Redshift 安全访问控制分为四个级别:
Cluster Management – 创建、配置和删除集群的能力,由IAM Policy进行管理。
Cluster Connectivity - 连接集群,由安全组(CIDR)管理
数据库访问 - 访问数据库对象(例如表和视图)的能力,由 Redshift 中的数据库用户控制。 用户只能访问已被授予访问权限的数据库中的资源。 使用 CREATE ROLE、CREATE USER、CREATE GROUP、GRANT 和 REVOKE SQL 语句创建这些用户并管理权限。
临时数据库凭证和单点登录 – 除了使用 SQL 命令(例如 CREATE USER 和 ALTER USER)创建和管理数据库用户之外,还可以使用自定义 Redshift JDBC 或 ODBC 驱动程序配置 SQL 客户端。 这些驱动程序管理创建数据库用户和临时密码的过程, 驱动程序根据IAM身份验证对数据库用户进行身份验证。 如果在 AWS 外部管理用户身份,则可以使用符合 SAML 2.0 的身份提供商 (IdP) 来管理对Redshift 资源的访问,使用 IAM 角色来配置 IdP 和 AWS,以允许联合用户生成临时数据库凭证并登录Redshift 数据库。