設定身分驗證和 SSL - Amazon Redshift
設定IAM身分驗證指定設定檔使用執行個體設定檔憑證使用憑證提供者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定身分驗證和 SSL

為了防止有人未經授權就存取資料,Amazon Redshift 資料存放區會要求所有連線使用使用者憑證進行身分驗證。某些資料存放區也需要透過 Secure Sockets Layer (SSL) 通訊協定進行連線,無論有無單向身分驗證。

Amazon Redshift JDBC驅動程式 2.1 版提供這些身分驗證通訊協定的完整支援。

驅動程式支援的SSL版本取決於您正在使用的JVM版本。如需每個 Java SSL版本支援的版本資訊,請參閱 Java Platform Group Product Management 部落格上的診斷 SSL、 TLS和 HTTPS

用於連線的SSL版本是驅動程式和伺服器支援的最高版本,這在連線時間決定。

設定 Amazon Redshift JDBC驅動程式 2.1 版,根據您要連線之 Redshift 伺服器的安全需求來驗證連線。

您必須一律提供 Redshift 使用者名稱和密碼,才能驗證連線。根據伺服器上SSL是否已啟用和需要,您可能還需要將驅動程式設定為透過 連線SSL。或者,您可以使用單向SSL身分驗證,讓用戶端 (驅動程式本身) 驗證伺服器的身分。

您可以在連線 中提供組態資訊給驅動程式URL。如需連線 語法的詳細資訊URL,請參閱 建立連線 URL

SSL 會同時指出 SSLTLS/ Transport Layer Security 和 Secure Sockets Layer。驅動程式支援業界標準的 TLS/ 版本SSL。

設定IAM身分驗證

如果您使用IAM身分驗證連線至 Amazon Redshift 伺服器,請將下列屬性設定為資料來源連線字串的一部分。

如需IAM身分驗證的詳細資訊,請參閱 Amazon Redshift 中的身分和存取管理

若要使用IAM身分驗證,請使用下列其中一個連線字串格式:

連接字串 描述

jdbc:redshift:iam:// [host]:[port]/[db]

一般連線字串。驅動程式會從主機推斷 ClusterID 和 Region。

jdbc:redshift:iam:// [cluster-id]: [region]/[db]

驅動程式會擷取主機資訊 (在給定 ClusterID D 和 Region 的情況下)。

jdbc:redshift:iam:// [host]/[db]

驅動程式會預設為連接埠 5439,並從主機推斷 ClusterID 和 Region。根據您在建立、修改或遷移叢集時所選取的連接埠而定,允許存取選取的連接埠。

指定設定檔

如果您使用IAM身分驗證,您可以在設定檔名稱下指定任何其他必要或選用的連線屬性。這樣做可讓您避免將某些資訊直接放在連線字串中。您可以使用 Profile 屬性在連線字串中指定設定檔名稱。

設定檔可以新增至 AWS 憑證檔案。此檔案的預設位置是:~/.aws/credentials

您可以在下列環境變數中設定路徑來變更預設值:AWS_CREDENTIAL_PROFILES_FILE

如需設定檔的相關資訊,請參閱《AWS SDK for Java》中的使用 AWS 憑證

使用執行個體設定檔憑證

如果您在與IAM角色相關聯的 Amazon EC2執行個體上執行應用程式,您可以使用執行個體設定檔憑證進行連線。

若要這麼做,請使用上表中其中一個IAM連線字串格式,並將 dbuser 連線屬性設定為您要連線的 Amazon Redshift 使用者名稱。

如需執行個體設定檔的詳細資訊,請參閱 IAM 使用者指南 中的存取管理

使用憑證提供者

此驅動程式也支援下列服務的憑證提供者外掛程式:

  • AWS IAM 身分中心

  • Active Directory 聯合服務 (ADFS)

  • JSON Web 權杖 (JWT) 服務

  • Microsoft Azure Active Directory (AD) 服務和瀏覽器 Microsoft Azure Active Directory (AD) 服務

  • Okta 服務

  • PingFederate 服務

  • Okta、Ping 或 等SAMLSAML服務的瀏覽器 ADFS

如果您使用這些服務之一,連線URL需要指定下列屬性:

  • Plugin_Name — 憑證提供者外掛程式類別的完整類別路徑。

  • IDP_Host — 您用來對 Amazon Redshift 進行身分驗證的服務主機。

  • IdP_Port — 用於身分驗證服務的主機監聽的連接埠。Okta 不需要此屬性。

  • 使用者 – idp_host 伺服器的使用者名稱。

  • 密碼 – 與 idp_host 使用者名稱相關聯的密碼。

  • DbUser – 您要連線的 Amazon Redshift 使用者名稱。

  • SSL_不安全 – 指示是否應驗證IDP伺服器憑證。

  • Client_ID – 與 Azure AD 入口網站中的使用者名稱相關聯的用戶端 ID。僅用於 Azure AD。

  • Client_Secret — 與 Azure AD 入口網站中的用戶端 ID 相關聯的用戶端祕密。僅用於 Azure AD。

  • IdP_Tenant — Amazon Redshift 應用程式的 Azure AD 租用戶 ID。僅用於 Azure AD。

  • App_ID — Amazon Redshift 應用程式的 Okta 應用程式 ID。僅用於 Okta。

  • App_Name — Amazon Redshift 應用程式的 Okta 應用程式名稱 (選擇性)。僅用於 Okta。

  • Partner_SPID – 選用的合作夥伴 SPID(服務提供者 ID) 值。僅用於 PingFederate。

  • Idc_Region – AWS 區域 Identity Center AWS IAM執行個體所在的 。僅用於 AWS IAM Identity Center。

  • Issuer_Url – AWS IAM Identity Center 伺服器的執行個體端點。僅用於 AWS IAM Identity Center。

如果您針對其中一項服務使用瀏覽器外掛程式,連線URL也可以包括:

  • Login_URL – 透過瀏覽器外掛程式使用安全宣告標記語言 (SAML) 或 Azure AD 服務時,身分提供者網站上的 URL 資源的 。如果您使用瀏覽器外掛程式,則必須要有此參數。

  • Listen_Port – 透過瀏覽器外掛程式使用 、Azure AD 或 AWS IAM Identity Center 服務時SAML,驅動程式用來從身分提供者取得SAML回應的連接埠。

  • IdP _Response_Timeout – 透過瀏覽器外掛程式使用 SAML、Azure AD 或 AWS IAM Identity Center 服務時,驅動程式等待身分提供者SAML回應的時間,以秒為單位。

如需其他連線字串屬性的資訊,請參閱 JDBC 驅動程式 2.1 版組態的選項