Konfigurieren von Authentifizierung und SSL - Amazon Redshift
Konfigurieren der IAM-AuthentifizierungAngeben von ProfilenVerwenden von Anmeldeinformation eines Instance-ProfilsVerwenden von Anmeldeinformationsanbietern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Authentifizierung und SSL

Um Daten vor unbefugtem Zugriff zu schützen, erfordern Amazon-Redshift-Datenspeicher, dass alle Verbindungen mit Benutzeranmeldeinformationen authentifiziert werden. Einige Datenspeicher erfordern auch, dass Verbindungen über das Secure Sockets Layer (SSL)-Protokoll hergestellt werden, entweder mit oder ohne unidirektionaler Authentifizierung.

Die Amazon-Redshift-JDBC-Treiberversion 2.1 bietet volle Unterstützung für diese Authentifizierungsprotokolle.

Die SSL-Version, die der Treiber unterstützt, hängt von der JVM-Version ab, die Sie verwenden. Informationen zu den SSL-Versionen, die von jeder Java-Version unterstützt werden, finden Sie unter Diagnose von TLS, SSL und HTTPS im Java Platform Group Product Management Blog.

Die SSL-Version, die für die Verbindung verwendet wird, ist die höchste Version, die sowohl vom Treiber als auch vom Server unterstützt wird, die zum Zeitpunkt der Verbindung bestimmt wird.

Konfigurieren Sie die Amazon-Redshift-JDBC-Treiberversion 2.1 für die Authentifizierung Ihrer Verbindung gemäß den Sicherheitsanforderungen des Redshift-Servers, mit dem Sie eine Verbindung herstellen.

Sie müssen immer Ihren Redshift-Benutzernamen und Ihr Passwort angeben, um die Verbindung zu authentifizieren. Abhängig davon, ob SSL auf dem Server aktiviert und erforderlich ist, müssen Sie den Treiber möglicherweise auch für die Verbindung über SSL konfigurieren. Möglicherweise müssen Sie eine unidirektionale SSL-Authentifizierung verwenden, damit der Client (der Treiber selbst) die Identität des Servers überprüft.

Sie geben die Konfigurationsinformationen an den Treiber in der Verbindungs-URL an. Weitere Informationen zur Syntax der Verbindungs-URL finden Sie unter Erstellen der Verbindungs-URL.

SSL zeigt an. TLS/SSL, both Transport Layer Security and Secure Sockets Layer. The driver supports industry-standard versions of TLS/SSL

Konfigurieren der IAM-Authentifizierung

Wenn Sie eine Verbindung mit einem Amazon-Redshift-Server über die IAM-Authentifizierung herstellen, legen Sie die folgenden Eigenschaften als Teil Ihrer Datenquellen-Verbindungszeichenfolge fest.

Weitere Informationen zur IAM-Authentifizierung finden Sie unter Identity and Access Management in Amazon Redshift.

Verwenden Sie für die Verwendung der IAM-Authentifizierung eines der folgenden Verbindungszeichenfolgenformate:

Verbindungszeichenfolge Beschreibung

jdbc:redshift:iam:// [host]:[port]/[db]

Eine reguläre Verbindungszeichenfolge. Der Treiber leitet die ClusterID und die Region vom Host ab.

jdbc:redshift:iam:// [cluster-id]: [region]/[db]

Der Treiber ruft Hostinformationen unter Berücksichtigung der ClusterID und der Region ab.

jdbc:redshift:iam:// [host]/[db]

Der Treiber ist standardmäßig auf Port 5439 eingestellt und leitet die ClusterID und die Region vom Host ab. Erlauben Sie den Zugriff auf den ausgewählten Port, je nachdem, welchen Port Sie beim Erstellen, Ändern oder Migrieren des Clusters ausgewählt haben.

Angeben von Profilen

Wenn Sie IAM-Authentifizierung verwenden, können Sie zusätzliche erforderliche oder optionale Verbindungseigenschaften unter einem Profilnamen angeben. Dadurch können Sie vermeiden, dass bestimmte Informationen direkt in die Verbindungszeichenfolge eingefügt werden. Sie geben den Profilnamen in der Verbindungszeichenfolge mithilfe der Eigenschaft Profile an.

Profile können der AWS Anmeldeinformationsdatei hinzugefügt werden. Das Standardverzeichnis für diese Datei ist: ~/.aws/credentials

Sie können den Standardwert ändern, indem Sie den Pfad in der folgenden Umgebungsvariablen festlegen: AWS_CREDENTIAL_PROFILES_FILE

Weitere Informationen über Profile finden Sie unter Arbeiten mit AWS -Anmeldeinformationen im AWS SDK for Java.

