Connessione ad Amazon Redshift Serverless - Amazon Redshift
Connessione ad Amazon Redshift ServerlessConnessione ad Amazon Redshift Serverless tramite driver JDBCConnessione ad Amazon Redshift Serverless con i dati APIConnessione SSL ad Amazon Redshift ServerlessConnessione ad Amazon Redshift Serverless da un endpoint gestito Amazon Redshift VPCConnessione ad Amazon Redshift Serverless da un VPC endpoint Redshift in un altro account o regioneConfigurazione delle impostazioni appropriate per il traffico di rete per Amazon Redshift serverlessDefinizione dei ruoli del database da assegnare agli utenti federati in Amazon Redshift serverlessAltre risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione ad Amazon Redshift Serverless

Dopo aver configurato la tua istanza Amazon Redshift Serverless, puoi connetterti con una varietà di metodi, descritti di seguito. Se hai più team o progetti e desideri gestire i costi separatamente, puoi utilizzare separatamente Account AWS.

Per un elenco delle aree Regioni AWS in cui è disponibile Amazon Redshift Serverless, consulta gli endpoint elencati per Redshift Serverless nel. API Riferimenti generali di Amazon Web Services

Amazon Redshift Serverless si connette all'ambiente serverless del tuo Account AWS sistema attuale. Regione AWS Amazon Redshift Serverless viene eseguito VPC all'interno degli intervalli di porte 5431-5455 e 8191-8215. Il valore predefinito è 5439. Al momento, è possibile modificare le porte solo in base all'operazione e all'operazione. API UpdateWorkgroup AWS CLI update-workgroup

Connessione ad Amazon Redshift Serverless

Puoi connetterti a un database (denominato dev) in Amazon Redshift serverless con la seguente sintassi.

workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:port/dev

Ad esempio, la seguente stringa di connessione specifica la regione us-east-1.

default.123456789012.us-east-1.redshift-serverless.amazonaws.com:5439/dev

Connessione ad Amazon Redshift Serverless tramite driver JDBC

Puoi utilizzare uno dei seguenti metodi per connetterti ad Amazon Redshift Serverless con il tuo SQL client preferito utilizzando il driver versione 2 fornito da Amazon RedshiftJDBC.

Per connetterti con le credenziali di accesso per l'autenticazione del database utilizzando la versione del JDBC driver 2.1.x o successiva, usa la seguente sintassi. Il numero di porta è facoltativo; se non incluso, Amazon Redshift Serverless imposta il numero di porta 5439. È possibile passare a un'altra porta compresa nell'intervallo 5431-5455 o 8191-8215. Per modificare la porta predefinita per un endpoint serverless, usa Amazon AWS CLI Redshift. API

jdbc:redshift://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

Ad esempio, la seguente stringa di connessione specifica il gruppo di lavoro predefinito, l'ID account 123456789012 e la regione us-east-2.

jdbc:redshift://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

Per connetterti IAM utilizzando la versione del JDBC driver 2.1.x o successiva, usa la seguente sintassi. Il numero di porta è facoltativo; se non incluso, Amazon Redshift Serverless imposta il numero di porta 5439. È possibile passare a un'altra porta compresa nell'intervallo 5431-5455 o 8191-8215. Per modificare la porta predefinita per un endpoint serverless, usa Amazon AWS CLI Redshift. API

jdbc:redshift:iam://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

Ad esempio, la seguente stringa di connessione specifica il gruppo di lavoro predefinito, l'ID account 123456789012 e la regione us-east-2.

jdbc:redshift:iam://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

PerODBC, usa la seguente sintassi.

Driver={Amazon Redshift (x64)}; Server=workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com; Database=dev

Se si utilizza una versione del JDBC driver precedente alla 2.1.0.9 e ci si connette aIAM, sarà necessario utilizzare la seguente sintassi.

jdbc:redshift:iam://redshift-serverless-<name>:aws-region/database-name

Ad esempio, la seguente stringa di connessione specifica l'impostazione predefinita del gruppo di lavoro e Regione AWS us-east-1.

jdbc:redshift:iam://redshift-serverless-default:us-east-1/dev

Per ulteriori informazioni sui driver, consulta Configurazione delle connessioni in Amazon Redshift.

