# ODBC および JDBC ドライバーを使用して Amazon Athena に接続する
ビジネスインテリジェンスツールを使用してデータを探索し、視覚化するには、ODBC (Open Database Connectivity) ドライバーまたは JDBC (Java Database Connectivity) ドライバーをダウンロード、インストール、および設定します。
**Topics**
+ [JDBC で Athena に接続する](connect-with-jdbc.md)
+ [ODBC で Athena に接続する](connect-with-odbc.md)
+ [ドライバーで信頼できる ID の伝播を使用する](using-trusted-identity-propagation.md)
以下の「AWS ナレッジセンター」と「AWS ビッグデータブログのトピック」も参照してください。
+ [JDBC ドライバーを使用して Athena に接続するときに、独自の IAM ロール認証情報を使用する、または別の IAM ロールに切り替える方法を教えてください。](https://aws.amazon.com/premiumsupport/knowledge-center/athena-iam-jdbc-driver/)
+ [ADFS と AWS の信頼の確立、およびアクティブディレクトリ認証情報を使用した Amazon Athena と ODBC ドライバーの接続](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/)
# JDBC で Amazon Athena に接続する
Amazon Athena には、バージョン 2.x と 3.x の 2 つの JDBC ドライバーが用意されています。Athena JDBC 3.x ドライバーは、より優れたパフォーマンスと互換性を提供する新世代ドライバーです。JDBC 3.x ドライバーは、Amazon S3 からの直接的なクエリ結果の読み取りをサポートするので、大規模なクエリ結果を使用するアプリケーションのパフォーマンスが向上します。新しいドライバーではサードパーティーとの依存関係も少なくなっているため、BI ツールやカスタムアプリケーションとの統合が容易になります。ほとんどの場合、新しいドライバーは既存の設定をまったく変更しない、または最小限の変更を行うだけで使用できます。
+ JDBC 3.x ドライバーをダウンロードするには、「[Athena JDBC 3.x ドライバー](jdbc-v3-driver.md)」を参照してください。
+ JDBC 2.x ドライバーをダウンロードするには、「[Athena JDBC 2.x ドライバー](jdbc-v2.md)」を参照してください。
**Topics**
+ [Athena JDBC 3.x ドライバー](jdbc-v3-driver.md)
+ [Athena JDBC 2.x ドライバー](jdbc-v2.md)
# Athena JDBC 3.x ドライバー
Athena JDBC ドライバーを使用し、多くのサードパーティ SQL クライアントツールおよびカスタムアプリケーションから Amazon Athena に接続できます。
## システム要件
+ Java 8 (またはそれ以降) のランタイム環境
+ 最低 20 MB の空きディスク容量。
## 考慮事項と制限事項
次の内容では、Athena JDBC 3.x ドライバーの考慮事項と制限事項の一部が示されます。
+ **ログ** — 3.x ドライバーは [SLF4J](https://www.slf4j.org/manual.html) を使用します。これは、ランタイム時にいくつかのログシステムのいずれかを使用できるようにする抽象化レイヤーです。
+ **暗号化** — `CSE_KMS` 暗号化オプションで Amazon S3 フェッチャーを使用するとき、Amazon S3 クライアントは Amazon S3 バケットに保存される結果を復号化できません。`CSE_KMS` 暗号化が必要な場合、ストリーミングフェッチャーを引き続き使用できます。Amazon S3 フェッチャーによる `CSE_KMS` 暗号化のサポートが計画されています。
## JDBC 3.x ドライバーのダウンロード
このセクションには、JDBC 3.x ドライバーのダウンロードおよびライセンス情報が含まれています。
**重要**
JDBC 3.x ドライバーを使用するとき、次の要件に注意してください。
**オープン状態のポート 444** – Athena がクエリ結果のストリーミングに使用するポート 444 には、アウトバウンドトラフィックに対して開放されている状態を維持します。PrivateLink エンドポイントを使用して Athena に接続するときは、PrivateLink エンドポイントにアタッチされているセキュリティグループが、ポート 444 上のインバウンドトラフィックに対して開放されていることを確認してください。
**athena:GetQueryResultsStream ポリシー** – JDBC ドライバーを使用する IAM プリンシパルに `athena:GetQueryResultsStream` ポリシーアクションを追加します。このポリシーアクションが API で直接公開されることはありません。ストリーミング結果のサポートの一環として、ODBC および JDBC ドライバーでのみ使用されます。ポリシーの例については「[AWS 管理ポリシー: AWSQuicksightAthenaAccess](security-iam-awsmanpol.md#awsquicksightathenaaccess-managed-policy)」を参照してください。
Amazon Athena 3.x JDBC ドライバーをダウンロードするには、次のリンクにアクセスしてください。
### JDBC ドライバー uber jar
次のダウンロードは、ドライバーおよびそのすべての依存関係を同じ `.jar` ファイルにパッケージ化します。このダウンロードは、サードパーティーの SQL クライアントでよく使用されます。
[3.7.0 uber jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.7.0/athena-jdbc-3.7.0-with-dependencies.jar)
### JDBC ドライバーの lean jar
次のダウンロードには、ドライバー用の lean `.jar` およびドライバーの依存関係用の個別 `.jar` ファイルを含む `.zip` ファイルです。このダウンロードは、ドライバーが使用する依存関係と競合する依存関係を持つカスタムアプリケーションによく使用されます。このダウンロードは、ドライバーの依存関係のどっちを lean jar に含め、カスタムアプリケーションに既に 1 つ以上含まれている場合はどの依存関係を除外するかを選択する場合に便利です。
[3.7.0 lean jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.7.0/athena-jdbc-3.7.0-lean-jar-and-separate-dependencies-jars.zip)
### ライセンス
次のリンクには、JDBC 3.x ドライバーの使用許諾契約が含まれています。
[License](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.7.0/LICENSE.txt)
## JDBC での信頼できる ID の伝播
AWS Identity and Access Management Identity Center を通じて、シングルサインオン機能を備えた JDBC ドライバーを使用して Amazon Athena に接続できるようになりました。PowerBI、Tableau、DBeaver などのツールから Athena にアクセスすると、ID とアクセス許可が IAM Identity Center を介して Athena に自動的に伝播されます。詳細については、「[Amazon Athena ドライバーで信頼できる ID の伝播を使用する](using-trusted-identity-propagation.md)」を参照してください。
**Topics**
+ [システム要件](#jdbc-v3-driver-system-requirements)
+ [考慮事項と制限事項](#jdbc-v3-driver-considerations-and-limitations)
+ [JDBC 3.x ドライバーのダウンロード](#jdbc-v3-driver-download)
+ [JDBC での信頼できる ID の伝播](#jdbc-v3-driver-trusted-identity)
+ [JDBC 3.x ドライバーの使用を開始する](jdbc-v3-driver-getting-started.md)
+ [Amazon Athena JDBC 3.x 接続パラメータ](jdbc-v3-driver-connection-parameters.md)
+ [その他の JDBC 3.x 設定](jdbc-v3-driver-other-configuration.md)
+ [Amazon Athena ODBC 3.x リリースノート](jdbc-v3-driver-release-notes.md)
+ [以前のバージョンの Athena JDBC 3.x ドライバー](jdbc-v3-driver-previous-versions.md)
# JDBC 3.x ドライバーの使用を開始する
このセクションの情報を使用して Amazon Athena JDBC 3.x ドライバーを開始します。
**Topics**
+ [インストール手順](#jdbc-v3-driver-installation-instructions)
+ [ドライバーの実行](#jdbc-v3-driver-running-the-driver)
+ [ドライバーの設定](#jdbc-v3-driver-configuring-the-driver)
+ [Athena JDBC v2 ドライバーからのアップグレード](#jdbc-v3-driver-upgrading-from-the-athena-jdbc-v2-driver-to-v3)
## インストール手順
JDBC 3.x ドライバーは、カスタムアプリケーションまたはサードパーティの SQL クライアントで使用できます。
### カスタムアプリケーションの場合
ドライバー jar とその依存関係を含む `.zip` ファイルをダウンロードします。依存関係にはそれぞれ独自の `.jar` ファイルがあります。ドライバー jar を依存関係としてカスタムアプリケーションに追加します。別のソースからアプリケーションにその依存関係を既に追加しているかどうかに基づいて、ドライバー jar の依存関係を選択的に追加します。
### サードパーティ製 SQL クライアントの場合
ドライバーの uber jar ファイルをダウンロードし、サードパーティ SQL クライアントの指示に従ってそのクライアントに追加します。
## ドライバーの実行
ドライバーを実行するには、カスタムアプリケーションまたはサードパーティの SQL クライアントを使用できます。
### カスタムアプリケーションの場合
JDBC インターフェイスを使用してプログラムから JDBC ドライバーを操作します。次のコードは、カスタム Java アプリケーションの例を示しています。
```
public static void main(String args[]) throws SQLException {
Properties connectionParameters = new Properties();
connectionParameters.setProperty("Workgroup", "primary");
connectionParameters.setProperty("Region", "us-east-2");
connectionParameters.setProperty("Catalog", "AwsDataCatalog");
connectionParameters.setProperty("Database","sampledatabase");
connectionParameters.setProperty("OutputLocation","s3://amzn-s3-demo-bucket");
connectionParameters.setProperty("CredentialsProvider","DefaultChain");
String url = "jdbc:athena://";
AthenaDriver driver = new AthenaDriver();
Connection connection = driver.connect(url, connectionParameters);
Statement statement = connection.createStatement();
String query = "SELECT * from sample_table LIMIT 10";
ResultSet resultSet = statement.executeQuery(query);
printResults(resultSet); // A custom-defined method for iterating over a
// result set and printing its contents
}
```
### サードパーティ製 SQL クライアントの場合
使用している SQL クライアントのマニュアルに従ってください。通常は、SQL クライアントのグラフィカルユーザーインターフェイスを使用してクエリを入力および送信します。クエリ結果は同じインターフェイスに表示されます。
## ドライバーの設定
接続パラメータを使用して Amazon Athena JDBC ドライバーを設定できます。サポートされている接続パラメータについては、「[Amazon Athena JDBC 3.x 接続パラメータ](jdbc-v3-driver-connection-parameters.md)」を参照してください。
### カスタムアプリケーションの場合
カスタムアプリケーションの JDBC ドライバーの接続パラメータを設定するには、次のいずれかの操作を行います。
+ パラメータ名およびその値を `Properties` オブジェクトに追加します。`Connection#connect` を呼び出すとき、そのオブジェクトを URL と一緒に渡します。例については、[ドライバーの実行](#jdbc-v3-driver-running-the-driver) のサンプルの Java アプリケーションを参照してください。
+ 接続文字列 (URL) では、次の形式を使用してパラメータ名およびその値をプロトコルプレフィックスの直後に追加します。
```
=;
```
次の例のように、各パラメーター名/パラメータ値のペアの末尾にはセミコロンを使用します。セミコロンの後には、空白を入れないでください。
```
String url = "jdbc:athena://WorkGroup=primary;Region=us-east-1;...;";AthenaDriver driver = new AthenaDriver();Connection connection = driver.connect(url, null);
```
**注記**
パラメータを接続文字列および `Properties` オブジェクトの両方で指定する場合、接続文字列の値が優先されます。両方に同じパラメータを指定することはお勧めしません。
+ 次の例のように、パラメータ値を引数として `AthenaDataSource` のメソッドに追加します。
```
AthenaDataSource dataSource = new AthenaDataSource();
dataSource.setWorkGroup("primary");
dataSource.setRegion("us-east-2");
...
Connection connection = dataSource.getConnection();
...
