Menghubungkan ke Amazon Redshift Tanpa Server Menghubungkan ke Amazon Redshift Tanpa Server melalui driver JDBC Menghubungkan ke Amazon Redshift Tanpa Server dengan API Data Menghubungkan dengan SSL ke Amazon Redshift Tanpa Server Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir VPC yang dikelola Amazon Redshift Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir VPC antarmuka ()AWS PrivateLink Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir VPC Redshift di akun atau wilayah lain Sumber daya tambahan

Menghubungkan ke Amazon Redshift Tanpa Server

Setelah menyiapkan instans Amazon Redshift Tanpa Server, Anda dapat menghubungkannya dengan berbagai metode, yang diuraikan di bawah ini. Jika Anda memiliki beberapa tim atau proyek dan ingin mengelola biaya secara terpisah, Anda dapat menggunakan terpisah Akun AWS.

Untuk daftar Wilayah AWS tempat Amazon Redshift Serverless tersedia, lihat titik akhir yang terdaftar untuk Redshift Serverless API di. Referensi Umum Amazon Web Services

Amazon Redshift Tanpa Server terhubung ke lingkungan tanpa server di lingkungan Anda saat ini. Akun AWS Wilayah AWS Amazon Redshift Serverless berjalan dalam VPC dalam rentang port 5431-5455 dan 8191-8215. Defaultnya adalah 5439. Saat ini, Anda hanya dapat mengubah port dengan operasi API UpdateWorkgroup dan AWS CLI operasiupdate-workgroup.

Menghubungkan ke Amazon Redshift Tanpa Server

Anda dapat terhubung ke database (bernamadev) di Amazon Redshift Serverless dengan sintaks berikut.


workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:port/dev

Misalnya, string koneksi berikut menentukan Region us-east-1.


default.123456789012.us-east-1.redshift-serverless.amazonaws.com:5439/dev

Menghubungkan ke Amazon Redshift Tanpa Server melalui driver JDBC

Anda dapat menggunakan salah satu metode berikut untuk terhubung ke Amazon Redshift Tanpa Server dengan klien SQL pilihan Anda menggunakan driver JDBC versi 2 yang disediakan Amazon RedShift.

Untuk terhubung dengan kredensi login untuk otentikasi database menggunakan driver JDBC versi 2.1.x atau yang lebih baru, gunakan sintaks berikut. Nomor port opsional; jika tidak disertakan, Amazon Redshift Serverless default ke nomor port 5439. Anda dapat mengubah ke port lain dari rentang port 5431-5455 atau 8191-8215. Untuk mengubah port default untuk titik akhir tanpa server, gunakan API Amazon AWS CLI Redshift dan Amazon.


jdbc:redshift://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

Misalnya, string koneksi berikut menentukan default workgroup, ID akun 123456789012, dan Region us-east-2.


jdbc:redshift://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

Untuk terhubung dengan IAM menggunakan driver JDBC versi 2.1.x atau yang lebih baru, gunakan sintaks berikut. Nomor port opsional; jika tidak disertakan, Amazon Redshift Serverless default ke nomor port 5439. Anda dapat mengubah ke port lain dari rentang port 5431-5455 atau 8191-8215. Untuk mengubah port default untuk titik akhir tanpa server, gunakan API Amazon AWS CLI Redshift dan Amazon.


jdbc:redshift:iam://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

Misalnya, string koneksi berikut menentukan default workgroup, ID akun 123456789012, dan Region us-east-2.


jdbc:redshift:iam://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

Untuk ODBC, gunakan sintaks berikut.


Driver={Amazon Redshift (x64)}; Server=workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com; Database=dev

Jika Anda menggunakan versi driver JDBC sebelum 2.1.0.9 dan terhubung dengan IAM, Anda harus menggunakan sintaks berikut.


jdbc:redshift:iam://redshift-serverless-<name>:aws-region/database-name

Misalnya, string koneksi berikut menentukan workgroup default dan Wilayah AWS us-east-1.


jdbc:redshift:iam://redshift-serverless-default:us-east-1/dev

Untuk informasi lebih lanjut tentang driver, lihatMengonfigurasi koneksi di Amazon Redshift.

