Temporäre IAM Anmeldeinformationen erstellen

In diesem Abschnitt erfahren Sie, wie Sie Ihr System so konfigurieren, dass temporäre IAM Datenbank-Benutzeranmeldedaten generiert werden und dass Sie sich mit den neuen Anmeldeinformationen bei Ihrer Datenbank anmelden.

Allgemein betrachtet, umfasst dieser Prozess Folgendes:

1. Schritt 1: Erstellen Sie eine IAM Rolle für den IAM Single Sign-On-Zugriff

   (Optional) Sie können Benutzer für den Zugriff auf eine Amazon Redshift Redshift-Datenbank authentifizieren, indem Sie die IAM Authentifizierung und einen externen Identitätsanbieter (IdP) integrieren.

2. Schritt 2: SAML Assertionen für Ihren IdP konfigurieren

   (Optional) Um die IAM Authentifizierung mit einem IdP zu verwenden, müssen Sie in Ihrer IdP-Anwendung eine Anspruchsregel definieren, die Benutzer oder Gruppen in Ihrer Organisation der IAM Rolle zuordnet. Optional können Sie Attributelemente einschließen, um GetClusterCredentials-Parameter festzulegen.

3. Schritt 3: Erstellen Sie eine IAM Rolle mit Anrufberechtigungen GetClusterCredentials

   Ihre SQL Client-Anwendung nimmt den Benutzer an, wenn sie den GetClusterCredentials Vorgang aufruft. Wenn Sie eine IAM Rolle für den Zugriff auf Identitätsanbieter erstellt haben, können Sie dieser Rolle die erforderlichen Berechtigungen hinzufügen.

4. Schritt 4: Erstellen eines Datenbankbenutzers und von Datenbankgruppen

   (Optional) Standardmäßig erstellen GetClusterCredentials-Rückgabewerte einen neuen Benutzer, wenn der Benutzername nicht vorhanden ist. Sie können auch Benutzergruppen bestimmen, denen Benutzer bei der Anmeldung zugewiesen werden. Standardmäßig treten Datenbankbenutzer der PUBLIC Gruppe bei.

5. Schritt 5: Konfigurieren Sie eine JDBC ODBC OR-Verbindung für die Verwendung von IAM Anmeldeinformationen

   Um eine Verbindung zu Ihrer Amazon Redshift-Datenbank herzustellen, konfigurieren Sie Ihren SQL Client für die Verwendung eines Amazon Redshift JDBC oder ODBC -Treibers.

Schritt 1: Erstellen Sie eine IAM Rolle für den IAM Single Sign-On-Zugriff

Sie können diesen Schritt überspringen, wenn Sie keinen Identitätsanbieter für Zugriff mit einmaliger Anmeldung verwenden.

Wenn Sie bereits Benutzeridentitäten außerhalb von verwalten AWS, können Sie Benutzer für den Zugriff auf eine Amazon Redshift Redshift-Datenbank authentifizieren, indem Sie die IAM Authentifizierung und einen SAML -2.0-Identitätsanbieter (IdP) eines Drittanbieters integrieren.

Weitere Informationen finden Sie unter Identity Providers and Federation im Benutzerhandbuch. IAM

Bevor Sie die Amazon Redshift IdP-Authentifizierung verwenden können, erstellen Sie eine AWS SAMLIdentitätsanbieter. Sie erstellen in der IAM Konsole einen IdP, um zu informieren AWS über den IdP und seine Konfiguration. Auf diese Weise entsteht Vertrauen zwischen Ihren AWS Konto und der IdP. Die Schritte zum Erstellen einer Rolle finden Sie unter Creating a Role for SAML 2.0 Federation (Console) im IAMBenutzerhandbuch.

Schritt 2: SAML Assertionen für Ihren IdP konfigurieren

Nachdem Sie die IAM Rolle erstellt haben, definieren Sie in Ihrer IdP-Anwendung eine Anspruchsregel, um Benutzer oder Gruppen in Ihrer Organisation der IAM Rolle zuzuordnen. Weitere Informationen finden Sie unter Konfiguration von SAML Assertionen für die Authentifizierungsantwort im IAMBenutzerhandbuch.