Individuazione della stringa e della stringa di connessione JDBC ODBC

Per connetterti al tuo gruppo di lavoro con lo strumento SQL client, devi disporre della stringa di ODBC connessione JDBC or. Tale stringa di connessione è presente nella console di Amazon Redshift serverless, nella pagina dei dettagli del gruppo di lavoro.

Per trovare la stringa di connessione di un gruppo di lavoro

  1. Accedi a AWS Management Console e apri la console Amazon Redshift all'indirizzo. https://console.aws.amazon.com/redshiftv2/

  2. Dal menu di navigazione, scegli Redshift Serverless.

  3. Dal menu di navigazione scegli Configurazione del gruppo di lavoro, quindi scegli dall'elenco il nome del gruppo di lavoro per visualizzarne i dettagli.

  4. Le stringhe JDBCURLe le stringhe di ODBCURLconnessione sono disponibili, insieme a ulteriori dettagli, nella sezione Informazioni generali. Ogni stringa si basa sulla AWS regione in cui viene eseguito il gruppo di lavoro. Scegli l'icona accanto alla stringa di connessione corretta per copiare la stringa di connessione.

Connessione ad Amazon Redshift Serverless con i dati API

Puoi anche utilizzare Amazon Redshift Data API per connetterti ad Amazon Redshift Serverless. Utilizza il workgroup-name parametro anziché il cluster-identifier parametro nelle tue chiamate. AWS CLI

Per ulteriori informazioni sui datiAPI, vedereUtilizzo dei dati di Amazon Redshift API. Ad esempio, che chiama i dati API in Python e altri esempi, consulta Getting Started with Redshift Data API e cerca nelle cartelle and in. quick-start use-cases GitHub

Connessione SSL ad Amazon Redshift Serverless

Configurazione di una connessione sicura ad Amazon Redshift Serverless

Per supportare SSL le connessioni, Redshift Serverless crea e installa un SSL certificato rilasciato AWS Certificate Manager (ACM) per ogni gruppo di lavoro. ACMi certificati sono considerati pubblicamente affidabili dalla maggior parte dei sistemi operativi, dei browser Web e dei client. Potrebbe essere necessario scaricare un pacchetto di certificati se SQL i client o le applicazioni si connettono a Redshift Serverless SSL utilizzando sslmode l'opzione di connessione impostata surequire, o. verify-ca verify-full Se il tuo cliente necessita di un certificato, Redshift Serverless fornisce un pacchetto di certificati come segue:

Importante

Redshift Serverless ha cambiato il modo in cui i SSL certificati vengono gestiti. Potrebbe essere necessario aggiornare i certificati Trust Root CA correnti per continuare a connetterti ai tuoi gruppi di lavoro utilizzando. SSL Per ulteriori informazioni sui ACM certificati per le SSL connessioni, vederePassaggio ai certificati ACM per connessioni SSL.

Per impostazione predefinita, i database dei gruppi di lavoro accettano una connessione indipendentemente dal fatto che venga utilizzata SSL o meno.

Per creare un nuovo gruppo di lavoro che accetti solo SSL connessioni, utilizzate il create-workgroup comando e impostate il require_ssl parametro su. true Per utilizzare l'esempio seguente, sostituisci yourNamespaceName con il nome del tuo namespace e sostituisci yourWorkgroupName con il nome del tuo gruppo di lavoro.

aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

Per aggiornare un gruppo di lavoro esistente in modo che accetti solo SSL connessioni, usa il update-workgroup comando e imposta il require_ssl parametro su. true Tieni presente che Redshift Serverless riavvierà il gruppo di lavoro quando aggiorni il parametro. require_ssl Per utilizzare l'esempio seguente, sostituisci yourWorkgroupName con il nome del tuo gruppo di lavoro.

aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

Amazon Redshift supporta il protocollo di accordo chiave Elliptic Curve Diffie—Hellman Ephemeral (). ECDHE ConECDHE, il client e il server dispongono ciascuno di una coppia di chiavi pubblica-privata a curva ellittica che viene utilizzata per stabilire un segreto condiviso su un canale non sicuro. Non è necessario configurare nulla in Amazon Redshift per abilitarlo. ECDHE Se ti connetti da uno strumento SQL client che ECDHE crittografa la comunicazione tra client e server, Amazon Redshift utilizza l'elenco di cifratura fornito per stabilire la connessione appropriata. Per ulteriori informazioni, consulta Elliptic curve diffie—hellman su Wikipedia e Ciphers sul sito web Open. SSL

Configurazione di una connessione FIPS conforme ad SSL Amazon Redshift Serverless

Per creare un nuovo gruppo di lavoro che utilizza una SSL connessione FIPS -compliant, usa il comando e imposta il parametro su. create-workgroup use_fips_ssl true Per utilizzare l'esempio seguente, sostituisci yourNamespaceName con il nome del tuo namespace e sostituisci yourWorkgroupName con il nome del tuo gruppo di lavoro.

aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

Per aggiornare un gruppo di lavoro esistente in modo da utilizzare una SSL connessione conforme a FIPS -compliant, utilizzate il update-workgroup comando e impostate il parametro su. use_fips_ssl true Tieni presente che Redshift Serverless riavvierà il gruppo di lavoro quando aggiorni il parametro. use_fips_ssl Per utilizzare l'esempio seguente, sostituisci yourWorkgroupName con il nome del tuo gruppo di lavoro.

aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

Per ulteriori informazioni sulla configurazione di Redshift Serverless per l'FIPSutilizzo di connessioni conformi a -compliant, consulta use_fips_ssl nella Amazon Redshift Database Developer Guide.

Connessione ad Amazon Redshift Serverless da un endpoint gestito Amazon Redshift VPC

Connessione ad Amazon Redshift Serverless da altri endpoint VPC

Per informazioni sulla configurazione o sulla configurazione di un VPC endpoint gestito per un gruppo di lavoro Serverless Amazon Redshift, consulta Working with Redshift Managed Endpoint. VPC

Connessione ad Amazon Redshift Serverless da un VPC endpoint Redshift in un altro account o regione

Connessione ad Amazon Redshift Serverless da un endpoint multiplo VPC

Amazon Redshift Serverless viene fornito in un. VPC Puoi concedere l'accesso VPC a un altro account per accedere ad Amazon Redshift Serverless dal tuo account. È simile a una connessione da un VPC endpoint gestito, ma in questo caso la connessione proviene, ad esempio, da un client di database in un altro account. Sono disponibili alcune operazioni che puoi eseguire:

  • Il proprietario di un database può concedere l'accesso a un Amazon Redshift Serverless VPC contenente a un altro account nella stessa regione.

  • Il proprietario di un database può revocare l'accesso ad Amazon Redshift serverless.

Il vantaggio principale dell'accesso multi-account è consentire una collaborazione più semplice tra i database. Non è necessario che gli utenti abbiano accesso all'account che contiene il database per accedervi, pertanto si riducono i passaggi di configurazione e si risparmia tempo.

Autorizzazioni necessarie per concedere l'accesso a un altro account VPC

Per fornire l'accesso o modificare l'accesso consentito, il concedente deve avere una policy di autorizzazioni assegnata con le seguenti autorizzazioni:

  • redshift senza server: PutResourcePolicy

  • redshift senza server: GetResourcePolicy

  • redshift senza server: DeleteResourcePolicy

  • ec2: CreateVpcEndpoint

  • ec2: ModifyVpcEndpoint

Potrebbero essere necessarie altre autorizzazioni specificate nella politica AWS gestita. AmazonRedshiftFullAccess Per ulteriori informazioni, consulta Concessione delle autorizzazioni ad Amazon Redshift Serverless.

L'assegnatario deve avere una policy di autorizzazioni assegnata con le seguenti autorizzazioni:

  • redshift-serverless: ListWorkgroups

  • redshift senza server: CreateEndpointAccess

  • redshift senza server: UpdateEndpointAccess

  • redshift senza server: GetEndpointAccess

  • redshift senza server: ListEndpointAccess

  • redshift senza server: DeleteEndpointAccess

Come procedura consigliata, consigliamo di associare criteri di autorizzazione a un IAM ruolo e quindi di assegnarlo a utenti e gruppi in base alle esigenze. Per ulteriori informazioni, consulta Identity and access management in Amazon Redshift.

