Étape 5 : Configurer une connexion JDBC ou ODBC pour utiliser des informations d'identification IAM

Vous pouvez configurer votre client SQL avec un pilote Amazon Redshift JDBC ou ODBC. Ce pilote gère le processus de création des informations d'identification de l'utilisateur de la base de données et l'établissement d'une connexion entre votre client SQL et votre base de données Amazon Redshift.

Si vous utilisez un fournisseur d'identité pour l'authentification, spécifiez le nom d'un plugin de fournisseur d'informations d'identification. Les pilotes Amazon Redshift JDBC et ODBC comprennent des plugins pour les fournisseurs d'identité basés sur SAML suivants :

• Active Directory Federation Services (AD FS)

• PingOne

• Okta

• Microsoft Azure AD

  Pour savoir comment configurer Microsoft Azure AD en tant que fournisseur d'identité, consultez Configuration de l'authentification unique JDBC ou ODBC avec Microsoft Azure AD.

Pour configurer une connexion JDBC pour utiliser des informations d'identification IAM

1. Téléchargez la dernière version du pilote JDBC d'Amazon Redshift depuis la page Configuration d’une connexion pour le pilote JDBC version 2.1 pour Amazon Redshift.

2. Créez une URL JDBC avec les options d'informations d'identification IAM dans un des formats suivants. Pour utiliser l'authentification IAM, ajoutez iam: à l'URL Amazon Redshift JDBC après jdbc:redshift:, comme indiqué dans l'exemple suivant.

   jdbc:redshift:iam://

   Ajoutez cluster-name, region et account-id. Le pilote JDBC utilise les informations de votre compte IAM et le nom du cluster pour récupérer l'ID et la région du cluster. AWS Pour ce faire, votre utilisateur ou rôle doit être autorisé à appeler l'opération redshift:DescribeClusters avec le cluster spécifié. Si votre utilisateur ou votre rôle n'est pas autorisé à appeler l'redshift:DescribeClustersopération, incluez l'ID du cluster, AWS la région et le port, comme indiqué dans l'exemple suivant. Le numéro de port est facultatif.

   jdbc:redshift:iam://examplecluster.abc123xyz789.us-west-2.redshift.amazonaws.com:5439/dev

3. Ajoutez des options JDBC pour fournir des informations d'identification IAM. Vous utilisez différentes combinaisons d'options JDBC pour fournir des informations d'identification IAM. Pour plus de détails, consultez Options JDBC et ODBC pour la création d'informations d'identification de l'utilisateur de base de données.

   L'URL suivante indique l' AccessKeyID et SecretAccessKey le nom d'un utilisateur.

   jdbc:redshift:iam://examplecluster:us-west-2/dev?AccessKeyID=AKIAIOSFODNN7EXAMPLE&SecretAccessKey=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

   L'exemple suivant spécifie un profil nommé qui contient les informations d'identification IAM.

   jdbc:redshift:iam://examplecluster:us-west-2/dev?Profile=user2

4. Ajoutez les options JDBC que le pilote JDBC utilise pour appeler l'opération d'API GetClusterCredentials. N'incluez pas ces options si vous appelez l'opération d'API GetClusterCredentials par programmation.

   L'exemple suivant inclut les options JDBC GetClusterCredentials.

   jdbc:redshift:iam://examplecluster:us-west-2/dev?plugin_name=com.amazon.redshift.plugin.AzureCredentialsProvider&UID=user&PWD=password&idp_tenant=my_tenant&client_secret=my_secret&client_id=my_id

Pour configurer une connexion ODBC pour utiliser des informations d'identification IAM

Dans la procédure suivante, vous pouvez rechercher uniquement les étapes de configuration de l'authentification IAM. Pour connaître les étapes permettant d'utiliser l'authentification standard, avec un nom d'utilisateur de base de données et un mot de passe, consultez Configuration d’une connexion ODBC.

1. Installez et configurez le dernier pilote OBDC Amazon Redshift pour votre système d'exploitation. Pour plus d'informations, consultez Configuration d’une connexion ODBC.