```
### サードパーティ製 SQL クライアントの場合
使用している SQL クライアントの指示に従ってください。通常、クライアントはパラメータ名とその値を入力するグラフィカルユーザーインターフェイスを用意します。
## Athena JDBC v2 ドライバーからのアップグレード
JDBC バージョン 3 の接続パラメータのほとんどは、バージョン 2 (Simba) JDBC ドライバーとの下位互換性があります。つまり、バージョン 2 の接続文字列はバージョン 3 のドライバーで再利用できることを意味します。ただし、一部の接続パラメータは変更されています。これらの変更は本書で説明されています。バージョン 3 の JDBC ドライバーにアップグレードするときは、必要に応じて既存の設定を更新してください。
### ドライバークラス
一部の BI ツールでは、JDBC ドライバー `.jar` ファイルからドライバークラスを指定するように求められます。ほとんどのツールはこのクラスを自動的に見つけます。バージョン 3 ドライバーのクラスの完全修飾名は `com.amazon.athena.jdbc.AthenaDriver` です。バージョン 2 ドライバーでは、クラスは `com.simba.athena.jdbc.Driver` でした。
### 接続文字列
バージョン 3 ドライバーは、JDBC 接続文字列 URL の先頭にあるプロトコルに `jdbc:athena://` を使用します。バージョン 3 ドライバーはバージョン 2 プロトコル `jdbc:awsathena://` もサポートしていますが、バージョン 2 プロトコルの使用は非推奨になっています。定義されていない動作を避けるため、バージョン 3 は、バージョン 2 (または `jdbc:awsathena://` で始まる接続文字列を受け入れるその他のドライバー) が [DriverManager](https://docs.oracle.com/javase/8/docs/api/java/sql/DriverManager.html) クラスで登録されている場合、`jdbc:awsathena://` で始まる接続文字列を受け入れません。
### 認証情報プロバイダー
バージョン 2 ドライバーは、完全修飾名を使用してさまざまな認証情報プロバイダー (例: `com.simba.athena.amazonaws.auth.DefaultAWSCredentialsProviderChain`) を特定します。バージョン 3 ドライバーは短い名前 (例: `DefaultChain`) を使用します。新しい名前は、各認証情報プロバイダーの対応するセクションで説明されています。
以前の AWS SDK for Java から [AWSCredentialsProvider](https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/auth/AWSCredentialsProvider.html) インターフェイスを実装するのではなく、新しい AWS SDK for Java から [AwsCredentialsProvider](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/auth/credentials/AwsCredentialsProvider.html) インターフェイスを実装するには、バージョン 2 ドライバー用に作成されたカスタム認証情報プロバイダーをバージョン 3 ドライバー用に変更する必要があります。
`PropertiesFileCredentialsProvider` は、JDBC 3.x ドライバーではサポートされていません。このプロバイダーは JDBC 2.x ドライバーで使用されていましたが、サポート終了間近の AWS SDK for Java の以前のバージョンに属しています。JDBC 3.x ドライバーで同じ機能を実現するには、代わりに [AWS 設定プロファイルの認証情報](jdbc-v3-driver-aws-configuration-profile-credentials.md) プロバイダーを使用してください。
### ログレベル
次のテーブルには、JDBC バージョン 2 とバージョン 3 のドライバーにある `LogLevel` パラメータの違いが示されています。
****
| JDBC ドライバーバージョン | パラメータ名 | パラメータタイプ | デフォルトの値 | 使用できる値 | 接続文字列の例 |
| --- | --- | --- | --- | --- | --- |
| v2 | LogLevel | オプションです。 | 0 | 0~6 | LogLevel=6; |
| v3 | LogLevel | オプションです。 | TRACE | OFF、ERROR、WARN、INFO、DEBUG、TRACE | LogLevel=INFO; |
### クエリ ID の取得
バージョン 2 ドライバーでは、`Statement` インスタンスを `com.interfaces.core.IStatementQueryInfoProvider` にアンラップします。これは `#getPReparedQueryId` および `#getQueryId` の 2 つのメソッドを持つインターフェイスです。これらのメソッドを使用し、実行されたクエリのクエリ実行 ID を取得できます。
バージョン 3 ドライバーでは、`Statement`、`PreparedStatement`、`ResultSet` インスタンスを `com.amazon.athena.jdbc.AthenaResultSet` インターフェイスにアンラップします。このインターフェイスには `#getQueryExecutionId` という 1 つのメソッドがあります。
# Amazon Athena JDBC 3.x 接続パラメータ
サポートされている接続パラメータはここで [基本的な接続パラメータ](jdbc-v3-driver-basic-connection-parameters.md)、[詳細接続パラメータ](jdbc-v3-driver-advanced-connection-parameters.md)、[認証接続パラメータ](jdbc-v3-driver-authentication-connection-parameters.md) の 3 つのセクションに分かれています。[詳細接続パラメータ] および [認証接続パラメータ] セクションには、関連するパラメータをまとめたサブセクションがあります。
**Topics**
+ [基本的な接続パラメータ](jdbc-v3-driver-basic-connection-parameters.md)
+ [詳細接続パラメータ](jdbc-v3-driver-advanced-connection-parameters.md)
+ [認証接続パラメータ](jdbc-v3-driver-authentication-connection-parameters.md)
# 基本的な接続パラメータ
次のセクションでは、JDBC 3.x ドライバーの基本的な接続パラメータについて説明します。
## リージョン
クエリが実行される AWS リージョン。リージョンのリストについては、「[Amazon Athena エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/athena.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| リージョン | AwsRegion (廃止) | 必須 (ただし、指定しない場合は [DefaultAwsRegionProviderChain](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/regions/providers/DefaultAwsRegionProviderChain.html) を使用して検索されます) | なし |
## カタログ
ドライバーでアクセスされるデータベースおよびテーブルを含むカタログ。データカタログの詳細については、「[DataCatalog](https://docs.aws.amazon.com/athena/latest/APIReference/API_DataCatalog.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| カタログ | なし | オプションです。 | AwsDataCatalog |
## データベース
クエリが実行されるデータベース。データベース名で明示的に修飾されていないテーブルは、このデータベースに解決されます。データベースの詳細については、「[Database](https://docs.aws.amazon.com/athena/latest/APIReference/API_Database.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| データベース | スキーマ | オプションです。 | デフォルト |
## Workgroup
クエリが実行されるワークグループ。ワークグループの詳細については、「[WorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| WorkGroup | なし | オプションです。 | プライマリー |
## 出力場所
クエリ結果が保存される Amazon S3 内の場所。出力場所の詳細については、「[ResultConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultConfiguration.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| OutputLocation | S3OutputLocation (廃止) | 必須 (ワークグループが出力場所を指定している場合を除く) | なし |
# 詳細接続パラメータ
次のセクションでは、JDBC 3.x ドライバーの詳細接続パラメータについて説明します。
**Topics**
+ [結果の暗号化パラメータ](#jdbc-v3-driver-result-encryption-parameters)
+ [結果フェッチパラメータ](#jdbc-v3-driver-result-fetching-parameters)
+ [結果設定パラメータ](#jdbc-v3-driver-result-config)
+ [クエリ結果の再利用パラメータ](#jdbc-v3-driver-query-result-reuse-parameters)
+ [クエリ実行ポーリングパラメータ](#jdbc-v3-driver-query-execution-polling-parameters)
+ [エンドポイントオーバーライドパラメータ](#jdbc-v3-driver-endpoint-override-parameters)
+ [プロキシ設定パラメータ](#jdbc-v3-driver-proxy-configuration-parameters)
+ [ログパラメータ](#jdbc-v3-driver-logging-parameters)
+ [アプリケーション名](#jdbc-v3-driver-application-name)
+ [接続テスト](#jdbc-v3-driver-connection-test)
+ [再試行回数](#jdbc-v3-driver-number-of-retries)
+ [ネットワークタイムアウト](#jdbc-v3-driver-networktimeoutmillis)
## 結果の暗号化パラメータ
以下の点に注意してください。
+ AWS KMS キーは、`EncryptionOption` が `SSE_KMS` または `CSE_KMS` の場合に指定する必要があります。
+ AWS KMS キーは、`EncryptionOption` が指定されていないか、`EncryptionOption` が `SSE_S3` の場合に指定できません。
### 暗号化オプション
Amazon S3 に保存されている前提でクエリ結果に使用される暗号化のタイプ。クエリ結果の暗号化の詳細については、「Amazon Athena API リファレンス」の「[EncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用できる値 |
| --- | --- | --- | --- | --- |
| EncryptionOption | S3OutputEncOption (廃止) | オプションです。 | なし | SSE\$1S3、SSE\$1KMS、CSE\$1KMS |
### KMS キー
KMS キーの ARN または ID (`SSE_KMS` または `CSE_KMS` が暗号化オプションとして選択されている場合)。暗号化オプションの詳細については、「Amazon Athena API リファレンス」の「[EncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| KmsKey | S3OutputEncKMSKey (廃止) | オプションです。 | なし |
## 結果フェッチパラメータ
### 結果フェッチャー
クエリ結果のダウンロードに使用されるフェッチャー。
デフォルトの結果フェッチャーの `auto` は、Athena API を使用せずに Amazon S3 から直接クエリ結果をダウンロードします。S3 の直接ダウンロードを行うことができない場合 (クエリ結果が `CSE_KMS` オプションで暗号化されている場合など)、自動的にフォールバックして `GetQueryResultsStream` API が使用されます。
ほとんどの場合、`auto` フェッチャーを使用することをお勧めします。IAM ポリシーまたは S3 バケットポリシーが [s3:CalledVia](security-iam-athena-calledvia.md) 条件を使用して Athena からの S3 オブジェクトリクエストへのアクセスを制限する場合、`auto` フェッチャーは最初に S3 からの結果のダウンロードを試行し、その後にフォールバックして `GetQueryResultsStream` API を使用します。この場合、追加の API コールを回避するために ResultFetcher を `GetQueryResultsStream` に設定できます。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用できる値 |
| --- | --- | --- | --- | --- |
| ResultFetcher | なし | オプションです。 | 自動 | auto、S3、GetQueryResults、GetQueryResultsStream |
### フェッチサイズ
このパラメータの値は、内部バッファの最小値として使用され、結果をフェッチする際のターゲットページサイズとして使用されます。0 (ゼロ) の値は、ドライバーは以下で説明するデフォルト値を使用する必要があることを意味します。最大値は 1,000,000 です。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| FetchSize | RowsToFetchPerBlock (廃止) | オプションです。 | 0 |
+ `GetQueryResults` フェッチャーは API 呼び出しでサポートされる最大値である 1,000 のページサイズを常に使用します。フェッチサイズが 1,000 を超えると、最小サイズを超えるバッファを埋めるために連続して複数の API 呼び出しが行われます。
+ `GetQueryResultsStream` フェッチャーは、設定されたフェッチサイズをページサイズとして使用するか、デフォルトの 10,000 を使用します。
+ `S3` フェッチャーは、設定されたフェッチサイズをページサイズとして使用するか、デフォルトの 10,000 を使用します。
## 結果設定パラメータ
### 予想されるバケット所有者
想定される S3 バケット所有者のアカウント ID。指定したアカウント ID がバケットの実際の所有者と一致しない場合、このリクエストは失敗します。s3 バケット所有者の検証の詳細については、「[バケットの所有権の検証](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-owner-condition.html#bucket-owner-condition-use)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ExpectedBucketOwner | なし | オプションです。 | なし |
### Acl オプション
Amazon S3 の既定 ACL を設定して、保存されたクエリ結果の所有権を制御する必要があることを示します。`AclOption` に関する詳細については、「[AclConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_AclConfiguration.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用できる値 |
| --- | --- | --- | --- | --- |
| AclOption | なし | オプションです。 | なし | BUCKET\$1OWNER\$1FULL\$1CONTROL |
## クエリ結果の再利用パラメータ
### 結果の再利用を有効にする
クエリ実行時に同じクエリによる以前の結果を再利用できるかどうかを指定します。クエリ結果の再利用の詳細については、「[ResultReuseByAgeConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultReuseByAgeConfiguration.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| EnableResultReuseByAge | なし | オプションです。 | FALSE |
### 結果再利用の最大有効期間
Athena が再利用を考慮するべき以前のクエリ結果の最大有効期間 (分単位)。結果再利用の最大有効期間の詳細については、「[ResultReuseByAgeConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultReuseByAgeConfiguration.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| MaxResultReuseAgeInMinutes | なし | オプションです。 | 60 |
## クエリ実行ポーリングパラメータ
### クエリ実行の最小ポーリング間隔
Athena にクエリ実行ステータスをポーリングする前に待機する最小時間 (ミリ秒単位)。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| MinQueryExecutionPollingIntervalMillis | MinQueryExecutionPollingInterval (廃止) | オプションです。 | 100 |
### クエリ実行の最大ポーリング間隔
Athena にクエリ実行ステータスをポーリングする前に待機する最大時間 (ミリ秒単位)。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| MaxQueryExecutionPollingIntervalMillis | MaxQueryExecutionPollingInterval (廃止) | オプションです。 | 5000 |
### クエリ実行ポーリング間隔の乗数
ポーリング期間を延長する要素。デフォルトでは、ポーリングは `MinQueryExecutionPollingIntervalMillis` の値から始まり、`MaxQueryExecutionPollingIntervalMillis` の値に達するまでポーリングごとに倍増します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| QueryExecutionPollingIntervalMultiplier | なし | オプションです。 | 2 |
## エンドポイントオーバーライドパラメータ
### Athena エンドポイントオーバーライド
ドライバーが Athena に API 呼び出しを行うために使用するエンドポイント。
以下の点に注意してください。
+ 提示された URL に `https://` または `http://` プロトコルが指定されていない場合、ドライバーは `https://` プレフィックスを挿入します。
+ このパラメータが指定されていない場合、ドライバーはデフォルトエンドポイントを使用します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AthenaEndpoint | EndpointOverride (廃止) | オプションです。 | なし |
### Athena ストリーミングサービスエンドポイントのオーバーライド
ドライバーが Athena ストリーミングサービスを使用するとき、クエリ結果をダウンロードするために使用するエンドポイント。Athena ストリーミングサービスはポート 444 で利用できます。
以下の点に注意してください。
+ 提示された URL に `https://` または `http://` プロトコルが指定されていない場合、ドライバーは `https://` プレフィックスを挿入します。
+ 提示された URL にポートが指定されていない場合、ドライバーはストリーミングサービスのポート 444 を挿入します。
+ `AthenaStreamingEndpoint` パラメータが指定されていない場合、ドライバーは `AthenaEndpoint` オーバーライドを使用します。`AthenaStreamingEndpoint` オーバーライドも、`AthenaEndpoint` オーバーライドも指定されていない場合、ドライバーはデフォルトのストリーミングエンドポイントを使用します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AthenaStreamingEndpoint | StreamingEndpointOverride (廃止) | オプションです。 | なし |
### LakeFormation エンドポイントオーバーライド
AWS Lake Formation [AssumeDecoratedRoleWithSAML](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) API を使用して一時的な認証情報を取得するとき、ドライバーが Lake Formation サービスに使用するエンドポイント。このパラメータが指定されていない場合、ドライバーはデフォルトの Lake Formation エンドポイントを使用します。
以下の点に注意してください。
+ 提示された URL に `https://` または `http://` プロトコルが指定されていない場合、ドライバーは `https://` プレフィックスを挿入します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| LakeFormationEndpoint | LfEndpointOverride (廃止) | オプションです。 | なし |
### S3 エンドポイントオーバーライド
ドライバーが Amazon S3 フェッチャーを使用するとき、クエリ結果をダウンロードするために使用するエンドポイント。このパラメータが指定されていない場合、ドライバーはデフォルトの Amazon S3 エンドポイントを使用します。
