Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menghubungkan ke Amazon Redshift Tanpa Server
Setelah menyiapkan instans Amazon Redshift Tanpa Server, Anda dapat menghubungkannya dengan berbagai metode, yang diuraikan di bawah ini. Jika Anda memiliki beberapa tim atau proyek dan ingin mengelola biaya secara terpisah, Anda dapat menggunakan terpisah Akun AWS.
Untuk daftar Wilayah AWS tempat Amazon Redshift Serverless tersedia, lihat titik akhir yang terdaftar untuk Redshift Serverless di. API Referensi Umum Amazon Web Services
Amazon Redshift Tanpa Server terhubung ke lingkungan tanpa server di lingkungan Anda saat ini. Akun AWS Wilayah AWS Amazon Redshift Serverless berjalan di dalam rentang port 5431-5455 dan VPC 8191-8215. Defaultnya adalah 5439. Saat ini, Anda hanya dapat mengubah port dengan API operasi UpdateWorkgroup
dan AWS CLI operasiupdate-workgroup
.
Menghubungkan ke Amazon Redshift Tanpa Server
Anda dapat terhubung ke database (bernamadev
) di Amazon Redshift Serverless dengan sintaks berikut.
workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:port/dev
Misalnya, string koneksi berikut menentukan Region us-east-1.
default.123456789012.us-east-1.redshift-serverless.amazonaws.com:5439/dev
Menghubungkan ke Amazon Redshift Tanpa Server melalui driver JDBC
Anda dapat menggunakan salah satu metode berikut untuk terhubung ke Amazon Redshift Tanpa Server dengan SQL klien pilihan Anda menggunakan driver versi 2 yang disediakan Amazon RedshiftJDBC.
Untuk terhubung dengan kredensi login untuk otentikasi database menggunakan JDBC driver versi 2.1.x atau yang lebih baru, gunakan sintaks berikut. Nomor port opsional; jika tidak disertakan, Amazon Redshift Serverless default ke nomor port 5439. Anda dapat mengubah ke port lain dari rentang port 5431-5455 atau 8191-8215. Untuk mengubah port default untuk titik akhir tanpa server, gunakan Amazon AWS CLI Redshift dan Amazon. API
jdbc:redshift://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev
Misalnya, string koneksi berikut menentukan default workgroup, ID akun 123456789012, dan Region us-east-2.
jdbc:redshift://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev
Untuk terhubung dengan IAM menggunakan JDBC driver versi 2.1.x atau yang lebih baru, gunakan sintaks berikut. Nomor port opsional; jika tidak disertakan, Amazon Redshift Serverless default ke nomor port 5439. Anda dapat mengubah ke port lain dari rentang port 5431-5455 atau 8191-8215. Untuk mengubah port default untuk titik akhir tanpa server, gunakan Amazon AWS CLI Redshift dan Amazon. API
jdbc:redshift:iam://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev
Misalnya, string koneksi berikut menentukan default workgroup, ID akun 123456789012, dan Region us-east-2.
jdbc:redshift:iam://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev
UntukODBC, gunakan sintaks berikut.
Driver={Amazon Redshift (x64)}; Server=workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com; Database=dev
Jika Anda menggunakan versi JDBC driver sebelum 2.1.0.9 dan terhubung denganIAM, Anda harus menggunakan sintaks berikut.
jdbc:redshift:iam://redshift-serverless-<name>:aws-region/database-name
Misalnya, string koneksi berikut menentukan workgroup default dan Wilayah AWS us-east-1.
jdbc:redshift:iam://redshift-serverless-default:us-east-1/dev
Untuk informasi lebih lanjut tentang driver, lihatMengonfigurasi koneksi di Amazon Redshift.
Menemukan string Anda JDBC dan ODBC koneksi
Untuk terhubung ke workgroup Anda dengan alat SQL klien Anda, Anda harus memiliki string JDBC atau ODBC koneksi. Anda dapat menemukan string koneksi di konsol Amazon Redshift Tanpa Server, di halaman detail grup kerja.