Verwenden von Anmeldeinformation eines Instance-Profils

Wenn Sie eine Anwendung auf einer EC2 Amazon-Instance ausführen, die einer IAM-Rolle zugeordnet ist, können Sie mit den Anmeldeinformationen des Instance-Profils eine Verbindung herstellen.

Verwenden Sie dazu eines der IAM-Verbindungszeichenfolgenformate in der obigen Tabelle und legen Sie die Verbindungseigenschaft dbuser auf den Amazon Redshift Redshift-Benutzernamen fest, mit dem Sie die Verbindung herstellen.

Weitere Informationen zu Instance-Profilen finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch.

Verwenden von Anmeldeinformationsanbietern

Der Treiber unterstützt auch Plug-Ins für Anmeldeinformationen von den folgenden Services:

  • AWS IAM Identity Center

  • Active Directory Federation Service (ADFS)

  • JSON Web Tokens (JWT) Service

  • Microsoft Azure Active Directory (AD) Service und Browser Microsoft Azure Active Directory (AD) Service

  • Okta Service

  • PingFederate Dienst

  • Browser-SAML für SAML-Services wie Okta, Ping oder ADFS

Wenn Sie einen dieser Services verwenden, muss die Verbindungs-URL die folgenden Eigenschaften angeben:

  • Plugin_Name – Der vollqualifizierte Klassenpfad für Ihre Anmeldeinformationsanbieter-Plug-In-Klasse.

  • IdP_Host: – Der Host für den Service, den Sie zur Authentifizierung bei Amazon Redshift verwenden.

  • IdP-Port – Der Port, auf den der Host für den Authentifizierungsdienst wartet. Nicht erforderlich für Okta.

  • Benutzer — Der Benutzername für den idp_host-Server.

  • Passwort — Das dem idp_host-Benutzernamen zugeordnete Passwort.

  • DbUser— Der Amazon Redshift Redshift-Benutzername, mit dem Sie sich verbinden.

  • SSL_Insecure – gibt an, ob das IDP-Serverzertifikat verifiziert werden soll.

  • client_ID — Die Client-ID, die dem Benutzernamen im Azure AD-Portal zugeordnet ist. Wird nur für Azure AD verwendet.

  • Client_Secret – Das Client-Secret, das der Benutzer-ID im Azure-AD-Portal zugeordnet ist. Wird nur für Azure AD verwendet.

  • IdP_Tenant— Die Azure-AD-Mandanten-ID für Ihre Amazon-Redshift-Anwendung. Wird nur für Azure AD verwendet.

  • App_ID – Die Okta-App-ID für Ihre Amazon-Redshift-Anwendung. Wird nur für Okta verwendet.

  • App_Name – Der optionale Okta-Appname für Ihre Amazon-Redshift-Anwendung. Wird nur für Okta verwendet.

  • Partner_SPID – Der Wert der Partner-SPID (Service-Provider-ID). Wird nur für verwendet. PingFederate

  • Idc_Region — Der AWS-Region Ort, an dem sich die AWS IAM Identity Center-Instanz befindet. Wird nur für AWS IAM Identity Center verwendet.

  • Issuer_Url — Der Instanzendpunkt des AWS IAM Identity Center-Servers. Wird nur für AWS IAM Identity Center verwendet.

Wenn Sie ein Browser-Plug-In für einen dieser Dienste verwenden, kann die Verbindungs-URL auch Folgendes enthalten:

  • Login_URL – Die URL für die Ressource auf der Website des Identitätsanbieters, wenn die SAML- (Security Assertion Markup Language) oder Azure-AD-Services über ein Browser-Plug-In verwendet werden. Dieser Parameter ist erforderlich, wenn Sie ein Browser-Plug-In verwenden.

  • Listen_Port — Der Port, den der Treiber verwendet, um die SAML-Antwort vom Identitätsanbieter abzurufen, wenn die SAML-, Azure AD- oder AWS IAM Identity Center-Dienste über ein Browser-Plugin verwendet werden.

  • idp_response_timeout — Die Zeit in Sekunden, die der Treiber auf die SAML-Antwort des Identitätsanbieters wartet, wenn er die SAML-, Azure AD- oder IAM Identity Center-Dienste über ein Browser-Plugin verwendet. AWS

Weitere Informationen zu Eigenschaften von Verbindungszeichenfolgen finden Sie unter Konfigurationsoptionen der JDBC-Treiberversion 2.1.