以下の点に注意してください。
+ 提示された URL に `https://` または `http://` プロトコルが指定されていない場合、ドライバーは `https://` プレフィックスを挿入します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| S3Endpoint | なし | オプションです。 | なし |
### STS エンドポイントオーバーライド
AWS STS[AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API を使用して一時的な認証情報を取得するとき、ドライバーが AWS STS サービスに使用するエンドポイント。このパラメータが指定されていない場合、ドライバーはデフォルトの AWS STS エンドポイントを使用します。
以下の点に注意してください。
+ 提示された URL に `https://` または `http://` プロトコルが指定されていない場合、ドライバーは `https://` プレフィックスを挿入します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| StsEndpoint | StsEndpointOverride (廃止) | オプションです。 | なし |
### SSO OIDC エンドポイントのオーバーライド
ドライバーが `ClientConfiguration.endpointOverride` を使用して SSO OIDC クライアントのデフォルトの HTTP エンドポイントをオーバーライドするときに使用するエンドポイント。詳細については、「[ClientConfiguration](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| SSOOIDCEndpointOverride | | オプションです。 | なし |
### SSO Admin エンドポイントのオーバーライド
ドライバーが `ClientConfiguration.endpointOverride` を使用して SSO Admin クライアントのデフォルトの HTTP エンドポイントをオーバーライドするときに使用するエンドポイント。詳細については、「[ClientConfiguration](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| SSOAdminEndpointOverride | | オプションです。 | なし |
## プロキシ設定パラメータ
### プロキシのホスト
プロキシホストの URL。Athena がプロキシ経由でリクエストする必要がある場合、このパラメータを使用してください。
**注記**
`ProxyHost` の URL の先頭には必ずプロトコル `https://` または `http://` を含めてください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ProxyHost | なし | オプションです。 | なし |
### プロキシのポート
プロキシホストで使用するポート。Athena がプロキシ経由でリクエストする必要がある場合、このパラメータを使用してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ProxyPort | なし | オプションです。 | なし |
### プロキシユーザー名
プロキシサーバーで認証するユーザー名。Athena がプロキシ経由でリクエストする必要がある場合、このパラメータを使用してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ProxyUsername | ProxyUID (廃止) | オプションです。 | なし |
### プロキシのパスワード
プロキシサーバーで認証するパスワード。Athena がプロキシ経由でリクエストする必要がある場合、このパラメータを使用してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ProxyPassword | ProxyPWD (廃止) | オプションです。 | なし |
### プロキシ免除ホスト
プロキシが有効になっているとき (すなわち、`ProxyHost` および `ProxyPort` 接続パラメータが設定されているとき)、ドライバがプロキシを使わずに接続する一連のホスト名。ホストはパイプ (`|`) 文字で区切る必要があります (例えば、`host1.com|host2.com`)。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ProxyExemptHosts | NonProxyHosts | オプションです。 | なし |
### ID プロバイダー用に有効になっているプロキシ
ドライバーが ID プロバイダーに接続するとき、プロキシを使用するかどうかを指定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ProxyEnabledForIdP | UseProxyForIdP | オプションです。 | FALSE |
## ログパラメータ
このセクションでは、ログに関連するパラメータについて説明します。
### ログレベル
ドライバーログのレベルを指定します。`LogPath` パラメータも設定しない限り、何もログされません。
**注記**
特別な要件がない限り、`LogPath` パラメータのみを設定することをお勧めします。`LogPath` パラメータのみを設定すると、ロギングが有効になってデフォルトの `TRACE` ログレベルが使用されます。`TRACE` ログレベルは最も詳細なログを提供します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用できる値 |
| --- | --- | --- | --- | --- |
| LogLevel | なし | オプションです。 | TRACE | OFF、ERROR、WARN、INFO、DEBUG、TRACE |
### ログパス
ドライバーログが保存されるドライバーを実行するコンピューター上のディレクトリへのパス。一意の名前のログファイルが指定したディレクトリ内に作成されます。設定すると、ドライバーログが有効になります。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| LogPath | なし | オプションです。 | なし |
## アプリケーション名
ドライバーを使用するアプリケーションの名前。このパラメータの値を指定すると、その値はドライバーが Athena に対して行う API 呼び出しのユーザーエージェント文字列に含まれます。
**注記**
`DataSource` オブジェクトの `setApplicationName` を呼び出すことにより、アプリケーション名を設定することもできます。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ApplicationName | なし | オプションです。 | なし |
## 接続テスト
`TRUE` に設定すると、JDBC 接続でクエリが実行されなくても、ドライバは JDBC 接続が作成されるたびに接続テストを実行します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ConnectionTest | なし | オプションです。 | TRUE |
**注記**
接続テストでは `SELECT 1` クエリを Athena に送信し、接続が正しく設定されていることを確認します。すなわち、2 つのファイルが Amazon S3 (結果セットおよびメタデータ) に保存され、「[Amazon Athena 料金表](https://aws.amazon.com/athena/pricing)」ポリシーに従って追加料金が適用される場合があります。
## 再試行回数
ドライバーが再実行可能なリクエストを Athena に再送信するべき最大回数。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| NumRetries | MaxErrorRetry (廃止) | オプションです。 | なし |
## ネットワークタイムアウト
ネットワークタイムアウトは、ドライバーがネットワーク接続が確立されるまで待機する時間を制御します。これには、API リクエストの送信にかかる時間が含まれます。まれに、ネットワークタイムアウトを変更すると利便性が向上することがあります。例えば、ガベージコレクションの一時停止の際のタイムアウトを増やすことができます。この接続パラメータの設定は、 `Connection` オブジェクトでの `setNetworkTimeout` メソッドの使用と同等です。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| NetworkTimeoutMillis | なし | オプションです。 | なし |
# 認証接続パラメータ
Athena JDBC 3.x ドライバーは、いくつかの認証方法をサポートしています。必要な接続パラメータは、使用する認証方法によって異なります。
**Topics**
+ [IAM](jdbc-v3-driver-iam-credentials.md)
+ [デフォルト](jdbc-v3-driver-default-credentials.md)
+ [AWS 設定プロファイル](jdbc-v3-driver-aws-configuration-profile-credentials.md)
+ [インスタンスプロファイル](jdbc-v3-driver-instance-profile-credentials.md)
+ [カスタム](jdbc-v3-driver-custom-credentials.md)
+ [JWT](jdbc-v3-driver-jwt-credentials.md)
+ [JWT の信頼できる ID の伝播](jdbc-v3-driver-jwt-tip-credentials.md)
+ [ブラウザの信頼できる ID 伝播](jdbc-v3-driver-browser-oidc-tip-credentials.md)
+ [Azure AD](jdbc-v3-driver-azure-ad-credentials.md)
+ [Okta](jdbc-v3-driver-okta-credentials.md)
+ [Ping](jdbc-v3-driver-ping-credentials.md)
+ [AD FS](jdbc-v3-driver-adfs-credentials.md)
+ [Browser Azure AD](jdbc-v3-driver-browser-azure-ad-credentials.md)
+ [Browser SAML](jdbc-v3-driver-browser-saml-credentials.md)
+ [DataZone IdC](jdbc-v3-driver-datazone-idc.md)
+ [DataZone IAM](jdbc-v3-driver-datazone-iamcp.md)
# IAM 認証情報
次の接続パラメータを設定することにより、IAM 認証情報を JDBC ドライバーと使用して Amazon Athena に接続できます。
## ユーザー
AWS アクセスキー ID。アクセスキーに関する詳細については、「*IAM ユーザーガイド*」の「[AWS セキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ユーザー | AccessKeyId | 必須 | なし |
## パスワード
AWS シークレットキーの ID。アクセスキーに関する詳細については、「*IAM ユーザーガイド*」の「[AWS セキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| パスワード | SecretAccessKey | オプションです。 | なし |
## セッショントークン
一時的な AWS 認証情報を使用している場合は、セッショントークンを指定する必要があります。一時的なセキュリティ認証情報の詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的なセキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| SessionToken | なし | オプションです。 | なし |
# デフォルト認証情報
次の接続パラメータを設定することにより、クライアントシステムで設定するデフォルトの認証情報を使用して Amazon Athena に接続できます。デフォルト認証情報の使用に関する詳細については、「*AWS SDK for Java デベロッパーガイド*」の「[デフォルト認証情報プロバイダチェーンの使用](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/credentials.html#credentials-default)」を参照してください。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `DefaultChain` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | DefaultChain |
# AWS 設定プロファイルの認証情報
次の接続パラメータを設定することで、AWS 設定プロファイルに保存されている認証情報を使用できます。AWS 設定プロファイルは通常、「`~/.aws`」ディレクトリのファイルに保存されます)。AWS 設定プロファイルの詳細については、「*AWS SDK for Java デベロッパーガイド*」の「[プロファイルの使用](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/credentials-profiles.html)」を参照してください。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `ProfileCredentials` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | ProfileCredentials |
## プロファイル名
Athena へのリクエストを認証するために認証情報を使用する必要がある AWS 設定プロファイルの名前。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ProfileName | なし | 必須 | なし |
**注記**
プロファイル名は、`CredentialsProviderArguments` パラメータの値として指定することもできますが、この使用は廃止されています。
# インスタンスプロファイルの認証情報
この認証タイプは Amazon EC2 インスタンスで使用されます。「*インスタンスプロファイル*」Amazon EC2 インスタンスにアタッチされたプロファイルです。インスタンスプロファイル認証情報プロバイダーを使用すると、AWS 認証情報の管理を Amazon EC2 インスタンスメタデータサービスに委任されます。これにより、デベロッパーは認証情報を Amazon EC2 インスタンスに永続的に保存する必要がなくなり、一時的な認証情報のローテーションや管理について心配する必要がなくなります。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `InstanceProfile` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | InstanceProfile |
# カスタム認証情報
この認証タイプを使用して、「[AwsCredentialsProvider](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/auth/credentials/AwsCredentialsProvider.html)」インターフェイスを実装する Java クラスを使用して独自の認証情報を入力できます。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値は、「[AwsCredentialsProvider](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/auth/credentials/AwsCredentialsProvider.html)」インターフェイスを実装するカスタムクラスの完全修飾クラス名に設定します。ランタイム時には、そのクラスは JDBC ドライバーを使用するアプリケーションの Java クラスパス上にある必要があります。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | AwsCredentialsProvider のカスタム実装の完全修飾クラス名 |
## 認証情報プロバイダーの引数
カスタム認証情報プロバイダーコンストラクタの文字列引数のカンマ区切りリスト。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| CredentialsProviderArguments | AwsCredentialsProviderArguments (廃止) | オプションです。 | なし |
# JWT 認証情報
この認証タイプでは、外部 ID プロバイダーから取得した JSON Web トークン (JWT) を接続パラメータとして使用して Athena で認証できます。外部認証情報プロバイダーは、AWS と既にフェデレート設定されている必要があります。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `JWT` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | JWT |
## JWT ウェブ ID トークン
外部のフェデレーション ID プロバイダーから取得した JWT トークン。このトークンは Athena での認証に使用されます。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| JwtWebIdentityToken | web\$1identity\$1token (廃止) | 必須 | なし |
## JWT ロール ARN
引き受けるロールの Amazon リソースネーム (ARN)。引き受けるロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| JwtRoleArn | role\$1arn (廃止) | 必須 | なし |
## JWT ロールセッション名
JWT 認証情報を認証に使用するときのセッションの名前。名前は、任意の名前でかまいません。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| JwtRoleSessionName | role\$1session\$1name (廃止) | 必須 | なし |
## ロールセッションの期間
ロールセッションの期間 (秒)。詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| RoleSessionDuration | 時間 (廃止) | オプションです。 | 3600 |
# アイデンティティセンター統合を含む JWT
この認証タイプでは、外部 ID プロバイダーから取得した JSON Web トークン (JWT) を接続パラメータとして使用して Athena で認証できます。このプラグインを使用すると、信頼できる ID の伝播による企業 ID のサポートを有効にすることができます。ドライバーで信頼できる ID の伝播を使用する方法の詳細については、「[Amazon Athena ドライバーで信頼できる ID の伝播を使用する](using-trusted-identity-propagation.md)」を参照してください。[CloudFormation を使用してリソースを設定およびデプロイする](using-trusted-identity-propagation-cloudformation.md)こともできます。
信頼できる ID の伝播では、ID コンテキストが IAM ロールに追加され、AWS リソースへのアクセスをリクエストするユーザーを識別します。信頼できる ID の伝播の有効化と使用方法の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)」を参照してください。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `JWT_TIP` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | JWT\$1TIP |
## JWT ウェブ ID トークン
外部のフェデレーション ID プロバイダーから取得した JWT トークン。このトークンは Athena での認証に使用されます。トークンキャッシュはデフォルトで有効になっており、複数のドライバー接続にわたって同じ IAM Identity Center アクセストークンの使用が許可されます。交換されたトークンはドライバーインスタンスがアクティブな間のみ存在するため、「接続のテスト」時に新しい JWT トークンを提供することをお勧めします。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| JwtWebIdentityToken | web\$1identity\$1token (廃止) | 必須 | なし |
## WorkgroupArn
Amazon Athena ワークグループの Amazon リソースネーム (ARN)。ワークグループの詳細については、「[ワークグループ](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| WorkGroupArn | なし | 必須 | プライマリー |
## JWT アプリケーションロール ARN
引き受けるロールの ARN。このロールは、JWT 交換、ワークグループタグによる IAM Identity Center カスタマーマネージドアプリケーション ARN の取得、アクセスロール ARN の取得に使用されます。ロールの引き受けの詳細については、「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ApplicationRoleArn | なし | 必須 | なし |
## JWT ロールセッション名
JWT 認証情報で認証する場合のセッションの名前。任意の名前を指定できます。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| JwtRoleSessionName | role\$1session\$1name (廃止) | 必須 | なし |
## ロールセッションの期間
ロールセッションの期間 (秒)。詳細については、「[AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| RoleSessionDuration | 時間 (廃止) | オプションです。 | 3600 |