Untuk menemukan string koneksi untuk workgroup
-
Masuk ke AWS Management Console dan buka konsol Amazon Redshift di. https://console.aws.amazon.com/redshiftv2/
-
Pada menu navigasi, pilih Redshift Serverless.
-
Pada menu navigasi, pilih konfigurasi Workgroup, lalu pilih nama workgroup dari daftar untuk membuka detailnya.
-
String JDBCURLdan ODBCURLkoneksi tersedia, bersama dengan detail tambahan, di bagian Informasi umum. Setiap string didasarkan pada AWS Wilayah tempat workgroup berjalan. Pilih ikon di sebelah string koneksi yang sesuai untuk menyalin string koneksi.
Menghubungkan ke Amazon Redshift Tanpa Server dengan Data API
Anda juga dapat menggunakan Data Amazon Redshift API untuk terhubung ke Amazon Redshift Tanpa Server. Gunakan workgroup-name
parameter alih-alih cluster-identifier
parameter dalam AWS CLI panggilan Anda.
Untuk informasi selengkapnya tentang DataAPI, lihatMenggunakan Data Amazon Redshift API. Misalnya kode memanggil Data API dengan Python dan contoh lainnya, lihat Memulai dengan Data Pergeseran Merah APIquick-start
. use-cases
GitHub
Terhubung dengan SSL Amazon Redshift Tanpa Server
Mengonfigurasi koneksi aman ke Amazon Redshift Tanpa Server
Untuk mendukung SSL koneksi, Redshift Serverless membuat dan menginstal sertifikat AWS Certificate Manager (ACM)sslmode
koneksi SSL yang disetel kerequire
,, atau. verify-ca
verify-full
Jika klien Anda membutuhkan sertifikat, Redshift Serverless menyediakan sertifikat bundel sebagai berikut:
Unduh bundel dari https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundle.crt
. Nomor MD5 checksum yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.
Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Jangan gunakan bundel sertifikat sebelumnya yang berada di
https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt
.Di China Wilayah AWS, unduh bundel https://s3---cn-north-1.amazonaws.com.rproxy.goskope.comdari.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crt
. Nomor MD5 checksum yang diharapkan adalah 418dea9b6d5d5de7a8f1ac42e164cdcf.
Nomor checksum sha256 adalah 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Jangan gunakan bundel sertifikat sebelumnya yang berada di
https://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ca-bundle.crt
danhttps://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem
penting
Redshift Serverless telah mengubah cara sertifikat dikelola. SSL Anda mungkin perlu memperbarui sertifikat CA root kepercayaan Anda saat ini untuk terus terhubung ke grup kerja Anda menggunakanSSL. Untuk informasi selengkapnya tentang ACM sertifikat untuk SSL koneksi, lihatTransisi ke ACM sertifikat untuk koneksi SSL.
Secara default, database workgroup menerima koneksi apakah itu menggunakan SSL atau tidak.
Untuk membuat workgroup baru yang hanya menerima SSL koneksi, gunakan create-workgroup
perintah dan atur require_ssl
parameternya. true
Untuk menggunakan contoh berikut, ganti yourNamespaceName
dengan nama namespace Anda dan ganti yourWorkgroupName
dengan nama workgroup Anda.
aws redshift-serverless create-workgroup \ --namespace-name
yourNamespaceName
\ --workgroup-nameyourWorkgroupName
\ --config-parameters parameterKey=require_ssl,parameterValue=true
Untuk memperbarui workgroup yang ada agar hanya menerima SSL koneksi, gunakan update-workgroup
perintah dan atur require_ssl
parameternya ketrue
. Perhatikan bahwa Redshift Serverless akan memulai ulang workgroup Anda saat Anda memperbarui parameter. require_ssl
Untuk menggunakan contoh berikut, ganti yourWorkgroupName
dengan nama workgroup Anda.