   Important

   La version du pilote ODBC Amazon Redshift doit être 1.3.6.1000 ou une version ultérieure.

2. Suivez les étapes pour votre système d'exploitation afin de configurer les paramètres de connexion.

   Pour plus d'informations, consultez les étapes suivantes :

   • Installer et configurer le pilote ODBC Amazon Redshift sur Microsoft Windows

   • Utilisez un gestionnaire de pilotes ODBC pour configurer le pilote sur les systèmes d’exploitation Linux et macOS X

3. Sur les systèmes d'exploitation Microsoft Windows, accédez à la fenêtre de configuration DNS du pilote ODBC Amazon Redshift.

   1. Sous Paramètres de connexion, saisissez les informations suivantes :

      • Nom de la source de données

      • Server (Serveur) (facultatif)

      • Port (facultatif)

      • Database (Base de données)

      Si votre utilisateur ou rôle est autorisé à appeler l'opération redshift:DescribeClusters, seuls le nom de la source de données et la base de données sont requis. Amazon Redshift utilise ClusterIdune région pour obtenir le serveur et le port en appelant l'DescribeClusteropération.

      Si votre utilisateur ou rôle n'a pas l'autorisation d'appeler l'opération redshift:DescribeClusters, spécifiez Serveur et Port.

   2. Sous Authentication (Authentification), choisissez une valeur pour Auth Type (Type d'authentification).

      Pour chaque type d'authentification, entrez les valeurs suivantes :

      AWS Profile

      Entrez les informations suivantes :

      • ClusterID

      • Région

      • Profile name (Nom de profil)

        Entrez le nom d'un profil dans un fichier de AWS configuration contenant les valeurs des options de connexion ODBC. Pour plus d’informations, consultez Utilisation d'un profil de configuration.

      (Facultatif) Fournissez des détails sur les options que le pilote ODBC utilise pour appeler l'opération d'API GetClusterCredentials :

      • DbUser

      • Utilisateur AutoCreate

      • DbGroups

        Pour plus d’informations, consultez Options JDBC et ODBC pour la création d'informations d'identification de l'utilisateur de base de données.

      Informations d’identification IAM

      Entrez les informations suivantes :

      • ClusterID

      • Région

      • AccessKeyID et SecretAccessKey

        ID de clé d'accès et clé d'accès secrète pour le rôle IAM ou l'utilisateur configurées pour l'authentification de base de données IAM.

      • SessionToken

        SessionTokenest requis pour un rôle IAM avec des informations d'identification temporaires. Pour plus d'informations, consultez Informations d'identification de sécurité temporaires.

      Fournissez des détails sur les options que le pilote ODBC utilise pour appeler l'opération d'API GetClusterCredentials :

      • DbUser(obligatoire)

      • Utilisateur AutoCreate (facultatif)

      • DbGroups(facultatif)

        Pour plus d’informations, consultez Options JDBC et ODBC pour la création d'informations d'identification de l'utilisateur de base de données.

      Identity Provider (Fournisseur d'identité) : AD FS

      Pour l'authentification Windows intégrée avec AD FS, laissez User (Utilisateur) et Password (Mot de passe) vides.

      Fournissez les détails sur l'IdP :

      • IdP Host (Hôte IdP)

        Nom de l'hôte du fournisseur d'identité d'entreprise. Ce nom ne doit pas inclure de barre oblique ( / ).

      • IdP Port (Port IdP) (facultatif)

        Port utilisé par le fournisseur d'identité. La valeur par défaut est 443.

      • Preferred Role (Rôle préféré)

        Un Amazon Resource Name (ARN) pour le rôle IAM provenant des éléments AttributeValue pour l'attribut Role dans l'assertion SAML. Collaborez avec votre administrateur IdP pour rechercher la valeur appropriée pour le rôle préféré. Pour plus d'informations, consultez Configurer des assertions SAML pour votre IdP.

      (Facultatif) Fournissez des détails sur les options que le pilote ODBC utilise pour appeler l'opération d'API GetClusterCredentials :

      • DbUser

      • Utilisateur AutoCreate

      • DbGroups

      Pour plus d’informations, consultez Options JDBC et ODBC pour la création d'informations d'identification de l'utilisateur de base de données.

