Пожалуйста, помогите мне с требованиями моего варианта использования, как указано ниже
Мы развернули кластер aws redshift с группами безопасности, доступными в настоящее время для всех, но я хочу ограничить доступ к этой группе безопасности для определенных людей, когда соединение выполняется с их личного устройства (например, ноутбука). Эти определенные люди находятся в разных местах по всему миру. Какое существующее решение я могу применить, чтобы ограничить свой доступ к тем людям, которые используют это определенное устройство (например, ноутбук)
* Примечание: - Решение должно позволять только этим людям получать доступ к кластеру с личного устройства.
предложение о настройке экземпляра windows ec2 для доступа к красному смещению было отклонено
Пользователи находятся в разных географических точках и используют разных поставщиков услуг Интернет-провайдера для подключения к красному смещению. Настроить изменения на исходной стороне, т.е. на стороне пользователя, невозможно по некоторым неизбежным причинам.
Вы можете ограничить доступ к базе данных Redshift, создав учетные записи пользователей / групп.
Выполните заявление об отзыве из своей учетной записи «суперпользователя», чтобы отозвать доступ для определенной группы пользователей.
Например: отозвать все для всех таблиц в test1_db из test2_group2
По умолчанию тот, кто создает объект базы данных, является его владельцем. Итак, если test2_group2 создает новую БД, вам нужно вернуться и создать ее снова, используя свою учетную запись суперпользователя в архитектура красного смещения.
Вот страница, на которой вы можете найти дополнительную информацию об архитектуре и компонентах Redshift.
В базе данных Redshift пользователи получают доступ к объектам базы данных, представлениям и таблицам в зависимости от привилегий, предоставленных их учетным записям. Пользователи могут получить доступ только к тем частям, для которых им предоставлено разрешение на доступ. В зависимости от того, как вы хотите ограничить доступ пользователей к БД Redshift, вы можете использовать такие операторы, как CREATE USER, GRANT, CREATE GROUP и REVOKE SQL. Я бы порекомендовал безопасность на уровне группы для упрощения обслуживания.
Вот несколько рекомендаций по безопасности Redshift:
По умолчанию доступ предоставляется только владельцу объекта.
Учетные записи пользователей подключают пользователей к базе данных. Привилегии предоставляются явно, путем их непосредственного назначения учетной записи пользователя. Это может быть сделано неявно, став членом группы с предоставленными привилегиями.
Группы включают нескольких пользователей, которым назначен коллективный доступ. Это позволяет легко поддерживать максимальный уровень безопасности.
Таблицы базы данных и другие объекты базы данных вместе называются схемами. Пользователи могут получить доступ к одной или нескольким схемам.
Дополнительную информацию об архитектуре и возможностях Redshift можно найти в этом статья.
Как ты говоришь
Пользователи находятся в разных географических точках и используют разных поставщиков услуг Интернета для подключения к красному смещению.
Я предполагаю, что мы говорим о динамических IP-адресах, поэтому вы не можете ограничивать их IP-адреса внутри группы безопасности, поскольку они постоянно меняются. Единственный способ, о котором я могу думать прямо сейчас, - это заблокировать каждый внешний IP-адрес в группе безопасности кластера Redshift и настроить «узел перехода SSH» внутри того же VPC. Если вы теперь разрешите этому хосту подключаться к кластеру Redshift, пользователи смогут получить доступ к Redshift через туннель SSH. Поскольку вы можете развернуть разные закрытые ключи SSH для каждой машины, вы можете ограничить и позволить людям, независимым друг от друга, получить доступ к кластеру Redshift. Для подключения к БД через туннели SSH доступно несколько инструментов SQL, так что, возможно, ваши пользователи уже этим пользуются, и вы можете ограничить доступ для определенных пользователей.