Menghubungkan ke Amazon Redshift Tanpa Server - Amazon Redshift
Menghubungkan ke Amazon Redshift Tanpa ServerMenghubungkan ke Amazon Redshift Tanpa Server melalui driver JDBCMenghubungkan ke Amazon Redshift Tanpa Server dengan Data APITerhubung dengan SSL Amazon Redshift Tanpa ServerMenghubungkan ke Amazon Redshift Tanpa Server dari titik akhir yang dikelola Amazon Redshift VPCMenghubungkan ke Amazon Redshift Tanpa Server dari titik akhir Redshift VPC di akun atau wilayah lainMengonfigurasi pengaturan lalu lintas jaringan yang sesuai untuk Amazon Redshift ServerlessMendefinisikan peran database yang akan diberikan kepada pengguna federasi di Amazon Redshift Tanpa ServerSumber daya tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan ke Amazon Redshift Tanpa Server

Setelah menyiapkan instans Amazon Redshift Tanpa Server, Anda dapat menghubungkannya dengan berbagai metode, yang diuraikan di bawah ini. Jika Anda memiliki beberapa tim atau proyek dan ingin mengelola biaya secara terpisah, Anda dapat menggunakan terpisah Akun AWS.

Untuk daftar Wilayah AWS tempat Amazon Redshift Serverless tersedia, lihat titik akhir yang terdaftar untuk Redshift Serverless di. API Referensi Umum Amazon Web Services

Amazon Redshift Tanpa Server terhubung ke lingkungan tanpa server di lingkungan Anda saat ini. Akun AWS Wilayah AWS Amazon Redshift Serverless berjalan di dalam rentang port 5431-5455 dan VPC 8191-8215. Defaultnya adalah 5439. Saat ini, Anda hanya dapat mengubah port dengan API operasi UpdateWorkgroup dan AWS CLI operasiupdate-workgroup.

Menghubungkan ke Amazon Redshift Tanpa Server

Anda dapat terhubung ke database (bernamadev) di Amazon Redshift Tanpa Server dengan sintaks berikut.

workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:port/dev

Misalnya, string koneksi berikut menentukan Region us-east-1.

default.123456789012.us-east-1.redshift-serverless.amazonaws.com:5439/dev

Menghubungkan ke Amazon Redshift Tanpa Server melalui driver JDBC

Anda dapat menggunakan salah satu metode berikut untuk terhubung ke Amazon Redshift Tanpa Server dengan SQL klien pilihan Anda menggunakan driver versi 2 yang disediakan Amazon RedshiftJDBC.

Untuk terhubung dengan kredensi login untuk otentikasi database menggunakan JDBC driver versi 2.1.x atau yang lebih baru, gunakan sintaks berikut. Nomor port opsional; jika tidak disertakan, Amazon Redshift Serverless default ke nomor port 5439. Anda dapat mengubah ke port lain dari rentang port 5431-5455 atau 8191-8215. Untuk mengubah port default untuk titik akhir tanpa server, gunakan Amazon AWS CLI Redshift dan Amazon. API

jdbc:redshift://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

Misalnya, string koneksi berikut menentukan default workgroup, ID akun 123456789012, dan Region us-east-2.

jdbc:redshift://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

Untuk terhubung dengan IAM menggunakan JDBC driver versi 2.1.x atau yang lebih baru, gunakan sintaks berikut. Nomor port opsional; jika tidak disertakan, Amazon Redshift Serverless default ke nomor port 5439. Anda dapat mengubah ke port lain dari rentang port 5431-5455 atau 8191-8215. Untuk mengubah port default untuk titik akhir tanpa server, gunakan Amazon AWS CLI Redshift dan Amazon. API

jdbc:redshift:iam://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

Misalnya, string koneksi berikut menentukan default workgroup, ID akun 123456789012, dan Region us-east-2.

jdbc:redshift:iam://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

UntukODBC, gunakan sintaks berikut.

Driver={Amazon Redshift (x64)}; Server=workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com; Database=dev

Jika Anda menggunakan versi JDBC driver sebelum 2.1.0.9 dan terhubung denganIAM, Anda harus menggunakan sintaks berikut.

jdbc:redshift:iam://redshift-serverless-<name>:aws-region/database-name

Misalnya, string koneksi berikut menentukan workgroup default dan Wilayah AWS us-east-1.

jdbc:redshift:iam://redshift-serverless-default:us-east-1/dev

Untuk informasi lebih lanjut tentang driver, lihatMengonfigurasi koneksi di Amazon Redshift.