Questo è un esempio di politica delle risorse utilizzata per configurare l'accesso incrociato: VPC

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountCrossVPCAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                   "123456789012",
                   "234567890123"
                ]
             },
            "Action": [
                "redshift-serverless:CreateEndpointAccess",
                "redshift-serverless:UpdateEndpointAccess",
                "redshift-serverless:DeleteEndpointAccess",
                "redshift-serverless:GetEndpointAccess"
            ],
            "Condition": {
                "ArnLike": {
                    "redshift-serverless:AuthorizedVpc": [
                        "arn:aws:ec2:us-east-1:123456789012:vpc/*",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-456",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-987"
                        ]
                    }
                }
            }
        }
    ]
}

Le procedure che seguono in questa sezione presuppongono che l'utente che le esegue disponga delle autorizzazioni assegnate appropriate, ad esempio tramite un IAM ruolo assegnato con le autorizzazioni elencate. Le procedure presuppongono inoltre che il gruppo di lavoro abbia un IAM ruolo associato alle autorizzazioni appropriate per le risorse.

Concessione dell'VPCaccesso ad altri account tramite la console

Questa procedura mostra i passaggi per configurare l'accesso al database quando sei il proprietario e desideri concedere l'accesso.

Autorizzazione dell'accesso dall'account proprietario

  1. Nella scheda Accesso ai dati delle proprietà del gruppo di lavoro Amazon Redshift serverless è presente un elenco denominato Account autorizzati. Mostra gli account e gli accessi VPCs concessi al gruppo di lavoro. Trova l'elenco e scegli Concedi l'accesso per aggiungere un account all'elenco.

  2. Viene visualizzata una finestra in cui è possibile aggiungere le informazioni sull'assegnatario. Inserisci l'ID dell'account AWS , ossia l'ID composto da 12 cifre dell'account a cui desideri autorizzare l'accesso.

  3. Concedi l'accesso a tutti VPCs per il beneficiario o a persone specifiche. VPCs Se concedi l'accesso solo a persone specificheVPCs, puoi aggiungerle inserendo ognuna di esse e scegliendo Aggiungi. IDs VPC

  4. Al termine, seleziona Salva le modifiche.

Quando salvi le modifiche, l'account viene visualizzato nell'elenco Account autorizzati. La voce mostra l'ID dell'account e l'elenco degli VPCs accessi concessi.

Il proprietario del database può anche revocare l'accesso a un account. Il proprietario può revocare l'accesso in qualsiasi momento.

Revoca dell'accesso a un account

  1. Puoi iniziare dall'elenco degli account autorizzati. Per prima cosa, seleziona uno o più account.

  2. Scegli Revoca accesso.

Una volta autorizzato l'accesso, l'amministratore del database dell'assegnatario può controllare la console per determinare se dispone dell'accesso.

Utilizzo della console per verificare l'autorizzazione per accedere a un altro account

  1. Nella scheda Accesso ai dati delle proprietà del gruppo di lavoro Amazon Redshift serverless è presente un elenco denominato Account autorizzati. Mostra gli account a cui è possibile accedere dal gruppo di lavoro. Il beneficiario non può utilizzare l'endpoint del gruppo di lavoro URL per accedere direttamente al gruppo di lavoro. Per accedere al gruppo di lavoro, in qualità di assegnatario, vai alla sezione Endpoint e scegli Crea un endpoint.

  2. Quindi, in qualità di beneficiario, fornisci un nome di endpoint e un nome per accedere al gruppo di lavoro. VPC

  3. Dopo che l'endpoint è stato creato con successo, viene visualizzato nella sezione endpoint ed è disponibile un endpoint corrispondente. URL È possibile utilizzare questo endpoint per accedere URL al gruppo di lavoro.