Wenn Sie die optionalen GetClusterCredentials-Parameter DbUser, AutoCreate, und DbGroups verwenden, haben Sie zwei Optionen. Sie können die Werte für die Parameter mit Ihrer JDBC ODBC OR-Verbindung festlegen, oder Sie können die Werte festlegen, indem Sie Ihrem IdP SAML Attributelemente hinzufügen. Weitere Hinweise zu den Parametern DbUser, AutoCreate und DbGroups finden Sie unter Schritt 5: Konfigurieren Sie eine JDBC ODBC OR-Verbindung für die Verwendung von IAM Anmeldeinformationen.

Anmerkung

Wenn Sie eine IAM Richtlinienvariable verwenden, wird Ressourcenrichtlinien für GetClusterCredentials der Wert für${redshift:DbUser}, wie in beschrieben, durch den DbUser Wert ersetzt, der vom Anforderungskontext des API Vorgangs abgerufen wurde. Die Amazon Redshift Redshift-Treiber verwenden den Wert für die DbUser Variable, die von der Verbindung bereitgestellt wirdURL, und nicht den Wert, der als SAML Attribut bereitgestellt wird.

Um diese Konfiguration zu sichern, empfehlen wir Ihnen, eine Bedingung in einer IAM Richtlinie zu verwenden, um den DbUser Wert zu validieren, indem Sie RoleSessionName Beispiele dafür, wie Sie eine Bedingung mithilfe einer IAM Richtlinie festlegen, finden Sie unterBeispielrichtlinie für die Verwendung GetClusterCredentials.

Um Ihren IdP so zu konfigurieren, dass die Parameter DbUser, AutoCreate und DbGroups festgelegt werden, schließen Sie die folgenden Attribute-Elemente ein:

• Ein Attribute Element, bei dem das Name Attribut https://redshift.amazon.com/SAML/ auf "DbUserAttributes/“ gesetzt ist

  Setzen Sie das AttributeValue-Element auf den Namen eines Benutzers, der sich mit der Amazon-Redshift-Datenbank verbinden wird.

  Der Wert des AttributeValue-Elements muss aus Kleinbuchstaben bestehen, muss mit einem Buchstaben beginnen, darf nur alphanumerische Zeichen, Unterstriche („_“), Pluszeichen („+“), Punkte („.“), At-Zeichen („@“) oder Bindestriche („-“) enthalten und muss weniger als 128 Zeichen lang sein. Üblicherweise ist der Benutzername eine Benutzer-ID (z. B. bobsmith) oder eine E-Mail-Adresse (z. B. bobsmith@beispiel.com): Der Wert darf kein Leerzeichen enthalten (wie etwa der Anzeigename eines Benutzers, z. B. Bob Smith).

  <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbUser">
      <AttributeValue>user-name</AttributeValue>
  </Attribute>

• Ein Attributelement, bei dem das Name-Attribut auf "https://redshift.amazon.com/SAML/Attributes/“ gesetzt ist AutoCreate

  Setzen Sie das AttributeValue Element auf true, um einen neuen Datenbankbenutzer zu erstellen, falls noch keiner existiert. Setzen Sie den Wert AttributeValue auf False, um anzugeben, dass der Datenbankbenutzer in der Amazon Redshift Redshift-Datenbank vorhanden sein muss.

  <Attribute Name="https://redshift.amazon.com/SAML/Attributes/AutoCreate">
      <AttributeValue>true</AttributeValue>
  </Attribute>

• Ein Attribute Element, bei dem das Name Attribut auf "https://redshift.amazon.com/SAML/DbGroupsAttributes/“ gesetzt ist

  Dieses Element enthält ein oder mehrere AttributeValue-Elemente. Legen Sie jedes AttributeValue-Element auf den Namen einer Datenbankgruppe fest, der der DbUser für die Dauer der Sitzung beitritt, wenn er sich mit der Amazon-Redshift-Datenbank verbindet.

  <Attribute Name="https://redshift.amazon.com/SAML/Attributes/DbGroups">
      <AttributeValue>group1</AttributeValue>
      <AttributeValue>group2</AttributeValue>
      <AttributeValue>group3</AttributeValue>
  </Attribute>

Schritt 3: Erstellen Sie eine IAM Rolle mit Anrufberechtigungen GetClusterCredentials

Ihr SQL Kunde benötigt eine Autorisierung, um den GetClusterCredentials Vorgang in Ihrem Namen aufrufen zu können. Diese Autorisierung stellen Sie zur Verfügung, indem Sie einen Benutzer oder eine Rolle erstellen und eine Richtlinie anfügen, die die notwendigen Berechtigungen gewährt.

