Configuration d’un nom de domaine personnalisé - Amazon Redshift
Enregistrement d’un nom de domaine et sélection d’un certificatCréation du nom de domaine personnaliséConnexion à votre cluster ou groupe de travail avec un nom de domaine personnalisé, à l’aide d’un client SQL

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d’un nom de domaine personnalisé

La configuration du nom de domaine personnalisé comprend plusieurs tâches, parmi lesquelles l’enregistrement du nom de domaine personnalisé auprès de votre fournisseur DNS et la création d’un certificat. Après avoir effectué ces tâches, vous configurez le nom de domaine personnalisé dans la console Amazon Redshift ou dans la console Amazon Redshift Serverless, ou vous le configurez à l'aide de commandes. AWS CLI Les étapes sont détaillées dans les sections suivantes.

Enregistrement d’un nom de domaine et sélection d’un certificat

Vous devez disposer d’un nom de domaine Internet enregistré pour configurer un nom de domaine personnalisé dans Amazon Redshift. Vous pouvez enregistrer un domaine Internet à l’aide de Route 53, ou utiliser un bureau d’enregistrement de domaine tiers. Vous effectuez ces tâches en dehors de la console Amazon Redshift. Un domaine enregistré est un prérequis pour terminer les procédures restantes visant à créer un domaine personnalisé.

Note

Si vous utilisez un cluster provisionné, la relocalisation doit être activée sur le celui-ci avant d’effectuer les étapes de configuration du nom de domaine personnalisé. Pour plus d’informations, consultez Déplacement de votre cluster. Cette étape n’est pas obligatoire pour Amazon Redshift sans serveur.

Le nom de domaine personnalisé inclut généralement le domaine racine et un sous-domaine, comme mycluster.example.com. Pour le configurer, effectuez les opérations suivantes :

Création d’une entrée DNS CNAME pour votre nom de domaine personnalisé

  1. Enregistrez un domaine racine, par exemple example.com. Vous pouvez éventuellement utiliser un domaine existant. Votre nom personnalisé peut être soumis à des restrictions relatives à des caractères particuliers ou à la validation de dénomination. Pour plus d’informations sur l’enregistrement d’un domaine avec Route 53, consultez Registering a new domain.

  2. Ajoutez un enregistrement CNAME DNS qui pointe votre nom de domaine personnalisé vers le point de terminaison Redshift pour votre cluster ou groupe de travail. Vous pouvez trouver le point de terminaison dans les propriétés du cluster ou du groupe de travail, dans la console Redshift ou Amazon Redshift sans serveur. Copiez l’URL JDBC disponible sous Informations générales dans les propriétés du cluster ou du groupe de travail. Les URL se présentent comme suit :

    • Pour un cluster Amazon Redshift : redshift-cluster-sample.abc123456.us-east-1.redshift.amazonaws.com

    • Pour un groupe de travail Amazon Redshift sans serveur : endpoint-name.012345678901.us-east-1-dev.redshift-serverless-dev.amazonaws.com

    Si l’URL comporte un préfixe JDBC, supprimez-le.

    Note

    Les enregistrements DNS sont soumis à disponibilité, car chaque nom doit être unique et utilisable au sein de votre organisation.

Limites

Il existe quelques restrictions concernant la création d’enregistrements CNAME pour un domaine personnalisé :

  • La création de plusieurs noms de domaine personnalisés pour le même cluster provisionné ou le même groupe de travail Amazon Redshift sans serveur n’est pas prise en charge. Vous ne pouvez associer qu’un seul enregistrement CNAME.

  • L’association d’un enregistrement CNAME à plusieurs clusters ou groupes de travail n’est pas prise en charge. Le CNAME de chaque ressource Redshift doit être unique.

Après avoir enregistré votre domaine et créé l’enregistrement CNAME, vous sélectionnez un certificat nouveau ou existant. Vous effectuez cette étape en utilisant AWS Certificate Manager :

Demande de certificat auprès d’ACM pour un nom de domaine

  1. Connectez-vous à la console ACM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/acm/.

  2. Choisissez Request a certificate (Demander un certificat).

  3. Saisissez votre nom de votre domaine personnalisé dans le champ Nom de domaine.

    Note

    Vous pouvez spécifier de nombreux préfixes, en plus du domaine du certificat, afin d’utiliser un seul certificat pour plusieurs enregistrements de domaines personnalisés. À titre d’exemple, vous pouvez utiliser des enregistrements supplémentaires tels que one.example.com et two.example.com, ou un enregistrement DNS générique comme *.example.com avec le même certificat.