aws redshift-serverless update-workgroup \ --workgroup-name
yourWorkgroupName
\ --config-parameters parameterKey=require_ssl,parameterValue=true
Amazon Redshift mendukung protokol perjanjian kunci Elliptic Curve Diffie—Hellman Ephemeral (). ECDHE DenganECDHE, klien dan server masing-masing memiliki kurva eliptik public-private key pair yang digunakan untuk membangun rahasia bersama melalui saluran yang tidak aman. Anda tidak perlu mengonfigurasi apa pun di Amazon Redshift untuk mengaktifkan. ECDHE Jika Anda terhubung dari alat SQL klien yang digunakan ECDHE untuk mengenkripsi komunikasi antara klien dan server, Amazon Redshift menggunakan daftar sandi yang disediakan untuk membuat koneksi yang sesuai. Untuk informasi lebih lanjut, lihat Elliptic curve diffie—hellman di Wikipedia dan Ciphers di situs web
Mengonfigurasi SSL koneksi FIPS yang sesuai dengan Amazon Redshift Serverless
Untuk membuat workgroup baru yang menggunakan SSL koneksi FIPS -compliant, gunakan create-workgroup
perintah dan atur parameternyause_fips_ssl
. true
Untuk menggunakan contoh berikut, ganti yourNamespaceName
dengan nama namespace Anda dan ganti yourWorkgroupName
dengan nama workgroup Anda.
aws redshift-serverless create-workgroup \ --namespace-name
yourNamespaceName
\ --workgroup-nameyourWorkgroupName
\ --config-parameters parameterKey=use_fips_ssl,parameterValue=true
Untuk memperbarui workgroup yang ada agar menggunakan SSL koneksi FIPS -compliant, gunakan update-workgroup
perintah dan atur parameternya keuse_fips_ssl
. true
Perhatikan bahwa Redshift Serverless akan memulai ulang workgroup Anda saat Anda memperbarui parameter. use_fips_ssl
Untuk menggunakan contoh berikut, ganti yourWorkgroupName
dengan nama workgroup Anda.
aws redshift-serverless update-workgroup \ --workgroup-name
yourWorkgroupName
\ --config-parameters parameterKey=use_fips_ssl,parameterValue=true
Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir yang dikelola Amazon Redshift VPC
Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir lainnya VPC
Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir antarmuka () VPC AWS PrivateLink
Untuk informasi tentang menghubungkan ke Amazon Redshift Tanpa Server dari VPC titik akhir antarmuka (), lihat.AWS PrivateLinkTitik VPC akhir antarmuka
Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir Redshift VPC di akun atau wilayah lain
Menghubungkan ke Amazon Redshift Tanpa Server dari titik akhir silang VPC
Amazon Redshift Serverless disediakan dalam file. VPC Anda dapat memberikan akses ke akun lain untuk mengakses Amazon Redshift Tanpa Server di akun Anda. VPC Ini mirip dengan koneksi dari VPC endpoint terkelola, tetapi dalam hal ini koneksi berasal, misalnya, dari klien database di akun lain. Ada beberapa operasi yang dapat Anda lakukan:
Pemilik database dapat memberikan akses ke akun Amazon Redshift Tanpa Server VPC yang berisi ke akun lain di Wilayah yang sama.
Pemilik database dapat mencabut akses Amazon Redshift Tanpa Server.
Manfaat utama dari akses lintas akun adalah memungkinkan kolaborasi basis data yang lebih mudah. Pengguna tidak harus disediakan di akun yang berisi database untuk mengaksesnya, yang mengurangi langkah konfigurasi dan menghemat waktu.
Izin yang diperlukan untuk memberikan akses ke VPC akun lain
Untuk memberikan akses atau mengubah akses yang diizinkan, pemberi memerlukan kebijakan izin yang ditetapkan dengan izin berikut:
redshift-tanpa server: PutResourcePolicy
redshift-tanpa server: GetResourcePolicy
redshift-tanpa server: DeleteResourcePolicy
EC2: CreateVpcEndpoint
EC2: ModifyVpcEndpoint
Anda mungkin memerlukan izin lain yang ditentukan dalam kebijakan AWS AmazonRedshiftFullAccessterkelola. Untuk informasi selengkapnya, lihat Memberikan izin ke Amazon Redshift Tanpa Server.
