メニュー
Amazon Redshift
管理ガイド (API Version 2012年12月1日)

IAM 認証情報の提供オプション

JDBC または ODBC 接続の IAM 認証情報を提供するには、次のいずれかの認証タイプを選択します。

  • AWS Profile

    JDBC または ODBC 設定形式で認証情報の値を指定する代わりとして、名前付きプロファイルで値を指定できます。

  • AWS IAM Credentials

    JDBC または ODBC 設定の形式で、AccessKeyID、SecretAccessKey、および必要に応じて SessionToken の値を指定します。SessionToken は、一時的認証情報を持つ IAM ロールにのみ必要です。詳細については、 Temporary Security Credentials を参照してください。

  • ID プロバイダ

    認証に ID プロバイダを使用する場合は、ID プロバイダプラグインの名前を指定します。Amazon Redshift JDBC および ODBC ドライバーには、次の SAML ベースの認証情報プロバイダのプラグインが含まれます。

    • AD FS

    • PingFederate

    • Okta

    JDBC または ODBC 設定の形式、またはプロファイルを使用して、プラグイン名前と関連する値を指定できます。

詳細については、「IAM 認証情報を使用するように JDBC または ODBC 接続を設定する」を参照してください。

IAM 認証情報を提供するための JDBC および ODBC のオプション

以下の表に、IAM 認証情報を提供するための JDBC および ODBC のオプションを示します。

オプション

説明

Iam

ODBC 接続文字列内でのみ使用できます。IAM 認証を使用するには、1 に設定します。

AccessKeyID

SecretAccessKey

SessionToken

IAM データベース認証用に設定された IAM ロールまたは IAM ユーザーのアクセスキー ID およびシークレットアクセスキー。SessionToken は、一時的認証情報を持つ IAM ロールにのみ必要です。SessionToken は IAM ユーザーに対しては使用されません。詳細については、 Temporary Security Credentials を参照してください。
Plugin_Name 認証情報プロバイダを実装する完全修飾クラス名。Amazon Redshift JDBC ドライバーには SAML ベースの認証情報プロバイダプラグインが含まれます。plugin_name が表示される場合、関連する他のパラメータを利用できます。詳細については、「認証情報プロバイダプラグインの使用」を参照してください。

プロフィール

JDBC 接続オプションの値を含む AWS 認証情報または設定ファイルのプロファイル名。詳細については、「設定プロファイルを使用する」を参照してください。

認証情報プロバイダプラグインの使用

次の認証情報プロバイダプラグインは、Amazon Redshift JDBC ドライバに含まれています。

  • Active Directory フェデレーションサービス (AD FS)

  • Ping フェデレーション (Ping)

    Ping は、フォーム認証を使用する既定の PingFederate IdP Adapter でのみサポートされます。

  • Okta

    Okta は、Okta が提供する AWS コンソールのデフォルトアプリケーションでのみサポートされます。

SAML ベースの認証情報プロバイダープラグインを使用するには、名前付きプロファイルで JBDC または ODBC オプションを使用して次のオプションを指定します。

オプション

説明
plugin_name

JDBC の場合、認証情報プロバイダを実装するクラス名。次のいずれかを指定します。

  • ADFS の場合

    com.amazon.redshift.plugin.AdfsCredentialsProvider
  • Okta の場合

    com.amazon.redshift.plugin.OktaCredentialsProvider
  • PingFederate の場合

    com.amazon.redshift.plugin.PingCredentialsProvider

ODBC の場合、次のいずれかを指定します。

  • AD FS の場合: adfs

  • Okta の場合: okta

  • PingFederate の場合: ping

idp_host 企業 ID プロバイダホストの名前。この名前には、スラッシュ (/) を含めないでください。Okta 認証プロバイダの場合、idp_host の値は、.okta.com で終わる必要があります。

idp_port

ID プロバイダが使用するポート。デフォルトは 443 です。ポートは Okta に対して無視されます。

preferred_role

SAML アサーションの Role 属性の AttributeValue 要素からのロールの Amazon リソースネーム (ARN)。IdP 管理者と連携して、目的のロールに適した値を見つけます。詳細については、「IdP の SAML アサーションを設定するIdP の SAML アサーションの設定」を参照してください。

ユーザー

該当する場合はドメインを含む、社内ユーザー名。たとえば、Active Directory の場合、必要なドメイン名の形式は domain\username です。
password 社内ユーザーのパスワード。このオプションを使用しないことをお勧めします。代わりに、SQL クライアントを使用してパスワードを指定します。
ssl_insecure true (JDBC) または 1 (ODBC) を使用して、IdP を使用したセキュアでない SSL を使用します (お勧めしません)。

app_id

Okta アプリケーションの ID。Okta でのみ使用します。app_id の値は、Okta アプリケーションの埋め込みリンクの「amazon_aws」に続きます。IdP 管理者と連携して、この値を取得します。以下に、アプリケーション埋め込みリンクの例を示します。https://example.okta.com/home/amazon_aws/0oa2hylwrpM8UGehd1t7/272

次の例は、名前付きプロファイルの認証情報プロバイダプラグインのパラメータを示します。

Copy
[plug-in-creds] plugin_name=com.amazon.redshift.plugin.AdfsCredentialsProvider idp_host=demo.example.com idp_port=443 preferred_role=arn:aws:iam::123456789012:role/ADFS-Dev user=example\user password=Password1234

設定プロファイルを使用する

AWS 設定ファイルの名前付きプロファイルで、IAM 認証情報オプションと GetClusterCredentials オプションを設定として指定できます。プロファイルの JDBC オプションを使用してプロファイル名を指定します。

この設定は、ホームディレクトリで .aws というフォルダ内の config という名前のファイルに保存されています。ホームディレクトリの場所は異なりますが、Windows では %UserProfile%、また Unix 系のシステムでは $HOME または ~ (チルダ) といった環境変数を使用して参照できます。

バンドルされた SAML ベースの認証情報プロバイダプラグインで Amazon Redshift JDBC ドライバーや ODBC ドライバーを使用するときは、以下の設定がサポートされます。plugin_name を使用しない場合、以下のオプションは無視されます。

  • plugin_name

  • idp_host

  • idp_port

  • preferred_role

  • ユーザー

  • password

  • ssl_insecure

  • app_id (Okta の場合のみ)

3 つのプロファイルのある設定ファイルの例を以下に示します。plug-in-creds の例では、オプションの DbUser、AutoCreate、および DbGroups が含まれています。

Copy
[default] aws_access_key_id=AKIAIOSFODNN7EXAMPLE aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY [user2] aws_access_key_id=AKIAI44QH8DHBEXAMPLE aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY session_token=AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQWLWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU 9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA== [plug-in-creds] plugin_name=com.amazon.redshift.plugin.AdfsCredentialsProvider idp_host=demo.example.com idp_port=443 preferred_role=arn:aws:iam::1234567:role/ADFS-Dev user=example\user password=Password1234

user2 の例の認証情報を使用するには、JDBC URL で Profile=user2 を指定します。plug-in creds の例の認証情報を使用するには、JDBC URL で Profile=plug-in-creds を指定します。

詳細については、AWS Command Line Interface ユーザーガイドの「名前付きプロファイル」を参照してください。