Configuration de l'authentification et SSL - Amazon Redshift
Configuration de IAM l'authentificationSpécification des profilsUtilisation des informations d’identification du profil d’instanceUtilisation des fournisseurs d’informations d’identification

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'authentification et SSL

Pour protéger les données contre les accès non autorisés, les magasins de données Amazon Redshift exigent que toutes les connexions soient authentifiées à l’aide des informations d’identification de l’utilisateur. Certains magasins de données nécessitent également que les connexions soient établies via le protocole Secure Sockets Layer (SSL), avec ou sans authentification unidirectionnelle.

La version 2.1 du JDBC pilote Amazon Redshift fournit une prise en charge complète de ces protocoles d'authentification.

La SSL version prise en charge par le pilote dépend de la JVM version que vous utilisez. Pour plus d'informations sur les SSL versions prises en charge par chaque version de Java, consultez la section Diagnostic TLS et HTTPS le blog de gestion des produits de Java Platform Group. SSL

La SSL version utilisée pour la connexion est la version la plus élevée prise en charge à la fois par le pilote et le serveur, qui est déterminée au moment de la connexion.

Configurez la version 2.1 du JDBC pilote Amazon Redshift pour authentifier votre connexion conformément aux exigences de sécurité du serveur Redshift auquel vous vous connectez.

Vous devez toujours fournir votre nom d'utilisateur et votre mot de passe Redshift pour authentifier la connexion. Selon qu'il SSL est activé et requis sur le serveur, vous devrez peut-être également configurer le pilote pour vous connecterSSL. Vous pouvez également utiliser l'SSLauthentification unidirectionnelle afin que le client (le pilote lui-même) vérifie l'identité du serveur.

Vous fournissez les informations de configuration au pilote lors de la connexionURL. Pour plus d'informations sur la syntaxe de la connexionURL, consultezConstruire la connexion URL.

SSLindiqueTLS/SSL, à la fois Transport Layer Security et Secure Sockets Layer. Le pilote prend en charge les versions standard deTLS/SSL.

Configuration de IAM l'authentification

Si vous vous connectez à un serveur Amazon Redshift à l'aide de l'IAMauthentification, définissez les propriétés suivantes dans le cadre de la chaîne de connexion de votre source de données.

Pour plus d'informations sur IAM l'authentification, consultezIdentity and Access Management dans Amazon Redshift.

Pour utiliser IAM l'authentification, utilisez l'un des formats de chaîne de connexion suivants :

Chaîne de connexion Description

jdbc:redshift:iam:// [host]:[port]/[db]

Chaîne de connexion régulière. Le pilote déduit les valeurs de ClusterID et Region de l’hôte.

jdbc:redshift:iam:// [cluster-id]: [region]/[db]

Le pilote récupère les informations sur l’hôte, en fonction des valeurs de ClusterID et Region.

jdbc:redshift:iam:// [host]/[db]

Le pilote utilise par défaut le port 5439 et déduit les valeurs de ClusterID et Region de l’hôte. En fonction du port que vous avez sélectionné lors de la création, de la modification ou de la migration du cluster, autorisez l’accès au port sélectionné.

Spécification des profils

Si vous utilisez l'IAMauthentification, vous pouvez spécifier des propriétés de connexion supplémentaires obligatoires ou facultatives sous un nom de profil. Ce faisant, vous pouvez éviter de mettre certaines informations directement dans la chaîne de connexion. Vous spécifiez le nom du profil dans votre chaîne de connexion à l’aide de la propriété Profile.

Les profils peuvent être ajoutés au fichier AWS d'informations d'identification. L’emplacement par défaut de ce fichier est : ~/.aws/credentials

Vous pouvez modifier la valeur par défaut en définissant le chemin d’accès dans la variable d’environnement suivante : AWS_CREDENTIAL_PROFILES_FILE

Pour plus d’informations sur les profils, consultez Utilisation d’informations d’identification AWS dans le AWS SDK for Java.