Penerima hibah memerlukan kebijakan izin yang ditetapkan dengan izin berikut:
redshift-tanpa server: ListWorkgroups
redshift-tanpa server: CreateEndpointAccess
redshift-tanpa server: UpdateEndpointAccess
redshift-tanpa server: GetEndpointAccess
redshift-tanpa server: ListEndpointAccess
redshift-tanpa server: DeleteEndpointAccess
Sebagai praktik terbaik, kami sarankan untuk melampirkan kebijakan izin ke IAM peran dan kemudian menetapkannya ke pengguna dan grup sesuai kebutuhan. Untuk informasi selengkapnya, lihat Identitas dan manajemen akses di Amazon Redshift.
Ini adalah contoh kebijakan sumber daya yang digunakan untuk mengonfigurasi VPC akses silang:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountCrossVPCAccess", "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "234567890123" ] }, "Action": [ "redshift-serverless:CreateEndpointAccess", "redshift-serverless:UpdateEndpointAccess", "redshift-serverless:DeleteEndpointAccess", "redshift-serverless:GetEndpointAccess" ], "Condition": { "ArnLike": { "redshift-serverless:AuthorizedVpc": [ "arn:aws:ec2:us-east-1:123456789012:vpc/*", "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-456", "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-987" ] } } } } ] }
Prosedur yang mengikuti di bagian ini mengasumsikan bahwa pengguna yang melakukannya memiliki izin yang ditetapkan yang sesuai, misalnya, melalui IAM peran yang ditetapkan yang memiliki izin yang terdaftar. Prosedur juga mengasumsikan bahwa kelompok kerja memiliki IAM peran yang dilampirkan dengan izin sumber daya yang sesuai.
Memberikan VPC akses ke akun lain, menggunakan konsol
Prosedur ini menunjukkan langkah-langkah untuk mengkonfigurasi akses database ketika Anda pemilik database, dan Anda ingin memberikan akses ke sana.
Memberikan akses dari akun pemilik
-
Di properti untuk workgroup Amazon Redshift Tanpa Server, pada tab Akses data, ada daftar yang disebut Akun yang diberikan. Ini menunjukkan akun dan VPCs diberikan akses ke workgroup. Temukan daftar dan pilih Berikan akses untuk menambahkan akun ke daftar.
-
Sebuah jendela muncul di mana Anda dapat menambahkan informasi penerima hibah. Masukkan ID AWS akun, yang merupakan ID 12 digit dari akun yang ingin Anda berikan akses.
-
Berikan akses ke semua VPCs untuk penerima hibah, atau khusus. VPCs Jika Anda memberikan akses hanya untuk spesifikVPCs, Anda dapat menambahkan IDs untuk ini dengan memasukkan masing-masing dan memilih Tambah VPC.
-
Simpan perubahan saat Anda selesai.
Saat Anda menyimpan perubahan, akun akan muncul di daftar akun yang Diberikan. Entri menunjukkan ID Akun dan daftar akses yang VPCs diberikan.
Pemilik database juga dapat mencabut akses ke akun. Pemilik dapat mencabut akses kapan saja.
Mencabut akses ke akun
-
Anda dapat mulai dari daftar akun yang diberikan. Pertama, pilih satu atau beberapa akun.
-
Pilih Cabut akses.
Setelah akses diberikan, administrator database untuk penerima hibah dapat memeriksa konsol untuk menentukan apakah mereka memiliki akses.
Menggunakan konsol untuk mengonfirmasi bahwa akses diberikan bagi Anda untuk mengakses akun lain
-
Di properti workgroup Amazon Redshift Tanpa Server, pada tab Akses data, ada daftar yang disebut Akun resmi. Ini menunjukkan akun yang dapat diakses dari workgroup ini. Penerima hibah tidak dapat menggunakan endpoint workgroup URL untuk mengakses workgroup secara langsung. Untuk mengakses workgroup, Anda sebagai penerima hibah pergi ke bagian endpoint dan memilih buat endpoint.
