Connexion à Amazon Redshift sans serveur

Une fois que vous avez configuré votre instance Amazon Redshift sans serveur, vous pouvez vous y connecter selon différentes méthodes, décrites ci-dessous. Si vous avez plusieurs équipes ou projets et que vous souhaitez gérer les coûts séparément, vous pouvez utiliser des Comptes AWS distincts.

Pour obtenir la liste des Régions AWS endroits où Amazon Redshift Serverless est disponible, consultez les points de terminaison répertoriés pour Redshift Serverless dans le. API Référence générale d'Amazon Web Services

Amazon Redshift Serverless se connecte actuellement à l'environnement sans serveur de votre Compte AWS ordinateur. Région AWS Amazon Redshift Serverless s'exécute dans les plages de ports 5431 à VPC 5455 et 8191 à 8215. La valeur par défaut est 5439. Actuellement, vous ne pouvez changer de port qu'avec l'APIopération UpdateWorkgroup et l' AWS CLI opérationupdate-workgroup.

Connexion à Amazon Redshift sans serveur

Vous pouvez vous connecter à une base de données (nommée dev) dans Amazon Redshift sans serveur avec la syntaxe suivante.

workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:port/dev

Par exemple, la chaîne de connexion suivante spécifie la région us-east-1.

default.123456789012.us-east-1.redshift-serverless.amazonaws.com:5439/dev

Connexion à Amazon Redshift Serverless via des pilotes JDBC

Vous pouvez utiliser l'une des méthodes suivantes pour vous connecter à Amazon Redshift Serverless avec votre SQL client préféré à l'aide du pilote version 2 fourni par Amazon RedshiftJDBC.

Pour vous connecter à l'aide des informations d'identification pour l'authentification de la base de données à l'aide de la version 2.1.x ou ultérieure du JDBC pilote, utilisez la syntaxe suivante. Le numéro de port est facultatif. S’il n’est pas inclus, Amazon Redshift sans serveur utilise par défaut le numéro de port 5439. Vous pouvez passer à un autre port dans la plage de ports 5431-5455 ou 8191-8215. Pour modifier le port par défaut d'un point de terminaison sans serveur, utilisez le AWS CLI et Amazon API Redshift.

jdbc:redshift://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

Par exemple, la chaîne de connexion suivante spécifie l’ID de compte 123456789012 dans la région us-east-2.

jdbc:redshift://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

Pour vous connecter à IAM l'aide de la version 2.1.x ou ultérieure du JDBC pilote, utilisez la syntaxe suivante. Le numéro de port est facultatif. S’il n’est pas inclus, Amazon Redshift sans serveur utilise par défaut le numéro de port 5439. Vous pouvez passer à un autre port dans la plage de ports 5431-5455 ou 8191-8215. Pour modifier le port par défaut d'un point de terminaison sans serveur, utilisez le AWS CLI et Amazon API Redshift.

jdbc:redshift:iam://workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com:5439/dev

Par exemple, la chaîne de connexion suivante spécifie l’ID de compte 123456789012 dans la région us-east-2.

jdbc:redshift:iam://default.123456789012.us-east-2.redshift-serverless.amazonaws.com:5439/dev

PourODBC, utilisez la syntaxe suivante.

Driver={Amazon Redshift (x64)}; Server=workgroup-name.account-number.aws-region.redshift-serverless.amazonaws.com; Database=dev

Si vous utilisez une version de JDBC pilote antérieure à 2.1.0.9 et que vous vous y connectezIAM, vous devez utiliser la syntaxe suivante.

jdbc:redshift:iam://redshift-serverless-<name>:aws-region/database-name

Par exemple, la chaîne de connexion suivante indique la valeur par défaut du groupe de travail et Région AWS us-east-1.

jdbc:redshift:iam://redshift-serverless-default:us-east-1/dev

Pour plus d’informations sur les pilotes, consultez Configuration des connexions dans Amazon Redshift.

Trouver votre chaîne JDBC de ODBC connexion et

Pour vous connecter à votre groupe de travail avec votre outil SQL client, vous devez disposer de la chaîne de ODBC connexion JDBC or. Vous pouvez trouver la chaîne de connexion dans la console Amazon Redshift sans serveur, sur la page des détails d’un groupe de travail.

