Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Temporäre IAM Anmeldeinformationen erstellen
In diesem Abschnitt erfahren Sie, wie Sie Ihr System so konfigurieren, dass temporäre IAM Datenbank-Benutzeranmeldedaten generiert werden und dass Sie sich mit den neuen Anmeldeinformationen bei Ihrer Datenbank anmelden.
Allgemein betrachtet, umfasst dieser Prozess Folgendes:
-
Schritt 1: Erstellen Sie eine IAM Rolle für den IAM Single Sign-On-Zugriff
(Optional) Sie können Benutzer für den Zugriff auf eine Amazon Redshift Redshift-Datenbank authentifizieren, indem Sie die IAM Authentifizierung und einen externen Identitätsanbieter (IdP) integrieren.
-
Schritt 2: SAML Assertionen für Ihren IdP konfigurieren
(Optional) Um die IAM Authentifizierung mit einem IdP zu verwenden, müssen Sie in Ihrer IdP-Anwendung eine Anspruchsregel definieren, die Benutzer oder Gruppen in Ihrer Organisation der IAM Rolle zuordnet. Optional können Sie Attributelemente einschließen, um
GetClusterCredentials
-Parameter festzulegen. -
Schritt 3: Erstellen Sie eine IAM Rolle mit Anrufberechtigungen GetClusterCredentials
Ihre SQL Client-Anwendung nimmt den Benutzer an, wenn sie den
GetClusterCredentials
Vorgang aufruft. Wenn Sie eine IAM Rolle für den Zugriff auf Identitätsanbieter erstellt haben, können Sie dieser Rolle die erforderlichen Berechtigungen hinzufügen. -
Schritt 4: Erstellen eines Datenbankbenutzers und von Datenbankgruppen
(Optional) Standardmäßig erstellen
GetClusterCredentials
-Rückgabewerte einen neuen Benutzer, wenn der Benutzername nicht vorhanden ist. Sie können auch Benutzergruppen bestimmen, denen Benutzer bei der Anmeldung zugewiesen werden. Standardmäßig treten Datenbankbenutzer der PUBLIC Gruppe bei. -
Um eine Verbindung zu Ihrer Amazon Redshift-Datenbank herzustellen, konfigurieren Sie Ihren SQL Client für die Verwendung eines Amazon Redshift JDBC oder ODBC -Treibers.
Schritt 1: Erstellen Sie eine IAM Rolle für den IAM Single Sign-On-Zugriff
Sie können diesen Schritt überspringen, wenn Sie keinen Identitätsanbieter für Zugriff mit einmaliger Anmeldung verwenden.
Wenn Sie bereits Benutzeridentitäten außerhalb von verwalten AWS, können Sie Benutzer für den Zugriff auf eine Amazon Redshift Redshift-Datenbank authentifizieren, indem Sie die IAM Authentifizierung und einen SAML -2.0-Identitätsanbieter (IdP) eines Drittanbieters integrieren.
Weitere Informationen finden Sie unter Identity Providers and Federation im Benutzerhandbuch. IAM
Bevor Sie die Amazon Redshift IdP-Authentifizierung verwenden können, erstellen Sie eine AWS SAMLIdentitätsanbieter. Sie erstellen in der IAM Konsole einen IdP, um zu informieren AWS über den IdP und seine Konfiguration. Auf diese Weise entsteht Vertrauen zwischen Ihren AWS Konto und der IdP. Die Schritte zum Erstellen einer Rolle finden Sie unter Creating a Role for SAML 2.0 Federation (Console) im IAMBenutzerhandbuch.
Schritt 2: SAML Assertionen für Ihren IdP konfigurieren
Nachdem Sie die IAM Rolle erstellt haben, definieren Sie in Ihrer IdP-Anwendung eine Anspruchsregel, um Benutzer oder Gruppen in Ihrer Organisation der IAM Rolle zuzuordnen. Weitere Informationen finden Sie unter Konfiguration von SAML Assertionen für die Authentifizierungsantwort im IAMBenutzerhandbuch.
