Amazon Redshift
クラスター管理ガイド (API バージョン 2012年12月1日)

セキュリティ

Amazon Redshift リソースへのアクセスは 4 つのレベルで制御されます。

  • クラスター管理 – クラスターを作成、設定、削除する機能は、ユーザーまたは AWS セキュリティ認証情報に関連付けられているアカウントに与えられるアクセス権により制御されます。適切なアクセス権を持つ AWS ユーザーは AWS マネジメントコンソール、AWS Command Line Interface (CLI)、Amazon Redshift アプリケーションプログラミングインターフェイス (API) を使用し、クラスターを管理できます。このアクセスは、IAM ポリシーを使用して管理されます。詳細については、「Amazon Redshift に対する認証とアクセスコントロール」を参照してください。

  • クラスター接続性 – Amazon Redshift セキュリティグループにより、クラスレスドメイン間ルーティング (CIDR) 形式での Amazon Redshift クラスターへの接続が許可される AWS インスタンスが指定されます。Amazon Redshift、Amazon EC2、Amazon VPC セキュリティグループを作成し、それらのグループとクラスターを関連付ける方法の詳細については、「Amazon Redshift クラスターセキュリティグループ」を参照してください。

  • データベースアクセス – テーブルやビューなどのデータベースオブジェクトにアクセスできるかどうかは、Amazon Redshift データベースのユーザーアカウントにより制御されます。ユーザーは、ユーザーアカウントがアクセス権限を付与されたデータベースのリソースにのみアクセス可能です。これらの Amazon Redshift ユーザーアカウントの作成とそのアクセス権の管理は、CREATE USERCREATE GROUPGRANTREVOKE SQL ステートメントにより行われます。詳細については、「Managing Database Security」を参照してください。

  • 一時的データベース認証情報およびシングルサインオン – CREATE USER や ALTER USER などの SQL コマンドを使用したデータベースユーザーの作成と管理に加えて、データベースのログオンプロセスの一部としてデータベースユーザーおよび一時パスワードを作成するプロセスを管理するカスタム Amazon Redshift JDBC または ODBC ドライバーで、SQL クライアントを設定できます。

    ドライバーは AWS Identity and Access Management (IAM) の認証に基づいてデータベースユーザーを認証します。既に AWS の外部でユーザー ID を管理している場合は、SAML 2.0 互換 ID プロバイダ (IdP) を使用して Amazon Redshift リソースへのアクセスを管理できます。IAM ロールを使用して、フェデレーティッドユーザーが一時データベース認証情報を生成して Amazon Redshift データベースにログオンすることを許可するよう IdP および AWS を設定できます。詳細については、「IAM 認証を使用したデータベースユーザー認証情報の生成」を参照してください。