## JWT アクセスロール ARN
引き受けるロールの ARN。これは、ユーザーに代わって呼び出しを行うために Athena サービスが引き受けるロールです。引き受けるロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AccessRoleArn | なし | オプションです。 | なし |
## IAM Identity Center カスタマーマネージドアプリケーション ARN
IAM Identity Center カスタマーマネージドアプリケーションの ARN。詳細については、「[カスタマーマネージドアプリケーション](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | なし | オプションです。 | なし |
# アイデンティティセンター統合を含むブラウザベース
この認証タイプでは、外部 ID プロバイダーから新規の JSON Web トークン (JWT) を取得して Athena で認証できます。このプラグインを使用すると、信頼できる ID の伝播による企業 ID のサポートを有効にすることができます。ドライバーで信頼できる ID の伝播を使用する方法の詳細については、「[Amazon Athena ドライバーで信頼できる ID の伝播を使用する](using-trusted-identity-propagation.md)」を参照してください。[CloudFormation を使用してリソースを設定およびデプロイする](using-trusted-identity-propagation-cloudformation.md)こともできます。
信頼できる ID の伝播では、ID コンテキストが IAM ロールに追加され、AWS リソースへのアクセスをリクエストするユーザーを識別します。信頼できる ID の伝播の有効化と使用方法の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)」を参照してください。
**注記**
このプラグインは、シングルユーザーデスクトップ環境向けに特別に設計されています。Windows Server などの共有環境では、システム管理者がユーザー間のセキュリティ境界を確立して維持する責任を負います。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `BrowserOidcTip` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | BrowserOidcTip |
## IDP well known configuration URL
IDP Well Known Configuration URL は、ID プロバイダーの OpenID Connect 設定の詳細を提供するエンドポイントです。この URL は通常、`.well-known/openid-configuration` で終わり、認証エンドポイント、サポートされている機能、トークン署名キーに関する必須メタデータが含まれています。例えば、*Okta* を使用している場合、URL は `https://your-domain.okta.com/.well-known/openid-configuration` のようになります。
トラブルシューティング:接続エラーが発生した場合は、この URL がネットワークからアクセス可能なものであり、有効な *OpenID Connect* 設定 JSON を返すことを確認します。URL は、ドライバーがインストールされているクライアントが到達できるものでなければならず、ID プロバイダーの管理者から提供される必要があります。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| IdpWellKnownConfigurationUrl | なし | 必須 | なし |
## クライアント識別子
OpenID Connect プロバイダーがアプリケーションに対して発行したクライアント識別子。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| OidcClientId | なし | 必須 | なし |
## WorkgroupArn
信頼できる ID の伝搬設定タグを含む Amazon Athena ワークグループの Amazon リソースネーム(ARN)。ワークグループの詳細については、「[ワークグループ](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)」を参照してください。
**注記**
このパラメータは、クエリの実行場所を指定する `Workgroup` パラメータとは異なります。次の両方のパラメータを設定する必要があります。
`WorkgroupArn` - 信頼できる ID の伝搬設定タグを含むワークグループを指す
`Workgroup` - クエリを実行するワークグループを指定する
これらは通常、同じワークグループを参照しますが、適切なオペレーションのために両方のパラメータを明示的に設定する必要があります。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| WorkGroupArn | なし | 必須 | プライマリー |
## JWT アプリケーションロール ARN
JWT 交換で継承されるロールの ARN。このロールは、JWT 交換、ワークグループタグによる IAM Identity Center カスタマーマネージドアプリケーション ARN の取得、アクセスロール ARN の取得に使用されます。ロールの引き受けの詳細については、「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ApplicationRoleArn | なし | 必須 | なし |
## JWT ロールセッション名
IAM セッションの名前。どのようなものでもかまいませんが、通常は、アプリケーションを使用するユーザーに関連付けられている名前または識別子を渡します。そうすると、アプリケーションが使用する一時的なセキュリティ認証情報は、そのユーザーに関連付けられます。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| JwtRoleSessionName | role\$1session\$1name (廃止) | 必須 | なし |
## クライアントシークレット
clientSecret は、アプリケーション(クライアント)の認証に利用している ID プロバイダーによって発行された機密キーです。このパラメータはオプションであり、すべての認証フローに必須ではない場合がありますが、使用するとセキュリティレイヤーが追加されます。IDP 設定にクライアントシークレットが必要な場合は、ID プロバイダー管理者から提供された値をこのパラメータに含める必要があります。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| OidcClientSecret | なし | オプションです。 | なし |
## スコープ
スコープでは、アプリケーションが ID プロバイダーに要求するアクセス許可のレベルを指定します。重要なユーザー ID クレームを含む ID トークンを受け取るには、`openid` をスコープに含める必要があります。ID プロバイダー(*Microsoft Entra ID* など)が ID トークンに含めるように設定されているユーザークレームによっては、`email` や `profile` などの追加のアクセス許可をスコープに含める必要がある場合があります。これらのクレームは、適切な「*信頼できる ID の伝搬*」マッピングに不可欠です。ユーザー ID マッピングが失敗した場合、必要なすべてのアクセス許可がスコープに含まれており、必要なクレームを ID トークンに含めるように ID プロバイダーが設定されていることを確認します。これらのクレームは、IAM アイデンティティセンターの「*信頼できるトークン発行者*」マッピング設定と一致する必要があります。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| スコープ | なし | オプションです。 | openid email offline\$1access |
## ロールセッションの期間
ロールセッションの期間 (秒)。詳細については、「[AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| RoleSessionDuration | 時間 (廃止) | オプションです。 | 3600 |
## JWT アクセスロール ARN
Athena がユーザーに代わって呼び出しを行うために引き受けるロールの ARN。引き受けるロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AccessRoleArn | なし | オプションです。 | なし |
## IAM Identity Center カスタマーマネージドアプリケーション ARN
IAM Identity Center カスタマーマネージドアプリケーションの ARN。詳細については、「[カスタマーマネージドアプリケーション](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | なし | オプションです。 | なし |
## ID プロバイダーのポート番号
OAuth 2.0 コールバックサーバーに使用するローカルポート番号。これは redirect\$1uri として使用されます。これを IDP アプリケーションの許可リストに登録する必要があります。デフォルトで生成される redirect\$1uri は、http://localhost:7890/athena です。
**警告**
Windows ターミナルサーバーやリモートデスクトップサービスなどの共有環境では、ループバックポート(デフォルト:7890)は同一マシン上のすべてのユーザー間で共有されます。システム管理者は、潜在的なポートハイジャックリスクを以下の方法で軽減できます。
ユーザーグループごとに異なるポート番号を設定する
Windows セキュリティポリシーを使用してポートアクセスを制限する
ユーザーセッション間のネットワーク分離を実装する
これらのセキュリティコントロールを実装できない場合は、ループバックポートを必要としない「[JWT の信頼できる ID の伝搬](jdbc-v3-driver-jwt-tip-credentials.md)」プラグインの使用をお勧めします。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| IdpPortNumber | なし | オプションです。 | 7890 |
## ID プロバイダーの応答タイムアウト
OAuth 2.0 コールバック応答を待機するタイムアウト(秒単位)。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| IdpResponseTimeout | なし | オプションです。 | 120 |
## トークンキャッシュを有効にする
EnableTokenCaching パラメータは、ドライバーが接続間で認証トークンをキャッシュするかどうかを決定します。EnableTokenCaching を true に設定すると、認証プロンプトが減るのでユーザーエクスペリエンスが向上しますが、慎重に使用する必要があります。この設定は、シングルユーザーデスクトップ環境に最適です。Windows Server などの共有環境では、同様の接続文字列を持つユーザー間でのトークン共有を予防するために、これを無効にしておくことをお勧めします。
Tableau Server などのツールを使用したエンタープライズデプロイの場合は、この認証方法の代わりに「[JWT の信頼できる ID の伝搬](jdbc-v3-driver-jwt-tip-credentials.md)」プラグインを使用することをお勧めします。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| EnableTokenCaching | なし | オプションです。 | FALSE |
# Azure AD 認証情報
Azure AD ID プロバイダーを使用して Athena への認証を可能にする SAML ベースの認証メカニズム。この方法では、Athena と Azure AD の間にフェデレーションが既に設定されていることを前提としています。
**注記**
このセクションの一部のパラメーター名にはエイリアスがあります。エイリアスはパラメーター名と機能的に同等であり、JDBC 2.x ドライバーとの下位互換性を保つために提供されています。パラメーター名は、より明確で一貫性のある命名規則に従うように改良されたため、非推奨になったエイリアスの代わりにパラメーター名を使用することをお勧めします。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `AzureAD` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | AzureAD |
## ユーザー
Azure AD での認証に使用する Azure AD ユーザーのメールアドレス。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ユーザー | UID (廃止) | 必須 | なし |
## パスワード
Azure AD ユーザーのパスワード。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| パスワード | PWD (廃止) | 必須 | なし |
## Azure AD テナント ID
Azure AD アプリケーションのテナント ID。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AzureAdTenantId | tenant\$1id (廃止) | 必須 | なし |
## Azure AD クライアント ID
Azure AD アプリケーションのクライアント ID。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AzureAdClientId | client\$1id (廃止) | 必須 | なし |
## Azure AD クライアントシークレット
Azure AD アプリケーションのクライアントシークレット。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AzureAdClientSecret | client\$1secret (廃止) | 必須 | なし |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| PreferredRole | preferred\$1role (廃止) | オプションです。 | なし |
## ロールセッションの期間
ロールセッションの期間 (秒)。詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| RoleSessionDuration | 時間 (廃止) | オプションです。 | 3600 |
## Lake Formation 有効
[AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) AWS STS API アクションの代わりに、一時的な IAM 認証情報を取得するために [AssumeDecoratedRoleWithSAML](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) Lake Formation API アクションを使用するかどうかを指定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| LakeFormationEnabled | なし | オプションです。 | FALSE |
# Okta 認証情報
Okta ID プロバイダーを使用して Athena への認証を可能にする SAML ベースの認証メカニズム。この方法では、Athena と Okta の間にフェデレーションが既に設定されていることを前提としています。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `Okta` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | Okta |
## ユーザー
Okta での認証に使用する Okta ユーザーのメールアドレス。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ユーザー | UID (廃止) | 必須 | なし |
## パスワード
Okta ユーザーのパスワード。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| パスワード | PWD (廃止) | 必須 | なし |
## Okta ホスト名
Okta 組織の URL。Okta アプリケーションの **[埋め込みリンク]** URL から、`idp_host` パラメータを抽出できます。手順については、「[Okta から ODBC の設定情報を取得する](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)」を参照してください。`https://` の後に続く最初のセグメントから `okta.com` までは、IdP ホストです (例えば、`https://trial-1234567.okta.com` で始まる URL の `trial-1234567.okta.com`)。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| OktaHostName | IdP\$1Host (廃止) | 必須 | なし |
## Okta アプリケーション ID
アプリケーション用の 2 つの部分で構成される識別子です。Okta アプリケーションの **[リンク埋め込み]** URL からアプリケーション ID を抽出できます。手順については、「[Okta から ODBC の設定情報を取得する](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)」を参照してください。アプリケーション ID は、URL の最後の 2 つのセグメントで、中央のスラッシュも含まれます。これら 2 つのセグメントは、数字と大文字と小文字が混在する 20 文字の文字列 2 組です (例: `Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4`)。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| OktaAppId | App\$1ID (廃止) | 必須 | なし |
## Okta アプリケーション名
Okta アプリケーションの名前。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| OktaAppName | App\$1Name (廃止) | 必須 | なし |
## Okta MFA タイプ
多要素認証 (MFA) を必要とするように Okta を設定した場合、使用する 2 番目の要素に応じて Okta MFA タイプと追加のパラメータを指定する必要があります。
Okta MFA タイプは、Okta での認証に使用する 2 番目の認証要素タイプです (パスワードに次ぐもの)。サポートされている 2 番目の要素には、Okta Verify アプリを介して配信されるプッシュ通知、ならびに Okta Verify や Google Authenticator によって生成または SMS を介して送信される一時的なワンタイムパスワード (TOTP) が含まれています。個々の組織のセキュリティポリシーによって、ユーザーのログインに MFA が必要かどうかが決まります。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用できる値 |
| --- | --- | --- | --- | --- |
| OktaMfaType | okta\$1mfa\$1type (廃止) | Okta が MFA を必要とするように設定されている場合は必須です | なし | oktaverifywithpush, oktaverifywithtotp, googleauthenticator, smsauthentication |
## Okta 電話番号
`smsauthentication` MFA タイプが選択されたとき、Okta が SMS を使用して一時的なワンタイムパスワードを送信する電話番号。電話番号は、米国またはカナダの電話番号である必要があります。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| OktaPhoneNumber | okta\$1phone\$1number (廃止) | OktaMfaType が smsauthentication の場合は必須 | なし |
## Okta MFA の待機時間
ドライバーがタイムアウト例外を発生させる前、ユーザーが Okta からのプッシュ通知を確認するために待機する時間 (秒単位)。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| OktaMfaWaitTime | okta\$1mfa\$1wait\$1time (廃止) | オプションです。 | 60 |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| PreferredRole | preferred\$1role (廃止) | オプションです。 | なし |
## ロールセッションの期間
ロールセッションの期間 (秒)。詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| RoleSessionDuration | 時間 (廃止) | オプションです。 | 3600 |
## Lake Formation 有効
[AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) AWS STS API アクションの代わりに、一時的な IAM 認証情報を取得するために [AssumeDecoratedRoleWithSAML](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) Lake Formation API アクションを使用するかどうかを指定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| LakeFormationEnabled | なし | オプションです。 | FALSE |
# Ping 認証情報
Ping フェデレーション ID プロバイダーを使用して Athena への認証を可能にする SAML ベースの認証メカニズム。この方法では、Athena と Ping フェデレーション の間にフェデレーションが既に設定されていることを前提としています。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `Ping` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | Ping |
## ユーザー
Ping フェデレーションで認証に使用する Ping フェデレーションユーザーのメールアドレス。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ユーザー | UID (廃止) | 必須 | なし |
