Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connessione ad Amazon Redshift Serverless
Dopo aver configurato la tua istanza Amazon Redshift Serverless, puoi connetterti con una varietà di metodi, descritti di seguito. Se hai più team o progetti e desideri gestire i costi separatamente, puoi utilizzare separatamente Account AWS.
Amazon Redshift Serverless si connette all'ambiente serverless del tuo Account AWS sistema attuale. Regione AWS Amazon Redshift Serverless viene eseguito VPC all'interno degli intervalli di porte 5431-5455 e 8191-8215. Il valore predefinito è 5439. Al momento, è possibile modificare le porte solo in base all'operazione e all'operazione. API UpdateWorkgroup
AWS CLI update-workgroup
Connessione ad Amazon Redshift Serverless
Puoi connetterti a un database (denominato dev
) in Amazon Redshift serverless con la seguente sintassi.
workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:port/dev
Ad esempio, la seguente stringa di connessione specifica la regione us-east-1.
default.123456789012.us-east-1.redshift-serverless.amazonaws.com:5439/dev
Connessione ad Amazon Redshift Serverless tramite driver JDBC
Puoi utilizzare uno dei seguenti metodi per connetterti ad Amazon Redshift Serverless con il tuo SQL client preferito utilizzando il driver versione 2 fornito da Amazon RedshiftJDBC.
Per connetterti con le credenziali di accesso per l'autenticazione del database utilizzando la versione del JDBC driver 2.1.x o successiva, usa la seguente sintassi. Il numero di porta è facoltativo; se non incluso, Amazon Redshift Serverless imposta il numero di porta 5439. È possibile passare a un'altra porta compresa nell'intervallo 5431-5455 o 8191-8215. Per modificare la porta predefinita per un endpoint serverless, usa Amazon AWS CLI Redshift. API
jdbc:redshift://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev
Ad esempio, la seguente stringa di connessione specifica il gruppo di lavoro predefinito, l'ID account 123456789012 e la regione us-east-2.
jdbc:redshift://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev
Per connetterti IAM utilizzando la versione del JDBC driver 2.1.x o successiva, usa la seguente sintassi. Il numero di porta è facoltativo; se non incluso, Amazon Redshift Serverless imposta il numero di porta 5439. È possibile passare a un'altra porta compresa nell'intervallo 5431-5455 o 8191-8215. Per modificare la porta predefinita per un endpoint serverless, usa Amazon AWS CLI Redshift. API
jdbc:redshift:iam://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev
Ad esempio, la seguente stringa di connessione specifica il gruppo di lavoro predefinito, l'ID account 123456789012 e la regione us-east-2.
jdbc:redshift:iam://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev
PerODBC, usa la seguente sintassi.
Driver={Amazon Redshift (x64)}; Server=workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com; Database=dev
Se si utilizza una versione del JDBC driver precedente alla 2.1.0.9 e ci si connette aIAM, sarà necessario utilizzare la seguente sintassi.
jdbc:redshift:iam://redshift-serverless-<name>:aws-region/database-name
Ad esempio, la seguente stringa di connessione specifica l'impostazione predefinita del gruppo di lavoro e Regione AWS us-east-1.
jdbc:redshift:iam://redshift-serverless-default:us-east-1/dev
Per ulteriori informazioni sui driver, consulta Configurazione delle connessioni in Amazon Redshift.
Individuazione della stringa e della stringa di connessione JDBC ODBC
Per connetterti al tuo gruppo di lavoro con lo strumento SQL client, devi disporre della stringa di ODBC connessione JDBC or. Tale stringa di connessione è presente nella console di Amazon Redshift serverless, nella pagina dei dettagli del gruppo di lavoro.
Per trovare la stringa di connessione di un gruppo di lavoro
-
Accedi a AWS Management Console e apri la console Amazon Redshift all'indirizzo. https://console.aws.amazon.com/redshiftv2/
Dal menu di navigazione, scegli Redshift Serverless.