-
Kemudian, sebagai penerima hibah, Anda memberikan nama endpoint dan a VPC untuk mengakses workgroup.
-
Setelah titik akhir berhasil dibuat, itu muncul di bagian titik akhir dan ada titik akhir URL untuk itu. Anda dapat menggunakan endpoint ini URL untuk mengakses workgroup.
Memberikan akses ke akun lain, menggunakan perintah CLI
Akun yang memberikan akses harus terlebih dahulu memberikan akses ke akun lain untuk terhubung dengan menggunakanput-resource-policy
. Pemilik database dapat memanggil put-resource-policy
untuk mengotorisasi akun lain untuk membuat koneksi ke workgroup. Akun penerima hibah kemudian dapat digunakan create-endpoint-authorization
untuk membuat koneksi ke grup kerja melalui yang diizinkan. VPCs
Berikut ini menunjukkan properti untukput-resource-policy
, yang dapat Anda panggil untuk mengizinkan akses ke akun tertentu danVPC.
aws redshift-serverless put-resource-policy --resource-arn <value> --policy <value>
Setelah memanggil perintah, Anda dapat memanggilget-resource-policy
, menentukan resource-arn
untuk melihat akun mana dan VPCs diizinkan untuk mengakses sumber daya.
Panggilan berikut dapat dilakukan oleh penerima hibah. Ini menunjukkan informasi tentang akses yang diberikan. Secara khusus, ia mengembalikan daftar yang berisi akses yang VPCs diberikan.
aws redshift-serverless list-workgroups --owner-account <value>
Tujuannya adalah agar penerima hibah mendapatkan informasi dari akun pemberi tentang otorisasi titik akhir. owner-account
Ini adalah akun berbagi. Ketika Anda menjalankan ini, ia mengembalikan CrossAccountVpcs
untuk setiap workgroup, yang merupakan daftar yang diizinkanVPCs. Sebagai referensi, berikut ini menunjukkan semua properti yang tersedia untuk workgroup:
Output: workgroup (Object) workgroupId String, workgroupArn String, workgroupName String, status: String, namespaceName: String, baseCapacity: Integer, (Not-applicable) enhancedVpcRouting: Boolean, configParameters: List, securityGroupIds: List, subnetIds: List, endpoint: String, publiclyAccessible: Boolean, creationDate: Timestamp, port: Integer, CrossAccountVpcs: List
catatan
Sebagai pengingat, relokasi cluster bukanlah prasyarat untuk mengonfigurasi fitur jaringan Redshift tambahan. Anda juga tidak perlu mengaktifkannya untuk mengaktifkan yang berikut:
Menghubungkan dari lintas-akun atau lintas wilayah VPC ke Redshift — Anda dapat terhubung dari satu AWS virtual private cloud (VPC) ke yang lain yang berisi database Redshift, seperti yang dijelaskan di bagian ini.
Menyiapkan nama domain khusus — Anda dapat membuat nama domain khusus, juga dikenal sebagai kustomURL, untuk klaster Amazon Redshift atau grup kerja Amazon Redshift Tanpa Server, untuk membuat nama titik akhir lebih mudah diingat dan sederhana. Untuk informasi selengkapnya, lihat Menggunakan nama domain khusus untuk koneksi klien.
Sumber daya tambahan
Petunjuk untuk mengatur pengaturan lalu lintas jaringan Anda tersedia di Aksesibilitas publik dengan konfigurasi grup keamanan default atau kustom. Ini termasuk kasus penggunaan di mana cluster dapat diakses publik.
Petunjuk untuk mengatur pengaturan lalu lintas jaringan Anda tersedia di Aksesibilitas pribadi dengan konfigurasi grup keamanan default atau kustom. Ini termasuk kasus penggunaan di mana cluster tidak tersedia untuk internet.
Untuk informasi selengkapnya tentang koneksi aman ke Amazon Redshift Tanpa Server, termasuk pemberian izin, otorisasi akses ke layanan tambahan, dan membuat peran, lihat. IAM Manajemen identitas dan akses di Amazon Redshift Tanpa Server