Um eine IAM Rolle mit Anrufberechtigungen zu erstellen GetClusterCredentials

1. Erstellen Sie mithilfe des IAM Dienstes einen Benutzer oder eine Rolle. Sie können auch einen vorhandenen Benutzer bzw. eine vorhandene Rolle verwenden. Wenn Sie beispielsweise eine IAM Rolle für den Zugriff auf Identitätsanbieter erstellt haben, können Sie dieser Rolle die erforderlichen IAM Richtlinien zuordnen.

2. Fügen Sie eine Berechtigungsrichtlinie mit der Berechtigung zum Aufruf der Operation redshift:GetClusterCredentials an. Je nachdem, welche optionalen Parameter Sie angeben, können Sie auch zusätzliche Aktionen und Ressourcen in der Richtlinie zulassen oder einschränken:

   • Damit Ihr SQL Client die Cluster-ID abrufen kann, AWS Region und Port beinhalten die Erlaubnis, den redshift:DescribeClusters Vorgang mit der Redshift-Clusterressource aufzurufen.

   • Wenn Sie die Option AutoCreate verwenden, schließen Sie die Berechtigung zum Aufruf von redshift:CreateClusterUser mit der dbuser-Ressource ein. Der folgende Amazon-Ressourcenname (ARN) gibt Amazon Redshift dbuser an. Ersetzen Region, account-id, und cluster-name mit den Werten für Ihre AWS Region, Konto und Cluster. Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. dbuser-Benutzername, geben Sie den Benutzernamen an, mit dem Sie sich bei der Cluster-Datenbank anmelden möchten.

     arn:aws:redshift:region:account-id:dbuser:cluster-name/dbuser-name
                             

   • (Optional) Fügen Sie eine hinzuARN, die die Amazon Redshift dbname Redshift-Ressource im folgenden Format angibt. Ersetzen Region, account-id, und cluster-name mit den Werten für Ihr AWS Region, Konto und Cluster. Geben Sie für database-name den Namen einer Datenbank an, bei der sich der Benutzer anmelden soll.

     arn:aws:redshift:region:account-id:dbname:cluster-name/database-name
                             

   • Wenn Sie die Option DbGroups verwenden, schließen Sie die Berechtigung zum Aufrufen des redshift:JoinGroup-Vorgangs mit der Amazon-Redshift-Ressource dbgroup im folgenden Format ein. Ersetzen Region, account-id, und cluster-name mit den Werten für Ihr AWS Region, Konto und Cluster. Geben Sie für dbgroup-name den Namen einer Benutzergruppe an, der der Benutzer bei der Anmeldung zugewiesen wird.

     arn:aws:redshift:region:account-id:dbgroup:cluster-name/dbgroup-name

Weitere Informationen und Beispiele finden Sie unter Ressourcenrichtlinien für GetClusterCredentials.

Das folgende Beispiel zeigt eine Richtlinie, die es der IAM Rolle ermöglicht, den GetClusterCredentials Vorgang aufzurufen. Indem Sie die Amazon-Redshift-Ressource dbuser angeben, gewähren Sie der Rolle Zugriff auf den Datenbankbenutzernamen temp_creds_user auf dem Cluster examplecluster.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "redshift:GetClusterCredentials",
    "Resource": "arn:aws:redshift:us-west-2:123456789012:dbuser:examplecluster/temp_creds_user"
  }
}

Sie können einen Platzhalter (*) verwenden, um Cluster-Namen, Benutzernamen und Datenbankgruppennamen ganz oder teilweise zu ersetzen. Im folgenden Beispiel wird jedem Benutzernamen Zugriff gewährt, der mit temp_ beginnt, sich in einem beliebigen Cluster befindet und zum angegebenen Konto gehört.

