亚马逊云科技-保护亚马逊Redshift数据仓库GenAI

亚马逊云科技-保护亚马逊Redshift数据仓库GenAI

关键字: [yt, Amazon Redshift, Access Control, Data Governance, Role-Based Access Control, Row-Level Security, Identity Provider Federation, Dynamic Data Masking, Data Sharing, Single Sign-On, Sensitive Data Protection, User Permissions]

本文字数: 400, 阅读完需: 2 分钟

导读

在一场亚马逊云科技活动上,杨子祺女士发表了题为”利用GenAI保护Amazon Redshift数据仓库”的演讲。她阐释了如何利用Amazon Redshift的原生解决方案构建访问控制和治理。她解释了诸如基于角色的访问控制(RBAC)、行级安全性(RLS)、原生身份提供商联合、动态数据掩码、与亚马逊云科技Lake Formation的集成以及与无服务器身份提供商的单点登录支持等关键功能。该演讲重点介绍了Amazon Redshift如何实现安全的数据访问、细粒度的访问控制,以及与身份提供商的集成,从而增强数据治理和保护。

演讲精华

以下是小编为您整理的本次演讲的精华，共100字，阅读时间大约是0分钟。

在这15分钟的演讲中,亚马逊Redshift产品经理杨子祺女士向大家介绍了如何轻松使用Redshift原生解决方案构建访问控制和治理。她首先分析了使用案例,然后介绍了3个现有的重要功能,接着又介绍了另外3个最新发布的功能。所有这些功能都集中在对Redshift数据的身份验证和授权上。

假设某人在一家金融服务公司工作,并使用Redshift存储和分析各种数据集,如交易详情、定价和股票信息。他需要与交易员、客户和风险经理共享这些数据,但并非每个用户都有权查看所有数据。如果没有Redshift的支持,他需要投入大量资源构建复杂的工具,并定义哪些用户有权访问哪些数据。

首先,让我们来看基于角色的访问控制(RBAC)。RBAC是一个非常强大的功能,它允许系统化地管理用户权限和访问。例如,假设我们有一个名为role1的角色,它被授予了系统权限A和对象权限B。现在,可以将这个role1授予一个或多个用户。所有这些用户都可以执行由权限A和B指定的任务,并且这些用户的所有操作都由角色监控。用户只能执行这两个权限指定的操作,不能做任何其他事情。Redshift还允许为同一用户分配多个角色,一个用户可以继承嵌套角色,并且多个权限可以分配给同一组。这为管理和简化流程提供了灵活性。

随着时间的推移,使用不同的视图或与其他工具集成来管理复杂的用户访问角色可能会变得越来越复杂,并且可扩展性较差。为了解决这个需求,去年推出了对行级别安全性(RLS)的支持。它使用一个名为sysadmin的开箱即用角色来创建RLS策略、管理RLS策略并将策略附加到不同类型的角色上。然后,将角色授予最终用户。现在,与不同的RLS策略关联的不同用户在访问表时将看到表中的不同记录。允许将多个RLS策略附加到同一个表上,并支持这些策略之间的AND语法。为了安全起见,每当在表上启用RLS时,所有未与RLS策略关联的用户将失去对该表的访问权限,除非为他们分配了策略。

如果使用第三方身份提供程序(如Microsoft Azure AD),将从本地身份提供程序联合身份功能中获益。它通过从外部身份提供程序共享身份和组成员资格到Redshift,并使Redshift能够本地处理第三方令牌、身份和组权限,从而简化了管理。假设使用Azure AD,通过此增强功能,可以将Azure AD注册为Redshift的身份提供程序。然后,与Azure AD中的组同名的数据库角色将被创建。当登录Redshift时,用户的组成员资格将从Azure AD检索并映射到相应的数据库角色,可以执行由Azure AD角色授予的所有权限。

今年,推出了许多安全功能,其中三个将与大家分享。第一个是动态数据掩码(DDM)。它也建立在RBAC之上,允许通过编写熟悉的SQL语法来保护PCI敏感数据。工作流程与RLS非常相似,也有一个名为sysadmin的中心角色,可以创建和管理数据掩码策略以及用户角色。对于具有不同数据掩码策略的用户1和用户2,当他们访问同一个表时,他们将看到不同的结果。用户1看到部分掩码列,用户2看到完全掩码列。提供了灵活性,可以进行任何格式的掩码,如部分掩码、完全掩码、混淆掩码或使用自己定义的函数进行数据掩码。还允许有不同的掩码条件,可以使用同一表中的列作为条件列,或者使用另一个表作为查找表来定义掩码策略。

如果正在寻求跨亚马逊云科技服务的架构,并希望统一的服务来管理数据,那么可以使用Amazon Lake Formation。在Lake Formation中可以定义Redshift数据共享的数据库表、列和基于角色的访问权限。当在Lake Formation内部进行数据共享时,而不是与另一个Redshift集群共享数据,可以首先与Lake Formation共享,然后Lake Formation管理员可以将所有这些权限策略应用于数据共享,然后再与数据消费者共享。