Menemukan string koneksi JDBC dan ODBC Anda

Untuk terhubung ke workgroup Anda dengan alat klien SQL Anda, Anda harus memiliki string koneksi JDBC atau ODBC. Anda dapat menemukan string koneksi di konsol Amazon Redshift Tanpa Server, di halaman detail grup kerja.

Untuk menemukan string koneksi untuk workgroup

Masuk ke AWS Management Console dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/
Pada menu navigasi, pilih Redshift Serverless.
Pada menu navigasi, pilih konfigurasi Workgroup, lalu pilih nama workgroup dari daftar untuk membuka detailnya.
String koneksi URL JDBC dan URL ODBC tersedia, bersama dengan detail tambahan, di bagian Informasi umum. Setiap string didasarkan pada AWS Wilayah tempat workgroup berjalan. Pilih ikon di sebelah string koneksi yang sesuai untuk menyalin string koneksi.

Menghubungkan ke Amazon Redshift Tanpa Server dengan API Data

Anda juga dapat menggunakan Amazon Redshift Data API untuk terhubung ke Amazon Redshift Tanpa Server. Gunakan workgroup-name parameter alih-alih cluster-identifier parameter dalam AWS CLI panggilan Anda.

Untuk informasi selengkapnya tentang API Data, lihatMenggunakan API Data Amazon Redshift. Misalnya kode yang memanggil Data API dengan Python dan contoh lainnya, lihat Memulai dengan Redshift Data API dan lihat di folder dan diquick-start. use-cases GitHub

Menghubungkan dengan SSL ke Amazon Redshift Tanpa Server

Mengonfigurasi koneksi aman ke Amazon Redshift Tanpa Server

Untuk mendukung koneksi SSL, Redshift Serverless membuat dan menginstal sertifikat SSL (ACM)AWS Certificate Manager yang dikeluarkan untuk setiap workgroup. Sertifikat ACM dipercaya publik oleh sebagian besar sistem operasi, browser web, dan klien. Anda mungkin perlu mengunduh bundel sertifikat jika klien atau aplikasi SQL Anda terhubung ke Redshift Tanpa Server menggunakan SSL dengan opsi koneksi disetel sslmode ke,, atau. require verify-ca verify-full Jika klien Anda membutuhkan sertifikat, Redshift Serverless menyediakan sertifikat bundel sebagai berikut:

Unduh bundel dari https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt.
- Nomor MD5 checksum yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.
- Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Jangan gunakan bundel sertifikat sebelumnya yang berada dihttps://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt.
Di Wilayah AWS Tiongkok, unduh bundel https://s3---cn-north-1.amazonaws.com.rproxy.goskope.comdari. cn/redshift-downloads-cn/amazon- trust-ca-bundle .crt.
- Nomor MD5 checksum yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.
- Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Jangan gunakan bundel sertifikat sebelumnya yang berada di https://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ca-bundle.crt dan https://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem

penting

Redshift Serverless telah mengubah cara sertifikat SSL dikelola. Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke grup kerja menggunakan SSL. Untuk informasi selengkapnya tentang sertifikat ACM untuk koneksi SSL, lihat. Transisi ke sertifikat ACM untuk koneksi SSL

Secara default, database workgroup menerima koneksi apakah menggunakan SSL atau tidak.

Untuk membuat workgroup baru yang hanya menerima koneksi SSL, gunakan create-workgroup perintah dan atur parameternyarequire_ssl. true Untuk menggunakan contoh berikut, ganti yourNamespaceName dengan nama namespace Anda dan ganti yourWorkgroupName dengan nama workgroup Anda.


aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

Untuk memperbarui workgroup yang ada agar hanya menerima koneksi SSL, gunakan update-workgroup perintah dan atur require_ssl parameternya ke. true Perhatikan bahwa Redshift Serverless akan memulai ulang workgroup Anda saat Anda memperbarui parameter. require_ssl Untuk menggunakan contoh berikut, ganti yourWorkgroupName dengan nama workgroup Anda.


aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

Amazon Redshift mendukung protokol perjanjian kunci Elliptic Curve Diffie—Hellman Ephemeral (ECDHE). Dengan ECDHE, klien dan server masing-masing memiliki elliptic curve public-private key pair yang digunakan untuk membangun rahasia bersama melalui saluran yang tidak aman. Anda tidak perlu mengonfigurasi apa pun di Amazon Redshift untuk mengaktifkan ECDHE. Jika Anda terhubung dari alat klien SQL yang menggunakan ECDHE untuk mengenkripsi komunikasi antara klien dan server, Amazon Redshift menggunakan daftar sandi yang disediakan untuk membuat koneksi yang sesuai. Untuk informasi lebih lanjut, lihat Elliptic curve diffie—hellman di Wikipedia dan Ciphers di situs web OpenSSL.

Mengonfigurasi koneksi SSL yang sesuai dengan FIPS ke Amazon Redshift Tanpa Server

Untuk membuat workgroup baru yang menggunakan koneksi SSL yang sesuai dengan FIPS, gunakan create-workgroup perintah dan atur parameternya. use_fips_ssl true Untuk menggunakan contoh berikut, ganti yourNamespaceName dengan nama namespace Anda dan ganti yourWorkgroupName dengan nama workgroup Anda.


aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

Untuk memperbarui workgroup yang ada agar menggunakan koneksi SSL yang sesuai dengan FIPS, gunakan update-workgroup perintah dan atur parameternya ke. use_fips_ssl true Perhatikan bahwa Redshift Serverless akan memulai ulang workgroup Anda saat Anda memperbarui parameter. use_fips_ssl Untuk menggunakan contoh berikut, ganti yourWorkgroupName dengan nama workgroup Anda.


aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

Untuk informasi selengkapnya tentang mengonfigurasi Redshift Tanpa Server untuk menggunakan koneksi yang sesuai dengan FIPS, lihat use_fips_ssl di Panduan Pengembang Database Amazon Redshift.

Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir VPC yang dikelola Amazon Redshift

Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir VPC lainnya

Untuk informasi tentang menyiapkan atau mengonfigurasi titik akhir VPC terkelola untuk grup kerja Amazon Redshift Tanpa Server, lihat Bekerja dengan titik akhir VPC yang dikelola RedShift.

Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir VPC antarmuka ()AWS PrivateLink

Untuk informasi tentang menghubungkan ke Amazon Redshift Serverless dari antarmuka VPC endpoint (), lihat.AWS PrivateLinkTitik VPC akhir antarmuka

Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir VPC Redshift di akun atau wilayah lain

Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir VPC silang

Amazon Redshift Serverless disediakan dalam VPC. Anda dapat memberikan akses ke VPC di akun lain untuk mengakses Amazon Redshift Tanpa Server di akun Anda. Ini mirip dengan koneksi dari titik akhir VPC yang dikelola, tetapi dalam hal ini koneksi berasal, misalnya, dari klien database di akun lain. Ada beberapa operasi yang dapat Anda lakukan:

Pemilik database dapat memberikan akses ke VPC yang berisi Amazon Redshift Tanpa Server ke akun lain di Wilayah yang sama.
Pemilik database dapat mencabut akses Amazon Redshift Tanpa Server.

Manfaat utama dari akses lintas akun adalah memungkinkan kolaborasi basis data yang lebih mudah. Pengguna tidak harus disediakan di akun yang berisi database untuk mengaksesnya, yang mengurangi langkah konfigurasi dan menghemat waktu.

Izin yang diperlukan untuk memberikan akses ke VPC di akun lain

Untuk memberikan akses atau mengubah akses yang diizinkan, pemberi memerlukan kebijakan izin yang ditetapkan dengan izin berikut:

redshift-tanpa server: PutResourcePolicy
redshift-tanpa server: GetResourcePolicy
redshift-tanpa server: DeleteResourcePolicy
EC2: CreateVpcEndpoint
EC2: ModifyVpcEndpoint

Anda mungkin memerlukan izin lain yang ditentukan dalam kebijakan AWS AmazonRedshiftFullAccessterkelola. Untuk informasi selengkapnya, lihat Memberikan izin ke Amazon Redshift Tanpa Server.