Menemukan string Anda JDBC dan ODBC koneksi

Untuk terhubung ke workgroup Anda dengan alat SQL klien Anda, Anda harus memiliki string JDBC atau ODBC koneksi. Anda dapat menemukan string koneksi di konsol Amazon Redshift Tanpa Server, di halaman detail grup kerja.

Untuk menemukan string koneksi untuk workgroup

  1. Masuk ke AWS Management Console dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/

  2. Pada menu navigasi, pilih Redshift Serverless.

  3. Pada menu navigasi, pilih konfigurasi Workgroup, lalu pilih nama workgroup dari daftar untuk membuka detailnya.

  4. String JDBCURLdan ODBCURLkoneksi tersedia, bersama dengan detail tambahan, di bagian Informasi umum. Setiap string didasarkan pada AWS Wilayah tempat workgroup berjalan. Pilih ikon di sebelah string koneksi yang sesuai untuk menyalin string koneksi.

Menghubungkan ke Amazon Redshift Tanpa Server dengan Data API

Anda juga dapat menggunakan Data Amazon Redshift API untuk terhubung ke Amazon Redshift Tanpa Server. Gunakan workgroup-name parameter alih-alih cluster-identifier parameter dalam AWS CLI panggilan Anda.

Untuk informasi selengkapnya tentang DataAPI, lihatMenggunakan Data Amazon Redshift API. Misalnya kode memanggil Data API dengan Python dan contoh lainnya, lihat Memulai dengan Data Pergeseran Merah API dan lihat di folder dan diquick-start. use-cases GitHub

Terhubung dengan SSL Amazon Redshift Tanpa Server

Mengonfigurasi koneksi aman ke Amazon Redshift Tanpa Server

Untuk mendukung SSL koneksi, Redshift Serverless membuat dan menginstal sertifikat AWS Certificate Manager (ACM) yang dikeluarkan SSL untuk setiap workgroup. ACMsertifikat dipercaya secara publik oleh sebagian besar sistem operasi, browser web, dan klien. Anda mungkin perlu mengunduh bundel sertifikat jika SQL klien atau aplikasi Anda terhubung ke Redshift Tanpa Server menggunakan opsi sslmode koneksi SSL yang disetel kerequire,, atau. verify-ca verify-full Jika klien Anda membutuhkan sertifikat, Redshift Serverless menyediakan sertifikat bundel sebagai berikut:

  • Unduh bundel dari https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt.

    • Nomor MD5 checksum yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.

    • Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

    Jangan gunakan bundel sertifikat sebelumnya yang berada dihttps://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt.

  • Di China Wilayah AWS, unduh bundel dari https://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crt.

    • Nomor MD5 checksum yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.

    • Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

    Jangan gunakan bundel sertifikat sebelumnya yang berada di https://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ca-bundle.crt dan https://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem

penting

Redshift Serverless telah mengubah cara sertifikat dikelola. SSL Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke grup kerja Anda menggunakanSSL. Untuk informasi selengkapnya tentang ACM sertifikat untuk SSL koneksi, lihatTransisi ke sertifikat ACM untuk koneksi SSL.

Secara default, database workgroup menerima koneksi apakah itu menggunakan SSL atau tidak.

Untuk membuat workgroup baru yang hanya menerima SSL koneksi, gunakan create-workgroup perintah dan atur require_ssl parameternya. true Untuk menggunakan contoh berikut, ganti yourNamespaceName dengan nama namespace Anda dan ganti yourWorkgroupName dengan nama workgroup Anda.

aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

Untuk memperbarui workgroup yang ada agar hanya menerima SSL koneksi, gunakan update-workgroup perintah dan atur require_ssl parameternya ketrue. Perhatikan bahwa Redshift Serverless akan memulai ulang workgroup Anda saat Anda memperbarui parameter. require_ssl Untuk menggunakan contoh berikut, ganti yourWorkgroupName dengan nama workgroup Anda.

aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

Amazon Redshift mendukung protokol perjanjian kunci Elliptic Curve Diffie—Hellman Ephemeral (). ECDHE DenganECDHE, klien dan server masing-masing memiliki kurva eliptik public-private key pair yang digunakan untuk membangun rahasia bersama melalui saluran yang tidak aman. Anda tidak perlu mengonfigurasi apa pun di Amazon Redshift untuk mengaktifkan. ECDHE Jika Anda terhubung dari alat SQL klien yang digunakan ECDHE untuk mengenkripsi komunikasi antara klien dan server, Amazon Redshift menggunakan daftar sandi yang disediakan untuk membuat koneksi yang sesuai. Untuk informasi lebih lanjut, lihat Elliptic curve diffie—hellman di Wikipedia dan Ciphers di situs web Terbuka. SSL

Mengonfigurasi SSL koneksi FIPS yang sesuai dengan Amazon Redshift Serverless

Untuk membuat workgroup baru yang menggunakan SSL koneksi FIPS -compliant, gunakan create-workgroup perintah dan atur parameternyause_fips_ssl. true Untuk menggunakan contoh berikut, ganti yourNamespaceName dengan nama namespace Anda dan ganti yourWorkgroupName dengan nama workgroup Anda.

aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

Untuk memperbarui workgroup yang ada agar menggunakan SSL koneksi FIPS -compliant, gunakan update-workgroup perintah dan atur parameternya keuse_fips_ssl. true Perhatikan bahwa Redshift Serverless akan memulai ulang workgroup Anda saat Anda memperbarui parameter. use_fips_ssl Untuk menggunakan contoh berikut, ganti yourWorkgroupName dengan nama workgroup Anda.

aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

Untuk informasi selengkapnya tentang mengonfigurasi Redshift Tanpa Server untuk FIPS menggunakan koneksi yang sesuai, lihat use_fips_ssl di Panduan Pengembang Database Amazon Redshift.

Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir yang dikelola Amazon Redshift VPC

Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir lainnya VPC

Untuk informasi tentang menyiapkan atau mengonfigurasi VPC titik akhir terkelola untuk grup kerja Amazon Redshift Tanpa Server, lihat Bekerja dengan titik akhir yang dikelola RedShift. VPC

Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir Redshift VPC di akun atau wilayah lain

Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir silang VPC

Amazon Redshift Serverless disediakan dalam file. VPC Anda dapat memberikan akses ke akun lain untuk mengakses Amazon Redshift Tanpa Server di akun Anda. VPC Ini mirip dengan koneksi dari VPC endpoint terkelola, tetapi dalam hal ini koneksi berasal, misalnya, dari klien database di akun lain. Ada beberapa operasi yang dapat Anda lakukan:

  • Pemilik database dapat memberikan akses ke akun Amazon Redshift Serverless VPC yang berisi ke akun lain di Wilayah yang sama.

  • Pemilik database dapat mencabut akses Amazon Redshift Tanpa Server.

Manfaat utama dari akses lintas akun adalah memungkinkan kolaborasi basis data yang lebih mudah. Pengguna tidak harus disediakan di akun yang berisi database untuk mengaksesnya, yang mengurangi langkah konfigurasi dan menghemat waktu.

Izin yang diperlukan untuk memberikan akses ke VPC akun lain

Untuk memberikan akses atau mengubah akses yang diizinkan, pemberi memerlukan kebijakan izin yang ditetapkan dengan izin berikut:

  • redshift-tanpa server: PutResourcePolicy

  • redshift-tanpa server: GetResourcePolicy

  • redshift-tanpa server: DeleteResourcePolicy

  • EC2: CreateVpcEndpoint

  • EC2: ModifyVpcEndpoint

Anda mungkin memerlukan izin lain yang ditentukan dalam kebijakan AWS AmazonRedshiftFullAccessterkelola. Untuk informasi selengkapnya, lihat Memberikan izin ke Amazon Redshift Tanpa Server.

Penerima hibah memerlukan kebijakan izin yang ditetapkan dengan izin berikut:

  • redshift-tanpa server: ListWorkgroups

  • redshift-tanpa server: CreateEndpointAccess

  • redshift-tanpa server: UpdateEndpointAccess

  • redshift-tanpa server: GetEndpointAccess

  • redshift-tanpa server: ListEndpointAccess

  • redshift-tanpa server: DeleteEndpointAccess

Sebagai praktik terbaik, kami sarankan untuk melampirkan kebijakan izin ke IAM peran dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat Identitas dan manajemen akses di Amazon Redshift.