Pour trouver la chaîne de connexion d’un groupe de travail

1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/redshiftv2/

2. Dans le menu de navigation, choisissez Redshift sans serveur.

3. Dans le menu de navigation, choisissez Configuration du groupe de travail, puis sélectionnez le nom du groupe de travail dans la liste pour ouvrir ses détails.

4. Les chaînes JDBCURLet les chaînes de ODBCURLconnexion sont disponibles, ainsi que des informations supplémentaires, dans la section Informations générales. Chaque chaîne est basée sur la AWS région dans laquelle le groupe de travail s'exécute. Cliquez sur l’icône en regard de la chaîne de connexion appropriée pour la copier.

Connexion à Amazon Redshift sans serveur avec les données API

Vous pouvez également utiliser les données Amazon Redshift pour vous connecter API à Amazon Redshift Serverless. Utilisez le workgroup-name paramètre au lieu du cluster-identifier paramètre dans vos AWS CLI appels.

Pour plus d'informations sur les donnéesAPI, consultezUtilisation des données Amazon Redshift API. Par exemple, le code appelant les données API en Python et d'autres exemples, consultez Getting Started with Redshift Data API et examinez les use-cases dossiers quick-start et dans. GitHub

Connexion SSL à Amazon Redshift Serverless

Configuration d’une connexion sécurisée à Amazon Redshift sans serveur

Pour prendre en charge SSL les connexions, Redshift Serverless crée et installe un SSL certificat AWS Certificate Manager (ACM) émis pour chaque groupe de travail. ACMles certificats sont approuvés publiquement par la plupart des systèmes d'exploitation, des navigateurs Web et des clients. Vous devrez peut-être télécharger un bundle de certificats si vos SQL clients ou applications se connectent à Redshift Serverless en utilisant l'SSLoption de sslmode connexion définie surrequire, verify-ca ou. verify-full Si votre client a besoin d'un certificat, Redshift Serverless fournit un certificat groupé comme suit :

• Téléchargez le bundle depuis le https://s3.amazonaws.com/redshift-downloads/amazon-trust-ca-bundlefichier .crt.

  • Le nombre de MD5 checksum attendu est 418dea9b6d5d5de7a8f1ac42e164cdcf.

  • Le numéro de total de contrôle sha256 est 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

  N’utilisez pas la solution groupée de certificats précédente qui se trouvait à l’adresse https://s3.amazonaws.com/redshift-downloads/redshift-ca-bundle.crt.

• En Chine Région AWS, téléchargez le bundle depuis https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/amazon-trust-ca-bundle.crt.

  • Le nombre de MD5 checksum attendu est 418dea9b6d5d5de7a8f1ac42e164cdcf.

  • Le numéro de total de contrôle sha256 est 36dba8e4b8041cd14b9d60158893963301bcbb92e1c456847784de2acb5bd550.

  N’utilisez pas les solutions groupées de certificats antérieures qui se trouvait à l’adresse https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/redshift-ca-bundle.crt et https://s3.cn-north-1.amazonaws.com.cn/redshift-downloads-cn/redshift-ssl-ca-cert.pem.

Important

Redshift Serverless a changé la façon dont les SSL certificats sont gérés. Vous devrez peut-être mettre à jour vos certificats d'autorité de certification racine de confiance actuels pour continuer à vous connecter à vos groupes de travail en utilisantSSL. Pour plus d'informations sur ACM les certificats pour SSL les connexions, consultezTransition vers les certificats ACM pour les connexions SSL.

Par défaut, les bases de données des groupes de travail acceptent les connexions, qu'elles l'utilisent SSL ou non.

Pour créer un nouveau groupe de travail qui accepte uniquement SSL les connexions, utilisez la create-workgroup commande et définissez le require_ssl paramètre sur. true Pour utiliser l'exemple suivant, remplacez yourNamespaceName avec le nom de votre espace de noms et remplacez yourWorkgroupName avec le nom de votre groupe de travail.

aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

Pour mettre à jour un groupe de travail existant afin qu'il n'accepte que SSL les connexions, utilisez la update-workgroup commande et définissez le require_ssl paramètre surtrue. Notez que Redshift Serverless redémarrera votre groupe de travail lorsque vous mettrez à jour le paramètre. require_ssl Pour utiliser l'exemple suivant, remplacez yourWorkgroupName avec le nom de votre groupe de travail.

aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=require_ssl,parameterValue=true

