Connessione ad Amazon Redshift Serverless - Amazon Redshift
Connessione ad Amazon Redshift ServerlessConnessione ad Amazon Redshift Serverless tramite driver JDBCConnessione ad Amazon Redshift Serverless con l'API dei datiConnessione con SSL ad Amazon Redshift ServerlessConnessione ad Amazon Redshift Serverless da un endpoint VPC gestito da Amazon RedshiftConnessione ad Amazon Redshift Serverless da un endpoint VPC di interfaccia ()AWS PrivateLinkConnessione ad Amazon Redshift serverless da un endpoint VPC Redshift di un altro account o un'altra regioneRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione ad Amazon Redshift Serverless

Dopo aver configurato la tua istanza Amazon Redshift Serverless, puoi connetterti con una varietà di metodi, descritti di seguito. Se hai più team o progetti e desideri gestire i costi separatamente, puoi utilizzare separatamente Account AWS.

Per un elenco delle aree Regioni AWS in cui è disponibile Amazon Redshift Serverless, consulta gli endpoint elencati per l'API Redshift Serverless nel. Riferimenti generali di Amazon Web Services

Amazon Redshift Serverless si connette all'ambiente serverless del tuo Account AWS sistema attuale. Regione AWS Amazon Redshift serverless viene eseguito in un VPC all'interno degli intervalli di porte 5431-5455 e 8191-8215. Il valore predefinito è 5439. Attualmente, puoi modificare le porte solo con il funzionamento UpdateWorkgroup e l'operazione dell'API. AWS CLI update-workgroup

Connessione ad Amazon Redshift Serverless

Puoi connetterti a un database (denominato dev) in Amazon Redshift serverless con la seguente sintassi.

workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:port/dev

Ad esempio, la seguente stringa di connessione specifica la regione us-east-1.

default.123456789012.us-east-1.redshift-serverless.amazonaws.com:5439/dev

Connessione ad Amazon Redshift Serverless tramite driver JDBC

È possibile utilizzare uno dei seguenti metodi per connettersi all'endpoint Amazon Redshift Serverless con il client SQL preferito utilizzando il driver JDBC versione 2 fornito da Amazon Redshift.

Per eseguire la connessione con le credenziali di accesso per l'autenticazione del database utilizzando il driver JDBC versione 2.1.x o successiva, utilizza la seguente sintassi. Il numero di porta è facoltativo; se non incluso, Amazon Redshift Serverless imposta il numero di porta 5439. È possibile passare a un'altra porta compresa nell'intervallo 5431-5455 o 8191-8215. Per modificare la porta predefinita per un endpoint serverless, usa l'API AWS CLI e Amazon Redshift.

jdbc:redshift://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

Ad esempio, la seguente stringa di connessione specifica il gruppo di lavoro predefinito, l'ID account 123456789012 e la regione us-east-2.

jdbc:redshift://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

Per connettersi a IAM utilizzando il driver JDBC versione 2.1.x o successiva, utilizzare la seguente sintassi. Il numero di porta è facoltativo; se non incluso, Amazon Redshift Serverless imposta il numero di porta 5439. È possibile passare a un'altra porta compresa nell'intervallo 5431-5455 o 8191-8215. Per modificare la porta predefinita per un endpoint serverless, usa l'API AWS CLI e Amazon Redshift.

jdbc:redshift:iam://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

Ad esempio, la seguente stringa di connessione specifica il gruppo di lavoro predefinito, l'ID account 123456789012 e la regione us-east-2.

jdbc:redshift:iam://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

Utilizza la seguente sintassi per ODBC.

Driver={Amazon Redshift (x64)}; Server=workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com; Database=dev

Se si utilizza una versione del driver JDBC precedente alla 2.1.0.9 e si connette a IAM, è necessario utilizzare la seguente sintassi.

jdbc:redshift:iam://redshift-serverless-<name>:aws-region/database-name

Ad esempio, la seguente stringa di connessione specifica l'impostazione predefinita del gruppo di lavoro e Regione AWS us-east-1.

jdbc:redshift:iam://redshift-serverless-default:us-east-1/dev

Per ulteriori informazioni sui driver, consulta Configurazione delle connessioni in Amazon Redshift.