Wenn Sie die optionalen GetClusterCredentials
-Parameter DbUser
, AutoCreate
, und DbGroups
verwenden, haben Sie zwei Optionen. Sie können die Werte für die Parameter mit Ihrer JDBC ODBC OR-Verbindung festlegen, oder Sie können die Werte festlegen, indem Sie Ihrem IdP SAML Attributelemente hinzufügen. Weitere Hinweise zu den Parametern DbUser
, AutoCreate
und DbGroups
finden Sie unter Schritt 5: Konfigurieren Sie eine JDBC ODBC OR-Verbindung für die Verwendung von IAM Anmeldeinformationen.
Anmerkung
Wenn Sie eine IAM Richtlinienvariable verwenden, wird Ressourcenrichtlinien für GetClusterCredentials der Wert für${redshift:DbUser}
, wie in beschrieben, durch den DbUser
Wert ersetzt, der vom Anforderungskontext des API Vorgangs abgerufen wurde. Die Amazon Redshift Redshift-Treiber verwenden den Wert für die DbUser
Variable, die von der Verbindung bereitgestellt wirdURL, und nicht den Wert, der als SAML Attribut bereitgestellt wird.
Um diese Konfiguration zu sichern, empfehlen wir Ihnen, eine Bedingung in einer IAM Richtlinie zu verwenden, um den DbUser
Wert zu validieren, indem Sie RoleSessionName
Beispiele dafür, wie Sie eine Bedingung mithilfe einer IAM Richtlinie festlegen, finden Sie unterBeispielrichtlinie für die Verwendung GetClusterCredentials.
Um Ihren IdP so zu konfigurieren, dass die Parameter DbUser
, AutoCreate
und DbGroups
festgelegt werden, schließen Sie die folgenden Attribute
-Elemente ein:
-
Ein
Attribute
Element, bei dem dasName
Attribut https://redshift.amazon.com/SAML/ auf "DbUserAttributes/“ gesetzt istSetzen Sie das
AttributeValue
-Element auf den Namen eines Benutzers, der sich mit der Amazon-Redshift-Datenbank verbinden wird.Der Wert des
AttributeValue
-Elements muss aus Kleinbuchstaben bestehen, muss mit einem Buchstaben beginnen, darf nur alphanumerische Zeichen, Unterstriche („_“), Pluszeichen („+“), Punkte („.“), At-Zeichen („@“) oder Bindestriche („-“) enthalten und muss weniger als 128 Zeichen lang sein. Üblicherweise ist der Benutzername eine Benutzer-ID (z. B. bobsmith) oder eine E-Mail-Adresse (z. B. bobsmith@beispiel.com): Der Wert darf kein Leerzeichen enthalten (wie etwa der Anzeigename eines Benutzers, z. B. Bob Smith).<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser"> <AttributeValue>user-name</AttributeValue> </Attribute>
-
Ein Attributelement, bei dem das Name-Attribut auf "https://redshift.amazon.com/SAML/Attributes/“ gesetzt ist AutoCreate
Setzen Sie das AttributeValue Element auf true, um einen neuen Datenbankbenutzer zu erstellen, falls noch keiner existiert. Setzen Sie den Wert AttributeValue auf False, um anzugeben, dass der Datenbankbenutzer in der Amazon Redshift Redshift-Datenbank vorhanden sein muss.
<Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate"> <AttributeValue>true</AttributeValue> </Attribute>
-
Ein
Attribute
Element, bei dem dasName
Attribut auf "https://redshift.amazon.com/SAML/DbGroupsAttributes/“ gesetzt istDieses Element enthält ein oder mehrere
AttributeValue
-Elemente. Legen Sie jedesAttributeValue
-Element auf den Namen einer Datenbankgruppe fest, der derDbUser
für die Dauer der Sitzung beitritt, wenn er sich mit der Amazon-Redshift-Datenbank verbindet.<Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups"> <AttributeValue>group1</AttributeValue> <AttributeValue>group2</AttributeValue> <AttributeValue>group3</AttributeValue> </Attribute>
Schritt 3: Erstellen Sie eine IAM Rolle mit Anrufberechtigungen GetClusterCredentials
Ihr SQL Kunde benötigt eine Autorisierung, um den GetClusterCredentials
Vorgang in Ihrem Namen aufrufen zu können. Diese Autorisierung stellen Sie zur Verfügung, indem Sie einen Benutzer oder eine Rolle erstellen und eine Richtlinie anfügen, die die notwendigen Berechtigungen gewährt.