Dal menu di navigazione scegli Configurazione del gruppo di lavoro, quindi scegli dall'elenco il nome del gruppo di lavoro per visualizzarne i dettagli.
Le stringhe JDBCURLe le stringhe di ODBCURLconnessione sono disponibili, insieme a ulteriori dettagli, nella sezione Informazioni generali. Ogni stringa si basa sulla AWS regione in cui viene eseguito il gruppo di lavoro. Scegli l'icona accanto alla stringa di connessione corretta per copiare la stringa di connessione.
Connessione ad Amazon Redshift Serverless con i dati API
Puoi anche utilizzare Amazon Redshift Data API per connetterti ad Amazon Redshift Serverless. Utilizza il workgroup-name
parametro anziché il cluster-identifier
parametro nelle tue chiamate. AWS CLI
Per ulteriori informazioni sui datiAPI, vedereUtilizzo dei dati di Amazon Redshift API. Ad esempio, che chiama i dati API in Python e altri esempi, consulta Getting Started with Redshift Data APIquick-start
use-cases
GitHub
Connessione SSL ad Amazon Redshift Serverless
Configurazione di una connessione sicura ad Amazon Redshift Serverless
Per supportare SSL le connessioni, Redshift Serverless crea e installa un SSL certificato rilasciato AWS Certificate Manager (ACM)sslmode
l'opzione di connessione impostata surequire
, o. verify-ca
verify-full
Se il tuo cliente necessita di un certificato, Redshift Serverless fornisce un pacchetto di certificati come segue:
-
Il numero di MD5 checksum previsto è 418dea9b6d5d5de7a8f1ac42e164cdcf.
Il numero di checksum sha256 è 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Non utilizzare certificato di bundle precedente che si trovava in
https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt
. -
Il numero di MD5 checksum previsto è 418dea9b6d5d5de7a8f1ac42e164cdcf.
Il numero di checksum sha256 è 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.
Non utilizzare i certificati di bundle precedenti che si trovavano in
https://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ca-bundle.crt
ehttps://s3---cn-north-1.amazonaws.com.rproxy.goskope.com.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem
Importante
Redshift Serverless ha cambiato il modo in cui i SSL certificati vengono gestiti. Potrebbe essere necessario aggiornare i certificati Trust Root CA correnti per continuare a connetterti ai tuoi gruppi di lavoro utilizzando. SSL Per ulteriori informazioni sui ACM certificati per le SSL connessioni, vederePassaggio ai certificati ACM per connessioni SSL.
Per impostazione predefinita, i database dei gruppi di lavoro accettano una connessione indipendentemente dal fatto che venga utilizzata SSL o meno.
Per creare un nuovo gruppo di lavoro che accetti solo SSL connessioni, utilizzate il create-workgroup
comando e impostate il require_ssl
parametro su. true
Per utilizzare l'esempio seguente, sostituisci yourNamespaceName
con il nome del tuo namespace e sostituisci yourWorkgroupName
con il nome del tuo gruppo di lavoro.
aws redshift-serverless create-workgroup \ --namespace-name
yourNamespaceName
\ --workgroup-nameyourWorkgroupName
\ --config-parameters parameterKey=require_ssl,parameterValue=true
Per aggiornare un gruppo di lavoro esistente in modo che accetti solo SSL connessioni, usa il update-workgroup
comando e imposta il require_ssl
parametro su. true
Tieni presente che Redshift Serverless riavvierà il gruppo di lavoro quando aggiorni il parametro. require_ssl
Per utilizzare l'esempio seguente, sostituisci yourWorkgroupName
con il nome del tuo gruppo di lavoro.
