Versionshinweise von Amazon Athena ODBC 2.x

• Die SSL-Zertifikatsvalidierung ist standardmäßig aktiviert — Der Treiber erzwingt jetzt die SSL-Zertifikatsverifizierung, wenn eine Verbindung zu Identitätsanbietern hergestellt wird. Wenn Sie einen lokalen Identitätsanbieter ohne gültiges SSL-Zertifikat verwenden, müssen Sie Ihre Verbindungszeichenfolge explizit SSL_Insecure=1 angeben. Weitere Informationen finden Sie unter SSL unsicher (IdP).

• Mindestanzahl TLS 1.2 wird durchgesetzt — Der Treiber akzeptiert keine TLS 1.0- oder TLS 1.1-Verbindungen mehr zu Identitätsanbietern. Alle IdP-Verbindungen benötigen jetzt TLS 1.2 oder höher.

• Der BrowserSSOOIDC-Authentifizierungsablauf wurde aktualisiert — Das BrowserSSOOIDC-Plugin verwendet jetzt den Autorisierungscode mit PKCE anstelle der Gerätecode-Autorisierung. Ein neuer optionaler Parameter listen_port (Standard 7890) ist für den 2.0-Callback-Server verfügbar. OAuth Möglicherweise müssen Sie diesen Port in Ihrem Netzwerk auf eine Zulassungsliste setzen. Der Standardbereich wurde auf sso:account:access geändert. Weitere Informationen finden Sie unter Browser SSO OIDC.

• BrowserSSOOIDC — Aus Sicherheitsgründen wurde mit PKCE vom Gerätecodefluss zum Autorisierungscode migriert.

• BrowserAzureAD — PKCE (Proof Key for Code Exchange) wurde zum OAuth 2.0-Autorisierungsablauf hinzugefügt, um Angriffe auf das Abfangen von Autorisierungscodes zu verhindern.

• BrowserSAML — RelayState CSRF-Schutz hinzugefügt, um SAML-Token-Injection-Angriffe zu verhindern.

• Cache für Anmeldeinformationen — Ab Version 2.1.0.0 werden zwischengespeicherte Anmeldeinformationen als Klartext-JSON im user-profile/.athena-odbc/ Verzeichnis gespeichert, wobei die Dateiberechtigungen auf den besitzenden Benutzer beschränkt sind, was der Art und Weise entspricht, wie die AWS CLI lokal gespeicherte Anmeldeinformationen schützt.

• IAM-Profil — Zusätzliche Unterstützung für Quellen mit Environment Anmeldeinformationen als Ergänzung zu den EcsContainer vorhandenen. Ec2InstanceMetadata

• Parser für Verbindungszeichenfolgen — Die korrekte Handhabung von }} ODBC-Escapes wurde implementiert.

• Katalogabfragen — SQL-Identifier-Escaping für Schemanamen und Tabellenmuster hinzugefügt.

• ODBC-Musterabgleich — Der auf Regex basierende Abgleich wurde durch den direkten ODBC LIKE-Platzhalterabgleich ersetzt.

• XML-Analyse — Limitierung der Rekursionstiefe (100 Stufen) und Größenbeschränkung (1 MB) für SAML-Token hinzugefügt.

• ADFS-Authentifizierung — Es wurde eine Beschränkung der Antwortgröße (200 KB) für ADFS-Serverantworten hinzugefügt.

• Es wurde eine fehlerhafte Neutralisierung spezieller Elemente in Authentifizierungskomponenten behoben, die die Codeausführung oder die Umleitung des Authentifizierungsflusses über benutzerdefinierte Verbindungsparameter ermöglichen konnten. Wirkt sich auf die BrowserSSOOIDC-, BrowserAzure AD- und BrowserSAML-Plugins aus.

• Es wurde eine unsachgemäße Neutralisierung spezieller Elemente in Komponenten zur Abfrageverarbeitung behoben, die einen Denial-of-Service oder eine SQL-Injection über manipulierte Tabellenmetadaten ermöglichen konnten.