  4. Choisissez Review and request.

  5. Choisissez Confirm and request.

  6. Pour que la demande soit valide et quACM puisse émettre le certificat, le propriétaire inscrit du domaine Internet doit préalablement approuver cette demande. Une fois les étapes terminées, assurez-vous que le statut apparaît comme Émis dans la console ACM.

Nous vous recommandons de créer un certificat validé par le DNS répondant aux critères d’éligibilité au renouvellement géré, disponible avec AWS Certificate Manager. Le renouvellement géré implique qu’ACM renouvelle automatiquement vos certificats, ou vous envoie des notifications par e-mail quand la date d’expiration approche. Pour plus d’informations sur le renouvellement de certificats gérés, consultez Renouvellement géré des certificats ACM.

Création du nom de domaine personnalisé

Vous pouvez utiliser la console Amazon Redshift ou Amazon Redshift sans serveur pour créer l’URL de votre domaine personnalisé. Si vous ne l’avez pas configurée, la propriété Nom de domaine personnalisé apparaît sous la forme d’un tiret () sous Informations générales. Après avoir créé votre enregistrement CNAME et le certificat, vous associez le nom de domaine personnalisé au cluster ou groupe de travail.

Pour créer une association de domaine personnalisé, les autorisations IAM suivantes sont requises :

  • redshift:CreateCustomDomainAssociation : vous pouvez restreindre l’autorisation à un cluster spécifique en ajoutant son ARN.

  • redshiftServerless:CreateCustomDomainAssociation : vous pouvez restreindre l’autorisation à un groupe de travail spécifique en ajoutant son ARN.

  • acm:DescribeCertificate

Il est recommandé d’associer des politiques d’autorisation à un rôle IAM, puis de l’attribuer à des utilisateurs et à des groupes, le cas échéant. Pour plus d’informations, consultez Identity and Access Management dans Amazon Redshift.

Vous attribuez le nom de domaine personnalisé en procédant comme suit.

  1. Choisissez le cluster dans la console Redshift, ou le groupe de travail dans la console Amazon Redshift sans serveur, puis choisissez Créer un nom de domaine personnalisé dans le menu Action. Une boîte de dialogue s’affiche.

  2. Entrez le nom du domaine personnalisé.

  3. Sélectionnez l'ARN AWS Certificate Manager du certificat ACM. Confirmez vos modifications. Conformément aux instructions fournies dans les étapes que vous avez suivies pour créer le certificat, nous vous recommandons de choisir un certificat validé par le DNS éligible au renouvellement géré via AWS Certificate Manager.

  4. Vérifiez dans les propriétés du cluster que le Nom de domaine personnalisé et l’ARN du certificat de domaine personnalisé sont renseignés avec les informations que vous avez saisies. La Date d’expiration du certificat de domaine personnalisé est également répertoriée.

Une fois le domaine personnalisé configuré, vous ne pouvez utiliser sslmode=verify-full que pour le nouveau domaine personnalisé. Vous ne pouvez pas l’utiliser pour le point de terminaison par défaut. Mais vous pouvez toujours vous connecter au point de terminaison par défaut en utilisant d’autres modes SSL, tels que sslmode=verify-ca.

Note

Pour rappel, la relocalisation du cluster n'est pas une condition préalable à la configuration de fonctionnalités réseau Redshift supplémentaires. Il n’est pas nécessaire de l’activer pour activer les fonctionnalités suivantes :

  • Connexion à Redshift depuis un VPC entre comptes ou entre régions : vous pouvez vous connecter d'un cloud privé AWS virtuel (VPC) à un autre qui contient une base de données Redshift. Cela facilite par exemple la gestion de l’accès client à partir de comptes ou de VPC disparates, sans avoir à fournir un accès VPC local aux identités se connectant à la base de données. Pour plus d’informations, consultez Connexion à Amazon Redshift sans serveur à partir d’un point de terminaison de VPC Redshift dans un autre compte ou une autre région.