Amazon Redshift prend en charge le protocole d'accord clé Elliptic Curve Diffie-Hellman Ephemeral (). ECDHE AinsiECDHE, le client et le serveur ont chacun une paire de clés publique-privée à courbe elliptique qui est utilisée pour établir un secret partagé sur un canal non sécurisé. Il n'est pas nécessaire de configurer quoi que ce soit dans Amazon Redshift pour l'activer. ECDHE Si vous vous connectez à partir d'un outil SQL client qui crypte les communications entre le client et le serveur, Amazon Redshift utilise la liste de chiffrement fournie pour établir la connexion appropriée. ECDHE Pour plus d'informations, voir Elliptic curve diffie—hellman sur Wikipedia et Ciphers sur le site web Open. SSL

Configuration d'une FIPS SSL connexion conforme à Amazon Redshift Serverless

Pour créer un nouveau groupe de travail utilisant une FIPS SSL connexion conforme, utilisez la create-workgroup commande et définissez le use_fips_ssl paramètre sur. true Pour utiliser l'exemple suivant, remplacez yourNamespaceName avec le nom de votre espace de noms et remplacez yourWorkgroupName avec le nom de votre groupe de travail.

aws redshift-serverless create-workgroup \
--namespace-name yourNamespaceName \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

Pour mettre à jour un groupe de travail existant afin d'utiliser une FIPS SSL connexion compatible, utilisez la update-workgroup commande et définissez le use_fips_ssl paramètre sur. true Notez que Redshift Serverless redémarrera votre groupe de travail lorsque vous mettrez à jour le paramètre. use_fips_ssl Pour utiliser l'exemple suivant, remplacez yourWorkgroupName avec le nom de votre groupe de travail.

aws redshift-serverless update-workgroup \
--workgroup-name yourWorkgroupName \
--config-parameters parameterKey=use_fips_ssl,parameterValue=true

Pour plus d'informations sur la configuration de Redshift Serverless pour utiliser des connexions FIPS conformes, consultez use_fips_ssl dans le manuel Amazon Redshift Database Developer Guide.

Connexion à Amazon Redshift Serverless à partir d'un point de terminaison géré par Amazon Redshift VPC

Connexion à Amazon Redshift Serverless depuis d'autres points de terminaison VPC

Pour plus d'informations sur l'installation ou la configuration d'un point de VPC terminaison géré pour un groupe de travail Amazon Redshift sans serveur, consultez la section Utilisation des points de terminaison gérés par Redshift. VPC

Connexion à Amazon Redshift Serverless depuis un point de VPC terminaison Redshift d'un autre compte ou d'une autre région

Connexion à Amazon Redshift Serverless à partir d'un point de terminaison multiple VPC

Amazon Redshift Serverless est fourni dans un. VPC Vous pouvez autoriser l'accès à un compte VPC dans un autre compte pour accéder à Amazon Redshift Serverless depuis votre compte. Cela ressemble à une connexion depuis un point de VPC terminaison géré, mais dans ce cas, la connexion provient, par exemple, d'un client de base de données d'un autre compte. Vous pouvez effectuer quelques opérations :

• Le propriétaire d'une base de données peut accorder l'accès à un Amazon Redshift Serverless VPC contenant un compte à un autre compte de la même région.

• Le propriétaire d’une base de données peut révoquer l’accès à Amazon Redshift sans serveur.

Le principal avantage de l’accès intercompte est de faciliter la collaboration avec les bases de données. Les utilisateurs n’ont pas besoin d’être provisionnés dans le compte contenant la base de données pour y accéder, ce qui réduit les étapes de configuration et fait gagner du temps.

Autorisations requises pour accorder l'accès à un compte VPC dans un autre

Pour accorder l’accès ou modifier l’accès autorisé, le concédant a besoin d’une politique d’autorisations assignée avec les autorisations suivantes :

• redshift-serverless : PutResourcePolicy

• redshift-serverless : GetResourcePolicy

• redshift-serverless : DeleteResourcePolicy

• EC2 : CreateVpcEndpoint

• EC2 : ModifyVpcEndpoint

Il se peut que vous ayez besoin d'autres autorisations spécifiées dans la politique AWS gérée AmazonRedshiftFullAccess. Pour plus d’informations, consultez Octroi d’autorisations à Amazon Redshift sans serveur.