Wichtig

Die Anweisung im folgenden Beispiel gibt ein Platzhalterzeichen (*) als Teil des Werts für die Ressource an, sodass durch die Richtlinie alle Ressourcen zugelassen werden, die mit dem angegebenen Zeichen beginnen. Die Verwendung eines Platzhalterzeichens in Ihren IAM Richtlinien könnte zu freizügig sein. Deshalb wird empfohlen, eine möglichst restriktive Richtlinie für Ihre Geschäftsanwendung zu nutzen.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "redshift:GetClusterCredentials",
    "Resource": "arn:aws:redshift:us-west-2:123456789012:dbuser:*/temp_*"
  }
}

Das folgende Beispiel zeigt eine Richtlinie, die es der IAM Rolle ermöglicht, den GetClusterCredentials Vorgang aufzurufen, mit der Option, automatisch einen neuen Benutzer zu erstellen und Gruppen anzugeben, denen der Benutzer bei der Anmeldung beitritt. Die Klausel "Resource": "*" gewährt der Rolle Zugriff auf jede beliebige Ressource, einschließlich Clustern, Datenbankbenutzern und Benutzergruppen.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
             "redshift:GetClusterCredentials",
             "redshift:CreateClusterUser",
		"redshift:JoinGroup"
            ],
    "Resource": "*"
  }
}

Weitere Informationen finden Sie unter Amazon Redshift ARN Redshift-Syntax.

Schritt 4: Erstellen eines Datenbankbenutzers und von Datenbankgruppen

Optional können Sie einen Datenbankbenutzer erstellen, mit dem Sie sich bei der Cluster-Datenbank anmelden. Wenn Sie temporäre Benutzeranmeldedaten für einen bestehenden Benutzer erstellen, können Sie das Passwort des Benutzers deaktivieren, um den Benutzer dazu zu zwingen, sich mit dem temporären Passwort anzumelden. Alternativ können Sie die Option „AutoCreate“ der Operation GetClusterCredentials dazu verwenden, automatisch einen neuen Datenbankbenutzer zu erstellen.

Sie können Datenbankbenutzergruppen mit den Berechtigungen erstellen, denen der IAM Datenbankbenutzer bei der Anmeldung beitreten soll. Wenn Sie die Operation GetClusterCredentials aufrufen, können Sie eine Liste von Benutzergruppennamen angeben, denen ein neuer Benutzer bei der Anmeldung zugewiesen wird. Diese Gruppenmitgliedschaften sind nur für Sitzungen gültig, die mit Anmeldeinformationen generiert wurden, für die diese Anfrage gilt.

Erstellen Sie einen Datenbankbenutzer und Datenbankgruppen wie folgt:

1. Melden Sie sich bei Ihrer Amazon Redshift-Datenbank an und erstellen Sie einen Datenbankbenutzer mithilfe von CREATEUSERoder ändern Sie einen vorhandenen Benutzer mithilfe von ALTERUSER.

2. Geben Sie optional die PASSWORD DISABLE Option an, mit der verhindert werden soll, dass der Benutzer ein Passwort verwendet. Wenn das Passwort eines Benutzers deaktiviert ist, kann sich der Benutzer nur anhand der temporären Anmeldeinformationen anmelden. Wenn das Passwort nicht deaktiviert ist, kann sich der Benutzer entweder mithilfe des Passworts oder mithilfe der temporären Anmeldeinformationen anmelden. Sie können das Passwort eines Superusers nicht deaktivieren.

   Benutzer benötigen programmatischen Zugriff, wenn sie mit AWS außerhalb der AWS Management Console. Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt von der Art des Benutzers ab, der zugreift AWS.

   Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.

   Welcher Benutzer benötigt programmgesteuerten Zugriff?	Bis	Von
   Mitarbeiteridentität (In IAM Identity Center verwaltete Benutzer)	Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das zu signieren AWS CLI, AWS SDKs, oder AWS APIs.	Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. Für den AWS CLI, siehe Konfiguration der AWS CLI zu verwenden AWS IAM Identity Center in der AWS Command Line Interface Benutzerleitfaden. Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. AWS SDKs, Tools und AWS APIs, siehe IAMIdentity Center-Authentifizierung im AWS SDKsund Referenzhandbuch für Tools.
   IAM	Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das zu signieren AWS CLI, AWS SDKs, oder AWS APIs.	Folgen Sie den Anweisungen unter Temporäre Anmeldeinformationen verwenden mit AWS Ressourcen im IAMBenutzerhandbuch.
   IAM	(Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das zu signieren AWS CLI, AWS SDKs, oder AWS APIs.	Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. Für den AWS CLI, siehe Authentifizierung mit IAM Benutzeranmeldedaten in der AWS Command Line Interface Benutzerleitfaden. Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. AWS SDKsund Tools finden Sie unter Authentifizieren mit langfristigen Anmeldeinformationen in der AWS SDKsund Referenzhandbuch für Tools. Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. AWS APIs, siehe Verwaltung von Zugriffsschlüsseln für IAM IAM Benutzer im Benutzerhandbuch.