  • Configuration d’un nom de domaine personnalisé : vous pouvez créer un nom de domaine personnalisé, comme décrit dans cette rubrique, pour rendre le nom du point de terminaison plus pertinent et plus simple.

Changement de nom d’un cluster auquel un domaine personnalisé a été attribué à l’aide de la console

Note

Cette série d’étapes ne s’applique pas à un groupe de travail Amazon Redshift sans serveur. Vous ne pouvez pas changer le nom du groupe de travail.

Pour renommer un cluster doté d’un nom de domaine personnalisé, l’autorisation IAM acm:DescribeCertificate est requise.

  1. Accédez à la console Amazon Redshift et choisissez le cluster dont vous souhaitez changer le nom. Choisissez Modifier pour modifier les propriétés du cluster.

  2. Modifiez l’Identifiant du cluster. Vous pouvez également modifier d’autres propriétés du cluster. Ensuite, choisissez Enregistrer les modifications.

  3. Une fois le cluster renommé, vous devez mettre à jour l’enregistrement DNS pour modifier l’entrée CNAME du domaine personnalisé afin qu’elle pointe vers le point de terminaison Amazon Redshift mis à jour.

Description des associations de domaines personnalisés à l’aide de commandes CLI

Utilisez les commandes de cette section pour obtenir une liste de noms de domaine personnalisés associés à un cluster provisionné spécifique ou à un groupe de travail Amazon Redshift sans serveur.

Vous avez besoin des autorisations suivantes :

  • Pour un cluster provisionné : redshift:DescribeCustomDomainAssociations

  • Pour un groupe de travail Amazon Redshift sans serveur : redshiftServerless:ListCnameAssociations

Il est recommandé d’associer des politiques d’autorisation à un rôle IAM, puis de l’attribuer à des utilisateurs et à des groupes, le cas échéant. Pour plus d’informations, consultez Identity and Access Management dans Amazon Redshift.

Voici un exemple de commande permettant de répertorier les noms de domaine personnalisés pour un cluster Amazon Redshift donné :

aws redshift describe-custom-domain-associations ––custom-domain-name customdomainname

Vous pouvez exécuter cette commande lorsqu’un nom de domaine personnalisé est activé pour déterminer les noms de domaine personnalisés associés au cluster. Pour plus d'informations sur la commande CLI permettant de décrire les associations de domaines personnalisées, consultez describe-custom-domain-associations.

De même, l’exemple de commande suivant permet de répertorier les noms de domaine personnalisés pour un cluster Amazon Redshift sans serveur donné. Il existe différentes manières d’y parvenir. Vous pouvez fournir uniquement le nom de domaine personnalisé :

aws redshift-serverless list-custom-domain-associations ––custom-domain-name customdomainname

Vous pouvez également obtenir les associations en fournissant uniquement l’ARN du certificat :

aws redshift-serverless list-custom-domain-associations ––custom-domain-certificate-arn certificatearn

Vous pouvez exécuter ces commandes lorsqu’un nom de domaine personnalisé est activé pour déterminer les noms de domaine personnalisés associés au groupe de travail. Vous pouvez également exécuter une commande pour obtenir les propriétés d’une association de domaines personnalisés. Pour ce faire, vous devez fournir le nom de domaine personnalisé et le nom du groupe de travail comme paramètres. Cela renvoie l’ARN du certificat, le nom du groupe de travail et le délai d’expiration du certificat du domaine personnalisé :

aws redshift-serverless get-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname

Pour plus d’informations sur les commandes de référence CLI disponibles pour Amazon Redshift sans serveur, consultez redshift-serverless.

Association du domaine personnalisé à un autre certificat

Pour modifier l’association de certificat d’un nom de domaine personnalisé, les autorisations IAM suivantes sont requises :

  • redshift:ModifyCustomDomainAssociation

  • acm:DescribeCertificate

Il est recommandé d’associer des politiques d’autorisation à un rôle IAM, puis de l’attribuer à des utilisateurs et à des groupes, le cas échéant. Pour plus d’informations, consultez Identity and Access Management dans Amazon Redshift.