• Eine fehlerhafte Zertifikatsvalidierung beim Herstellen einer Verbindung zu Identitätsanbietern wurde behoben.

• Fehlende Sicherheitskontrollen für die Authentifizierung in browserbasierten Authentifizierungsabläufen wurden behoben, darunter PKCE für OAuth, CSRF-Schutz für SAML, sicheres Zwischenspeichern von Anmeldeinformationen und exklusive Callback-Portbindung.

• Es wurde ein unkontrollierter Ressourcenverbrauch bei Parsing-Komponenten behoben, der zu Denial-of-Service über benutzerdefinierte Eingabemuster, unbegrenzte Serverantworten oder tief verschachtelte XML-Payloads führen konnte.

• Es wurde ein Problem behoben, bei dem bei SQLColumns Verwendung von kontoübergreifenden Verbundkatalogen im Power UseSingleCatalogAndSchema=1 BI-Importmodus keine Ergebnisse SQLTables zurückgegeben wurden.

• Browser Trusted Identity Propagation-Authentifizierungs-Plugin — Es wurde ein neues Authentifizierungs-Plugin hinzugefügt, um die browserbasierte OpenID Connect (OIDC) -Authentifizierung mit vertrauenswürdiger Identitätsverbreitung zu unterstützen. Dieses Plugin bietet ein nahtloses Authentifizierungserlebnis, indem es den gesamten OAuth 2.0-Fluss über Ihren Standardbrowser abwickelt, das JSON Web Token (JWT) automatisch abruft und es in die vertrauenswürdige Identitätsverbreitung integriert. Das Plugin wurde speziell für Desktop-Umgebungen mit Einzelbenutzern entwickelt. Informationen zur Aktivierung und Verwendung der Weitergabe von vertrauenswürdiger Identitäten finden Sie unter Was ist Weitergabe von vertrauenswürdiger Identitäten?.

• Verbessertes Logging-Framework — Der Protokollierungsmechanismus des Treibers wurde durch folgende Maßnahmen deutlich verbessert:

  • Einführung detaillierterer Protokollebenen als die grundlegenden 0/1-Optionen

  • Redundante Protokollanweisungen werden entfernt

  • Optimierung des Logging-Frameworks zur Aufnahme diagnostisch relevanter Informationen

  • Behebung von Leistungsproblemen, die zu Betriebsverzögerungen geführt haben

  • Reduzierung der übermäßigen Generierung von Protokolldateien, wenn die Protokollierung aktiviert ist

• Optimierung des Ergebnisabrufs — Es wurde ein Problem behoben, bei dem Beschränkungen der Parameter für die Abrufgröße fälschlicherweise sowohl auf Streaming-Ergebnisabrufe als auch auf Nicht-Streaming-Ergebnisabrufe angewendet wurden. Die Beschränkung wird jetzt korrekt nur auf Ergebnisabrufer angewendet, die keine Streaming-Ergebnisse abrufen.

Der Amazon Athena-Treiber ODBC v2.0.5.1 enthält die folgenden Fehlerbehebungen für browserbasierte Authentifizierungs-Plugins.

• Validierung für Anmelde-URL und Schemaüberprüfung wurde implementiert.

• Verbesserter Browser-Startmechanismus unter Linux zur Nutzung des Systems APIs, was zu verbesserter Stabilität und Sicherheit führt.

• Authentifizierungs-Plugin für JWT vertrauenswürdigen Identitätsanbieter (TIP) – Es wurde ein neues Authentifizierungs-Plugin hinzugefügt, um die Integration von JWT ertrauenswürdiger Identitätsanbieter (TIP) mit ODBC-Treibern zu unterstützen. Mit diesem Authentifizierungstyp können Sie ein von einem externen Identitätsanbieter abgerufenes JSON-Webtoken (JWT) als Verbindungsparameter für die Authentifizierung bei Athena verwenden. Mit TIP wird einer IAM-Rolle ein Identitätskontext hinzugefügt, um den Benutzer zu identifizieren, der Zugriff AWS auf Ressourcen anfordert. Informationen zur Aktivierung und Verwendung von TIP finden Sie unter Was ist Weitergabe von vertrauenswürdiger Identitäten?.