aws redshift-serverless update-workgroup \ --workgroup-name
yourWorkgroupName
\ --config-parameters parameterKey=require_ssl,parameterValue=true
Amazon Redshift supporta il protocollo di accordo chiave Elliptic Curve Diffie—Hellman Ephemeral (). ECDHE ConECDHE, il client e il server dispongono ciascuno di una coppia di chiavi pubblica-privata a curva ellittica che viene utilizzata per stabilire un segreto condiviso su un canale non sicuro. Non è necessario configurare nulla in Amazon Redshift per abilitarlo. ECDHE Se ti connetti da uno strumento SQL client che ECDHE crittografa la comunicazione tra client e server, Amazon Redshift utilizza l'elenco di cifratura fornito per stabilire la connessione appropriata. Per ulteriori informazioni, consulta Elliptic curve diffie—hellman su Wikipedia e Ciphers
Configurazione di una connessione FIPS conforme ad SSL Amazon Redshift Serverless
Per creare un nuovo gruppo di lavoro che utilizza una SSL connessione FIPS -compliant, usa il comando e imposta il parametro su. create-workgroup
use_fips_ssl
true
Per utilizzare l'esempio seguente, sostituisci yourNamespaceName
con il nome del tuo namespace e sostituisci yourWorkgroupName
con il nome del tuo gruppo di lavoro.
aws redshift-serverless create-workgroup \ --namespace-name
yourNamespaceName
\ --workgroup-nameyourWorkgroupName
\ --config-parameters parameterKey=use_fips_ssl,parameterValue=true
Per aggiornare un gruppo di lavoro esistente in modo da utilizzare una SSL connessione conforme a FIPS -compliant, utilizzate il update-workgroup
comando e impostate il parametro su. use_fips_ssl
true
Tieni presente che Redshift Serverless riavvierà il gruppo di lavoro quando aggiorni il parametro. use_fips_ssl
Per utilizzare l'esempio seguente, sostituisci yourWorkgroupName
con il nome del tuo gruppo di lavoro.
aws redshift-serverless update-workgroup \ --workgroup-name
yourWorkgroupName
\ --config-parameters parameterKey=use_fips_ssl,parameterValue=true
Connessione ad Amazon Redshift Serverless da un endpoint gestito Amazon Redshift VPC
Connessione ad Amazon Redshift Serverless da altri endpoint VPC
Connessione ad Amazon Redshift Serverless da un VPC endpoint Redshift in un altro account o regione
Connessione ad Amazon Redshift Serverless da un endpoint multiplo VPC
Amazon Redshift Serverless viene fornito in un. VPC Puoi concedere l'accesso VPC a un altro account per accedere ad Amazon Redshift Serverless dal tuo account. È simile a una connessione da un VPC endpoint gestito, ma in questo caso la connessione proviene, ad esempio, da un client di database in un altro account. Sono disponibili alcune operazioni che puoi eseguire:
Il proprietario di un database può concedere l'accesso a un Amazon Redshift Serverless VPC contenente a un altro account nella stessa regione.
Il proprietario di un database può revocare l'accesso ad Amazon Redshift serverless.
Il vantaggio principale dell'accesso multi-account è consentire una collaborazione più semplice tra i database. Non è necessario che gli utenti abbiano accesso all'account che contiene il database per accedervi, pertanto si riducono i passaggi di configurazione e si risparmia tempo.
Autorizzazioni necessarie per concedere l'accesso a un altro account VPC
Per fornire l'accesso o modificare l'accesso consentito, il concedente deve avere una policy di autorizzazioni assegnata con le seguenti autorizzazioni:
redshift senza server: PutResourcePolicy
redshift senza server: GetResourcePolicy
redshift senza server: DeleteResourcePolicy
ec2: CreateVpcEndpoint
ec2: ModifyVpcEndpoint
Potrebbero essere necessarie altre autorizzazioni specificate nella politica AWS gestita. AmazonRedshiftFullAccess Per ulteriori informazioni, consulta Concessione delle autorizzazioni ad Amazon Redshift Serverless.
L'assegnatario deve avere una policy di autorizzazioni assegnata con le seguenti autorizzazioni:
redshift-serverless: ListWorkgroups
redshift senza server: CreateEndpointAccess
redshift senza server: UpdateEndpointAccess
redshift senza server: GetEndpointAccess
redshift senza server: ListEndpointAccess
redshift senza server: DeleteEndpointAccess
Come procedura consigliata, consigliamo di associare criteri di autorizzazione a un IAM ruolo e quindi di assegnarlo a utenti e gruppi in base alle esigenze. Per ulteriori informazioni, consulta Identity and access management in Amazon Redshift.