Um eine IAM Rolle mit Anrufberechtigungen zu erstellen GetClusterCredentials
-
Erstellen Sie mithilfe des IAM Dienstes einen Benutzer oder eine Rolle. Sie können auch einen vorhandenen Benutzer bzw. eine vorhandene Rolle verwenden. Wenn Sie beispielsweise eine IAM Rolle für den Zugriff auf Identitätsanbieter erstellt haben, können Sie dieser Rolle die erforderlichen IAM Richtlinien zuordnen.
-
Fügen Sie eine Berechtigungsrichtlinie mit der Berechtigung zum Aufruf der Operation
redshift:GetClusterCredentials
an. Je nachdem, welche optionalen Parameter Sie angeben, können Sie auch zusätzliche Aktionen und Ressourcen in der Richtlinie zulassen oder einschränken:-
Damit Ihr SQL Client die Cluster-ID abrufen kann, AWS Region und Port beinhalten die Erlaubnis, den
redshift:DescribeClusters
Vorgang mit der Redshift-Clusterressource aufzurufen. -
Wenn Sie die Option
AutoCreate
verwenden, schließen Sie die Berechtigung zum Aufruf vonredshift:CreateClusterUser
mit derdbuser
-Ressource ein. Der folgende Amazon-Ressourcenname (ARN) gibt Amazon Redshiftdbuser
an. Ersetzen
,Region
, undaccount-id
mit den Werten für Ihre AWS Region, Konto und Cluster. Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle.cluster-name
, geben Sie den Benutzernamen an, mit dem Sie sich bei der Cluster-Datenbank anmelden möchten.dbuser-Benutzername
arn:aws:redshift:
region
:account-id
:dbuser:cluster-name
/dbuser-name
-
(Optional) Fügen Sie eine hinzuARN, die die Amazon Redshift
dbname
Redshift-Ressource im folgenden Format angibt. Ersetzen
,Region
, undaccount-id
mit den Werten für Ihr AWS Region, Konto und Cluster. Geben Sie fürcluster-name
den Namen einer Datenbank an, bei der sich der Benutzer anmelden soll.database-name
arn:aws:redshift:
region
:account-id
:dbname:cluster-name
/database-name
-
Wenn Sie die Option
DbGroups
verwenden, schließen Sie die Berechtigung zum Aufrufen desredshift:JoinGroup
-Vorgangs mit der Amazon-Redshift-Ressourcedbgroup
im folgenden Format ein. Ersetzen
,Region
, undaccount-id
mit den Werten für Ihr AWS Region, Konto und Cluster. Geben Sie fürcluster-name
den Namen einer Benutzergruppe an, der der Benutzer bei der Anmeldung zugewiesen wird.dbgroup-name
arn:aws:redshift:
region
:account-id
:dbgroup:cluster-name
/dbgroup-name
-
Weitere Informationen und Beispiele finden Sie unter Ressourcenrichtlinien für GetClusterCredentials.
Das folgende Beispiel zeigt eine Richtlinie, die es der IAM Rolle ermöglicht, den GetClusterCredentials
Vorgang aufzurufen. Indem Sie die Amazon-Redshift-Ressource dbuser
angeben, gewähren Sie der Rolle Zugriff auf den Datenbankbenutzernamen temp_creds_user
auf dem Cluster examplecluster
.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": "arn:aws:redshift:us-west-2:123456789012:dbuser:examplecluster/temp_creds_user" } }
Sie können einen Platzhalter (*) verwenden, um Cluster-Namen, Benutzernamen und Datenbankgruppennamen ganz oder teilweise zu ersetzen. Im folgenden Beispiel wird jedem Benutzernamen Zugriff gewährt, der mit temp_
beginnt, sich in einem beliebigen Cluster befindet und zum angegebenen Konto gehört.