   Im folgenden Beispiel wird ein Benutzer mit deaktiviertem Passwort erstellt.

   create user temp_creds_user password disable; 

   Im folgenden Beispiel wird das Passwort eines bestehenden Benutzers deaktiviert.

   alter user temp_creds_user password disable;

3. Erstellen Sie Datenbank-Benutzergruppen mit CREATEGROUP.

4. Verwenden Sie den GRANTBefehl, um Zugriffsrechte für die Gruppen zu definieren.

Schritt 5: Konfigurieren Sie eine JDBC ODBC OR-Verbindung für die Verwendung von IAM Anmeldeinformationen

Sie können Ihren SQL Client mit einem Amazon Redshift JDBC oder einem ODBC Treiber konfigurieren. Dieser Treiber verwaltet den Prozess der Erstellung von Datenbank-Benutzeranmeldedaten und der Herstellung einer Verbindung zwischen Ihrem SQL Client und Ihrer Amazon Redshift Redshift-Datenbank.

Wenn Sie einen Identitätsanbieter zur Authentifizierung erstellen, geben Sie den Namen eines Anmeldeinformationsanbieter-Plug-ins ein. Amazon Redshift JDBC und die ODBC Treiber enthalten Plugins für die folgenden SAML Identitätsanbieter:

• Active Directory Federation Services (AD FS)

• PingOne

• Okta

• Microsoft Azure AD

  Die Schritte zum Einrichten von Microsoft Azure AD als Identitätsanbieter finden Sie unter Einrichtung JDBC der ODBC Single-Sign-On-Authentifizierung.

Um eine JDBC Verbindung für die Verwendung IAM von Anmeldeinformationen zu konfigurieren

1. Laden Sie den neuesten Amazon Redshift JDBC Redshift-Treiber von der Konfiguration einer Verbindung für JDBC Treiberversion 2.1 für Amazon Redshift Seite herunter.

2. Erstellen Sie eine JDBC URL mit den Optionen für IAM Anmeldeinformationen in einem der folgenden Formate. Um die IAM Authentifizierung zu verwenden, fügen Sie iam: Amazon Redshift JDBC URL Folgendes hinzu, jdbc:redshift: wie im folgenden Beispiel gezeigt.

   jdbc:redshift:iam://

   Fügen Sie cluster-name, region und account-id hinzu. Der JDBC Treiber verwendet Ihre IAM Kontoinformationen und Ihren Clusternamen, um die Cluster-ID abzurufen und AWS Region. Dazu muss Ihr Benutzer oder Ihre Rolle zum Aufruf der Operation redshift:DescribeClusters mit dem angegebenen Cluster berechtigt sein. Wenn Ihr Benutzer oder Ihre Rolle nicht berechtigt ist, den redshift:DescribeClusters Vorgang aufzurufen, geben Sie die Cluster-ID an. AWS Region und Port, wie im folgenden Beispiel gezeigt. Der Portnummer ist optional.

   jdbc:redshift:iam://examplecluster.abc123xyz789.us-west-2.redshift.amazonaws.com:5439/dev

3. Fügen Sie JDBC Optionen zur Bereitstellung von IAM Anmeldeinformationen hinzu. Sie verwenden verschiedene Kombinationen von JDBC Optionen, um IAM Anmeldeinformationen bereitzustellen. Details hierzu finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.

   Im Folgenden URL wird die AccessKey ID und SecretAccessKey für einen Benutzer angegeben.

   jdbc:redshift:iam://examplecluster:us-west-2/dev?AccessKeyID=AKIAIOSFODNN7EXAMPLE&SecretAccessKey=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

   Im folgenden Beispiel wird ein benanntes Profil angegeben, das die IAM Anmeldeinformationen enthält.

   jdbc:redshift:iam://examplecluster:us-west-2/dev?Profile=user2

4. Fügen Sie JDBC Optionen hinzu, die der JDBC Treiber verwendet, um den GetClusterCredentials API Vorgang aufzurufen. Schließen Sie diese Optionen nicht ein, wenn Sie den GetClusterCredentials API Vorgang programmgesteuert aufrufen.