Questo è un esempio di politica delle risorse utilizzata per configurare l'accesso incrociato: VPC
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountCrossVPCAccess", "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "234567890123" ] }, "Action": [ "redshift-serverless:CreateEndpointAccess", "redshift-serverless:UpdateEndpointAccess", "redshift-serverless:DeleteEndpointAccess", "redshift-serverless:GetEndpointAccess" ], "Condition": { "ArnLike": { "redshift-serverless:AuthorizedVpc": [ "arn:aws:ec2:us-east-1:123456789012:vpc/*", "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-456", "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-987" ] } } } } ] }
Le procedure che seguono in questa sezione presuppongono che l'utente che le esegue disponga delle autorizzazioni assegnate appropriate, ad esempio tramite un IAM ruolo assegnato con le autorizzazioni elencate. Le procedure presuppongono inoltre che il gruppo di lavoro abbia un IAM ruolo associato alle autorizzazioni appropriate per le risorse.
Concessione dell'VPCaccesso ad altri account tramite la console
Questa procedura mostra i passaggi per configurare l'accesso al database quando sei il proprietario e desideri concedere l'accesso.
Autorizzazione dell'accesso dall'account proprietario
-
Nella scheda Accesso ai dati delle proprietà del gruppo di lavoro Amazon Redshift serverless è presente un elenco denominato Account autorizzati. Mostra gli account e gli accessi VPCs concessi al gruppo di lavoro. Trova l'elenco e scegli Concedi l'accesso per aggiungere un account all'elenco.
-
Viene visualizzata una finestra in cui è possibile aggiungere le informazioni sull'assegnatario. Inserisci l'ID dell'account AWS , ossia l'ID composto da 12 cifre dell'account a cui desideri autorizzare l'accesso.
-
Concedi l'accesso a tutti VPCs per il beneficiario o a persone specifiche. VPCs Se concedi l'accesso solo a persone specificheVPCs, puoi aggiungerle inserendo ognuna di esse e scegliendo Aggiungi. IDs VPC
-
Al termine, seleziona Salva le modifiche.
Quando salvi le modifiche, l'account viene visualizzato nell'elenco Account autorizzati. La voce mostra l'ID dell'account e l'elenco degli VPCs accessi concessi.
Il proprietario del database può anche revocare l'accesso a un account. Il proprietario può revocare l'accesso in qualsiasi momento.
Revoca dell'accesso a un account
-
Puoi iniziare dall'elenco degli account autorizzati. Per prima cosa, seleziona uno o più account.
-
Scegli Revoca accesso.
Una volta autorizzato l'accesso, l'amministratore del database dell'assegnatario può controllare la console per determinare se dispone dell'accesso.
Utilizzo della console per verificare l'autorizzazione per accedere a un altro account
-
Nella scheda Accesso ai dati delle proprietà del gruppo di lavoro Amazon Redshift serverless è presente un elenco denominato Account autorizzati. Mostra gli account a cui è possibile accedere dal gruppo di lavoro. Il beneficiario non può utilizzare l'endpoint del gruppo di lavoro URL per accedere direttamente al gruppo di lavoro. Per accedere al gruppo di lavoro, in qualità di assegnatario, vai alla sezione Endpoint e scegli Crea un endpoint.
-
Quindi, in qualità di beneficiario, fornisci un nome di endpoint e un nome per accedere al gruppo di lavoro. VPC
-
Dopo che l'endpoint è stato creato con successo, viene visualizzato nella sezione endpoint ed è disponibile un endpoint corrispondente. URL È possibile utilizzare questo endpoint per accedere URL al gruppo di lavoro.