Utilisez la commande suivante pour associer le domaine personnalisé à un autre certificat. Les arguments ––custom-domain-name et custom-domain-certificate-arn sont obligatoires. L’ARN du nouveau certificat doit être différent de l’ARN existant.

aws redshift modify-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn

L’exemple suivant montre comment associer le domaine personnalisé à un certificat différent pour un groupe de travail Amazon Redshift sans serveur.

aws redshift-serverless modify-custom-domain-association ––workgroup-name redshiftworkgroup ––custom-domain-name customdomainname ––custom-domain-certificate-arn certificatearn

Vous devez attendre 30 secondes maximum pour pouvoir vous connecter au cluster. Ce délai est en partie dû au fait que le cluster Amazon Redshift met à jour ses propriétés. Un délai supplémentaire se rajoute lorsque le DNS est mis à jour. Pour plus d'informations sur l'API et chaque paramètre de propriété, consultez ModifyCustomDomainAssociation.

Suppression du domaine personnalisé

Pour supprimer le nom de domaine personnalisé, l’utilisateur doit disposer des autorisations nécessaires pour effectuer les actions suivantes :

  • Pour un cluster provisionné : redshift:DeleteCustomDomainAssociation

  • Pour un groupe de travail Amazon Redshift sans serveur : redshiftServerless:DeleteCustomDomainAssociation

Dans la console

Vous pouvez supprimer le nom de domaine personnalisé en sélectionnant le bouton Actions, puis en choisissant Supprimer le nom de domaine personnalisé. Après cela, vous pouvez toujours vous connecter au serveur en mettant à jour vos outils pour utiliser les points de terminaison répertoriés dans la console.

Utilisation d’une commande CLI

L’exemple suivant indique comment supprimer le nom de domaine personnalisé. L’opération de suppression nécessite que vous fournissiez le nom de domaine personnalisé existant pour le cluster.

aws redshift delete-custom-domain-association ––cluster-id redshiftcluster ––custom-domain-name customdomainname

L’exemple suivant montre comment supprimer le nom de domaine personnalisé pour un groupe de travail Amazon Redshift sans serveur. Le nom de domaine personnalisé est un paramètre obligatoire.

aws redshift-serverless delete-custom-domain-association ––workgroup-name workgroupname ––custom-domain-name customdomainname

Pour plus d'informations, consultez DeleteCustomDomainAssociation.

Connexion à votre cluster ou groupe de travail avec un nom de domaine personnalisé, à l’aide d’un client SQL

Pour vous connecter à un nom de domaine personnalisé, les autorisations IAM suivantes sont requises pour un cluster provisionné : redshift:DescribeCustomDomainAssociations. Pour Amazon Redshift sans serveur, vous n’avez pas besoin d’ajouter d’autorisations.

Il est recommandé d’associer des politiques d’autorisation à un rôle IAM, puis de l’attribuer à des utilisateurs et à des groupes, le cas échéant. Pour plus d’informations, consultez Identity and Access Management dans Amazon Redshift.

Après avoir terminé les étapes pour créer votre CNAME et l’attribuer à votre cluster ou groupe de travail dans la console, vous pouvez fournir l’URL personnalisée dans les propriétés de connexion de votre client SQL. Notez que la propagation du DNS peut prendre du temps juste après la création d’un enregistrement CNAME.

  1. Ouvrez un client SQL. Par exemple, vous pouvez utiliser SQL/Workbench J. Ouvrez les propriétés d’une connexion et ajoutez le nom de domaine personnalisé pour la chaîne de connexion. Par exemple, jdbc:redshift://mycluster.example.com:5439/dev?sslmode=verify-full. Dans cet exemple, dev spécifie la base de données par défaut.

  2. Ajoutez le nom d’utilisateur et le mot de passe de l’utilisateur de base de données.

  3. Testez la connexion. Votre capacité à interroger les ressources de base de données telles que des tables spécifiques peut varier en fonction des autorisations accordées à l’utilisateur de base de données ou aux rôles de base de données Amazon Redshift attribués.

    Notez que s’il se trouve dans un VPC, vous devrez peut-être configurer votre cluster ou groupe de travail pour qu’il soit accessible publiquement afin de vous y connecter. Vous pouvez modifier ce paramètre dans les propriétés du réseau.

Note

Les connexions à un nom de domaine personnalisé sont prises en charge par les pilotes JDBC et Python. Les connexions ODBC ne sont pas prises en charge.