管理資料庫安全

主題

• Amazon Redshift 安全性概觀
• 預設的資料庫使用者許可
• 超級使用者
• 使用者
• 群組
• 結構描述
• 角色型存取控制 (RBAC)
• 資料列層級安全性
• 中繼資料安全性
• 動態資料遮罩
• 限定範圍權限

您可以控制哪些使用者可以存取哪些資料庫物件來管理資料庫安全性。

能否存取資料庫物件取決於您授予使用者或群組的許可。下列準則彙總資料庫安全性的運作方式：

• 依預設，只對物件擁有者授予許可。

• Amazon Redshift 資料庫使用者是可以連接至資料庫的具名使用者。使用者會以兩種方式獲得許可：直接明確地或隱含地將這些許可指派給帳戶、成為已獲得許可的群組成員。

• 群組是可以集體獲指派許可，以簡化安全維護的使用者集合。

• 結構描述是資料庫資料表和其他資料庫物件的集合。結構描述與檔案系統目錄相似，但結構描述無法巢狀化。使用者可獲得存取單一結構描述或多個結構描述的權限。

此外，Amazon Redshift 還採用下列功能，讓您更好地控制哪些使用者可以存取哪些資料庫物件：

• 角色型存取控制 (RBAC) 可讓您將許可指派給角色，然後再套用至使用者，讓您控制大型使用者群組的許可。與群組不同，角色可以繼承其他角色的許可。

  資料列層級安全 (RLS) 可讓您定義政策，限制所選擇資料列的存取權，然後將這些政策套用至使用者或群組。

  動態資料遮罩 (DDM) 可在查詢執行期轉換資料，進一步保護您的資料，讓您可以允許使用者存取資料，但不會暴露敏感詳細資料。

如需安全性實作的範例，請參閱控制使用者和群組存取的範例。

如需保護資料的相關資訊，請參閱《Amazon Redshift 管理指南》中的 Amazon Redshift 中的安全性。