Mengkonfigurasi otentikasi dan SSL - Amazon Redshift
Mengkonfigurasi otentikasi IAMMenentukan profilMenggunakan kredensial profil instanceMenggunakan penyedia kredensi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi otentikasi dan SSL

Untuk melindungi data dari akses yang tidak sah, penyimpanan data Amazon Redshift memerlukan semua koneksi untuk diautentikasi menggunakan kredensyal pengguna. Beberapa penyimpanan data juga memerlukan koneksi yang harus dibuat melalui protokol Secure Sockets Layer (SSL), baik dengan atau tanpa otentikasi satu arah.

JDBCDriver Amazon Redshift versi 2.1 memberikan dukungan penuh untuk protokol otentikasi ini.

SSLVersi yang didukung driver tergantung pada JVM versi yang Anda gunakan. Untuk informasi tentang SSL versi yang didukung oleh setiap versi Java, lihat MendiagnosisTLS,SSL, dan HTTPS di Blog Manajemen Produk Grup Platform Java.

SSLVersi yang digunakan untuk koneksi adalah versi tertinggi yang didukung oleh driver dan server, yang ditentukan pada waktu koneksi.

Konfigurasikan JDBC driver Amazon Redshift versi 2.1 untuk mengautentikasi koneksi Anda sesuai dengan persyaratan keamanan server Redshift yang Anda sambungkan.

Anda harus selalu memberikan nama pengguna dan kata sandi Redshift Anda untuk mengautentikasi koneksi. Bergantung pada apakah SSL diaktifkan dan diperlukan di server, Anda mungkin juga perlu mengonfigurasi driver untuk terhubungSSL. Atau Anda mungkin menggunakan SSL otentikasi satu arah sehingga klien (driver itu sendiri) memverifikasi identitas server.

Anda memberikan informasi konfigurasi kepada driver dalam koneksiURL. Untuk informasi selengkapnya tentang sintaks koneksiURL, lihatMembangun koneksi URL.

SSLmenunjukkanTLS/SSL, baik Transport Layer Security dan Secure Sockets Layer. Driver mendukung versi standar industri/. TLS SSL

Mengkonfigurasi otentikasi IAM

Jika Anda terhubung ke server Amazon Redshift menggunakan IAM autentikasi, setel properti berikut sebagai bagian dari string koneksi sumber data Anda.

Untuk informasi selengkapnya tentang IAM otentikasi, lihatManajemen identitas dan akses di Amazon Redshift.

Untuk menggunakan IAM otentikasi, gunakan salah satu format string koneksi berikut:

String koneksi Deskripsi

jdbc:redshift:iam:// [host]:[port]/[db]

String koneksi biasa. Pengemudi menyimpulkan clusterID dan Region dari host.

jdbc:redshift:iam:// [cluster-id]: [region]/[db]

Pengemudi mengambil informasi host, mengingat ClusterID dan Region.

jdbc:redshift:iam:// [host]/[db]

Driver default ke port 5439, dan menyimpulkan ClusterID dan Region dari host. Bergantung pada port yang Anda pilih saat membuat, memodifikasi, atau memigrasi klaster, izinkan akses ke port yang dipilih.

Menentukan profil

Jika Anda menggunakan IAM otentikasi, Anda dapat menentukan properti koneksi tambahan yang diperlukan atau opsional di bawah nama profil. Dengan melakukan ini, Anda dapat menghindari meletakkan informasi tertentu secara langsung di string koneksi. Anda menentukan nama profil dalam string koneksi Anda menggunakan properti Profil.

Profil dapat ditambahkan ke file AWS kredensial. Lokasi default untuk file ini adalah: ~/.aws/credentials

Anda dapat mengubah nilai default dengan mengatur jalur dalam variabel lingkungan berikut: AWS_CREDENTIAL_PROFILES_FILE

Untuk informasi selengkapnya tentang profil, lihat Bekerja dengan AWS Kredensyal di. AWS SDK for Java

Menggunakan kredensial profil instance

Jika menjalankan aplikasi di EC2 instans Amazon yang dikaitkan dengan IAM peran, Anda dapat terhubung menggunakan kredenal profil instans.

