[AWS SCS] Redshift 보안

Amazon Redshift 보안 개요 및 권한 관리

Amazon Redshift는 강력한 데이터 웨어하우징 서비스를 제공하지만, 그만큼 보안 관리도 중요합니다. 이번 포스트에서는 Redshift의 보안 모델, 권한 관리 및 IAM 인증 방식을 다루어 보겠습니다.

1. Redshift 보안 계층 구조

슈퍼유저 (Superusers)

• 권한: 모든 데이터베이스에 대해 데이터베이스 소유자와 동일한 권한을 가집니다.
• 예시: 기본적으로 Redshift 클러스터를 생성하면 admin이라는 슈퍼유저가 자동으로 생성됩니다.
• 슈퍼유저 권한 생성: 슈퍼유저만 다른 슈퍼유저를 생성할 수 있습니다.

사용자 (Users)

• 생성 및 삭제: 슈퍼유저만 사용자를 생성하고 삭제할 수 있습니다.
• 권한 부여: 사용자는 자신이 소유한 데이터베이스와 데이터베이스 객체(예: 테이블)에 대해 권한을 부여받습니다.
• 권한 관리:
  • 명시적 권한: 특정 사용자에게 직접 권한이 부여됩니다.
  • 암시적 권한: 사용자가 속한 그룹에 권한이 부여되면, 해당 권한이 사용자의 권한으로 적용됩니다.

그룹 (Groups)

• 정의: 그룹은 여러 사용자를 묶어 한 번에 권한을 할당할 수 있는 단위입니다.
• 장점: 보안 유지 관리가 간편해지고, 여러 사용자의 권한을 효율적으로 관리할 수 있습니다.

데이터베이스 (Databases)

• 정의: 하나 이상의 스키마로 구성된 데이터의 집합입니다.
• 소유자: 사용자가 데이터베이스를 생성하면 해당 사용자가 데이터베이스 소유자가 됩니다. 그러나 슈퍼유저는 항상 데이터베이스에 대한 권한을 가집니다.

스키마 (Schemas)

• 정의: 데이터베이스 테이블과 다른 객체들을 그룹화하는 논리적인 단위입니다.
• 사용자 권한: 사용자는 하나 이상의 스키마에 대한 권한을 가질 수 있으며, 이를 통해 데이터를 구조적으로 관리합니다.

2. Redshift 권한 부여 및 인증

로그인 및 권한 부여

• 로그인: 기본적으로 사용자는 사용자 이름과 비밀번호로 Redshift에 로그인합니다.
• IAM 자격 증명 사용: 비밀번호 대신 IAM 자격 증명을 사용하여 Redshift에 연결할 수 있습니다.
  • GetClusterCredentials API를 통해 임시 자격 증명을 받을 수 있으며, 이를 통해 사용자는 임시 사용자 이름과 비밀번호로 로그인합니다.

임시 자격 증명 사용

• 사용자 인증: IAM 권한을 가진 사용자는 기존 데이터베이스 사용자로 로그인할 수 있으며, 임시 자격 증명이 발급됩니다.
• IAM 보안 강화: 임시 자격 증명을 통해 사용자의 비밀번호를 비활성화하고, IAM 기반의 보안을 강화할 수 있습니다.

새로운 사용자 생성

• GetClusterCredentials Autocreate 옵션을 사용하면 매번 새로운 데이터베이스 사용자가 생성됩니다.

읽기 전용 사용자

• 읽기 전용 사용자를 만들려면, 해당 사용자를 읽기 전용 권한을 가진 그룹에 추가하고, 지정된 스키마에 대한 권한을 부여해야 합니다. 이후 새로운 스키마가 생성되면 해당 그룹을 수정해야 합니다.

3. Amazon Redshift 보안 관리 요약

• 슈퍼유저는 모든 데이터베이스에 대해 관리 권한을 가지며, 다른 슈퍼유저를 생성할 수 있습니다.
• 사용자는 명시적 혹은 암시적 방식으로 권한을 부여받으며, 그룹을 통해 권한을 효율적으로 관리할 수 있습니다.
• IAM 인증을 통해 임시 자격 증명을 사용하여 더욱 강화된 보안 환경을 구축할 수 있습니다.
• 읽기 전용 사용자 및 기타 세부 권한 관리는 그룹 기반으로 관리되며, 추가적인 보안 강화를 위한 설정이 가능합니다.

Redshift의 보안 모델을 잘 이해하고 활용하면, 강력하고 유연한 보안 관리를 통해 데이터베이스를 안전하게 운영할 수 있습니다. 이와 같은 권한 관리 및 IAM 인증 방식을 이해하는 것은 시험 대비에도 중요한 부분이므로, 실전에서 유용하게 활용할 수 있습니다.