## パスワード
Ping フェデレーションユーザーのパスワード。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| パスワード | PWD (廃止) | 必須 | なし |
## PingHostName
Ping サーバーのアドレス。アドレスを確認するには、次の URL にアクセスして **[SSO アプリケーションエンドポイント]** フィールドを確認してください。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| PingHostName | IdP\$1Host (廃止) | 必須 | なし |
## PingPortNumber
IdP ホストへの接続に使用するポート番号。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| PingPortNumber | IdP\$1Port (廃止) | 必須 | なし |
## PingPartnerSpId
サービスプロバイダのアドレス。サービスプロバイダのアドレスを確認するには、次の URL にアクセスして **[SSO アプリケーションエンドポイント]** フィールドを確認してください。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| PingPartnerSpId | Partner\$1SPID (廃止) | 必須 | なし |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| PreferredRole | preferred\$1role (廃止) | オプションです。 | なし |
## ロールセッションの期間
ロールセッションの期間 (秒)。詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| RoleSessionDuration | 時間 (廃止) | オプションです。 | 3600 |
## Lake Formation 有効
[AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) AWS STS API アクションの代わりに、一時的な IAM 認証情報を取得するために [AssumeDecoratedRoleWithSAML](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) Lake Formation API アクションを使用するかどうかを指定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| LakeFormationEnabled | なし | オプションです。 | FALSE |
# AD FS 認証情報
Microsoft Active Directory Federation Services (AD FS) を使用した Athena への認証を可能にする SAML ベースの認証メカニズムです。この手法は、ユーザーが Athena と AD FS 間のフェデレーションを既に設定していることを前提としています。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `ADFS` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | ADFS |
## ユーザー
AD FS での認証に使用する AD FS ユーザーの E メールアドレスです。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ユーザー | UID (廃止) | フォームベースの認証に必要です。Windows 統合認証の場合はオプションです。 | なし |
## パスワード
AD FS ユーザーのパスワードです。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| パスワード | PWD (廃止) | フォームベースの認証に必要です。Windows 統合認証の場合はオプションです。 | なし |
## AD FS ホスト名
AD FS サーバーのアドレスです。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AdfsHostName | IdP\$1Host (廃止) | 必須 | なし |
## AD FS ポート番号
AD FS サーバーへの接続に使用するポート番号です。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AdfsPortNumber | IdP\$1Port (廃止) | 必須 | なし |
## AD FS 依存パーティ
信頼できる依存パーティ。このパラメータを使用して、AD FS 依存パーティエンドポイント URL を上書きします。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AdfsRelyingParty | LoginToRP (廃止) | オプションです。 | urn:amazon:webservices |
## AD FS WIA 有効
Boolean。このパラメータを使用して、AD FS で Windows 統合認証 (WIA) を有効にします。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AdfsWiaEnabled | none | オプションです。 | FALSE |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールについては、「*AWS Security Token Service API リファレンス*」の「[https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| PreferredRole | preferred\$1role (廃止) | オプションです。 | なし |
## ロールセッションの期間
ロールセッションの期間 (秒)。詳細については、「*AWS Security Token Service API リファレンス*」の「[https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| RoleSessionDuration | 時間 (廃止) | オプションです。 | 3600 |
## Lake Formation 有効
一時的な IAM 認証情報を取得するために、[https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) AWS STS API アクションではなく [https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) Lake Formation API アクションを使用するかどうかを指定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| LakeFormationEnabled | none | オプションです。 | FALSE |
# Browser Azure AD 認証情報
Browser Azure AD は、Azure AD ID プロバイダーと連携する SAML ベースの認証メカニズムであり、多要素認証をサポートします。標準の Azure AD 認証メカニズムとは異なり、このメカニズムには接続パラメータにユーザー名、パスワード、クライアントシークレットは不要です。標準の Azure AD 認証メカニズムと同様に、ブラウザ Azure AD もユーザーが Athena と Azure AD の間にフェデレーションを既に設定していることを前提としています。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `BrowserAzureAD` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | BrowserAzureAD |
## Azure AD テナント ID
Azure AD アプリケーションのテナント ID。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AzureAdTenantId | tenant\$1id (廃止) | 必須 | なし |
## Azure AD クライアント ID
Azure AD アプリケーションのクライアント ID。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| AzureAdClientId | client\$1id (廃止) | 必須 | なし |
## ID プロバイダーの応答タイムアウト
ドライバーが Azure AD からの SAML レスポンスの待機を停止するまでの時間 (秒単位)。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| IdpResponseTimeout | idp\$1response\$1timeout (廃止) | オプションです。 | 120 |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| PreferredRole | preferred\$1role (廃止) | オプションです。 | なし |
## ロールセッションの期間
ロールセッションの期間 (秒)。詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| RoleSessionDuration | 時間 (廃止) | オプションです。 | 3600 |
## Lake Formation 有効
[AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) AWS STS API アクションの代わりに、一時的な IAM 認証情報を取得するために [AssumeDecoratedRoleWithSAML](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) Lake Formation API アクションを使用するかどうかを指定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| LakeFormationEnabled | なし | オプションです。 | FALSE |
# Browser SAML 認証情報
Browser SAML は、SAML ベースの ID プロバイダーと連携する汎用認証プラグインであり、多要素認証をサポートします。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `BrowserSaml` に設定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | BrowserSaml |
## シングルサインオンのログイン URL
SAML ベースの ID プロバイダー上のアプリケーションにおける Single sign-on URL。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| SsoLoginUrl | login\$1url (廃止) | 必須 | なし |
## リッスンポート
SAML レスポンスをリッスンするために使用されるポート番号。この値は、SAML ベースの ID プロバイダー (例えば、`http://localhost:7890/athena`) を設定した URL と一致する必要があります。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ListenPort | listen\$1port (廃止) | オプションです。 | 7890 |
## ID プロバイダーの応答タイムアウト
ドライバーが Azure AD からの SAML レスポンスの待機を停止するまでの時間 (秒単位)。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| IdpResponseTimeout | idp\$1response\$1timeout (廃止) | オプションです。 | 120 |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| PreferredRole | preferred\$1role (廃止) | オプションです。 | なし |
## ロールセッションの期間
ロールセッションの期間 (秒)。詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| RoleSessionDuration | 時間 (廃止) | オプションです。 | 3600 |
## Lake Formation 有効
[AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) AWS STS API アクションの代わりに、一時的な IAM 認証情報を取得するために [AssumeDecoratedRoleWithSAML](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) Lake Formation API アクションを使用するかどうかを指定します。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| LakeFormationEnabled | なし | オプションです。 | FALSE |
# DataZone IdC 認証情報プロバイダー
IAM Identity Center を使用して Athena で DataZone 管理対象データへの接続を有効にする認証メカニズム。
## 認証情報プロバイダー
AWS へのリクエストの認証に使用される認証情報プロバイダー。このパラメータの値を `DataZoneIdc` に設定します。`AWSCredentialsProviderClass` エイリアスは非推奨であることに注意してください。代わりに `CredentialsProvider`パラメータ名を使用してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 | 使用する値 |
| --- | --- | --- | --- | --- |
| CredentialsProvider | AWSCredentialsProviderClass (廃止) | 必須 | なし | DataZoneIdc |
## DataZone ドメイン識別子
使用する DataZone ドメインの識別子。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| DataZoneDomainId | なし | 必須 | なし |
## DataZone 環境識別子
使用する DataZone 環境の識別子。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| DataZoneEnvironmentId | なし | 必須 | なし |
## DataZone ドメインリージョン
DataZone ドメインがプロビジョニングされる AWS リージョン。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| DataZoneDomainRegion | なし | 必須 | なし |
## リージョン
DataZone 環境と Athena ワークグループがプロビジョニングされる AWS リージョン。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| リージョン | なし | 必須 | なし |
## [IAM アイデンティティセンター発行者 URL]
DataZone ドメインが使用する IAM Identity Center インスタンスの発行者 URL。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| IdentityCenterIssuerUrl | なし | 必須 | なし |
## DataZone エンドポイントのオーバーライド
指定された AWS リージョンのデフォルトの代わりに使用される DataZone API エンドポイント。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| DataZoneEndpointOverride | なし | オプションです。 | なし |
## トークンキャッシュを有効にする
有効にすると、複数のドライバー接続にわたって同じ IAM Identity Center アクセストークンの使用が許可されます。これにより、複数のドライバー接続を作成する SQL ツールによって複数のブラウザウィンドウが開かれることが防止されます。このパラメータを有効にする場合は、使用直後に SQL ツールを閉じてトークンキャッシュをクリアし、再認証を要求することをお勧めします。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| EnableTokenCaching | なし | オプションです。 | FALSE |
## リッスンポート
IAM Identity Center レスポンスをリッスンするポート番号。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ListenPort | なし | オプションです。 | 8000 |
## ID プロバイダーの応答タイムアウト
ドライバーが IAM Identity Center からの応答の待機を停止するまでの時間 (秒単位)。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| IdpResponseTimeout | なし | オプションです。 | 120 |
# DataZone IAM 認証情報プロバイダー
IAM 認証情報を使用して Athena の DataZone 管理対象データに接続する認証メカニズム。
## DataZone ドメイン識別子
使用する DataZone ドメインの識別子。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| DataZoneDomainId | なし | 必須 | なし |
## DataZone 環境識別子
使用する DataZone 環境の識別子。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| DataZoneEnvironmentId | なし | 必須 | なし |
## DataZone ドメインリージョン
DataZone ドメインがプロビジョニングされる AWS リージョン。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| DataZoneDomainRegion | なし | 必須 | なし |
## DataZone エンドポイントのオーバーライド
指定された AWS リージョン のエンドポイントのデフォルトの代わりに使用する DataZone API エンドポイント。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| DataZoneEndpointOverride | なし | オプションです。 | なし |
## ユーザー
AWS アクセスキー ID。アクセスキーの詳細については、「*IAM ユーザーガイド*」の「[AWS セキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| ユーザー | AccessKeyId | オプションです。 | なし |
## パスワード
AWS シークレットキーの ID。アクセスキーの詳細については、「*IAM ユーザーガイド*」の「[AWS セキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)」を参照してください。
****
| パラメータ名 | エイリアス | パラメータタイプ | デフォルトの値 |
| --- | --- | --- | --- |
| パスワード | SecretAccessKey | オプションです。 | なし |
# その他の JDBC 3.x 設定
次のセクションでは、JDBC 3.x ドライバーの一部の追加設定について説明します。
## ネットワークタイムアウト
ネットワークタイムアウトは、ドライバーがネットワーク接続が確立されるまで待機する時間 (ミリ秒) を制御します。これには、API リクエストの送信にかかる時間が含まれます。この時間が経過すると、ドライバーはタイムアウト例外を発生させます。まれに、ネットワークタイムアウトを変更すると利便性が向上することがあります。例えば、ガベージコレクションの一時停止の際のタイムアウトを増やすことができます。
設定するには、JDBC `setNetworkTimeout` オブジェクトで `Connection` メソッドを呼び出します。この値は JDBC 接続のライフサイクル中に変更できます。詳細については、Oracle JDBC API ドキュメントの「[setNetworkTimeout](https://docs.oracle.com/javase/8/docs/api/java/sql/Connection.html#setNetworkTimeout-java.util.concurrent.Executor-int-)」を参照してください。`setNetworkTimeout` メソッドを使用することは、[ネットワークタイムアウト](jdbc-v3-driver-advanced-connection-parameters.md#jdbc-v3-driver-networktimeoutmillis) 接続パラメータを設定することと同等です。
次の例では、ネットワークタイムアウトを 5,000 ミリ秒に設定しています。
```
...
AthenaDriver driver = new AthenaDriver();
Connection connection = driver.connect(url, connectionParameters);
connection.setNetworkTimeout(null, 5000);
...
```
## クエリタイムアウト
クエリが送信された後、トライバーが Athena 上でクエリが完了するまで待機する時間 (秒単位) この時間が経過すると、ドライバーは送信されたクエリをキャンセルしようとし、タイムアウト例外を発生させます。
クエリタイムアウトは接続パラメータとして設定できません。設定するには、JDBC `setQueryTimeout` オブジェクトで `Statement` メソッドを呼び出します。この値は JDBC ステートメントのライフサイクル中に変更できます。このパラメータのデフォルト値は `0` (ゼロ) です。値が `0` の場合、クエリは完了するまで実行できることを意味します ([サービスクォータ](service-limits.md) が適用されます)。
次の例では、クエリタイムアウトを 5 秒に設定しています。
```
...
AthenaDriver driver = new AthenaDriver();
Connection connection = driver.connect(url, connectionParameters);
Statement statement = connection.createStatement();
statement.setQueryTimeout(5);
...