Individuazione della stringa di connessione JDBC e ODBC

Per connettersi al gruppo di lavoro con il proprio strumento client SQL è richiesta la stringa di connessione JDBC o ODBC. Tale stringa di connessione è presente nella console di Amazon Redshift serverless, nella pagina dei dettagli del gruppo di lavoro.

Per trovare la stringa di connessione di un gruppo di lavoro

  1. Accedi a AWS Management Console e apri la console Amazon Redshift all'indirizzo. https://console.aws.amazon.com/redshiftv2/

  2. Dal menu di navigazione, scegli Redshift Serverless.

  3. Dal menu di navigazione scegli Configurazione del gruppo di lavoro, quindi scegli dall'elenco il nome del gruppo di lavoro per visualizzarne i dettagli.

  4. Sono disponibili le stringhe di connessione URL JDBC e URL ODBC, insieme a dettagli aggiuntivi, nella sezione Informazioni generali. Ogni stringa si basa sulla AWS regione in cui viene eseguito il gruppo di lavoro. Scegli l'icona accanto alla stringa di connessione corretta per copiare la stringa di connessione.

Connessione ad Amazon Redshift Serverless con l'API dei dati

Puoi anche utilizzare l'Amazon Redshift Data API per connetterti ad Amazon Redshift Serverless. Utilizzate il workgroup-name parametro anziché il cluster-identifier parametro nelle AWS CLI chiamate.

Consulta Uso dell'API dati di Amazon Redshift per ulteriori informazioni sull'API dati. Ad esempio, che chiama l'API Data in Python e altri esempi, consulta Getting Started with Redshift Data API e cerca nelle cartelle and in. quick-start use-cases GitHub

Connessione con SSL ad Amazon Redshift Serverless

Configurazione di una connessione sicura ad Amazon Redshift Serverless

Per supportare le connessioni SSL, Redshift Serverless crea e installa AWS Certificate Manager un certificato SSL emesso da (ACM) per ogni gruppo di lavoro. I certificati ACM sono attendibili pubblicamente dalla maggior parte dei sistemi operativi, dei browser Web e dei client. Potrebbe essere necessario scaricare un pacchetto di certificati se i client o le applicazioni SQL si connettono a Redshift Serverless tramite SSL con sslmode l'opzione di connessione impostata surequire, oppure. verify-ca verify-full Se il tuo cliente necessita di un certificato, Redshift Serverless fornisce un pacchetto di certificati come segue:

Importante

Redshift Serverless ha cambiato il modo in cui vengono gestiti i certificati SSL. Potrebbe essere necessario aggiornare i certificati Trust Root CA correnti per continuare a connetterti ai tuoi gruppi di lavoro tramite SSL. Per ulteriori informazioni sui certificati ACM per le connessioni SSL, consulta. Passaggio ai certificati ACM per connessioni SSL

Per impostazione predefinita, i database dei gruppi di lavoro accettano una connessione indipendentemente dal fatto che utilizzi SSL o meno.

Per creare un nuovo gruppo di lavoro che accetti solo connessioni SSL, usa il create-workgroup comando e imposta il parametro su. require_ssl true Per utilizzare l'esempio seguente, sostituiscilo yourNamespaceName con il nome del tuo namespace e sostituiscilo yourWorkgroupName con il nome del tuo gruppo di lavoro.

aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

Per aggiornare un gruppo di lavoro esistente in modo che accetti solo connessioni SSL, utilizzate il update-workgroup comando e impostate il parametro su. require_ssl true Tieni presente che Redshift Serverless riavvierà il gruppo di lavoro quando aggiorni il parametro. require_ssl Per utilizzare l'esempio seguente, sostituiscilo yourWorkgroupName con il nome del tuo gruppo di lavoro.

aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

Amazon Redshift supporta il protocollo di accordo chiave Elliptic Curve DiffieHellman Ephemeral (ECDHE). Con il protocollo ECDHE, il client e il server hanno ciascuno una coppia di chiavi pubblica-privata a curva ellittica utilizzata per stabilire un segreto condiviso su un canale insicuro. Per abilitare ECDHE non è necessario eseguire alcuna configurazione in Amazon Redshift. Se ci si connette da uno strumento client SQL che utilizza ECDHE per crittografare la comunicazione tra il client e il server, Amazon Redshift utilizza l'elenco di crittografie fornito per stabilire la connessione appropriata. Per ulteriori informazioni, consultare Elliptic curve diffie-hellman su Wikipedia e Ciphers sul sito Web di OpenSSL.

Configurazione di una connessione SSL conforme a FIPS ad Amazon Redshift Serverless

Per creare un nuovo gruppo di lavoro che utilizza una connessione SSL conforme a FIPS, usa il comando e imposta il parametro su. create-workgroup use_fips_ssl true Per utilizzare l'esempio seguente, sostituiscilo con il nome del tuo namespace e sostituiscilo yourNamespaceName con il nome del tuo gruppo di lavoro. yourWorkgroupName

aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

Per aggiornare un gruppo di lavoro esistente per utilizzare una connessione SSL conforme a FIPS, utilizzate il comando e impostate il parametro su. update-workgroup use_fips_ssl true Tieni presente che Redshift Serverless riavvierà il gruppo di lavoro quando aggiorni il parametro. use_fips_ssl Per utilizzare l'esempio seguente, sostituiscilo yourWorkgroupName con il nome del tuo gruppo di lavoro.

aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

Per ulteriori informazioni sulla configurazione di Redshift Serverless per l'utilizzo di connessioni conformi a FIPS, consulta use_fips_ssl nella Amazon Redshift Database Developer Guide.

Connessione ad Amazon Redshift Serverless da un endpoint VPC gestito da Amazon Redshift

Connessione ad Amazon Redshift Serverless da altri endpoint VPC

Per informazioni sulla configurazione o sulla configurazione di un endpoint VPC gestito per un gruppo di lavoro Serverless Amazon Redshift, consulta Lavorare con endpoint VPC gestiti da Redshift.

Per informazioni sulla connessione ad Amazon Redshift Serverless da un endpoint VPC di interfaccia (), consulta.AWS PrivateLinkEndpoint VPC di interfaccia

Connessione ad Amazon Redshift serverless da un endpoint VPC Redshift di un altro account o un'altra regione

Connessione ad Amazon Redshift serverless dagli endpoint VPC

Amazon Redshift Serverless Puoi fornire l'accesso al VPC di un altro account per accedere ad Amazon Redshift serverless nel tuo account. Il concetto è simile alla connessione da un endpoint VPC gestito, ma in questo caso la connessione proviene, ad esempio, da un client di database di un altro account. Sono disponibili alcune operazioni che puoi eseguire:

  • Il proprietario di un database può fornire l'accesso a un VPC contenente Amazon Redshift serverless a un altro account della stessa regione.

  • Il proprietario di un database può revocare l'accesso ad Amazon Redshift serverless.

Il vantaggio principale dell'accesso multi-account è consentire una collaborazione più semplice tra i database. Non è necessario che gli utenti abbiano accesso all'account che contiene il database per accedervi, pertanto si riducono i passaggi di configurazione e si risparmia tempo.

Autorizzazioni necessarie per fornire l'accesso a un VPC di un altro account

Per fornire l'accesso o modificare l'accesso consentito, il concedente deve avere una policy di autorizzazioni assegnata con le seguenti autorizzazioni:

  • redshift-serverless: PutResourcePolicy

  • redshift senza server: GetResourcePolicy

  • redshift senza server: DeleteResourcePolicy

  • ec2: CreateVpcEndpoint

  • ec2: ModifyVpcEndpoint

Potrebbero essere necessarie altre autorizzazioni specificate nella politica AWS gestita. AmazonRedshiftFullAccess Per ulteriori informazioni, consulta Concessione delle autorizzazioni ad Amazon Redshift Serverless.