   Das folgende Beispiel enthält die JDBC GetClusterCredentials Optionen.

   jdbc:redshift:iam://examplecluster:us-west-2/dev?plugin_name=com.amazon.redshift.plugin.AzureCredentialsProvider&UID=user&PWD=password&idp_tenant=my_tenant&client_secret=my_secret&client_id=my_id

Um eine ODBC Verbindung für die Verwendung von IAM Anmeldeinformationen zu konfigurieren

Im folgenden Verfahren finden Sie nur Schritte zur Konfiguration der IAM Authentifizierung. Anweisungen zur Verwendung der Standardauthentifizierung mit einem Datenbankbenutzernamen und -passwort finden Sie unter Konfiguration einer Verbindung für die ODBC Treiberversion 2.x für Amazon Redshift.

1. Installieren und konfigurieren Sie den neuesten Amazon Redshift OBDC Redshift-Treiber für Ihr Betriebssystem. Weitere Informationen finden Sie auf der Seite Konfiguration einer Verbindung für die ODBC Treiberversion 2.x für Amazon Redshift.

   Wichtig

   Der Amazon Redshift ODBC Redshift-Treiber muss Version 1.3.6.1000 oder höher sein.

2. Befolgen Sie die betriebssystemspezifischen Anweisungen zur Konfiguration der Verbindungseinstellungen.

3. Rufen Sie unter Microsoft Windows-Betriebssystemen das Amazon Redshift ODBC Driver DSN Setup-Fenster auf.

   1. Geben Sie unter Connection Settings (Verbindungseinstellungen) die folgenden Informationen ein:

      • Datenquellenname

      • Server (optional)

      • Port (optional)

      • Datenbank

      Verfügt der Benutzer bzw. die Rolle über die Berechtigung zum Aufrufen der Operation redshift:DescribeClusters, sind nur Datenquellenname und Datenbank erforderlich. Amazon Redshift verwendet ClusterIdand Region, um den Server und den Port durch Aufrufen des DescribeCluster Vorgangs abzurufen.

      Verfügt der Benutzer bzw. die Rolle nicht über die Berechtigung zum Aufruf der Operation redshift:DescribeClusters, müssen Sie Server und Port angeben.

   2. Wählen Sie unter Authentifizierung einen Wert für Authentifizierungstypaus.

      Geben Sie für jeden Authentifizierungstyp Werte wie folgt ein:

      AWS Profil

      Geben Sie die folgenden Informationen ein:

      • ClusterID

      • Region

      • Profilname

        Geben Sie den Namen eines Profils in ein AWS Konfigurationsdatei, die Werte für die ODBC Verbindungsoptionen enthält. Weitere Informationen finden Sie unter Verwenden eines Konfigurationsprofils.

      (Optional) Geben Sie Details zu den Optionen an, die der ODBC Treiber verwendet, um den GetClusterCredentials API Vorgang aufzurufen:

      • DbUser

      • Benutzer AutoCreate

      • DbGroups

        Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.

      IAMAnmeldedaten

      Geben Sie die folgenden Informationen ein:

      • ClusterID

      • Region

      • AccessKeyAusweis und SecretAccessKey

        Die Zugriffsschlüssel-ID und der geheime Zugriffsschlüssel für die IAM Rolle oder den Benutzer, die für die IAM Datenbankauthentifizierung konfiguriert sind.

      • SessionToken

        SessionTokenist für eine IAM Rolle mit temporären Anmeldeinformationen erforderlich. Weitere Informationen finden Sie unter Temporäre Sicherheitsanmeldeinformationen.

      Geben Sie Einzelheiten zu den Optionen an, die der ODBC Treiber verwendet, um den GetClusterCredentials API Vorgang aufzurufen:

      • DbUser(erforderlich)

      • Benutzer AutoCreate (optional)

      • DbGroups(fakultativ)

        Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.

      Identitätsanbieter: AD FS

      Lassen Sie zur Verwendung der Windows-integrierten Authentifizierung mit AD FS die Felder User und Passwort frei.

      Geben Sie IdP-Details an:

      • IdP Host

        Der Name des Identitätsanbieterhosts des Unternehmens. Der Name darf keine Schrägstriche („/“) enthalten.

      • IdP Port (optional)

        Der vom Identitätsanbieter verwendete Port. Der Standardwert ist 443.