```
# Amazon Athena ODBC 3.x リリースノート
これらのリリースノートには、Amazon Athena JDBC 3.x ドライバーの改良と修正の詳細が記載されています。
## 3.7.0
2025 年 11 月 21 日リリース
### 改良点
+ **「ブラウザ OIDC の信頼できる ID の伝搬」認証プラグイン** – OpenID Connect (OIDC) ID プロバイダーによるシームレスなブラウザベース認証を可能にする新しい認証プラグインを追加しました。このプラグインは、デフォルトのブラウザを介した完全な OAuth 2.0 フローの処理、JSON ウェブトークン(JWT)の自動取得、信頼できる ID の伝搬との統合を行います。シングルユーザーデスクトップ環境専用に設計されており、JWT の手動処理よりも効率的な認証エクスペリエンスを提供します。信頼できる ID の伝播の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)」を参照してください。
### 修正内容
+ **タイムスタンプ精度サポートの強化** – ドライバーは、`getTimestamp()` メソッドを介して Athena クエリから返されるタイムスタンプ値のミリ秒とナノ秒の精度を完全にサポートするようになりました。
+ **複雑な型処理の改善** – `DatabaseMetaData#getColumns` と一般的なメタデータオペレーションの両方でネストされたデータ型 (配列、構造体、マップ) を解析する際の問題を修正し、複雑なデータ構造の型情報の精度を確保しました。
+ **エラーログ記録の強化** – エラーメッセージがより明確になって診断情報が向上するように、S3 メタデータ取得失敗のログ記録を改善しました。
## 3.6.0
2025 年 9 月 10 日リリース
### 改良点
+ **JWT の信頼できる ID の伝播認証プラグイン** – JWT の信頼できる ID の伝播と JDBC ドライバーの統合をサポートする新しい認証プラグインが追加されました。この認証タイプでは、外部 ID プロバイダーから取得した JSON Web トークン (JWT) を接続パラメータとして使用して Athena で認証できます。信頼できる ID の伝播では、ID コンテキストが IAM ロールに追加され、AWS リソースへのアクセスをリクエストするユーザーを識別します。信頼できる ID の伝播の有効化と使用方法の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)」を参照してください。
+ **カスタム SSO OIDC および SSO Admin エンドポイントのサポート** – JDBC ドライバーでカスタム SSO OIDC および SSO Admin エンドポイントのサポートが追加されました。この機能強化により、VPC の背後で JDBC を実行するときに SSO サービス用の独自のエンドポイントを指定できます。
+ **AWS SDK バージョンの更新** – ドライバーで使用される AWS SDK バージョンを 2.32.16 に更新し、リリース 3.6.0 のプロジェクトの依存関係を更新しました。
## 3.5.1
2025 年 7 月 17 日リリース
### 改良点
+ **ログ記録機能** – ログレベルを `INFO` に引き上げ、行数、オフセット、オブジェクト長のメトリクスを追加することで、S3 フェッチログ記録を強化しました。接続ライフサイクルの追跡を実装し、全体的なログ記録パフォーマンスを最適化しました。
+ **特殊文字の処理** — スキーマ名とカタログ名の `LIKE` パターンの特殊文字の処理が改善されました。
+ **接続状態管理** – 接続状態管理を改善し、接続の閉鎖後に API コールを防止し、シャットダウン中のクエリオペレーションの安全チェックを追加することで、潜在的なエラーを防止しました。
### 修正内容
+ **DDL クエリメタデータ** – DDL クエリメタデータ処理の `NoSuchKeyFound` 問題を修正しました。
## 3.5.0
2025 年 3 月 18 日リリース
### 改良点
+ **結果設定パラメータ** – 2 つの新しい接続パラメータ `ExpectedBucketOwner` と`AclOption` のサポートが追加されました。詳細については、「[Result configuration parameters](jdbc-v3-driver-advanced-connection-parameters.md#jdbc-v3-driver-result-config)」を参照してください。
+ **AWS SDK バージョン** – ドライバーで使用されている AWS SDK バージョンが 2.30.22 に更新されました。
## 3.4.0
2025 年 2 月 18 日リリース
### 改良点
+ **結果フェッチャー** – ドライバーは、クエリ結果をダウンロードする最も速い方法を自動的に選択するようになりました。これにより、ほとんどの場合、フェッチャーを手動で設定する必要がなくなります。詳細については、「[結果フェッチパラメータ](jdbc-v3-driver-advanced-connection-parameters.md#jdbc-v3-driver-result-fetching-parameters)」を参照してください。
### 修正内容
+ **ResultSet** – ドライバーは、S3 で結果オブジェクトを生成しない DDL ステートメントの結果セットに対する反復処理を処理するようになりました。また、`GetQueryResultsStream` が完全に空のページを返すとき、null ではなく空の `ResultSet` オブジェクトが返されます。
+ **ResultsStream** – 結果のストリーミングは、内部バッファの行数をカウントする不要な呼び出しを削除することで最適化されています。
+ **getTables** – `GetTables` の呼び出しは、 `ListTableMetadata` と `GetTableMetadata` の応答に基づいてテーブルタイプを処理することで最適化されています。
## 3.3.0
2024 年 10 月 30 日リリース
### 改良点
+ **DataZone 認証** – DataZone 認証プラグイン `DataZoneIdC` と `DataZoneIAM` のサポートが追加されました。詳細については、「[DataZone IdC 認証情報プロバイダー](jdbc-v3-driver-datazone-idc.md)」および「[DataZone IAM 認証情報プロバイダー](jdbc-v3-driver-datazone-iamcp.md)」を参照してください。
+ **ネットワークタイムアウト** – `NetworkTimeoutMillis` 接続パラメータを使用してネットワークタイムアウトを設定できるようになりました。以前は、`Connection` オブジェクト自体にのみ設定することができました。詳細については、「[ネットワークタイムアウト](jdbc-v3-driver-other-configuration.md#jdbc-v3-driver-network-timeout)」を参照してください。
### 修正内容
+ **S3 空のオブジェクト処理** – ドライバーは、Amazon S3 Range Not Satisfiable 例外をスローする代わりに、S3 フェッチャー内の空のオブジェクトを処理するようになりました。
+ **ログ記録** – クエリ結果を使用した後、ドライバーは、メッセージ「Items requested for query execution [...], but subscription is cancelled」をログに記録しなくなりました。
+ **空のパラメータ文字列** – ドライバーは、接続パラメータに存在する空の文字列を、パラメータが存在しないかのように処理するようになりました。これにより、一部の BI ツールが誤って空の文字列を渡して意図しない認証の試行が発生したときに発生する問題が解決されます。
## 3.2.2
2024 年 7 月 29 日リリース
### 改良点
+ **データ型マッピング** — ドライバーが `tinyint`、`smallint`、`row`、および `struct` データ型を Java オブジェクトにマッピングする方法を変更することで、JDBC 仕様への準拠を改善しました。
+ **AWS SDK バージョンの更新** – ドライバーで使用されている AWS SDK バージョンが 2.26.23 に更新されました。
### 修正内容
+ **コメント** – ステートメントの最後にある行コメントの問題を修正しました。
+ **データベースのリスト** — ページ分割された `ListDatabases` API によって返された最後のページが空の場合に、リストデータベースが無限ループに入る可能性がある問題を修正しました。
## 3.2.1
2024 年 7 月 3 日リリース
### 改良点
+ **JWT 認証情報プロバイダー** – ユーザー指定のセッション期間のサポートが追加されました。詳細については、「[ロールセッションの期間](jdbc-v3-driver-jwt-credentials.md#jdbc-v3-driver-jwt-role-session-duration)」を参照してください。
### 修正内容
+ **スレッドプール** – `ForkJoin` プールを使用しないように、非同期タスク用に接続ごとに `ThreadPoolExecutor` が 1 つずつ作成されました。
+ **認証情報プロバイダー** – HTTP クライアントが外部 IdP 用に設定されている場合、プロキシホストが解析され、スキームとホストが取得されるようになりました。
+ **デフォルトの認証情報プロバイダー** – デフォルトの認証情報プロバイダーをクライアントコードで閉じることができないようにしました。
+ **getColumns** – `DatabaseMetaData#getColumns` メソッドの `ORDINAL_COLUMN` 列プロパティの問題を修正しました。
+ **ResultSet** – `Infinity`、`-Infinity`、および `NaN` のサポートが `ResultSet.` に追加されました カタログオペレーションから返される列タイプと、完了したクエリの結果セットの間の不一致が修正されました。
## 3.2.0
2024 年 4 月 26 日リリース
### 改良点
+ **カタログ操作のパフォーマンス** – ワイルドカード文字を使用しないカタログ操作のパフォーマンスが改善されました。
+ **最小ポーリング間隔の変更** – 最小ポーリング間隔のデフォルトを変更し、ドライバーが Athena に対して行う API 呼び出し回数を減らしました。クエリ候補がすばやく検出されます。
+ **BI ツールの検出可能性** – ビジネスインテリジェンスツールのドライバーをより簡単に検出できるようになりました。
+ **データ型マッピング** – Athena `binary`、`array`、および `struct` DDL データ型へのデータ型マッピングが改善されました。
+ **AWS SDK バージョン** – ドライバーで使用されている AWS SDK バージョンが 2.25.34 に更新されました。
### 修正内容
+ **フェデレーションカタログのテーブルリスト** – フェデレーションカタログが空のテーブルリストを返す問題を修正しました。
+ **getSchemas** – JDBC [DatabaseMetadata\$1getSchemas](https://docs.oracle.com/javase/8/docs/api/java/sql/DatabaseMetaData.html#getSchemas--) メソッドが、すべてのカタログからではなくデフォルトのカタログからのみデータベースを取得する問題を修正しました。
+ **getColumns** – JDBC [DatabaseMetadata\$1getColumns](https://docs.oracle.com/javase/8/docs/api/java/sql/DatabaseMetaData.html#getColumns-java.lang.String-java.lang.String-java.lang.String-java.lang.String-) メソッドが null カタログ名で呼び出されたときに、null カタログが返される問題を修正しました。
## 3.1.0
2024 年 2 月 15 日リリース
### 改良点
+ Microsoft Active Directory Federation Services (AD FS) Windows 統合認証とフォームベース認証のサポートが追加されました。
+ バージョン 2.x との下位互換性を保つため、`awsathena` JDBC サブプロトコルが受け入れられるようになりましたが、非推奨の警告が生成されます。代わりに `athena` JDBC サブプロトコルを使用してください。
+ `AwsDataCatalog` がカタログパラメータのデフォルトとなり、`default` がデータベースパラメータのデフォルトとなりました。これらの変更により、現在のカタログとデータベースの正しい値 ( NULL ではない) が返されるようになりました。
+ JDBC 仕様に準拠し、`IS_AUTOINCREMENT` と `IS_GENERATEDCOLUMN` は `NO` ではなく空の文字列を返すようになりました。
+ Athena `int` データ型は、`other` ではなく Athena `integer` と同じ JDBC 型にマップされるようになりました。
+ Athena の列メタデータにオプションの `precision` および `scale` フィールドが含まれていない場合、ドライバーは `ResultSet` 列内の対応する値に 0 を返すようになりました。
+ AWS SDK バージョンは、2.21.39 に更新されました。
### 修正内容
+ Athena からのプレーンテキスト結果の列数が Athena 結果メタデータの列数と一致しない場合に例外が発生する `GetQueryResultsStream` の問題を修正しました。
## 3.0.0
2023 年 11 月 16 日リリース
Athena JDBC 3.x ドライバーは、より優れたパフォーマンスと互換性を提供する新世代ドライバーです。JDBC 3.x ドライバーは、Amazon S3 からの直接的なクエリ結果の読み取りをサポートするので、大規模なクエリ結果を使用するアプリケーションのパフォーマンスが向上します。新しいドライバーではサードパーティーとの依存関係も少なくなっているため、BI ツールやカスタムアプリケーションとの統合が容易になります。
# 以前のバージョンの Athena JDBC 3.x ドライバー
[最新バージョン](jdbc-v3-driver.md)の JDBC 3.x ドライバーを使用することを強くお勧めします。ドライバーの最新バージョンには、最新の改良と修正が含まれています。ご使用のアプリケーションが最新バージョンと互換性がない場合にのみ、古いバージョンを使用してください。
## JDBC ドライバー uber jar
次のダウンロードは、ドライバーおよびそのすべての依存関係を同じ `.jar` ファイルにパッケージ化します。このダウンロードは、サードパーティーの SQL クライアントでよく使用されます。
+ [3.6.0 uber jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.6.0/athena-jdbc-3.6.0-with-dependencies.jar)
+ [3.5.1 uber jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.5.1/athena-jdbc-3.5.1-with-dependencies.jar)
+ [3.5.0 uber jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.5.0/athena-jdbc-3.5.0-with-dependencies.jar)
+ [3.4.0 uber jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.4.0/athena-jdbc-3.4.0-with-dependencies.jar)
+ [3.3.0 uber jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.3.0/athena-jdbc-3.3.0-with-dependencies.jar)
+ [3.2.2 uber jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.2.2/athena-jdbc-3.2.2-with-dependencies.jar)
+ [3.2.1 uber jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.2.1/athena-jdbc-3.2.1-with-dependencies.jar)
+ [3.2.0 uber jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.2.0/athena-jdbc-3.2.0-with-dependencies.jar)
+ [3.1.0 uber jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.1.0/athena-jdbc-3.1.0-with-dependencies.jar)
+ [3.0.0 uber jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.0.0/athena-jdbc-3.0.0-with-dependencies.jar)
## JDBC ドライバーの lean jar
次のダウンロードには、ドライバー用の lean `.jar` およびドライバーの依存関係用の個別 `.jar` ファイルを含む `.zip` ファイルです。このダウンロードは、ドライバーが使用する依存関係と競合する依存関係を持つカスタムアプリケーションによく使用されます。このダウンロードは、ドライバーの依存関係のどっちを lean jar に含め、カスタムアプリケーションに既に 1 つ以上含まれている場合はどの依存関係を除外するかを選択する場合に便利です。
+ [3.6.0 lean jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.6.0/athena-jdbc-3.6.0-lean-jar-and-separate-dependencies-jars.zip)
+ [3.5.1 lean jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.5.1/athena-jdbc-3.5.1-lean-jar-and-separate-dependencies-jars.zip)
+ [3.5.0 lean jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.5.0/athena-jdbc-3.5.0-lean-jar-and-separate-dependencies-jars.zip)
+ [3.4.0 lean jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.4.0/athena-jdbc-3.4.0-lean-jar-and-separate-dependencies-jars.zip)
+ [3.3.0 lean jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.3.0/athena-jdbc-3.3.0-lean-jar-and-separate-dependencies-jars.zip)
+ [3.2.2 lean jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.2.2/athena-jdbc-3.2.2-lean-jar-and-separate-dependencies-jars.zip)
+ [3.2.1 lean jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.2.1/athena-jdbc-3.2.1-lean-jar-and-separate-dependencies-jars.zip)
+ [3.2.0 lean jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.2.0/athena-jdbc-3.2.0-lean-jar-and-separate-dependencies-jars.zip)
+ [3.1.0 lean jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.1.0/athena-jdbc-3.1.0-lean-jar-and-separate-dependencies-jars.zip)
+ [3.0.0 lean jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/3.0.0/athena-jdbc-3.0.0-lean-jar-and-separate-dependencies-jars.zip)
# Athena JDBC 2.x ドライバー
JDBC 接続を使用して、[SQL Workbench](http://www.sql-workbench.eu/downloads.html) などのビジネスインテリジェンスツールとその他アプリケーションに Athena を接続することができます。これを実施するには、このページにある Amazon S3 のリンクを使用し、Athena JDBC 2.x ドライバーをダウンロード、インストール、設定を行います。JDBC 接続 URL の構築については、ダウンロード版[JDBC ドライバーインストールおよび設定ガイド](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/SimbaAthenaJDBC-2.2.2.1000/docs/Simba+Amazon+Athena+JDBC+Connector+Install+and+Configuration+Guide.pdf)を参照してください。アクセス許可については、「[JDBC および ODBC 接続を介したアクセスの制御](policy-actions.md)」を参照してください。JDBC ドライバーに関するフィードバックは、[athena-feedback@amazon.com](mailto:athena-feedback@amazon.com) に電子メールでお問い合わせください。バージョン 2.0.24 以降では、2 つ (AWS SDK を含むものと含まないもの) のバージョンのドライバを使用できます。
**重要**
JDBC ドライバーを使用するときは、次の要件に注意してください。
**オープン状態のポート 444** – Athena がクエリ結果のストリーミングに使用するポート 444 には、アウトバウンドトラフィックに対して開放されている状態を維持します。PrivateLink エンドポイントを使用して Athena に接続するときは、PrivateLink エンドポイントにアタッチされているセキュリティグループが、ポート 444 上のインバウンドトラフィックに対して開放されていることを確認してください。ポート 444 がブロックされている場合は、「[Simba][AthenaJDBC](100123) An error has occurred.」というエラーメッセージが表示されます。列の初期化中の例外。
**athena:GetQueryResultsStream ポリシー** – JDBC ドライバーを使用する IAM プリンシパルに `athena:GetQueryResultsStream` ポリシーアクションを追加します。このポリシーアクションが API で直接公開されることはありません。ストリーミング結果のサポートの一環として、ODBC および JDBC ドライバーでのみ使用されます。ポリシーの例については「[AWS 管理ポリシー: AWSQuicksightAthenaAccess](security-iam-awsmanpol.md#awsquicksightathenaaccess-managed-policy)」を参照してください。
**複数のデータカタログに対応するJDBCドライバを使用する場合** - 複数のデータカタログのために Athena で JDBC ドライバーを使用するには ([外部の Hive メタストア](connect-to-data-source-hive.md)または[フェデレーティッドクエリ](federated-queries.md)を使用する場合など)、JDBC 接続文字列に `MetadataRetrievalMethod=ProxyAPI` を含めてください。
**4.1 ドライバー** - 2023 年以降、JDBC バージョン 4.1 のドライバーサポートを終了します。今後、アップデートの予定はありません。JDBC 4.1 ドライバーを使用している場合は、4.2 ドライバーへの移行を強くお勧めします。
## AWS SDK を使用する JDBC 2.x ドライバー
JDBC ドライバーバージョン 2.2.2 は、JDBC API 4.2 データ規格に準拠しており、JDK 8.0 またはそれ以降が必要です。ご使用の JRE (Java Runtime Environment) のバージョンを確認する方法については、Java の [ドキュメント](https://www.java.com/en/download/help/version_manual.html)を参照してください。