最后但同样重要的是,在无服务器环境中支持了与身份提供程序的单点登录。现在,可以根据用户的身份提供程序组成员资格传递授予该用户的数据库角色列表。作为管理员,可以通过添加主体标记作为示例属性来配置身份提供程序传递此角色。可以在Redshift Query Editor、V2JDBC、ODBC客户端和Data API中使用单点登录支持。

在了解了所有这些功能之后,将进行一个演示,结合RBAC、RLS和DDM的功能。在这个演示中,准备了一个名为Credit Cards的表,其中包含客户ID、欺诈和信用卡号码信息。将使用这个表向大家展示如何应用RLS和DDM策略,并为不同的用户授予不同的权限来访问该表。将创建4个掩码策略,分别为之前创建的4个用户。第一个掩码策略是用十字符号替换信用卡号码中的所有字符。第二个掩码策略实际上使用了一个用户定义的函数,它只掩码了中间6位数字,其余数字保持不变。第三个掩码策略是条件掩码策略,使用fraud列作为条件,并根据其值应用掩码。第四个掩码策略显示原始数据。将这些策略附加到表上,并分配给相应的角色。对于完全掩码策略,将其分配给公共角色,这意味着每个人都将看到信用卡号码被完全掩码。对于部分掩码,将其分配给客户服务角色,并赋予优先级10。优先级数字越高,表示该掩码策略将优先应用。对于条件数据掩码策略,将其分配给原始欺诈预防角色。对于原始数据策略,将其分配给审计员角色,并赋予最高优先级。

为了跟踪结果,将为不同的用户设置授权会话,并查看他们从表中看到的内容。对于获得客户服务角色的用户Kate,她将看到中间6位数字未被掩码,这符合预期。对于用户Carly,当欺诈为真时,她将看到条件掩码的结果。对于拥有审计员角色的用户Bob,相信他可以看到所有数字。对于未获得任何特殊权限的用户Gene,她只能看到完全掩码的信用卡号码。

接下来,演讲者创建了一个RLS策略,当FRAUD为真时,该角色将显示记录。他将此策略附加到原始欺诈预防角色上,对于RLS,有一个额外的步骤是启用RLS策略。现在,我们可以检查获得欺诈预防角色的用户在表中看到的内容,表被成功过滤,只有当FRAUD为真时,记录才会显示。

总的来说,演讲者很高兴能在这里与大家分享这6个功能,您可以使用它们来构建与Amazon Redshift原生解决方案的访问控制和联合身份。这里有一些资源链接,您可以扫描二维码并进入文档,阅读并在您自己的平台上尝试。感谢您的参与,这是演讲者的联系方式,他期待与您联系并听取您的反馈。

简要总结: 本演讲介绍了亚马逊Redshift数据仓库中用于保护数据访问的6个关键功能:基于角色的访问控制(RBAC)、行级别安全性(RLS)、本地身份提供程序联合身份、动态数据掩码(DDM)、与Amazon Lake Formation的集成以及无服务器环境中的单点登录支持。这些功能旨在通过身份验证、授权、数据掩码和与外部身份提供程序的集成,为Redshift数据提供全面的访问控制和治理。演讲者还进行了实际演示,展示了如何结合使用这些功能来保护敏感数据并控制不同用户的数据访问权限。

总结

在不断演进的数据安全和治理领域,Amazon Redshift作为创新的引领者,为用户提供了一套全面的功能来保护数据仓库。本文深入探讨了访问控制和数据保护的复杂世界,揭示了一系列强大的工具供用户使用。

首先,基于角色的访问控制(RBAC)系统赋予用户系统地管理用户权限和访问的能力,确保每个人只能执行授权操作。这种细粒度控制简化了管理过程,消除了复杂的变通方法的需求。作为RBAC的补充,行级安全性(RLS)功能允许用户定义策略来控制特定用户可见的数据行,增加了额外的保护层。

此外,动态数据掩码功能能够根据用户角色和策略,部分或完全掩码敏感信息。这一功能不仅增强了数据隐私,而且确保了行业法规的合规性。与Amazon云科技Lake Formation无缝集成,用户可以扩展治理能力跨越Amazon云科技服务,实现统一的数据访问控制和共享。

最后,在无服务器模式下与身份提供商的单点登录支持简化了身份验证,允许用户利用现有的身份和组成员资格无缝访问Redshift资源。

总之,Amazon Redshift全面的安全和治理功能赋予用户控制数据的能力,确保敏感信息受到保护,同时允许授权用户访问和分析所需的数据。拥抱这些强大的工具,释放数据仓库的全部潜力,保护组织最宝贵的资产。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。亚马逊云科技致力于成为企业构建和应用生成式AI的首选，通过生成式AI技术栈，提供用于模型训练和推理的基础设施服务、构建生成式AI应用的大模型等工具、以及开箱即用的生成式AI应用。深耕本地、链接全球 – 在中国，亚马逊云科技通过安全、稳定、可信赖的云服务，助力中国企业加速数字化转型和创新，并深度参与全球化市场。