Untuk melakukan ini, gunakan salah satu format string IAM koneksi di tabel sebelumnya, dan atur properti koneksi dbuser ke nama pengguna Amazon Redshift yang Anda sambungkan sebagai.

Untuk informasi selengkapnya tentang profil instans, lihat Manajemen Akses di Panduan IAM Pengguna.

Menggunakan penyedia kredensi

Driver juga mendukung plugin penyedia kredensyal dari layanan berikut:

  • AWS IAMPusat Identitas

  • Layanan Federasi Direktori Aktif (ADFS)

  • JSONLayanan Token Web (JWT)

  • Layanan Microsoft Azure Active Directory (AD) dan Layanan Browser Microsoft Azure Active Directory (AD)

  • Layanan Okta

  • PingFederate Layanan

  • Browser SAML untuk SAML layanan seperti Okta, Ping, atau ADFS

Jika Anda menggunakan salah satu layanan ini, koneksi URL perlu menentukan properti berikut:

  • Plugin_Name - Jalur kelas yang sepenuhnya memenuhi syarat untuk kelas plugin penyedia kredensional Anda.

  • IDP_host: — Host untuk layanan yang Anda gunakan untuk mengautentikasi ke Amazon Redshift.

  • IDP_port — Port tempat host untuk layanan otentikasi mendengarkan. Tidak diperlukan untuk Okta.

  • User — Nama pengguna untuk server idp_host.

  • Kata sandi — Kata sandi yang terkait dengan nama pengguna idp_host.

  • DbUser— Nama pengguna Amazon Redshift yang Anda sambungkan sebagai.

  • SSL_Tidak aman — Menunjukkan apakah sertifikat IDP server harus diverifikasi.

  • Client_ID — ID klien yang terkait dengan nama pengguna di portal Azure AD. Hanya digunakan untuk Azure AD.

  • Client_Secret — Rahasia klien yang terkait dengan ID klien di portal Azure AD. Hanya digunakan untuk Azure AD.

  • IDP_Tenant - ID penyewa Azure AD untuk aplikasi Amazon Redshift Anda. Hanya digunakan untuk Azure AD.

  • App_ID — ID aplikasi Okta untuk aplikasi Amazon Redshift Anda. Hanya digunakan untuk Okta.

  • App_Name — Nama aplikasi Okta opsional untuk aplikasi Amazon Redshift Anda. Hanya digunakan untuk Okta.

  • Partner_ SPID - Nilai mitra opsional SPID (ID penyedia layanan). Hanya digunakan untuk PingFederate.

  • Idc_Region — Wilayah AWS Tempat instance AWS IAM Identity Center berada. Hanya digunakan untuk Pusat AWS IAM Identitas.

  • Issuer_Url - Titik akhir instance server Pusat AWS IAM Identitas. Hanya digunakan untuk Pusat AWS IAM Identitas.

Jika Anda menggunakan plugin browser untuk salah satu layanan ini, koneksi juga URL dapat mencakup:

  • Login_ URL URL —Untuk sumber daya di situs web penyedia identitas saat menggunakan Security Assertion Markup Language (SAML) atau layanan Azure AD melalui plugin browser. Parameter ini diperlukan jika Anda menggunakan plugin browser.

  • Listen_Port — Port yang digunakan driver untuk mendapatkan SAML respons dari penyedia identitas saat menggunakan layananSAML, Azure AD, atau AWS IAM Identity Center melalui plugin browser.

  • IDP_Response_Timeout — Jumlah waktu, dalam hitungan detik, driver menunggu SAML respons dari penyedia identitas saat menggunakan layananSAML, Azure AD, atau Identity Center melalui plugin browser. AWS IAM

Untuk informasi tentang properti string koneksi tambahan, lihatOpsi untuk konfigurasi JDBC driver versi 2.1.