Le bénéficiaire a besoin d’une politique d’autorisations assignée avec les autorisations suivantes :

• redshift-serverless : ListWorkgroups

• redshift-serverless : CreateEndpointAccess

• redshift-serverless : UpdateEndpointAccess

• redshift-serverless : GetEndpointAccess

• redshift-serverless : ListEndpointAccess

• redshift-serverless : DeleteEndpointAccess

Il est recommandé d'associer des politiques d'autorisation à un IAM rôle, puis de l'attribuer aux utilisateurs et aux groupes selon les besoins. Pour plus d’informations, consultez Identity and Access Management dans Amazon Redshift.

Voici un exemple de politique de ressources utilisé pour configurer l'VPCaccès croisé :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossAccountCrossVPCAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                   "123456789012",
                   "234567890123"
                ]
             },
            "Action": [
                "redshift-serverless:CreateEndpointAccess",
                "redshift-serverless:UpdateEndpointAccess",
                "redshift-serverless:DeleteEndpointAccess",
                "redshift-serverless:GetEndpointAccess"
            ],
            "Condition": {
                "ArnLike": {
                    "redshift-serverless:AuthorizedVpc": [
                        "arn:aws:ec2:us-east-1:123456789012:vpc/*",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-456",
                        "arn:aws:ec2:us-east-1:234567890123:vpc/vpc-987"
                        ]
                    }
                }
            }
        }
    ]
}

Les procédures décrites dans cette section supposent que l'utilisateur qui les exécute dispose des autorisations appropriées, par exemple au moyen d'un IAM rôle attribué dont les autorisations sont répertoriées. Les procédures supposent également que le groupe de travail dispose d'un IAM rôle associé aux autorisations de ressources appropriées.

Octroi de l'VPCaccès à d'autres comptes à l'aide de la console

Cette procédure indique les étapes à suivre pour configurer l’accès à la base de données lorsque vous êtes le propriétaire de la base de données et que vous souhaitez autoriser l’accès à celle-ci.

Octroi d’accès depuis le compte du propriétaire

1. Dans les propriétés du groupe de travail Amazon Redshift sans serveur, dans l’onglet Accès aux données, figure une liste appelée Comptes accordés. Il affiche les comptes et les VPCs autorisations d'accès au groupe de travail. Recherchez la liste et choisissez Accorder l’accès pour ajouter un compte à la liste.

2. Une fenêtre apparaît dans laquelle vous pouvez ajouter les informations du bénéficiaire. Entrez l’ID du compte AWS , qui représente l’ID à 12 chiffres du compte auquel vous souhaitez accorder l’accès.

3. Accordez l'accès à tous VPCs pour le bénéficiaire, ou à un accès spécifiqueVPCs. Si vous n'accordez l'accès qu'à des VPCs personnes spécifiques, vous pouvez ajouter les IDs pour celles-ci en saisissant chacune d'elles et en choisissant Ajouter VPC.

4. Enregistrez les modifications lorsque vous avez terminé.

Lorsque vous enregistrez les modifications, le compte apparaît dans la liste Comptes accordés. L'entrée indique l'ID du compte et la liste des accès VPCs autorisés.

Le propriétaire de la base de données peut également révoquer l’accès à un compte. Le propriétaire peut révoquer l’accès à tout moment.

Révocation de l’accès à un compte

1. Vous pouvez commencer à partir de la liste des comptes accordés. Sélectionnez d’abord un ou plusieurs comptes.

2. Choisissez Révoquer l’accès.

Une fois l’accès accordé, un administrateur de base de données du bénéficiaire peut vérifier la console pour déterminer s’il y a accès.

Utilisation de la console pour confirmer que l’accès vous est accordé pour accéder à un autre compte

1. Dans les propriétés du groupe de travail Amazon Redshift sans serveur, sous l’onglet Accès aux données, se trouve une liste intitulée Comptes autorisés. Il montre les comptes accessibles depuis ce groupe de travail. Le bénéficiaire ne peut pas utiliser le point de terminaison du groupe de travail URL pour accéder directement au groupe de travail. Pour accéder au groupe de travail, vous, en tant que bénéficiaire, accédez à la section point de terminaison et choisissez créer un point de terminaison.

2. Ensuite, en tant que bénéficiaire, vous fournissez un nom de point de terminaison et un VPC pour accéder au groupe de travail.

3. Une fois que le point de terminaison a été créé avec succès, il apparaît dans la section point de terminaison et il existe un point de terminaison URL pour celui-ci. Vous pouvez utiliser ce point de terminaison URL pour accéder au groupe de travail.