Wichtig
Die Anweisung im folgenden Beispiel gibt ein Platzhalterzeichen (*) als Teil des Werts für die Ressource an, sodass durch die Richtlinie alle Ressourcen zugelassen werden, die mit dem angegebenen Zeichen beginnen. Die Verwendung eines Platzhalterzeichens in Ihren IAM Richtlinien könnte zu freizügig sein. Deshalb wird empfohlen, eine möglichst restriktive Richtlinie für Ihre Geschäftsanwendung zu nutzen.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": "arn:aws:redshift:us-west-2:123456789012:dbuser:*/temp_*" } }
Das folgende Beispiel zeigt eine Richtlinie, die es der IAM Rolle ermöglicht, den GetClusterCredentials
Vorgang aufzurufen, mit der Option, automatisch einen neuen Benutzer zu erstellen und Gruppen anzugeben, denen der Benutzer bei der Anmeldung beitritt. Die Klausel "Resource":
"*"
gewährt der Rolle Zugriff auf jede beliebige Ressource, einschließlich Clustern, Datenbankbenutzern und Benutzergruppen.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials", "redshift:CreateClusterUser", "redshift:JoinGroup" ], "Resource": "*" } }
Weitere Informationen finden Sie unter Amazon Redshift ARN Redshift-Syntax.
Schritt 4: Erstellen eines Datenbankbenutzers und von Datenbankgruppen
Optional können Sie einen Datenbankbenutzer erstellen, mit dem Sie sich bei der Cluster-Datenbank anmelden. Wenn Sie temporäre Benutzeranmeldedaten für einen bestehenden Benutzer erstellen, können Sie das Passwort des Benutzers deaktivieren, um den Benutzer dazu zu zwingen, sich mit dem temporären Passwort anzumelden. Alternativ können Sie die Option „AutoCreate“ der Operation GetClusterCredentials
dazu verwenden, automatisch einen neuen Datenbankbenutzer zu erstellen.
Sie können Datenbankbenutzergruppen mit den Berechtigungen erstellen, denen der IAM Datenbankbenutzer bei der Anmeldung beitreten soll. Wenn Sie die Operation GetClusterCredentials
aufrufen, können Sie eine Liste von Benutzergruppennamen angeben, denen ein neuer Benutzer bei der Anmeldung zugewiesen wird. Diese Gruppenmitgliedschaften sind nur für Sitzungen gültig, die mit Anmeldeinformationen generiert wurden, für die diese Anfrage gilt.
Erstellen Sie einen Datenbankbenutzer und Datenbankgruppen wie folgt:
-
Melden Sie sich bei Ihrer Amazon Redshift-Datenbank an und erstellen Sie einen Datenbankbenutzer mithilfe von CREATEUSERoder ändern Sie einen vorhandenen Benutzer mithilfe von ALTERUSER.
-
Geben Sie optional die PASSWORD DISABLE Option an, mit der verhindert werden soll, dass der Benutzer ein Passwort verwendet. Wenn das Passwort eines Benutzers deaktiviert ist, kann sich der Benutzer nur anhand der temporären Anmeldeinformationen anmelden. Wenn das Passwort nicht deaktiviert ist, kann sich der Benutzer entweder mithilfe des Passworts oder mithilfe der temporären Anmeldeinformationen anmelden. Sie können das Passwort eines Superusers nicht deaktivieren.
Benutzer benötigen programmatischen Zugriff, wenn sie mit AWS außerhalb der AWS Management Console. Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt von der Art des Benutzers ab, der zugreift AWS.
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
Welcher Benutzer benötigt programmgesteuerten Zugriff? Bis Von Mitarbeiteridentität
(In IAM Identity Center verwaltete Benutzer)
Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das zu signieren AWS CLI, AWS SDKs, oder AWS APIs. Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
-
Für den AWS CLI, siehe Konfiguration der AWS CLI zu verwenden AWS IAM Identity Center in der AWS Command Line Interface Benutzerleitfaden.
-
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. AWS SDKs, Tools und AWS APIs, siehe IAMIdentity Center-Authentifizierung im AWS SDKsund Referenzhandbuch für Tools.
IAM Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das zu signieren AWS CLI, AWS SDKs, oder AWS APIs. Folgen Sie den Anweisungen unter Temporäre Anmeldeinformationen verwenden mit AWS Ressourcen im IAMBenutzerhandbuch. IAM (Nicht empfohlen)
Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das zu signieren AWS CLI, AWS SDKs, oder AWS APIs.Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
-
Für den AWS CLI, siehe Authentifizierung mit IAM Benutzeranmeldedaten in der AWS Command Line Interface Benutzerleitfaden.
-
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. AWS SDKsund Tools finden Sie unter Authentifizieren mit langfristigen Anmeldeinformationen in der AWS SDKsund Referenzhandbuch für Tools.
-
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. AWS APIs, siehe Verwaltung von Zugriffsschlüsseln für IAM IAM Benutzer im Benutzerhandbuch.