JDBC 4.2 ドライバーの `.jar` ファイルをダウンロードするには、次のリンクを使用します。
+ [AthenaJDBC42-2.2.2.1000.jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/SimbaAthenaJDBC-2.2.2.1000/AthenaJDBC42-2.2.2.1000.jar)
次の `.zip` ファイルのダウンロードには、JDBC 4.2 用の `.jar` ファイル、および AWS SDK とそれに付随するドキュメント、リリースノート、ライセンス、契約書が含まれています。
+ [SimbaAthenaJDBC-2.2.2.1000.zip](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/SimbaAthenaJDBC-2.2.2.1000/SimbaAthenaJDBC-2.2.2.1000.zip)
## AWS SDK を使用しない JDBC 2.x ドライバー
JDBC ドライバーバージョン 2.2.2 は、JDBC API 4.2 データ規格に準拠しており、JDK 8.0 またはそれ以降が必要です。ご使用の JRE (Java Runtime Environment) のバージョンを確認する方法については、Java の [ドキュメント](https://www.java.com/en/download/help/version_manual.html)を参照してください。
AWS SDK なしで JDBC 4.2 ドライバー `.jar` ファイルをダウンロードするには、次のリンクを使用してください。
+ [AthenaJDBC42-2.2.2.1001.jar](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/SimbaAthenaJDBC-2.2.2.1001/AthenaJDBC42-2.2.2.1001.jar)
次の `.zip` ファイルのダウンロードには、JDBC 4.2 用の `.jar` ファイル、および付属ドキュメント、リリースノート、ライセンス、契約書が含まれています。これには、AWS SDK は含まれません。
+ [SimbaAthenaJDBC-2.2.2.1001.zip](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/SimbaAthenaJDBC-2.2.2.1001/SimbaAthenaJDBC-2.2.2.1001.zip)
## JDBC 2.x ドライバーのリリースノート、ライセンス契約、通知
必要なバージョンをダウンロードしたら、リリースノートをお読みになり、ライセンス契約および表示を確認してください。
+ [リリースノート](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/SimbaAthenaJDBC-2.2.2.1000/docs/release-notes.txt)
+ [ライセンス契約](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/SimbaAthenaJDBC-2.2.2.1000/docs/LICENSE.txt)
+ [通知](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/SimbaAthenaJDBC-2.2.2.1000/docs/NOTICES.txt)
+ [サードパーティーライセンス](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/SimbaAthenaJDBC-2.2.2.1000/docs/third-party-licenses.txt)
## JDBC 2.x ドライバーのドキュメント
ドライバー用の次のドキュメントをダウンロードします。
+ [JDBC ドライバーのインストールおよび設定ガイド](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/SimbaAthenaJDBC-2.2.2.1000/docs/Simba+Amazon+Athena+JDBC+Connector+Install+and+Configuration+Guide.pdf)。このガイドを使用してドライバーをインストールし、設定します。
+ [JDBC ドライバー移行ガイド](https://downloads.athena.us-east-1.amazonaws.com/drivers/JDBC/SimbaAthenaJDBC-2.2.2.1000/docs/Simba+Amazon+Athena+JDBC+Connector+Migration+Guide.pdf)。このガイドを使用して以前のバージョンから現在のバージョンに移行します。
# ODBC で Amazon Athena に接続する
Amazon Athena には、バージョン 1.x と 2.x の 2 つの ODBC ドライバーが用意されています。Athena ODBC 2.x ドライバーは、Linux、macOS ARM、macOS Intel、および Windows 64 ビットシステムをサポートする新しいオプションです。Athena 2.x ドライバーは 1.x ODBC ドライバーがサポートするすべての認証プラグインをサポートしており、ほとんどすべての接続パラメータには下位互換性があります。
+ ODBC 2.x ドライバーをダウンロードするには、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
+ ODBC 1.x ドライバーをダウンロードするには、「[Athena ODBC 1.x ドライバー](connect-with-odbc-driver-and-documentation-download-links.md)」を参照してください。
**Topics**
+ [Amazon Athena ODBC 2.x](odbc-v2-driver.md)
+ [Athena ODBC 1.x ドライバー](connect-with-odbc-driver-and-documentation-download-links.md)
+ [Amazon Athena Power BI コネクタを使用する](connect-with-odbc-and-power-bi.md)
# Amazon Athena ODBC 2.x
ODBC 接続を使用すると、多くのサードパーティ SQL クライアントツールおよびアプリケーションから Amazon Athena に接続できます。ODBC 接続はクライアントコンピュータで設定します。
## 考慮事項と制限事項
Athena ODBC 1.x ドライバーから Athena 2.x ODBC ドライバーへと移行するための情報については、「[ODBC 2.x ドライバーに移行する](odbc-v2-driver-migrating.md)」を参照してください。
## ODBC 2.x ドライバーのダウンロード
Amazon Athena 2.x ODBC ドライバーをダウンロードするには、このページのリンクにアクセスしてください。
**重要**
ODBC 2.x ドライバーを使用するときは、次の要件に注意してください。
**オープン状態のポート 444** – Athena がクエリ結果のストリーミングに使用するポート 444 には、アウトバウンドトラフィックに対して開放されている状態を維持します。PrivateLink エンドポイントを使用して Athena に接続するときは、PrivateLink エンドポイントにアタッチされているセキュリティグループが、ポート 444 上のインバウンドトラフィックに対して開放されていることを確認してください。
**athena:GetQueryResultsStream ポリシー** – ODBC ドライバーを使用する IAM プリンシパルに `athena:GetQueryResultsStream` ポリシーアクションを追加します。このポリシーアクションが API で直接公開されることはありません。ストリーミング結果のサポートの一環として、ODBC および JDBC ドライバーでのみ使用されます。ポリシーの例については「[AWS 管理ポリシー: AWSQuicksightAthenaAccess](security-iam-awsmanpol.md#awsquicksightathenaaccess-managed-policy)」を参照してください。
**重要**
**セキュリティ更新:** バージョン 2.1.0.0 には、認証、クエリ処理、トランスポートセキュリティコンポーネントのセキュリティ強化が含まれています。これらの改善の恩恵を受けるには、このバージョンにアップグレードすることをお勧めします。詳細については、「[Amazon Athena ODBC 2.x リリースノート](odbc-v2-driver-release-notes.md)」を参照してください。
### Linux
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| Linux 64 ビット版対応 ODBC 2.1.0.0 | [Linux 64 ビット ODBC ドライバー 2.1.0.0](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Linux/AmazonAthenaODBC-2.1.0.0.rpm) |
### MacOS (ARM)
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| MacOS 64 ビット版 (ARM) 対応 ODBC 2.1.0.0 | [macOS 64 ビット ODBC ドライバー 2.1.0.0 (ARM)](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Mac/arm/AmazonAthenaODBC-2.1.0.0_arm.pkg) |
### macOS (Intel)
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| MacOS 64 ビット (Intel) 対応 ODBC 2.1.0.0 | [macOS 64 ビット ODBC ドライバー 2.1.0.0 (Intel)](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Mac/Intel/AmazonAthenaODBC-2.1.0.0_x86.pkg) |
### Server
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| Windows 64 ビット対応 ODBC 2.1.0.0 | [Windows 64 ビット ODBC ドライバー 2.1.0.0](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Windows/AmazonAthenaODBC-2.1.0.0.msi) |
### ライセンス
+ [AWS ライセンス](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/LICENSE.txt)
+ [サードパーティーライセンス](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/THIRD_PARTY_LICENSES.txt)
## ODBC での信頼できる ID の伝播
AWS Identity and Access Management Identity Center を通じて、シングルサインオン機能を備えた ODBC ドライバーを使用して Amazon Athena に接続できるようになりました。PowerBI、Tableau、DBeaver などのツールから Athena にアクセスすると、ID とアクセス許可が IAM Identity Center を介して Athena に自動的に伝播されます。詳細については、「[Amazon Athena ドライバーで信頼できる ID の伝播を使用する](using-trusted-identity-propagation.md)」を参照してください。
**Topics**
+ [考慮事項と制限事項](#odbc-v2-driver-considerations-limitations)
+ [ODBC 2.x ドライバーのダウンロード](#odbc-v2-driver-download)
+ [ODBC での信頼できる ID の伝播](#odbc-v2-driver-trusted-identity)
+ [ODBC 2.x ドライバーの使用を開始する](odbc-v2-driver-getting-started.md)
+ [Athena ODBC 2.x 接続パラメータ](odbc-v2-driver-connection-parameters.md)
+ [ODBC 2.x ドライバーに移行する](odbc-v2-driver-migrating.md)
+ [ODBC 2.x ドライバーをトラブルシューティングする](odbc-v2-driver-troubleshooting.md)
+ [Amazon Athena ODBC 2.x リリースノート](odbc-v2-driver-release-notes.md)
# ODBC 2.x ドライバーの使用を開始する
Amazon Athena ODBC 2.x ドライバーを開始するには、このセクションの情報を使用してください。ドライバーは、Windows、Linux、および macOS オペレーティングシステムでサポートされています。
**Topics**
+ [Server](odbc-v2-driver-getting-started-windows.md)
+ [Linux](odbc-v2-driver-getting-started-linux.md)
+ [macOS](odbc-v2-driver-getting-started-macos.md)
# Server
Amazon Athena へのアクセスに Windows クライアントコンピューターを使用する場合は、Amazon Athena ODBC ドライバーが必要です。
## Windows システム要件
ウェブブラウザを使用せずに Amazon Athena データベースに直接アクセスするクライアントコンピュータに、Amazon Athena ODBC ドライバーをインストールします。
使用する Windows システムは、以下の要件を満たしている必要があります。
+ 管理者権限がある
+ 次のいずれかの OS。
+ Windows 11、10 または 8.1。
+ Windows Server 2019、2016、または 2012。
+ サポートされているプロセッサアーキテクチャ: x86\$164 (64 ビット)
+ 最低でも 100 MB の空きディスク容量。
+ 64 ビット Windows 用の [Visual Studio の Microsoft Visual C\$1\$1 再頒布可能パッケージ](https://visualstudio.microsoft.com/downloads/#microsoft-visual-c-redistributable-for-visual-studio-2022)がインストールされている。
## Amazon Athena ODBC ドライバーをインストールする
**Windows 用 Amazon Athena ODBC ドライバーをダウンロードしてインストールする方法**
1. `AmazonAthenaODBC-2.x.x.x.msi` インストールファイルを[ダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)します。
1. インストールファイルを起動し、**[次へ]** を選択します。
1. 使用許諾契約書の条項に同意する場合は、チェックボックス > **[次へ]** の順に選択します。
1. インストール場所を変更するには、**[参照]** を選択して目的のフォルダを参照し、**[OK]** を選択します。
1. インストール場所を確定するには、**[次へ]** を選択します。
1. **[インストール]** を選択します。
1. インストールが完了したら、**[完了]** を選択します。
## ドライバー設定オプションの設定方法
Windows の Amazon Athena ODBC ドライバーの動作を制御するには、次の方法でドライバー設定オプションを指定できます。
+ データソース名 (DSN) を設定する場合は **[ODBC データソース管理者]** プログラム内で設定。
+ 次の場所に Windows レジストリキーを追加または変更する。
```
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\YOUR_DSN_NAME
```
+ プログラムで接続するときに、接続文字列にドライバーオプションを設定する。
## Windows 上でのデータソース名を設定する
ODBC ドライバーをダウンロードしてインストールした後、クライアントコンピュータか Amazon EC2 インスタンスにデータソース名 (DSN) エントリを追加する必要があります。SQL クライアントツールは、このデータソースを使用して Amazon Athena データベースに接続し、クエリします。
**システム DSN エントリを作成するには**
1. Windows の **[スタート]** メニューから **[ODBC データソース (64 ビット)]** を右クリックし、**[その他]** > **[管理者として実行]** の順に選択します。
1. **[ODBC データソース管理者]** で、**[ドライバー]** タブを選択します。
1. **[名前]** 列に **[Amazon Athena ODBC (x64)]** が表示されていることを確認します。
1. 次のいずれかを行います。
+ コンピュータ上のすべてのユーザーに対してドライバーを設定する場合は、**[システム DSN]** タブを選択します。別のアカウントを使用してデータをロードするアプリケーションでは、別のアカウントのユーザー DSN を検出できない場合があるため、システム DSN 構成オプションを使用することをお勧めします。
**注記**
**[システム DSN]** オプションを使用するには、管理者権限が必要です。
+ ユーザーアカウントのみに対してドライバーを設定するには、**[ユーザー DSN]** タブを選択します。
1. **[Add]** (追加) を選択します。**[新しいデータソースを作成]** ダイアログボックスが開きます。
1. **[Amazon Athena ODBC (x64)]** > **[完了]** の順に選択します。
1. **[Amazon Athena ODBC 設定]** ダイアログボックスに、次の情報を入力します。これらのオプションの詳細な情報については、[主な ODBC 2.x 接続パラメータ](odbc-v2-driver-main-connection-parameters.md)を参照してください。
+ **[データソース名]** に、データソースを識別するために使用する名前を入力します。
+ **[説明]** には、データソースをすばやく識別できるような説明を入力します。
+ **[リージョン]** には、Athena を使用する AWS リージョン の名前を入力します (例: ** us-west-1**)。
+ **[カタログ]** には、Amazon Athena カタログの名前を入力します。デフォルトは **[AWSDataCatalog]** で、AWS Glue によって使用されます。
+ **[データベース]** には、Amazon Athena データベースの名前を入力します。デフォルトは **[デフォルト]** です。
+ **[ワークグループ]** には、Amazon Athena ワークグループの名前を入力します。デフォルトは **[プライマリ]** です。
+ **[S3 出力場所]** に、クエリ結果が保存されることになる Amazon S3 内のロケーション (例: **s3://amzn-s3-demo-bucket/**) を入力します。
+ (オプション) **[暗号化オプション]** で、暗号化オプションを選択します。デフォルトは `NOT_SET` です。
+ (オプション) **[KMS キー]** では、必要に応じて暗号 KMS キーを選択します。
1. IAM 認証の設定オプションを指定するには、**[認証オプション]** を選択します。
1. 次の情報を入力します。
+ **[認証タイプ]** で **[IAM 認証情報]** を選択します。これがデフォルトです。使用できる認証タイプの詳細については、「[認証オプション](odbc-v2-driver-authentication-options.md)」を参照してください。
+ **[ユーザー名]** には、ユーザー名を入力します。
+ **[パスワード]** には、パスワードを入力します。
+ **[セッショントークン]** には、一時的な AWS 認証情報を使用する場合はセッショントークンを入力します。一時的な認証情報の詳細については、「IAM ユーザーガイド」の「[AWS リソースを使用した一時的な認証情報の使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)」を参照してください。
1. [**OK**] を選択してください。
1. **[Amazon Athena ODBC 設定]** ダイアログボックスの下部で、**[テスト]** を選択します。クライアントコンピュータが Amazon Athena に正常に接続すると、**[接続テスト]** ボックスに **[接続に成功しました]** と表示されます。成功しなかった場合は、ダイアログボックスに関連するエラー情報と共に **[接続に失敗しました]** と表示されます。
1. **[OK]** を選択して、接続テストを閉じます。作成したデータソースが、[データソース名] リストに表示されます。
## Windows で DSN なし接続を使用する
DSN を使用しない接続を使用すれば、データソース名 (DSN) なしでデータベースに接続できます。次の例は、Amazon Athena に接続する Amazon Athena ODBC (x64) ODBC ドライバーの接続文字列を示しています。
```
DRIVER={Amazon Athena ODBC (x64)};Catalog=AwsDataCatalog;AwsRegion=us-west-1;Schema=test_schema;S3OutputLocation=
s3://amzn-s3-demo-bucket/;AuthenticationType=IAM Credentials;UID=YOUR_UID;PWD=YOUR_PWD;
```
# Linux
Amazon Athena へのアクセスに Linux クライアントコンピューターを使用する場合は、Amazon Athena ODBC ドライバーが必要です。
## Linux システム要件
ドライバーをインストールする Linux コンピューターは、それぞれ以下の最小要件を満たしている必要があります。
+ ルートアクセス権がある。
+ 以下の Linux ディストリビューションのいずれかを使用している。
+ Red Hat Enterprise Linux (RHEL) 7 または 8
+ CentOS 7 または 8。
+ 100 MB のディスク空き容量がある。
+ [unixODBC](https://www.unixodbc.org/) のバージョン 2.3.1 以降を使用している。
+ [GNU C ライブラリ](https://www.gnu.org/software/libc/) (glibc) のバージョン 2.26 以降を使用している。
## Linux への ODBC データコネクタのインストール
Linux オペレーティングシステムに Amazon Athena ODBC ドライバーをインストールするには、以下の手順を実行します。
**Amazon Athena ODBC ドライバーを Linux にインストールする**
1. 次のいずれかのコマンドを入力します。
```
sudo rpm -Uvh AmazonAthenaODBC-2.X.Y.Z.rpm
```
または
```
sudo yum --nogpgcheck localinstall AmazonAthenaODBC-2.X.Y.Z.rpm
```
1. インストールが完了したら、以下のコマンドのいずれかを入力して、ドライバーがインストールされていることを確認します。
+
```
yum list | grep amazon-athena-odbc-driver
```
出力:
```
amazon-athena-odbc-driver.x86_64 2.0.2.1-1.amzn2int installed
```
+
```
rpm -qa | grep amazon
```
出力:
```
amazon-athena-odbc-driver-2.0.2.1-1.amzn2int.x86_64
```
## Linux でのデータソース名の設定
ドライバーがインストールされると、以下の場所に `.odbc.ini` および `.odbcinst.ini` のサンプルファイルを見つけることができます。
+ `/opt/athena/odbc/ini/`.