Penerima hibah memerlukan kebijakan izin yang ditetapkan dengan izin berikut:

redshift-tanpa server: ListWorkgroups
redshift-tanpa server: CreateEndpointAccess
redshift-tanpa server: UpdateEndpointAccess
redshift-tanpa server: GetEndpointAccess
redshift-tanpa server: ListEndpointAccess
redshift-tanpa server: DeleteEndpointAccess

Sebagai praktik terbaik, kami menyarankan untuk melampirkan kebijakan izin ke peran IAM dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat Identitas dan manajemen akses di Amazon Redshift.

Ini adalah contoh kebijakan sumber daya yang digunakan untuk mengonfigurasi akses lintas-VPC:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountCrossVPCAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                   "123456789012",
                   "234567890123"
                ]
             },
            "Action": [
                "redshift-serverless:CreateEndpointAccess",
                "redshift-serverless:UpdateEndpointAccess",
                "redshift-serverless:DeleteEndpointAccess",
                "redshift-serverless:GetEndpointAccess"
            ],
            "Condition": {
                "ArnLike": {
                    "redshift-serverless:AuthorizedVpc": [
                        "arn:aws:ec2:us-east-1:123456789012:vpc/*",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-456",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-987"
                        ]
                    }
                }
            }
        }
    ]
}

Prosedur yang mengikuti di bagian ini mengasumsikan bahwa pengguna yang melakukannya memiliki izin yang ditetapkan yang sesuai, misalnya, melalui peran IAM yang ditetapkan yang memiliki izin yang terdaftar. Prosedur juga mengasumsikan bahwa workgroup memiliki peran IAM yang dilampirkan dengan izin sumber daya yang sesuai.

Memberikan akses VPC ke akun lain, menggunakan konsol

Prosedur ini menunjukkan langkah-langkah untuk mengkonfigurasi akses database ketika Anda pemilik database, dan Anda ingin memberikan akses ke sana.

Memberikan akses dari akun pemilik

Di properti untuk workgroup Amazon Redshift Tanpa Server, pada tab Akses data, ada daftar yang disebut Akun yang diberikan. Ini menunjukkan akun dan VPCs diberikan akses ke workgroup. Temukan daftar dan pilih Berikan akses untuk menambahkan akun ke daftar.
Sebuah jendela muncul di mana Anda dapat menambahkan informasi penerima hibah. Masukkan ID AWS akun, yang merupakan ID 12 digit dari akun yang ingin Anda akses.
Berikan akses ke semua VPCs untuk penerima hibah, atau khusus. VPCs Jika Anda memberikan akses hanya untuk spesifik VPCs, Anda dapat menambahkan IDs untuk ini dengan memasukkan masing-masing dan memilih Tambahkan VPC.
Simpan perubahan saat Anda selesai.

Saat Anda menyimpan perubahan, akun akan muncul di daftar akun yang Diberikan. Entri menunjukkan ID Akun dan daftar akses yang VPCs diberikan.

Pemilik database juga dapat mencabut akses ke akun. Pemilik dapat mencabut akses kapan saja.

Mencabut akses ke akun

Anda dapat mulai dari daftar akun yang diberikan. Pertama, pilih satu atau beberapa akun.
Pilih Cabut akses.

Setelah akses diberikan, administrator database untuk penerima hibah dapat memeriksa konsol untuk menentukan apakah mereka memiliki akses.

Menggunakan konsol untuk mengonfirmasi bahwa akses diberikan bagi Anda untuk mengakses akun lain

Di properti workgroup Amazon Redshift Tanpa Server, pada tab Akses data, ada daftar yang disebut Akun resmi. Ini menunjukkan akun yang dapat diakses dari workgroup ini. Penerima hibah tidak dapat menggunakan URL titik akhir grup kerja untuk mengakses grup kerja secara langsung. Untuk mengakses workgroup, Anda sebagai penerima hibah pergi ke bagian endpoint dan memilih buat endpoint.
Kemudian, sebagai penerima hibah, Anda memberikan nama titik akhir dan VPC untuk mengakses workgroup.
Setelah endpoint berhasil dibuat, itu muncul di bagian endpoint dan ada URL endpoint untuk itu. Anda dapat menggunakan URL endpoint ini untuk mengakses workgroup.