• Unterstützung für benutzerdefinierte SSO-Admin-Endpunkte – Unterstützung für benutzerdefinierte SSO-Admin-Endpunkte im ODBC-Treiber hinzugefügt. Mit dieser Erweiterung können Sie Ihre eigenen Endpunkte für SSO-Dienste angeben, wenn Sie ODBC dahinter ausführen. VPCs

• AWS SDK-Versionsupdate — Wir haben die im Treiber verwendete AWS SDK-Version auf 2.32.16 aktualisiert und die Projektabhängigkeiten für Version 2.0.5.0 aktualisiert.

• Ergebnis-Fetcher – Der Treiber wählt jetzt automatisch die Methode zum Herunterladen von Abfrageergebnissen aus. Dadurch entfällt in den meisten Situationen die Notwendigkeit, den Fetcher manuell zu konfigurieren. Weitere Informationen finden Sie unter Ergebnis-Fetcher.

• Die Curl-Bibliothek wurde auf 8.12.1 aktualisiert.

• Die Proxykonfiguration für das IAM-Profil beim Herstellen einer Verbindung zu STS wurde behoben. Mit der Fehlerbehebung kann das IAM-Profil für eine erfolgreiche Authentifizierung verwendet werden.

• Lesen Sie alle zusätzlichen Konfigurationsoptionen für das IAM-Profil mit Authentifizierungs-Plugins. Dazu gehören UseProxyForIdP, SSL_Insecure, LakeformationEnabled und LoginToRP zur Behebung von Fehlkonfigurationen für die betroffenen Plugins.

• Fehler bei der Rundungsfunktion behoben, indem sie nun einen optionalen zweiten Parameter akzeptiert. Verarbeitet erfolgreich Abfragen, die die Escape-Syntax enthalten.

• Die Spaltengröße für TIME WITH TIME ZONE- und TIMESTAMP WITH TIME ZONE-Datentypen wurde korrigiert. Werte mit dem Datentyp Zeitstempel und Zeitzone werden nicht gekürzt.

• MFA-Unterstützung für das Okta-Authentifizierungs-Plugin auf Linux- und Mac-Plattformen hinzugefügt.

• Sowohl die athena-odbc.dll-Bibliothek als auch das AmazonAthenaODBC-2.x.x.x.msi-Installationsprogramm für Windows sind jetzt signiert.

• Die cacert.pem-CA-Zertifikatsdatei, die mit dem Treiber installiert wurde, wurde aktualisiert.

• Die Zeit, die zum Auflisten von Tabellen in Lambda-Katalogen benötigt wird, wurde verbessert. Bei LAMBDA-Katalogtypen kann der ODBC-Treiber jetzt eine SHOW TABLES-Abfrage senden, um eine Liste der verfügbaren Tabellen abzurufen. Weitere Informationen finden Sie unter Abfrage verwenden um Tabellen aufzulisten.

• Es wurde der UseWCharForStringTypes-Verbindungsparameter eingeführt, um Zeichenfolgendatentypen mithilfe von SQL_WCHAR und SQL_WVARCHAR zu melden. Weitere Informationen finden Sie unter WCHAR für Zeichenfolgentypen verwenden.

• Es wurde eine Warnung vor einem Fehler in der Registrierung behoben, die auftrat, wenn das Get-Tool verwendet wurde. OdbcDsn PowerShell

• Die Analyselogik wurde aktualisiert, sodass Kommentare am Anfang von Abfragezeichenfolgen verarbeitet werden.

• Bei den Datentypen Datum und Zeitstempel ist jetzt eine Null im Jahresfeld zulässig.

• Es wurden zwei Verbindungsparameter hinzugefügt, StringColumnLength und ComplexTypeColumnLength, mit denen Sie die Standardspaltenlänge für Zeichenketten- und komplexe Datentypen ändern können. Weitere Informationen erhalten Sie unter Länge der Zeichenfolgen-Spalte und Spaltenlänge eines komplexen Typs.