Im folgenden Beispiel wird ein Benutzer mit deaktiviertem Passwort erstellt.
create user temp_creds_user password disable;
Im folgenden Beispiel wird das Passwort eines bestehenden Benutzers deaktiviert.
alter user temp_creds_user password disable;
-
-
Erstellen Sie Datenbank-Benutzergruppen mit CREATEGROUP.
-
Verwenden Sie den GRANTBefehl, um Zugriffsrechte für die Gruppen zu definieren.
Schritt 5: Konfigurieren Sie eine JDBC ODBC OR-Verbindung für die Verwendung von IAM Anmeldeinformationen
Sie können Ihren SQL Client mit einem Amazon Redshift JDBC oder einem ODBC Treiber konfigurieren. Dieser Treiber verwaltet den Prozess der Erstellung von Datenbank-Benutzeranmeldedaten und der Herstellung einer Verbindung zwischen Ihrem SQL Client und Ihrer Amazon Redshift Redshift-Datenbank.
Wenn Sie einen Identitätsanbieter zur Authentifizierung erstellen, geben Sie den Namen eines Anmeldeinformationsanbieter-Plug-ins ein. Amazon Redshift JDBC und die ODBC Treiber enthalten Plugins für die folgenden SAML Identitätsanbieter:
-
Active Directory Federation Services (AD FS)
-
PingOne
-
Okta
-
Microsoft Azure AD
Die Schritte zum Einrichten von Microsoft Azure AD als Identitätsanbieter finden Sie unter Einrichtung JDBC der ODBC Single-Sign-On-Authentifizierung.
Um eine JDBC Verbindung für die Verwendung IAM von Anmeldeinformationen zu konfigurieren
-
Laden Sie den neuesten Amazon Redshift JDBC Redshift-Treiber von der Konfiguration einer Verbindung für JDBC Treiberversion 2.1 für Amazon Redshift Seite herunter.
-
Erstellen Sie eine JDBC URL mit den Optionen für IAM Anmeldeinformationen in einem der folgenden Formate. Um die IAM Authentifizierung zu verwenden, fügen Sie
iam:
Amazon Redshift JDBC URL Folgendes hinzu,jdbc:redshift:
wie im folgenden Beispiel gezeigt.jdbc:redshift:iam://
Fügen Sie
cluster-name
,region
undaccount-id
hinzu. Der JDBC Treiber verwendet Ihre IAM Kontoinformationen und Ihren Clusternamen, um die Cluster-ID abzurufen und AWS Region. Dazu muss Ihr Benutzer oder Ihre Rolle zum Aufruf der Operationredshift:DescribeClusters
mit dem angegebenen Cluster berechtigt sein. Wenn Ihr Benutzer oder Ihre Rolle nicht berechtigt ist, denredshift:DescribeClusters
Vorgang aufzurufen, geben Sie die Cluster-ID an. AWS Region und Port, wie im folgenden Beispiel gezeigt. Der Portnummer ist optional.jdbc:redshift:iam://examplecluster.abc123xyz789.us-west-2.redshift.amazonaws.com:5439/dev
-
Fügen Sie JDBC Optionen zur Bereitstellung von IAM Anmeldeinformationen hinzu. Sie verwenden verschiedene Kombinationen von JDBC Optionen, um IAM Anmeldeinformationen bereitzustellen. Details hierzu finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.
Im Folgenden URL wird die AccessKey ID und SecretAccessKey für einen Benutzer angegeben.
jdbc:redshift:iam://examplecluster:us-west-2/dev?AccessKeyID=AKIAIOSFODNN7EXAMPLE&SecretAccessKey=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Im folgenden Beispiel wird ein benanntes Profil angegeben, das die IAM Anmeldeinformationen enthält.
jdbc:redshift:iam://examplecluster:us-west-2/dev?Profile=user2
-
Fügen Sie JDBC Optionen hinzu, die der JDBC Treiber verwendet, um den
GetClusterCredentials
API Vorgang aufzurufen. Schließen Sie diese Optionen nicht ein, wenn Sie denGetClusterCredentials
API Vorgang programmgesteuert aufrufen.Das folgende Beispiel enthält die JDBC
GetClusterCredentials
Optionen.jdbc:redshift:iam://examplecluster:us-west-2/dev?plugin_name=com.amazon.redshift.plugin.AzureCredentialsProvider&UID=user&PWD=password&idp_tenant=my_tenant&client_secret=my_secret&client_id=my_id
Um eine ODBC Verbindung für die Verwendung von IAM Anmeldeinformationen zu konfigurieren
Im folgenden Verfahren finden Sie nur Schritte zur Konfiguration der IAM Authentifizierung. Anweisungen zur Verwendung der Standardauthentifizierung mit einem Datenbankbenutzernamen und -passwort finden Sie unter Konfiguration einer Verbindung für die ODBC Treiberversion 2.x für Amazon Redshift.