Utilisation des informations d’identification du profil d’instance

Si vous exécutez une application sur une EC2 instance Amazon associée à un IAM rôle, vous pouvez vous connecter à l'aide des informations d'identification du profil d'instance.

Pour ce faire, utilisez l'un des formats de chaîne de IAM connexion du tableau précédent et définissez la propriété de connexion dbuser sur le nom d'utilisateur Amazon Redshift sous lequel vous vous connectez.

Pour plus d'informations sur les profils d'instance, consultez la section Gestion des accès dans le guide de IAM l'utilisateur.

Utilisation des fournisseurs d’informations d’identification

Le pilote prend également en charge les plugins du fournisseur d’informations d’identification des services suivants :

  • AWS IAMCentre d'identité

  • Service de fédération Active Directory (ADFS)

  • JSONService de jetons Web (JWT)

  • Services Microsoft Azure Active Directory (AD) et navigateur Microsoft Azure Active Directory (AD)

  • Service Okta

  • PingFederate Service

  • Navigateur SAML pour SAML des services tels que Okta, Ping ou ADFS

Si vous utilisez l'un de ces services, la connexion URL doit spécifier les propriétés suivantes :

  • Plugin_Name : le chemin de classe complet pour votre classe de plugin fournisseur d’informations d’identification.

  • IdP_Host : hôte du service que vous utilisez pour vous authentifier dans Amazon Redshift.

  • IdP_Port : port sur lequel l’hôte du service d’authentification écoute. Non requis pour Okta.

  • Utilisateur : nom d'utilisateur du serveur idp_host.

  • Mot de passe — Le mot de passe associé au nom d'utilisateur idp_host.

  • DbUser— Le nom d'utilisateur Amazon Redshift sous lequel vous vous connectez.

  • SSL_Insecure — Indique si le certificat du IDP serveur doit être vérifié.

  • Client_ID : ID client associé au nom d'utilisateur dans le portail Azure AD. Utilisé uniquement pour Azure AD.

  • Client_Secret : secret client associé à l’ID client dans le portail Azure AD. Utilisé uniquement pour Azure AD.

  • IdP_Tenant : ID de locataire Azure AD pour votre application Amazon Redshift. Utilisé uniquement pour Azure AD.

  • App_ID : ID de l’appli Okta pour votre application Amazon Redshift. Utilisé uniquement pour Okta.

  • App_Name : nom facultatif de l’appli Okta pour votre application Amazon Redshift. Utilisé uniquement pour Okta.

  • Partner_ SPID — La valeur optionnelle du partenaire SPID (identifiant du fournisseur de services). Utilisé uniquement pour PingFederate.

  • Idc_Region — L' Région AWS endroit où se trouve l'instance AWS IAM Identity Center. Utilisé uniquement pour AWS IAM Identity Center.

  • Issuer_Url — Point de terminaison de l' AWS IAMinstance du serveur Identity Center. Utilisé uniquement pour AWS IAM Identity Center.

Si vous utilisez un plugin de navigateur pour l'un de ces services, la connexion URL peut également inclure :

  • Login_ URL : URL pour la ressource sur le site Web du fournisseur d'identité lorsque vous utilisez le langage de balisage d'assertions de sécurité (SAML) ou les services Azure AD via un plug-in de navigateur. Ce paramètre est obligatoire si vous utilisez un plugin de navigateur.

  • Listen_Port : port utilisé par le pilote pour obtenir la SAML réponse du fournisseur d'identité lorsqu'il utilise les SAML services Azure AD ou AWS IAM Identity Center via un plug-in de navigateur.

  • IDP_Response_Timeout — Durée, en secondes, pendant laquelle le conducteur attend la SAML réponse du fournisseur d'identité lorsqu'il utilise les services Azure AD ou AWS IAM Identity Center SAML via un plug-in de navigateur.

Pour plus d’informations sur les propriétés supplémentaires de la chaîne de connexion, consultez Options de configuration de la version 2.1 du JDBC pilote.