon Redshift クラスターセキュリティグループ」を参照してください。

  • データベースアクセス – テーブルやビューなどのデータベースオブジェクトにアクセスできるかどうかは、Amazon Redshift データベースのユーザーアカウントにより制御されます。ユーザーは、ユーザーアカウントがアクセス権限を付与されたデータベースのリソースにのみアクセス可能です。これらの Amazon Redshift ユーザーアカウントの作成とそのアクセス権の管理は、CREATE USERCREATE GROUPGRANTREVOKE SQL ステートメントを使用して行います。詳細については、「データベースセキュリティの管理」を参照してください。

  • 一時的データベース認証情報およびシングルサインオン – CREATE USER や ALTER USER などの SQL コマンドを使用したデータベースユーザーの作成と管理に加えて、カスタム Amazon Redshift JDBC または ODBC ドライバーで SQL クライアントを設定できます。これらのドライバーは、データベースのログオンプロセスの一部として、データベースユーザーや仮パスワードを作成するプロセスを管理します。

    ドライバーは AWS Identity and Access Management (IAM) 認証に基づいてデータベースユーザーを認証します。既に AWS の外部でユーザー ID を管理している場合は、SAML 2.0 互換 ID プロバイダ (IdP) を使用して Amazon Redshift リソースへのアクセスを管理できます。IAM ロールを使用して、フェデレーティッドユーザーが一時データベース認証情報を生成して Amazon Redshift データベースにログオンすることを許可するよう IdP および AWS を設定できます。詳細については、「IAM 認証を使用したデータベースユーザー認証情報の生成」を参照してください。