      Fournisseur d'identité : PingFederate

      Pour User (Utilisateur) et Password (Mot de passe), entrez le nom d'utilisateur et le mot de passe de votre IdP.

      Fournissez les détails sur l'IdP :

      • IdP Host (Hôte IdP)

        Nom de l'hôte du fournisseur d'identité d'entreprise. Ce nom ne doit pas inclure de barre oblique ( / ).

      • IdP Port (Port IdP) (facultatif)

        Port utilisé par le fournisseur d'identité. La valeur par défaut est 443.

      • Preferred Role (Rôle préféré)

        Un Amazon Resource Name (ARN) pour le rôle IAM provenant des éléments AttributeValue pour l'attribut Role dans l'assertion SAML. Collaborez avec votre administrateur IdP pour rechercher la valeur appropriée pour le rôle préféré. Pour plus d'informations, consultez Configurer des assertions SAML pour votre IdP.

      (Facultatif) Fournissez des détails sur les options que le pilote ODBC utilise pour appeler l'opération d'API GetClusterCredentials :

      • DbUser

      • Utilisateur AutoCreate

      • DbGroups

      Pour plus d’informations, consultez Options JDBC et ODBC pour la création d'informations d'identification de l'utilisateur de base de données.

      Identity Provider (Fournisseur d'identité) : Okta

      Pour User (Utilisateur) et Password (Mot de passe), entrez le nom d'utilisateur et le mot de passe de votre IdP.

      Fournissez les détails sur l'IdP :

      • IdP Host (Hôte IdP)

        Nom de l'hôte du fournisseur d'identité d'entreprise. Ce nom ne doit pas inclure de barre oblique ( / ).

      • IdP Port (Port IdP)

        Cette valeur n'est pas utilisée par Okta.

      • Preferred Role (Rôle préféré)

        Un Amazon Resource Name (ARN) pour le rôle IAM provenant des éléments AttributeValue pour l'attribut Role dans l'assertion SAML. Collaborez avec votre administrateur IdP pour rechercher la valeur appropriée pour le rôle préféré. Pour plus d'informations, consultez Configurer des assertions SAML pour votre IdP.

      • Okta App ID (ID de l'application Okta)

        ID d'une application Okta. La valeur de l'ID d'application suit "amazon_aws" dans le lien intégré de l'application Okta. Collaborez avec votre administrateur IdP pour obtenir cette valeur.

      (Facultatif) Fournissez des détails sur les options que le pilote ODBC utilise pour appeler l'opération d'API GetClusterCredentials :

      • DbUser

      • Utilisateur AutoCreate

      • DbGroups

      Pour plus d’informations, consultez Options JDBC et ODBC pour la création d'informations d'identification de l'utilisateur de base de données.

      Fournisseur d'identité : Azure AD

      Pour User (Utilisateur) et Password (Mot de passe), entrez le nom d'utilisateur et le mot de passe de votre IdP.

      Pour Cluster ID (ID de cluster) et Region (Région), entrez l'ID de cluster et la région AWS de votre cluster Amazon Redshift.

      Pour Database (Base de données), entrez la base de données que vous avez créée pour votre cluster Amazon Redshift.

      Fournissez les détails sur l'IdP :

      • IdP Tenant (Locataire IdP)

        Le locataire utilisé pour Azure AD.

      • Azure Client Secret (Secret client Azure)

        Le secret client de l'application d'entreprise Amazon Redshift dans Azure.

      • Azure Client ID (ID client Azure)

        L'ID du client (ID de l'application) de l'application d'entreprise Amazon Redshift dans Azure.

      (Facultatif) Fournissez des détails sur les options que le pilote ODBC utilise pour appeler l'opération d'API GetClusterCredentials :

      • DbUser

      • Utilisateur AutoCreate

      • DbGroups

      Pour plus d’informations, consultez Options JDBC et ODBC pour la création d'informations d'identification de l'utilisateur de base de données.