Concessione dell'accesso ad altri account tramite comandi CLI
L'account che autorizza l'accesso deve prima autorizzare l'accesso a un altro account da connettere utilizzando put-resource-policy
. Il proprietario del database può chiamare put-resource-policy
per autorizzare un altro account a creare le connessioni al gruppo di lavoro. L'account del beneficiario può quindi essere utilizzato create-endpoint-authorization
per creare connessioni al gruppo di lavoro tramite le impostazioni consentite. VPCs
Di seguito vengono illustrate le proprietà per put-resource-policy
le quali è possibile richiamare per consentire l'accesso a un account specifico e. VPC
aws redshift-serverless put-resource-policy --resource-arn <value> --policy <value>
Dopo aver richiamato il comando, è possibile chiamareget-resource-policy
, specificando l'resource-arn
indirizzo per vedere quali account VPCs sono autorizzati ad accedere alla risorsa.
La seguente chiamata può essere effettuata dall'assegnatario. Mostra informazioni sull'accesso autorizzato. In particolare, restituisce un elenco che contiene l'accesso VPCs concesso.
aws redshift-serverless list-workgroups --owner-account <value>
Lo scopo è che l'assegnatario ottenga informazioni dall'account che fornisce l'autorizzazione sulle autorizzazioni degli endpoint. L'elemento owner-account
rappresenta l'account di condivisione. Quando lo esegui, restituisce CrossAccountVpcs
per ogni gruppo di lavoro, che è un elenco di quelli consentitiVPCs. Per riferimento, di seguito sono riportate tutte le proprietà disponibili per un gruppo di lavoro:
Output: workgroup (Object) workgroupId String, workgroupArn String, workgroupName String, status: String, namespaceName: String, baseCapacity: Integer, (Not-applicable) enhancedVpcRouting: Boolean, configParameters: List, securityGroupIds: List, subnetIds: List, endpoint: String, publiclyAccessible: Boolean, creationDate: Timestamp, port: Integer, CrossAccountVpcs: List
Nota
Ricordiamo che il trasferimento del cluster non è un prerequisito per la configurazione di funzionalità di rete aggiuntive di Redshift. Inoltre, non è necessario attivarlo per abilitare le seguenti funzionalità:
Connessione da un account multiplo o interregionale a VPC Redshift: puoi connetterti da un cloud privato AWS virtuale (VPC) a un altro che contiene un database Redshift, come descritto in questa sezione.
Configurazione di un nome di dominio personalizzato: puoi creare un nome di dominio personalizzato, noto anche come personalizzatoURL, per il tuo cluster Amazon Redshift o il gruppo di lavoro Amazon Redshift Serverless, per rendere il nome dell'endpoint più semplice e facile da ricordare. Per ulteriori informazioni, consulta Utilizzo di un nome di dominio personalizzato per le connessioni client.
Configurazione delle impostazioni appropriate per il traffico di rete per Amazon Redshift serverless
Connessione a un'istanza Amazon Redshift Serverless accessibile al pubblico
Le istruzioni per configurare le impostazioni del traffico di rete sono disponibili in Accessibilità pubblica con configurazione predefinita o personalizzata del gruppo di sicurezza. Ciò include un caso d'uso in cui il cluster è accessibile pubblicamente.
Connessione a un'istanza Amazon Redshift serverless non accessibile al pubblico
Le istruzioni per impostare le impostazioni del traffico di rete sono disponibili in Accessibilità privata con configurazione predefinita o personalizzata del gruppo di sicurezza. Ciò include un caso d'uso in cui il cluster non è disponibile su Internet.
Definizione dei ruoli del database da assegnare agli utenti federati in Amazon Redshift serverless
Puoi definire ruoli nell'organizzazione che determinano quali ruoli del database concedere in Amazon Redshift serverless. Per ulteriori informazioni, consulta Definizione dei ruoli del database da assegnare agli utenti federati in Amazon Redshift serverless.
Altre risorse
Per ulteriori informazioni sulle connessioni sicure ad Amazon Redshift Serverless, inclusa la concessione di autorizzazioni, l'autorizzazione dell'accesso a servizi aggiuntivi e la creazione di ruoli, consulta. IAM Identity and Access Management in Amazon Redshift Serverless