Ini adalah contoh kebijakan sumber daya yang digunakan untuk mengonfigurasi VPC akses silang:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountCrossVPCAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                   "123456789012",
                   "234567890123"
                ]
             },
            "Action": [
                "redshift-serverless:CreateEndpointAccess",
                "redshift-serverless:UpdateEndpointAccess",
                "redshift-serverless:DeleteEndpointAccess",
                "redshift-serverless:GetEndpointAccess"
            ],
            "Condition": {
                "ArnLike": {
                    "redshift-serverless:AuthorizedVpc": [
                        "arn:aws:ec2:us-east-1:123456789012:vpc/*",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-456",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-987"
                        ]
                    }
                }
            }
        }
    ]
}

Prosedur yang mengikuti di bagian ini mengasumsikan bahwa pengguna yang melakukannya memiliki izin yang ditetapkan yang sesuai, misalnya, melalui IAM peran yang ditetapkan yang memiliki izin yang terdaftar. Prosedur juga mengasumsikan bahwa kelompok kerja memiliki IAM peran yang dilampirkan dengan izin sumber daya yang sesuai.

Memberikan VPC akses ke akun lain, menggunakan konsol

Prosedur ini menunjukkan langkah-langkah untuk mengkonfigurasi akses database ketika Anda pemilik database, dan Anda ingin memberikan akses ke sana.

Memberikan akses dari akun pemilik

  1. Di properti untuk workgroup Amazon Redshift Tanpa Server, pada tab Akses data, ada daftar yang disebut Akun yang diberikan. Ini menunjukkan akun dan VPCs diberikan akses ke workgroup. Temukan daftar dan pilih Berikan akses untuk menambahkan akun ke daftar.

  2. Sebuah jendela muncul di mana Anda dapat menambahkan informasi penerima hibah. Masukkan ID AWS akun, yang merupakan ID 12 digit dari akun yang ingin Anda akses.

  3. Berikan akses ke semua VPCs untuk penerima hibah, atau khusus. VPCs Jika Anda memberikan akses hanya untuk spesifikVPCs, Anda dapat menambahkan IDs untuk ini dengan memasukkan masing-masing dan memilih Tambah VPC.

  4. Simpan perubahan saat Anda selesai.

Saat Anda menyimpan perubahan, akun akan muncul di daftar akun yang Diberikan. Entri menunjukkan ID Akun dan daftar akses yang VPCs diberikan.

Pemilik database juga dapat mencabut akses ke akun. Pemilik dapat mencabut akses kapan saja.

Mencabut akses ke akun

  1. Anda dapat mulai dari daftar akun yang diberikan. Pertama, pilih satu atau beberapa akun.

  2. Pilih Cabut akses.

Setelah akses diberikan, administrator database untuk penerima hibah dapat memeriksa konsol untuk menentukan apakah mereka memiliki akses.

Menggunakan konsol untuk mengonfirmasi bahwa akses diberikan bagi Anda untuk mengakses akun lain

  1. Di properti workgroup Amazon Redshift Tanpa Server, pada tab Akses data, ada daftar yang disebut Akun resmi. Ini menunjukkan akun yang dapat diakses dari workgroup ini. Penerima hibah tidak dapat menggunakan endpoint workgroup URL untuk mengakses workgroup secara langsung. Untuk mengakses workgroup, Anda sebagai penerima hibah pergi ke bagian endpoint dan memilih buat endpoint.

  2. Kemudian, sebagai penerima hibah, Anda memberikan nama endpoint dan a VPC untuk mengakses workgroup.

  3. Setelah titik akhir berhasil dibuat, itu muncul di bagian titik akhir dan ada titik akhir URL untuk itu. Anda dapat menggunakan endpoint ini URL untuk mengakses workgroup.