-
Installieren und konfigurieren Sie den neuesten Amazon Redshift OBDC Redshift-Treiber für Ihr Betriebssystem. Weitere Informationen finden Sie auf der Seite Konfiguration einer Verbindung für die ODBC Treiberversion 2.x für Amazon Redshift.
Wichtig
Der Amazon Redshift ODBC Redshift-Treiber muss Version 1.3.6.1000 oder höher sein.
-
Befolgen Sie die betriebssystemspezifischen Anweisungen zur Konfiguration der Verbindungseinstellungen.
-
Rufen Sie unter Microsoft Windows-Betriebssystemen das Amazon Redshift ODBC Driver DSN Setup-Fenster auf.
-
Geben Sie unter Connection Settings (Verbindungseinstellungen) die folgenden Informationen ein:
-
Datenquellenname
-
Server (optional)
-
Port (optional)
-
Datenbank
Verfügt der Benutzer bzw. die Rolle über die Berechtigung zum Aufrufen der Operation
redshift:DescribeClusters
, sind nur Datenquellenname und Datenbank erforderlich. Amazon Redshift verwendet ClusterIdand Region, um den Server und den Port durch Aufrufen desDescribeCluster
Vorgangs abzurufen.Verfügt der Benutzer bzw. die Rolle nicht über die Berechtigung zum Aufruf der Operation
redshift:DescribeClusters
, müssen Sie Server und Port angeben. -
-
Wählen Sie unter Authentifizierung einen Wert für Authentifizierungstypaus.
Geben Sie für jeden Authentifizierungstyp Werte wie folgt ein:
- AWS Profil
-
Geben Sie die folgenden Informationen ein:
-
ClusterID
-
Region
-
Profilname
Geben Sie den Namen eines Profils in ein AWS Konfigurationsdatei, die Werte für die ODBC Verbindungsoptionen enthält. Weitere Informationen finden Sie unter Verwenden eines Konfigurationsprofils.
(Optional) Geben Sie Details zu den Optionen an, die der ODBC Treiber verwendet, um den
GetClusterCredentials
API Vorgang aufzurufen:-
DbUser
-
Benutzer AutoCreate
-
DbGroups
Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.
-
- IAMAnmeldedaten
-
Geben Sie die folgenden Informationen ein:
-
ClusterID
-
Region
-
AccessKeyAusweis und SecretAccessKey
Die Zugriffsschlüssel-ID und der geheime Zugriffsschlüssel für die IAM Rolle oder den Benutzer, die für die IAM Datenbankauthentifizierung konfiguriert sind.
-
SessionToken
SessionTokenist für eine IAM Rolle mit temporären Anmeldeinformationen erforderlich. Weitere Informationen finden Sie unter Temporäre Sicherheitsanmeldeinformationen.
Geben Sie Einzelheiten zu den Optionen an, die der ODBC Treiber verwendet, um den
GetClusterCredentials
API Vorgang aufzurufen:-
DbUser(erforderlich)
-
Benutzer AutoCreate (optional)
-
DbGroups(fakultativ)
Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.
-
- Identitätsanbieter: AD FS
-
Lassen Sie zur Verwendung der Windows-integrierten Authentifizierung mit AD FS die Felder User und Passwort frei.
Geben Sie IdP-Details an:
-
IdP Host
Der Name des Identitätsanbieterhosts des Unternehmens. Der Name darf keine Schrägstriche („/“) enthalten.
-
IdP Port (optional)
Der vom Identitätsanbieter verwendete Port. Der Standardwert ist 443.
