Sécurité dans Amazon Redshift

Sécurité du cloud : AWS est responsable de la protection de l’infrastructure qui exécute des services AWS dans le cloud AWS. AWS vous fournit également les services que vous pouvez utiliser en toute sécurité. L’efficacité de notre sécurité est régulièrement testée et vérifiée par des auditeurs tiers dans le cadre des programmes de conformité AWS. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon Redshift, veuillez consulter Services AWS concernés par le programme de conformité.

Sécurité dans le cloud : votre responsabilité est déterminée par le service AWS que vous utilisez. Vous êtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation, et la législation et la réglementation applicables.

Gestion de cluster : la possibilité de créer, de configurer et de supprimer des clusters est contrôlée par les autorisations accordées à l'utilisateur ou au compte IAM associé à vos informations d'identification de sécurité AWS. Les utilisateurs ayant les autorisations appropriées peuvent utiliser la AWS Management Console, AWS Command Line Interface (CLI) ou l'interface de programme d'application (API) Amazon Redshift pour gérer leurs clusters. Cet accès est géré à l'aide de politiques IAM.

Connectivité du cluster : les groupes de sécurité Amazon Redshift spécifient les instances AWS qui sont autorisées à se connecter à un cluster Amazon Redshift au format CIDR (Classless Inter-Domain Routing). Pour plus d'informations sur la création de groupes de sécurité Amazon Redshift, Amazon EC2 et Amazon VPC, ainsi que leur association à des clusters, consultez la section Groupes de sécurité Amazon Redshift.

Accès à la base de données : la possibilité d'accéder aux objets de base de données, tels que les tables et les vues, est contrôlée par les comptes d'utilisateur dans la base de données Amazon Redshift. Les utilisateurs peuvent uniquement accéder aux ressources de la base de données auxquelles leurs comptes d'utilisateur ont l'autorisation d'accéder. Vous créez ces comptes d’utilisateur Amazon Redshift et gérez les autorisations à l’aide des instructions SQL CREATE USER, CREATE GROUP, GRANT et REVOKE. Pour plus d’informations, consultez Gestion de la sécurité de la base de données dans le Guide du développeur de base de données Amazon Redshift.

Informations d'identification temporaires de base de données et authentification unique : en plus de créer et de gérer les utilisateurs de base de données à l'aide des commandes SQL, telles que CREATE USER et ALTER USER, vous pouvez configurer votre client SQL avec des pilotes JDBC ou ODBC Amazon Redshift personnalisés. Ces pilotes gèrent la création d'utilisateurs de base de données et de mots de passe temporaires dans le cadre du processus de connexion à une base de données.

Les pilotes authentifient les utilisateurs de base de données sur la base de l’authentification d’AWS Identity and Access Management (IAM). Si vous gérez déjà des identités utilisateur en dehors d’AWS, vous pouvez utiliser un fournisseur d’identité (IdP) conforme SAML 2.0 pour gérer l’accès aux ressources Amazon Redshift. À l'aide d'un rôle IAM, vous pouvez configurer votre IdP et AWS de manière à permettre à vos utilisateurs fédérés de générer des informations d'identification temporaires de bases de données et de se connecter aux bases de données Amazon Redshift. Pour plus d’informations, consultez Utilisation de l’authentification IAM pour générer des informations d’identification de l’utilisateur de base de données.