Amazon Redshift
クラスター管理ガイド

Amazon Redshift でのセキュリティ

AWS では、クラウドのセキュリティが最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャから利点を得られます。

セキュリティは、AWS とお客様の間の共有責任です。共有責任モデルでは、これをクラウドセキュリティおよびクラウドのセキュリティとして説明しています。

  • クラウドのセキュリティ – AWS は、AWS クラウド内で AWS サービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、使用するサービスを安全に提供します。セキュリティの有効性は、AWS コンプライアンスプログラムの一環として、サードパーティーの監査が定期的にテストおよび検証されています。Amazon Redshift に適用するコンプライアンスプログラムの詳細については、コンプライアンスプログラムによる AWS 対象範囲内のサービスを参照してください。

  • クラウド内のセキュリティ – お客様の責任はお客様が使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、組織の要件、および適用可能な法律および規制などの他の要因についても責任を担います。

Amazon Redshift リソースへのアクセスは 4 つのレベルで制御されます。

  • クラスター管理 クラスターを作成、設定、削除する機能は、IAM ユーザー、または AWS セキュリティ認証情報に関連付けられているアカウントに付与されるアクセス許可で制御されます。適切なアクセス許可が付与された IAM ユーザーは、AWS マネジメントコンソール、AWS Command Line Interface (CLI)、または Amazon Redshift アプリケーションプログラミングインターフェイス (API) を使用し、クラスターを管理できます。このアクセスは、IAM ポリシーを使用して管理されます。詳細については、「Amazon Redshift での Identity and Access Management」を参照してください。

  • クラスター接続性 – Amazon Redshift セキュリティグループにより、クラスレスドメイン間ルーティング (CIDR) 形式での AWS クラスターへの接続が許可される Amazon Redshift インスタンスが指定されます。Amazon Redshift、Amazon EC2、Amazon VPC セキュリティグループを作成し、それらのグループとクラスターを関連付ける方法の詳細については、「Amazon Redshift クラスターセキュリティグループ」を参照してください。

  • データベースアクセス – テーブルやビューなどのデータベースオブジェクトにアクセスできるかどうかは、Amazon Redshift データベースのユーザーアカウントにより制御されます。ユーザーは、ユーザーアカウントがアクセス権限を付与されたデータベースのリソースにのみアクセス可能です。これらの Amazon Redshift ユーザーアカウントの作成とそのアクセス権の管理は、CREATE USERCREATE GROUPGRANTREVOKE SQL ステートメントを使用して行います。詳細については、Amazon Redshift Database Developer Guide の「データベースセキュリティの管理」を参照してください。

  • 一時的データベース認証情報およびシングルサインオン – CREATE USER や ALTER USER などの SQL コマンドを使用したデータベースユーザーの作成と管理に加えて、カスタム Amazon Redshift JDBC または ODBC ドライバーで SQL クライアントを設定できます。これらのドライバーは、データベースのログオンプロセスの一部として、データベースユーザーや仮パスワードを作成するプロセスを管理します。

    ドライバーは AWS Identity and Access Management (IAM) 認証に基づいてデータベースユーザーを認証します。既に AWS の外部でユーザー ID を管理している場合は、SAML 2.0 互換 ID プロバイダ (IdP) を使用して Amazon Redshift リソースへのアクセスを管理できます。IAM ロールを使用して、フェデレーティッドユーザーが一時データベース認証情報を生成して Amazon Redshift データベースにログオンすることを許可するよう IdP および AWS を設定できます。詳細については、「IAM 認証を使用したデータベースユーザー認証情報の生成」を参照してください。

このドキュメントは、Amazon Redshift を使用する際に共有責任モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために Amazon Redshift を設定する方法を示します。また、Amazon Redshift リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。