Amazon Redshift 中的安全 - Amazon Redshift

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Redshift 中的安全

雲端安全是 AWS 最重視的一環。身為 AWS 客戶的您,將能從資料中心和網路架構的建置中獲益,以滿足組織最為敏感的安全要求。

安全是 AWS 與您共同的責任。‬共同的責任模型‭‬ 將此描述為雲端 ‭‬本身‭‬ 的安全和雲端‬內部‬的安全:

  • 雲端本身的安全:AWS 負責保護在 AWS Cloud 中執行 AWS 服務的基礎設施。AWS 也提供您可安全使用的服務。第三方稽核人員定期檢測及驗證安全的效率也是我們 AWS 合規計劃的一部分。若要了解適用於 Amazon Redshift 的合規計畫,請參閱合規計畫範圍內的 AWS 服務

  • 雲端內部的安全 – 您的責任取決於所使用的 AWS 服務。您也必須對其他因素負責,包括資料的敏感度、您組織的需求和適用的法律及法規。

對 Amazon Redshift 資源的存取會以四個層級控制:

  • 叢集管理 — 建立、設定和刪除叢集的功能是透過提供給予 AWS 安全性登入資料關聯的使用者或帳戶的許可來控制。具有適當許可的使用者可以使用 AWS Management Console、AWS Command Line Interface (CLI) 或 Amazon Redshift 應用程式介面 (API) 來管理其叢集。此存取透過使用 IAM 政策來管理。

    重要

    Amazon Redshift 集合了用於管理許可、身分和安全存取的最佳實務。建議您在開始使用 Amazon Redshift 時熟悉這些內容。如需詳細資訊,請參閱Amazon Redshift 中的身分和存取管理

  • 叢集連線 — Amazon Redshift 安全性群組會指定 AWS 執行個體,其獲授權可連線至格式為無類別網域間路由 (CIDR) 的 Amazon Redshift 叢集。如需建立 Amazon Redshift、Amazon EC2 和 Amazon VPC 安全群組以及將它們與叢集建立關聯的詳細資訊,請參閱 Amazon Redshift 叢集安全群組

  • 資料庫存取 — 存取資料庫物件 (例如資料表和檢視) 的功能是透過 Amazon Redshift 資料庫中的資料庫使用者帳戶控制。使用者只能存取其使用者帳戶已獲存取許可之資料庫中的資源。您可以透過使用 CREATE USERCREATE GROUPGRANTREVOKE SQL 陳述式來建立這些 Amazon Redshift 使用者帳戶並管理許可。如需詳細資訊,請參閱《Amazon Redshift 資料庫開發人員指南》中的管理資料庫安全

  • 暫時資料庫登入資料和單一登入 — 除了使用 SQL 命令 (例如 CREATE USER 和 ALTER USER) 來建立和管理資料庫使用者,您可以使用自訂 Amazon Redshift JDBC 或 ODBC 驅動程式 (可在資料庫登入程序中管理資料庫使用者的建立程序和暫時密碼),來設定 SQL 用戶端。這些驅動程式會管理隨著資料庫登入的一部分建立使用者資料庫和暫時密碼的程序。

    該驅動程式會根據 AWS Identity and Access Management (IAM) 身分驗證來驗證資料庫使用者。如果您已管理 AWS 外的使用者身分,便可使用符合 SAML 2.0 的身分提供者 (IdP) 來管理 Amazon Redshift 資源的存取。您可以使用 IAM 角色來設定您的 IdP 和 AWS,以允許您的聯合身分使用者產生暫時資料庫登入資料和登入 Amazon Redshift 資料庫。如需詳細資訊,請參閱使用 IAM 身分驗證產生資料庫使用者憑證

本文件有助於您了解如何在使用 Amazon Redshift 時套用共同責任模型。下列主題說明如何將 Amazon Redshift 設定為符合您的安全與合規目標。您也將了解如何使用其他 AWS 服務,幫助您監控並保護 Amazon Redshift 資源。