L'assegnatario deve avere una policy di autorizzazioni assegnata con le seguenti autorizzazioni:

  • redshift-serverless: ListWorkgroups

  • redshift senza server: CreateEndpointAccess

  • redshift senza server: UpdateEndpointAccess

  • redshift senza server: GetEndpointAccess

  • redshift senza server: ListEndpointAccess

  • redshift senza server: DeleteEndpointAccess

Come best practice, consigliamo di collegare le policy di autorizzazioni a un ruolo IAM, che quindi viene assegnato a utenti e gruppi secondo le necessità. Per ulteriori informazioni, consulta Identity and access management in Amazon Redshift.

Di seguito è riportata una policy di risorse di esempio utilizzata per configurare l'accesso tra VPC:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountCrossVPCAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                   "123456789012",
                   "234567890123"
                ]
             },
            "Action": [
                "redshift-serverless:CreateEndpointAccess",
                "redshift-serverless:UpdateEndpointAccess",
                "redshift-serverless:DeleteEndpointAccess",
                "redshift-serverless:GetEndpointAccess"
            ],
            "Condition": {
                "ArnLike": {
                    "redshift-serverless:AuthorizedVpc": [
                        "arn:aws:ec2:us-east-1:123456789012:vpc/*",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-456",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-987"
                        ]
                    }
                }
            }
        }
    ]
}

Nelle procedure che seguono in questa sezione si presuppone che l'utente che le esegue disponga delle autorizzazioni assegnate appropriate, ad esempio un ruolo IAM assegnato con le autorizzazioni elencate. Inoltre si presuppone che al gruppo di lavoro sia associato un ruolo IAM con le autorizzazioni appropriate per le risorse.

Autorizzazione dell'accesso VPC ad altri account mediante la console

Questa procedura mostra i passaggi per configurare l'accesso al database quando sei il proprietario e desideri concedere l'accesso.

Autorizzazione dell'accesso dall'account proprietario

  1. Nella scheda Accesso ai dati delle proprietà del gruppo di lavoro Amazon Redshift serverless è presente un elenco denominato Account autorizzati. Mostra gli account e gli accessi VPCs concessi al gruppo di lavoro. Trova l'elenco e scegli Concedi l'accesso per aggiungere un account all'elenco.

  2. Viene visualizzata una finestra in cui è possibile aggiungere le informazioni sull'assegnatario. Inserisci l'ID dell'account AWS , ossia l'ID composto da 12 cifre dell'account a cui desideri autorizzare l'accesso.

  3. Concedi l'accesso a tutti VPCs per il beneficiario o a persone specifiche. VPCs Se concedi l'accesso solo a utenti specifici VPCs, puoi aggiungerli inserendo ciascuno di essi e scegliendo Aggiungi VPC. IDs

  4. Al termine, seleziona Salva le modifiche.

Quando salvi le modifiche, l'account viene visualizzato nell'elenco Account autorizzati. La voce mostra l'ID dell'account e l'elenco degli accessi VPCs concessi.

Il proprietario del database può anche revocare l'accesso a un account. Il proprietario può revocare l'accesso in qualsiasi momento.

Revoca dell'accesso a un account

  1. Puoi iniziare dall'elenco degli account autorizzati. Per prima cosa, seleziona uno o più account.

  2. Scegli Revoca accesso.

Una volta autorizzato l'accesso, l'amministratore del database dell'assegnatario può controllare la console per determinare se dispone dell'accesso.

Utilizzo della console per verificare l'autorizzazione per accedere a un altro account

  1. Nella scheda Accesso ai dati delle proprietà del gruppo di lavoro Amazon Redshift serverless è presente un elenco denominato Account autorizzati. Mostra gli account a cui è possibile accedere dal gruppo di lavoro. L'assegnatario non può utilizzare l'URL dell'endpoint del gruppo di lavoro per accedere direttamente al gruppo di lavoro. Per accedere al gruppo di lavoro, in qualità di assegnatario, vai alla sezione Endpoint e scegli Crea un endpoint.