Memberikan akses ke akun lain, menggunakan perintah CLI

Akun yang memberikan akses harus terlebih dahulu memberikan akses ke akun lain untuk terhubung dengan menggunakanput-resource-policy. Pemilik database dapat memanggil put-resource-policy untuk mengotorisasi akun lain untuk membuat koneksi ke workgroup. Akun penerima hibah kemudian dapat digunakan create-endpoint-authorization untuk membuat koneksi ke grup kerja melalui yang diizinkan. VPCs

Berikut ini menunjukkan properti untukput-resource-policy, yang dapat Anda panggil untuk memungkinkan akses ke akun dan VPC tertentu.


aws redshift-serverless put-resource-policy
--resource-arn <value> 
--policy <value>

Setelah memanggil perintah, Anda dapat memanggilget-resource-policy, menentukan resource-arn untuk melihat akun mana dan VPCs diizinkan untuk mengakses sumber daya.

Panggilan berikut dapat dilakukan oleh penerima hibah. Ini menunjukkan informasi tentang akses yang diberikan. Secara khusus, ia mengembalikan daftar yang berisi akses yang VPCs diberikan.


aws redshift-serverless list-workgroups
--owner-account <value>

Tujuannya adalah agar penerima hibah mendapatkan informasi dari akun pemberi tentang otorisasi titik akhir. owner-accountIni adalah akun berbagi. Ketika Anda menjalankan ini, ia mengembalikan CrossAccountVpcs untuk setiap workgroup, yang merupakan daftar yang diizinkan VPCs. Sebagai referensi, berikut ini menunjukkan semua properti yang tersedia untuk workgroup:


Output: workgroup (Object)
workgroupId String,
workgroupArn String,
workgroupName String,
status: String,
namespaceName: String,
baseCapacity: Integer, (Not-applicable)
enhancedVpcRouting: Boolean,
configParameters: List,
securityGroupIds: List,
subnetIds: List,
endpoint: String,
publiclyAccessible: Boolean,
creationDate: Timestamp,
port: Integer,
CrossAccountVpcs: List

catatan

Sebagai pengingat, relokasi cluster bukanlah prasyarat untuk mengonfigurasi fitur jaringan Redshift tambahan. Anda juga tidak perlu mengaktifkannya untuk mengaktifkan yang berikut:

Menghubungkan dari VPC lintas akun atau lintas wilayah ke Redshift — Anda dapat terhubung dari satu AWS virtual private cloud (VPC) ke yang lain yang berisi database Redshift, seperti yang dijelaskan di bagian ini.
Menyiapkan nama domain khusus — Anda dapat membuat nama domain khusus, juga dikenal sebagai URL khusus, untuk klaster Amazon Redshift atau grup kerja Amazon Redshift Tanpa Server, untuk membuat nama titik akhir lebih mudah diingat dan sederhana. Untuk informasi selengkapnya, lihat Menggunakan nama domain khusus untuk koneksi klien.

Sumber daya tambahan

Petunjuk untuk mengatur pengaturan lalu lintas jaringan Anda tersedia di Aksesibilitas publik dengan konfigurasi grup keamanan default atau kustom. Ini termasuk kasus penggunaan di mana cluster dapat diakses publik.

Petunjuk untuk mengatur pengaturan lalu lintas jaringan Anda tersedia di Aksesibilitas pribadi dengan konfigurasi grup keamanan default atau kustom. Ini termasuk kasus penggunaan di mana cluster tidak tersedia untuk internet.

Untuk informasi selengkapnya tentang koneksi aman ke Amazon Redshift Tanpa Server, termasuk pemberian izin, otorisasi akses ke layanan tambahan, dan membuat peran IAM, lihat. Manajemen identitas dan akses di Amazon Redshift Tanpa Server

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Penagihan untuk Amazon Redshift Tanpa Server

Mendefinisikan peran database untuk pengguna federasi