      • Preferred Role

        Ein Amazon-Ressourcenname (ARN) für die IAM Rolle aus den mehrwertigen AttributeValue Elementen für das Role Attribut in der SAML Assertion. Wenden Sie sich für den korrekten Wert für die bevorzugte Rolle an den IdP-Administrator. Weitere Informationen finden Sie unter Schritt 2: SAML Assertionen für Ihren IdP konfigurieren.

      (Optional) Geben Sie Einzelheiten zu den Optionen an, die der ODBC Treiber verwendet, um den GetClusterCredentials API Vorgang aufzurufen:

      • DbUser

      • Benutzer AutoCreate

      • DbGroups

      Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.

      Identitätsanbieter: PingFederate

      Geben Sie für User (Benutzer) und Password (Passwort) den Benutzernamen und das Passwort für Ihren Identitätsanbieter (IdP) ein.

      Geben Sie IdP-Details an:

      • IdP Host

        Der Name des Identitätsanbieterhosts des Unternehmens. Der Name darf keine Schrägstriche („/“) enthalten.

      • IdP Port (optional)

        Der vom Identitätsanbieter verwendete Port. Der Standardwert ist 443.

      • Preferred Role

        Ein Amazon-Ressourcenname (ARN) für die IAM Rolle aus den mehrwertigen AttributeValue Elementen für das Role Attribut in der SAML Assertion. Wenden Sie sich für den korrekten Wert für die bevorzugte Rolle an den IdP-Administrator. Weitere Informationen finden Sie unter Schritt 2: SAML Assertionen für Ihren IdP konfigurieren.

      (Optional) Geben Sie Einzelheiten zu den Optionen an, die der ODBC Treiber verwendet, um den GetClusterCredentials API Vorgang aufzurufen:

      • DbUser

      • Benutzer AutoCreate

      • DbGroups

      Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.

      Identitätsanbieter: Okta

      Geben Sie für User (Benutzer) und Password (Passwort) den Benutzernamen und das Passwort für Ihren Identitätsanbieter (IdP) ein.

      Geben Sie IdP-Details an:

      • IdP Host

        Der Name des Identitätsanbieterhosts des Unternehmens. Der Name darf keine Schrägstriche („/“) enthalten.

      • IdP Port

        Dieser Wert wird von Okta nicht verwendet.

      • Preferred Role

        Ein Amazon-Ressourcenname (ARN) für die IAM Rolle aus den AttributeValue Elementen für das Role Attribut in der SAML Assertion. Wenden Sie sich für den korrekten Wert für die bevorzugte Rolle an den IdP-Administrator. Weitere Informationen finden Sie unter Schritt 2: SAML Assertionen für Ihren IdP konfigurieren.

      • Okta App ID

        Eine ID für eine Okta-Anwendung. Der Wert für die Anwendungs-ID folgt im Anwendungseinbettungslink von Okta auf „amazon_aws“. Der Identitätsanbieteradministrator kann Ihnen diesen Wert zur Verfügung stellen.

      (Optional) Geben Sie Einzelheiten zu den Optionen an, die der ODBC Treiber verwendet, um den GetClusterCredentials API Vorgang aufzurufen:

      • DbUser

      • Benutzer AutoCreate

      • DbGroups

      Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.

      Identitätsanbieter: Azure AD

      Geben Sie für User (Benutzer) und Password (Passwort) den Benutzernamen und das Passwort für Ihren Identitätsanbieter (IdP) ein.

      Geben Sie für Cluster-ID und Region die Cluster-ID ein und AWS Region Ihres Amazon Redshift Redshift-Clusters.

      Geben Sie bei Database (Datenbank) die Datenbank ein, die Sie für Ihren Amazon-Redshift-Cluster erstellt haben.

      Geben Sie IdP-Details an:

      • IdP Tenant (dP-Mandant

        Der für Azure AD verwendete Mandant.

      • Azure Client Secret (Azure-Clientgeheimnis

        Das Client-Secret der Amazon-Redshift-Unternehmensanwendung in Azure.

      • Azure Client ID (Azure-Client-ID

        Die Client-ID (Anwendungs-ID) der Amazon-Redshift-Unternehmensanwendung in Azure.

      (Optional) Geben Sie Einzelheiten zu den Optionen an, die der ODBC Treiber verwendet, um den GetClusterCredentials API Vorgang aufzurufen:

      • DbUser

      • Benutzer AutoCreate

      • DbGroups

      Weitere Informationen finden Sie unter JDBCund ODBC Optionen für die Erstellung von Datenbank-Benutzeranmeldedaten.