25、Amazon Redshift 数据安全与治理：权限、角色与数据保护策略

Amazon Redshift 数据安全与治理：权限、角色与数据保护策略

在现代数据管理中，数据安全与治理是至关重要的环节。Amazon Redshift 作为一款强大的数据仓库服务，提供了多种机制来确保数据的安全性和合规性。本文将深入探讨 Amazon Redshift 中的权限管理、数据库角色、行级安全和动态数据掩码等关键功能，并通过实际示例展示如何应用这些功能来保护数据。

1. 默认权限与公共模式

当启动 Amazon Redshift 数据仓库时，每个数据库都会创建一个公共模式（public schema），所有用户都属于 PUBLIC 组。默认情况下，PUBLIC 组对公共模式具有读写访问权限，这允许用户在公共空间进行协作，但需要为其他模式显式授予权限。

用户创建时，默认的搜索路径（search_path）参数设置为 $user,public。这意味着在引用对象时，如果未指定数据库或模式限定符，Amazon Redshift 将首先在与用户 ID 匹配的模式中搜索，然后在公共模式中搜索。

以下是默认权限的详细信息：
| 权限 | 对象 |
| ---- | ---- |
| INSERT, UPDATE, DELETE, DROP, REFERENCES | TABLE |
| SELECT | TABLE, VIEW |
| EXECUTE | FUNCTION, PROCEDURE |

2. 访问控制实践

为了说明这些访问控制，我们使用学生信息系统学习数据集，并采用公共模式存储共享数据。公共模式对所有用户可读，但仅 etluser 可写。

<