-
Preferred Role
Ein Amazon-Ressourcenname (ARN) für die IAM Rolle aus den mehrwertigen
AttributeValue
Elementen für dasRole
Attribut in der SAML Assertion. Wenden Sie sich für den korrekten Wert für die bevorzugte Rolle an den IdP-Administrator. Weitere Informationen finden Sie unter Schritt 2: SAML Assertionen für Ihren IdP konfigurieren.
(Optional) Geben Sie Einzelheiten zu den Optionen an, die der ODBC Treiber verwendet, um den
GetClusterCredentials
API Vorgang aufzurufen:-
DbUser
-
Benutzer AutoCreate
-
DbGroups
Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.
-
- Identitätsanbieter: PingFederate
-
Geben Sie für User (Benutzer) und Password (Passwort) den Benutzernamen und das Passwort für Ihren Identitätsanbieter (IdP) ein.
Geben Sie IdP-Details an:
-
IdP Host
Der Name des Identitätsanbieterhosts des Unternehmens. Der Name darf keine Schrägstriche („/“) enthalten.
-
IdP Port (optional)
Der vom Identitätsanbieter verwendete Port. Der Standardwert ist 443.
-
Preferred Role
Ein Amazon-Ressourcenname (ARN) für die IAM Rolle aus den mehrwertigen
AttributeValue
Elementen für dasRole
Attribut in der SAML Assertion. Wenden Sie sich für den korrekten Wert für die bevorzugte Rolle an den IdP-Administrator. Weitere Informationen finden Sie unter Schritt 2: SAML Assertionen für Ihren IdP konfigurieren.
(Optional) Geben Sie Einzelheiten zu den Optionen an, die der ODBC Treiber verwendet, um den
GetClusterCredentials
API Vorgang aufzurufen:-
DbUser
-
Benutzer AutoCreate
-
DbGroups
Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.
-
- Identitätsanbieter: Okta
-
Geben Sie für User (Benutzer) und Password (Passwort) den Benutzernamen und das Passwort für Ihren Identitätsanbieter (IdP) ein.
Geben Sie IdP-Details an:
-
IdP Host
Der Name des Identitätsanbieterhosts des Unternehmens. Der Name darf keine Schrägstriche („/“) enthalten.
-
IdP Port
Dieser Wert wird von Okta nicht verwendet.
-
Preferred Role
Ein Amazon-Ressourcenname (ARN) für die IAM Rolle aus den
AttributeValue
Elementen für dasRole
Attribut in der SAML Assertion. Wenden Sie sich für den korrekten Wert für die bevorzugte Rolle an den IdP-Administrator. Weitere Informationen finden Sie unter Schritt 2: SAML Assertionen für Ihren IdP konfigurieren. -
Okta App ID
Eine ID für eine Okta-Anwendung. Der Wert für die Anwendungs-ID folgt im Anwendungseinbettungslink von Okta auf „amazon_aws“. Der Identitätsanbieteradministrator kann Ihnen diesen Wert zur Verfügung stellen.
(Optional) Geben Sie Einzelheiten zu den Optionen an, die der ODBC Treiber verwendet, um den
GetClusterCredentials
API Vorgang aufzurufen:-
DbUser
-
Benutzer AutoCreate
-
DbGroups
Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.
-
- Identitätsanbieter: Azure AD
-
Geben Sie für User (Benutzer) und Password (Passwort) den Benutzernamen und das Passwort für Ihren Identitätsanbieter (IdP) ein.
Geben Sie für Cluster-ID und Region die Cluster-ID ein und AWS Region Ihres Amazon Redshift Redshift-Clusters.
Geben Sie bei Database (Datenbank) die Datenbank ein, die Sie für Ihren Amazon-Redshift-Cluster erstellt haben.
Geben Sie IdP-Details an:
-
IdP Tenant (dP-Mandant
Der für Azure AD verwendete Mandant.
-
Azure Client Secret (Azure-Clientgeheimnis
Das Client-Secret der Amazon-Redshift-Unternehmensanwendung in Azure.
-
Azure Client ID (Azure-Client-ID
Die Client-ID (Anwendungs-ID) der Amazon-Redshift-Unternehmensanwendung in Azure.
(Optional) Geben Sie Einzelheiten zu den Optionen an, die der ODBC Treiber verwendet, um den
GetClusterCredentials
API Vorgang aufzurufen:-
DbUser
-
Benutzer AutoCreate
-
DbGroups
Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.
-
-