Concessione dell'accesso ad altri account tramite comandi CLI

L'account che autorizza l'accesso deve prima autorizzare l'accesso a un altro account da connettere utilizzando put-resource-policy. Il proprietario del database può chiamare put-resource-policy per autorizzare un altro account a creare le connessioni al gruppo di lavoro. L'account del beneficiario può quindi essere utilizzato create-endpoint-authorization per creare connessioni al gruppo di lavoro tramite le impostazioni consentite. VPCs

Di seguito vengono illustrate le proprietà per put-resource-policy le quali è possibile richiamare per consentire l'accesso a un account specifico e. VPC

aws redshift-serverless put-resource-policy
--resource-arn <value> 
--policy <value>

Dopo aver richiamato il comando, è possibile chiamareget-resource-policy, specificando l'resource-arnindirizzo per vedere quali account VPCs sono autorizzati ad accedere alla risorsa.

La seguente chiamata può essere effettuata dall'assegnatario. Mostra informazioni sull'accesso autorizzato. In particolare, restituisce un elenco che contiene l'accesso VPCs concesso.

aws redshift-serverless list-workgroups
--owner-account <value>

Lo scopo è che l'assegnatario ottenga informazioni dall'account che fornisce l'autorizzazione sulle autorizzazioni degli endpoint. L'elemento owner-account rappresenta l'account di condivisione. Quando lo esegui, restituisce CrossAccountVpcs per ogni gruppo di lavoro, che è un elenco di quelli consentitiVPCs. Per riferimento, di seguito sono riportate tutte le proprietà disponibili per un gruppo di lavoro:

Output: workgroup (Object)
workgroupId String,
workgroupArn String,
workgroupName String,
status: String,
namespaceName: String,
baseCapacity: Integer, (Not-applicable)
enhancedVpcRouting: Boolean,
configParameters: List,
securityGroupIds: List,
subnetIds: List,
endpoint: String,
publiclyAccessible: Boolean,
creationDate: Timestamp,
port: Integer,
CrossAccountVpcs: List
Nota

Ricordiamo che il trasferimento del cluster non è un prerequisito per la configurazione di funzionalità di rete aggiuntive di Redshift. Inoltre, non è necessario attivarlo per abilitare le seguenti funzionalità:

  • Connessione da un account multiplo o interregionale a VPC Redshift: puoi connetterti da un cloud privato AWS virtuale (VPC) a un altro che contiene un database Redshift, come descritto in questa sezione.

  • Configurazione di un nome di dominio personalizzato: puoi creare un nome di dominio personalizzato, noto anche come personalizzatoURL, per il tuo cluster Amazon Redshift o il gruppo di lavoro Amazon Redshift Serverless, per rendere il nome dell'endpoint più semplice e facile da ricordare. Per ulteriori informazioni, consulta Utilizzo di un nome di dominio personalizzato per le connessioni client.

Configurazione delle impostazioni appropriate per il traffico di rete per Amazon Redshift serverless

Connessione a un'istanza Amazon Redshift Serverless accessibile al pubblico

Le istruzioni per configurare le impostazioni del traffico di rete sono disponibili in Accessibilità pubblica con configurazione predefinita o personalizzata del gruppo di sicurezza. Ciò include un caso d'uso in cui il cluster è accessibile pubblicamente.

Connessione a un'istanza Amazon Redshift serverless non accessibile al pubblico

Le istruzioni per impostare le impostazioni del traffico di rete sono disponibili in Accessibilità privata con configurazione predefinita o personalizzata del gruppo di sicurezza. Ciò include un caso d'uso in cui il cluster non è disponibile su Internet.

Definizione dei ruoli del database da assegnare agli utenti federati in Amazon Redshift serverless

Puoi definire ruoli nell'organizzazione che determinano quali ruoli del database concedere in Amazon Redshift serverless. Per ulteriori informazioni, consulta Definizione dei ruoli del database da assegnare agli utenti federati in Amazon Redshift serverless.

Altre risorse

Per ulteriori informazioni sulle connessioni sicure ad Amazon Redshift Serverless, inclusa la concessione di autorizzazioni, l'autorizzazione dell'accesso a servizi aggiuntivi e la creazione di ruoli, consulta. IAM Identity and Access Management in Amazon Redshift Serverless