  2. Quindi, in qualità di assegnatario, fornisci un nome di endpoint e un VPC per accedere al gruppo di lavoro.

  3. Una volta creato correttamente, l'endpoint viene visualizzato nella sezione Endpoint con il relativo URL. Puoi utilizzare questo URL dell'endpoint per accedere al gruppo di lavoro.

Autorizzazione dell'accesso ad altri account mediante i comandi CLI

L'account che autorizza l'accesso deve prima autorizzare l'accesso a un altro account da connettere utilizzando put-resource-policy. Il proprietario del database può chiamare put-resource-policy per autorizzare un altro account a creare le connessioni al gruppo di lavoro. L'account del beneficiario può quindi essere utilizzato create-endpoint-authorization per creare connessioni con il gruppo di lavoro tramite i dati consentiti. VPCs

Di seguito vengono illustrate le proprietà per put-resource-policy che puoi chiamare per consentire l'accesso a un account e a un VPC specifici.

aws redshift-serverless put-resource-policy
--resource-arn <value> 
--policy <value>

Dopo aver richiamato il comando, è possibile effettuare la resource-arn chiamataget-resource-policy, specificando quali account VPCs sono autorizzati ad accedere alla risorsa.

La seguente chiamata può essere effettuata dall'assegnatario. Mostra informazioni sull'accesso autorizzato. In particolare, restituisce un elenco che contiene l'accesso VPCs concesso.

aws redshift-serverless list-workgroups
--owner-account <value>

Lo scopo è che l'assegnatario ottenga informazioni dall'account che fornisce l'autorizzazione sulle autorizzazioni degli endpoint. L'elemento owner-account rappresenta l'account di condivisione. Quando lo esegui, restituisce CrossAccountVpcs per ogni gruppo di lavoro, che è un elenco di quelli consentiti VPCs. Per riferimento, di seguito sono riportate tutte le proprietà disponibili per un gruppo di lavoro:

Output: workgroup (Object)
workgroupId String,
workgroupArn String,
workgroupName String,
status: String,
namespaceName: String,
baseCapacity: Integer, (Not-applicable)
enhancedVpcRouting: Boolean,
configParameters: List,
securityGroupIds: List,
subnetIds: List,
endpoint: String,
publiclyAccessible: Boolean,
creationDate: Timestamp,
port: Integer,
CrossAccountVpcs: List
Nota

Ricordiamo che il trasferimento del cluster non è un prerequisito per la configurazione di funzionalità di rete aggiuntive di Redshift. Inoltre, non è necessario attivarlo per abilitare le seguenti funzionalità:

  • Connessione da un VPC multiaccount o interregionale a Redshift: puoi connetterti da un cloud privato AWS virtuale (VPC) a un altro che contiene un database Redshift, come descritto in questa sezione.

  • Configurazione di un nome di dominio personalizzato: puoi creare un nome di dominio personalizzato, denominato anche URL personalizzato, per il cluster Amazon Redshift o il gruppo di lavoro Amazon Redshift serverless, per rendere il nome dell'endpoint più semplice e facile da ricordare. Per ulteriori informazioni, consulta Utilizzo di un nome di dominio personalizzato per le connessioni client.

Risorse aggiuntive

Le istruzioni per impostare le impostazioni del traffico di rete sono disponibili in Accessibilità pubblica con configurazione predefinita o personalizzata dei gruppi di sicurezza. Ciò include un caso d'uso in cui il cluster è accessibile pubblicamente.

Le istruzioni per impostare le impostazioni del traffico di rete sono disponibili in Accessibilità privata con configurazione predefinita o personalizzata del gruppo di sicurezza. Ciò include un caso d'uso in cui il cluster non è disponibile su Internet.

Per ulteriori informazioni sulle connessioni sicure ad Amazon Redshift serverless, tra cui la concessione di autorizzazioni, l'autorizzazione all'accesso a servizi aggiuntivi e la creazione di ruoli IAM, consulta Identity and Access Management in Amazon Redshift Serverless.