Octroi de l'accès à d'autres comptes à l'aide de CLI commandes

Le compte accordant l’accès doit d’abord accorder l’accès à un autre compte pour se connecter en utilisant put-resource-policy. Le propriétaire de la base de données peut appeler put-resource-policy pour autoriser un autre compte à créer des connexions au groupe de travail. Le compte bénéficiaire peut ensuite être utilisé create-endpoint-authorization pour créer des connexions au groupe de travail par le biais de leurs autorisations. VPCs

Vous trouverez ci-dessous les propriétés pour put-resource-policy lesquelles vous pouvez appeler pour autoriser l'accès à un compte spécifique etVPC.

aws redshift-serverless put-resource-policy
--resource-arn <value> 
--policy <value>

Après avoir appelé la commande, vous pouvez appelerget-resource-policy, en spécifiant le resource-arn pour voir quels comptes VPCs sont autorisés à accéder à la ressource.

L’appel suivant peut être effectué par le bénéficiaire. Il affiche des informations sur l’accès accordé. Plus précisément, il renvoie une liste contenant l'accès VPCs accordé.

aws redshift-serverless list-workgroups
--owner-account <value>

L’objectif est de permettre au bénéficiaire d’obtenir des informations sur les autorisations des points de terminaison auprès du compte qui les a accordées. L’élément owner-account est le compte de partage. Lorsque vous l'exécutez, il renvoie le CrossAccountVpcs pour chaque groupe de travail, qui est une liste d'autorisations. VPCs À titre de référence, voici toutes les propriétés disponibles pour un groupe de travail :

Output: workgroup (Object)
workgroupId String,
workgroupArn String,
workgroupName String,
status: String,
namespaceName: String,
baseCapacity: Integer, (Not-applicable)
enhancedVpcRouting: Boolean,
configParameters: List,
securityGroupIds: List,
subnetIds: List,
endpoint: String,
publiclyAccessible: Boolean,
creationDate: Timestamp,
port: Integer,
CrossAccountVpcs: List

Note

Pour rappel, la relocalisation du cluster n'est pas une condition préalable à la configuration de fonctionnalités réseau Redshift supplémentaires. Il n’est pas non plus obligatoire de l’activer pour activer les fonctionnalités suivantes :

• Connexion à Redshift à partir d'un compte ou d'une région à VPC Redshift : vous pouvez vous connecter d'un cloud privé AWS virtuel (VPC) à un autre qui contient une base de données Redshift, comme décrit dans cette section.

• Configuration d'un nom de domaine personnalisé : vous pouvez créer un nom de domaine personnalisé, également appelé personnaliséURL, pour votre cluster Amazon Redshift ou votre groupe de travail Amazon Redshift Serverless, afin de rendre le nom du point de terminaison plus facile à mémoriser et à simplifier. Pour plus d’informations, consultez Utilisation d’un nom de domaine personnalisé pour les connexions client.

Configuration des paramètres de trafic réseau appropriés pour Amazon Redshift sans serveur

Se connecter à Amazon Redshift sans serveur lorsqu’il est publiquement accessible

Les instructions pour définir les paramètres de trafic réseau sont disponibles dans Accessibilité publique avec configuration de groupe de sécurité par défaut ou personnalisée. Cela inclut un cas d'utilisation où le cluster est accessible au public.

Se connecter à Amazon Redshift sans serveur lorsqu’il n’est pas publiquement accessible

Les instructions pour définir les paramètres de trafic réseau sont disponibles dans Accessibilité privée avec configuration de groupe de sécurité par défaut ou personnalisée. Cela inclut un cas d'utilisation où le cluster n'est pas disponible sur Internet.

Définition des rôles de base de données à accorder aux utilisateurs fédérés dans Amazon Redshift sans serveur

Vous pouvez définir des rôles dans votre organisation qui déterminent les rôles de base de données à accorder dans Amazon Redshift sans serveur. Pour de plus amples informations, veuillez consulter Définition des rôles de base de données à accorder aux utilisateurs fédérés dans Amazon Redshift sans serveur.

Ressources supplémentaires

Pour plus d'informations sur les connexions sécurisées à Amazon Redshift Serverless, notamment sur l'octroi d'autorisations, l'autorisation d'accès à des services supplémentaires et la création IAM de rôles, consultez. Identity and Access Management dans Amazon Redshift Serverless