• Unterstützung für die Betriebssysteme Linux und macOS (Intel und ARM) wurde hinzugefügt. Weitere Informationen erhalten Sie unter Linux und macOS.

• AWS-SDK-CPP wurde auf die Tag-Version 1.11.245 aktualisiert.

• Die Curl-Bibliothek wurde auf die Version 8.6.0 aktualisiert.

• Es wurde ein Problem behoben, das dazu führte, dass falsche Werte in den Metadaten der Ergebnismenge für zeichenfolgenähnliche Datentypen in der Genauigkeitsspalte gemeldet wurden.

• Verbesserte Thread-Sicherheit des ODBC-Treibers für alle Schnittstellen.

• Wenn die Protokollierung aktiviert ist, werden Datum/Uhrzeit-Werte jetzt mit Millisekunden-Präzision aufgezeichnet.

• Bei der Authentifizierung mit dem Browser SSO OIDC-Plugin wird nun das Terminal geöffnet, um dem Benutzer den Gerätecode anzuzeigen.

• Es wurde ein Problem mit der Speicherfreigabe behoben, das beim Parsen von Ergebnissen aus der Streaming-API auftrat.

• Anfragen für die Schnittstellen SQLTablePrivileges(), SQLSpecialColumns(), SQLProcedureColumns() und SQLProcedures() geben nun leere Ergebnismengen zurück.

• Das Datei-Cache-Feature wurde für die browserbasierten Authentifizierungs-Plugins Browser Azure AD, Browser SSO OIDC und Okta hinzugefügt.

  BI-Tools wie Power BI und browserbasierte Plugins verwenden mehrere Browserfenster. Mit dem neuen Datei-Cache-Verbindungsparameter können temporäre Anmeldeinformationen zwischengespeichert und zwischen den verschiedenen Prozessen, die von BI-Anwendungen geöffnet werden, wiederverwendet werden.

• Anwendungen können jetzt Informationen über die Ergebnismenge abfragen, nachdem eine Anweisung vorbereitet wurde.

• Die standardmäßigen Verbindungs- und Anforderungs-Timeouts wurden für die Verwendung in langsameren Client-Netzwerken erhöht. Weitere Informationen erhalten Sie unter Verbindungstimeout und Anforderungstimeout.

• Endpunktüberschreibungen wurden für SSO und SSO OIDC hinzugefügt. Weitere Informationen finden Sie unter Überschreibungen von Endpunkten.

• Es wurde ein Verbindungsparameter hinzugefügt, um ein URI-Argument für eine Authentifizierungsanforderung an Ping zu übergeben. Sie können diesen Parameter verwenden, um die Einzelrollenbeschränkung von Lake Formation zu umgehen. Weitere Informationen finden Sie unter Ping-URI-Parameter.

• Es wurde ein Problem mit einem Ganzzahlüberlauf behoben, das bei der Verwendung des zeilenbasierten Bindungsmechanismus auftrat.

• Das Timeout wurde aus der Liste der erforderlichen Verbindungsparameter für das Browser-SSO-OIDC-Authentifizierungs-Plugin entfernt.

• Fehlende Schnittstellen für SQLStatistics(), SQLPrimaryKeys(), SQLForeignKeys() und SQLColumnPrivileges() wurden hinzugefügt und es wurde die Möglichkeit hinzugefügt, auf Anfrage leere Ergebnissätze zurückzugeben.

• URI-Protokollierung zum Okta-Authentifizierungs-Plugin hinzugefügt.

• Der bevorzugte Rollenparameter wurde dem Plug-in für externe Anmeldeinformationen hinzugefügt.

• Es wurde eine Behandlung für das Profilpräfix im Profilnamen der AWS -Konfigurationsdatei hinzugefügt.

• Es wurde ein AWS-Region Nutzungsproblem behoben, das bei der Arbeit mit Lake Formation und AWS STS Kunden auftrat.

• Fehlende Partitionsschlüssel wurden in der Liste der Tabellenspalten wiederhergestellt.

• Der fehlende BrowserSSOOIDC-Authentifizierungstyp wurde dem AWS -Profil hinzugefügt.