Memberikan akses ke akun lain, menggunakan perintah CLI

Akun yang memberikan akses harus terlebih dahulu memberikan akses ke akun lain untuk terhubung dengan menggunakanput-resource-policy. Pemilik database dapat memanggil put-resource-policy untuk mengotorisasi akun lain untuk membuat koneksi ke workgroup. Akun penerima hibah kemudian dapat digunakan create-endpoint-authorization untuk membuat koneksi ke grup kerja melalui yang diizinkan. VPCs

Berikut ini menunjukkan properti untukput-resource-policy, yang dapat Anda panggil untuk mengizinkan akses ke akun tertentu danVPC.

aws redshift-serverless put-resource-policy
--resource-arn <value> 
--policy <value>

Setelah memanggil perintah, Anda dapat memanggilget-resource-policy, menentukan resource-arn untuk melihat akun mana dan VPCs diizinkan untuk mengakses sumber daya.

Panggilan berikut dapat dilakukan oleh penerima hibah. Ini menunjukkan informasi tentang akses yang diberikan. Secara khusus, ia mengembalikan daftar yang berisi akses yang VPCs diberikan.

aws redshift-serverless list-workgroups
--owner-account <value>

Tujuannya adalah agar penerima hibah mendapatkan informasi dari akun pemberi tentang otorisasi titik akhir. owner-accountIni adalah akun berbagi. Ketika Anda menjalankan ini, ia mengembalikan CrossAccountVpcs untuk setiap workgroup, yang merupakan daftar yang diizinkanVPCs. Sebagai referensi, berikut ini menunjukkan semua properti yang tersedia untuk workgroup:

Output: workgroup (Object)
workgroupId String,
workgroupArn String,
workgroupName String,
status: String,
namespaceName: String,
baseCapacity: Integer, (Not-applicable)
enhancedVpcRouting: Boolean,
configParameters: List,
securityGroupIds: List,
subnetIds: List,
endpoint: String,
publiclyAccessible: Boolean,
creationDate: Timestamp,
port: Integer,
CrossAccountVpcs: List
catatan

Sebagai pengingat, relokasi cluster bukanlah prasyarat untuk mengonfigurasi fitur jaringan Redshift tambahan. Anda juga tidak perlu menyalakannya untuk mengaktifkan yang berikut:

  • Menghubungkan dari lintas-akun atau lintas wilayah VPC ke Redshift — Anda dapat terhubung dari satu AWS virtual private cloud (VPC) ke yang lain yang berisi database Redshift, seperti yang dijelaskan di bagian ini.

  • Menyiapkan nama domain khusus — Anda dapat membuat nama domain khusus, juga dikenal sebagai kustomURL, untuk klaster Amazon Redshift atau grup kerja Amazon Redshift Tanpa Server, untuk membuat nama titik akhir lebih mudah diingat dan sederhana. Untuk informasi selengkapnya, lihat Menggunakan nama domain khusus untuk koneksi klien.

Mengonfigurasi pengaturan lalu lintas jaringan yang sesuai untuk Amazon Redshift Serverless

Connect ke Amazon Redshift Serverless saat dapat diakses publik

Petunjuk untuk mengatur pengaturan lalu lintas jaringan Anda tersedia di Aksesibilitas publik dengan konfigurasi grup keamanan default atau kustom. Ini termasuk kasus penggunaan di mana cluster dapat diakses publik.

Connect ke Amazon Redshift Serverless saat tidak dapat diakses publik

Petunjuk untuk mengatur pengaturan lalu lintas jaringan Anda tersedia di Aksesibilitas pribadi dengan konfigurasi grup keamanan default atau kustom. Ini termasuk kasus penggunaan di mana cluster tidak tersedia untuk internet.

Mendefinisikan peran database yang akan diberikan kepada pengguna federasi di Amazon Redshift Tanpa Server

Anda dapat menentukan peran di organisasi yang menentukan peran database mana yang akan diberikan di Amazon Redshift Tanpa Server. Untuk informasi selengkapnya, lihat Mendefinisikan peran database yang akan diberikan kepada pengguna federasi di Amazon Redshift Tanpa Server.

Sumber daya tambahan

Untuk informasi selengkapnya tentang koneksi aman ke Amazon Redshift Tanpa Server, termasuk pemberian izin, otorisasi akses ke layanan tambahan, dan membuat peran, lihat. IAM Manajemen identitas dan akses di Amazon Redshift Tanpa Server