この場所にある `.ini` ファイルを、Amazon Athena ODBC ドライバーとデータソース名 (DSN) の設定例として使用してください。
**注記**
デフォルトで、ODBC ドライバーマネージャーはホームディレクトリにある隠し設定ファイル `.odbc.ini` と `.odbcinst.ini` を使用します。
unixODBC を使用して `.odbc.ini` と `.odbcinst.ini` ファイルへのパスを指定するには、次の手順を実行します。
**unixODBC を使用して ODBC `.ini` ファイルの場所を指定する**
1. 以下の例にあるように、`odbc.ini` ファイルのフルパスとファイル名に `ODBCINI` 設定します。
```
export ODBCINI=/opt/athena/odbc/ini/odbc.ini
```
1. 以下の例にあるように、`odbcinst.ini` のファイルが含まれるディレクトリのフルパスに `ODBCSYSINI` を設定します。
```
export ODBCSYSINI=/opt/athena/odbc/ini
```
1. 以下のコマンドを入力して、unixODBC ドライバーマネージャーと正しい `odbc*.ini` ファイルを使用していることを確認します。
```
username % odbcinst -j
```
サンプル出力
```
unixODBC 2.3.1
DRIVERS............: /opt/athena/odbc/ini/odbcinst.ini
SYSTEM DATA SOURCES: /opt/athena/odbc/ini/odbc.ini
FILE DATA SOURCES..: /opt/athena/odbc/ini/ODBCDataSources
USER DATA SOURCES..: /opt/athena/odbc/ini/odbc.ini
SQLULEN Size.......: 8
SQLLEN Size........: 8
SQLSETPOSIROW Size.: 8
```
1. データソース名 (DSN) を使用してデータストアに接続する場合は、`odbc.ini` ファイルを設定してデータソース名 (DSN) を定義します。以下の例にあるように、`odbc.ini` ファイルのプロパティを設定して、データストアの接続情報を指定する DSN を作成します。
```
[ODBC Data Sources]
athena_odbc_test=Amazon Athena ODBC (x64)
[ATHENA_WIDE_SETTINGS] # Special DSN-name to signal driver about logging configuration.
LogLevel=0 # To enable ODBC driver logs, set this to 1.
UseAwsLogger=0 # To enable AWS-SDK logs, set this to 1.
LogPath=/opt/athena/odbc/logs/ # Path to store the log files. Permissions to the location are required.
[athena_odbc_test]
Driver=/opt/athena/odbc/lib/libathena-odbc.so
AwsRegion=us-west-1
Workgroup=primary
Catalog=AwsDataCatalog
Schema=default
AuthenticationType=IAM Credentials
UID=
PWD=
S3OutputLocation=s3://amzn-s3-demo-bucket/
```
1. 以下の例にあるように、`odbcinst.ini` ファイルを設定します。
```
[ODBC Drivers]
Amazon Athena ODBC (x64)=Installed
[Amazon Athena ODBC (x64)]
Driver=/opt/athena/odbc/lib/libathena-odbc.so
Setup=/opt/athena/odbc/lib/libathena-odbc.so
```
1. Amazon Athena ODBC ドライバーをインストールして設定したら、以下の例にあるように、unixODBC `isql` コマンドラインツールを使用して接続を確認します。
```
username % isql -v "athena_odbc_test"
+---------------------------------------+
| Connected! |
| |
| sql-statement |
| help [tablename] |
| quit |
| |
+---------------------------------------+
SQL>
```
## ODBC ドライバーの署名を確認する
**重要**
Athena ODBC ドライバーの RPM 署名をマシンにインストールする前に検証することをお勧めします。
Athena ODBC ドライバー RPM パッケージの署名を確認するには、次の手順に従います。
1. **テンプレートを準備する**
適切なパブリックキー、RPM 署名、および Amazon S3 バケットでホストされている RPM スクリプトへの対応するアクセスリンクを使用してコマンドを準備します。デバイスに以下をダウンロードする必要があります。
+ [Athena ODBC ドライバー](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Linux/AmazonAthenaODBC-2.1.0.0.rpm)
+ [パブリックキー](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Linux/public_key.pem)
+ [Athena ODBC RPM 署名](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Linux/signature.bin)
1. Athena ODBC ドライバー、パブリックキー、および Athena ODBC RPM 署名をデバイスにダウンロードします。
1. 次のコマンドを実行して、ODBC ドライバーの署名を検証します。
```
openssl dgst -sha256 -verify public_key.pem -signature signature.bin AmazonAthenaODBC-2.1.0.0.rpm
```
検証に成功すると、`Verified OK` のようなメッセージが表示されます。これで、Athena ODBC ドライバーのインストールに進むことができます。
`Verification Failure` のメッセージで失敗した場合、RPM の署名が改ざんされたことを意味します。ステップ 1 で説明した 3 つのファイルがすべて存在し、パスが正しく指定され、ダウンロード後にファイルが変更されていないことを確認し、検証プロセスを再試行してください。
# macOS
Amazon Athena へのアクセスに macOS クライアントコンピューターを使用する場合は、Amazon Athena ODBC ドライバーが必要です。
## macOS システム要件
ドライバーをインストールする macOS コンピューターは、それぞれ以下の最小要件を満たしている必要があります。
+ macOS バージョン 14 以降を使用している。
+ 100 MB のディスク空き容量がある。
+ [iODBC](https://www.iodbc.org/dataspace/doc/iodbc/wiki/iodbcWiki/WelcomeVisitors) のバージョン 3.52.16 以降を使用している。
## macOS への ODBC データコネクタのインストール
macOS オペレーティングシステム用の Amazon Athena ODBC ドライバーをダウンロードしてインストールするには、以下の手順を実行します。
**macOS 用の Amazon Athena ODBC ドライバーをダウンロードしてインストールする**
1. `.pkg` パッケージファイルをダウンロードします。
1. `.pkg` ファイルをダブルクリックします。
1. ウィザードの手順に従ってドライバーをインストールします。
1. **[ライセンス契約]** ページで **[続行]** を押してから、**[同意する]** を選択します。
1. **[インストール]** を選択します。
1. インストールが完了したら、**[完了]** を選択します。
1. 以下のコマンドを入力して、ドライバーがインストールされていることを確認します。
```
> pkgutil --pkgs | grep athenaodbc
```
出力は、システムに応じて以下のいずれかのようになります。
```
com.amazon.athenaodbc-x86_64.Config
com.amazon.athenaodbc-x86_64.Driver
```
または
```
com.amazon.athenaodbc-arm64.Config
com.amazon.athenaodbc-arm64.Driver
```
## macOS でのデータソース名の設定
ドライバーがインストールされると、以下の場所に `.odbc.ini` および `.odbcinst.ini` のサンプルファイルを見つけることができます。
+ Intel プロセッサコンピューター: `/opt/athena/odbc/x86_64/ini/`
+ ARM プロセッサコンピューター: `/opt/athena/odbc/arm64/ini/`
この場所にある `.ini` ファイルを、Amazon Athena ODBC ドライバーとデータソース名 (DSN) の設定例として使用してください。
**注記**
デフォルトで、ODBC ドライバーマネージャーはホームディレクトリにある隠し設定ファイル `.odbc.ini` と `.odbcinst.ini` を使用します。
iODBC ドライバーマネージャーを使用して `.odbc.ini` と `.odbcinst.ini` ファイルへのパスを指定するには、次の手順を実行します。
**iODBC ドライバーマネージャーを使用して ODBC `.ini` ファイルの場所を指定する**
1. `odbc.ini` のファイルのフルパスとファイル名に `ODBCINI` を設定します。
+ Intel プロセッサ搭載の macOS コンピューターでは、以下の構文を使用します。
```
export ODBCINI=/opt/athena/odbc/x86_64/ini/odbc.ini
```
+ ARM プロセッサ搭載の macOS コンピューターでは、以下の構文を使用します。
```
export ODBCINI=/opt/athena/odbc/arm64/ini/odbc.ini
```
1. `odbcinst.ini` のファイルのフルパスとファイル名に `ODBCSYSINI` を設定します。
+ Intel プロセッサ搭載の macOS コンピューターでは、以下の構文を使用します。
```
export ODBCSYSINI=/opt/athena/odbc/x86_64/ini/odbcinst.ini
```
+ ARM プロセッサ搭載の macOS コンピューターでは、以下の構文を使用します。
```
export ODBCSYSINI=/opt/athena/odbc/arm64/ini/odbcinst.ini
```
1. データソース名 (DSN) を使用してデータストアに接続する場合は、`odbc.ini` ファイルを設定してデータソース名 (DSN) を定義します。以下の例にあるように、`odbc.ini` ファイルのプロパティを設定して、データストアの接続情報を指定する DSN を作成します。
```
[ODBC Data Sources]
athena_odbc_test=Amazon Athena ODBC (x64)
[ATHENA_WIDE_SETTINGS] # Special DSN-name to signal driver about logging configuration.
LogLevel=0 # set to 1 to enable ODBC driver logs
UseAwsLogger=0 # set to 1 to enable AWS-SDK logs
LogPath=/opt/athena/odbc/logs/ # Path to store the log files. Permissions to the location are required.
[athena_odbc_test]
Description=Amazon Athena ODBC (x64)
# For ARM:
Driver=/opt/athena/odbc/arm64/lib/libathena-odbc-arm64.dylib
# For Intel:
# Driver=/opt/athena/odbc/x86_64/lib/libathena-odbc-x86_64.dylib
AwsRegion=us-west-1
Workgroup=primary
Catalog=AwsDataCatalog
Schema=default
AuthenticationType=IAM Credentials
UID=
PWD=
S3OutputLocation=s3://amzn-s3-demo-bucket/
```
1. 以下の例にあるように、`odbcinst.ini` ファイルを設定します。
```
[ODBC Drivers]
Amazon Athena ODBC (x64)=Installed
[Amazon Athena ODBC (x64)]
# For ARM:
Driver=/opt/athena/odbc/arm64/lib/libathena-odbc-arm64.dylib
Setup=/opt/athena/odbc/arm64/lib/libathena-odbc-arm64.dylib
# For Intel:
# Driver=/opt/athena/odbc/x86_64/lib/libathena-odbc-x86_64.dylib
# Setup=/opt/athena/odbc/x86_64/lib/libathena-odbc-x86_64.dylib
```
1. Amazon Athena ODBC ドライバーをインストールして設定したら、以下の例にあるように、`iodbctest` コマンドラインツールを使用して接続を確認します。
```
username@ % iodbctest
iODBC Demonstration program
This program shows an interactive SQL processor
Driver Manager: 03.52.1623.0502
Enter ODBC connect string (? shows list): ?
DSN | Driver
------------------------------------------------------------------------------
athena_odbc_test | Amazon Athena ODBC (x64)
Enter ODBC connect string (? shows list): DSN=athena_odbc_test;
Driver: 2.0.2.1 (Amazon Athena ODBC Driver)
SQL>
```
# Athena ODBC 2.x 接続パラメータ
**[Amazon Athena ODBC 設定]** ダイアログボックスのオプションには、**[認証オプション]**、**[詳細オプション]**、**[ロギングオプション]**、**[エンドポイントオーバーライド]**、**[プロキシオプション]** が含まれます。各項目の詳細については、対応するリンク先をご覧ください。
+ [主な ODBC 2.x 接続パラメータ](odbc-v2-driver-main-connection-parameters.md)
+ [認証オプション](odbc-v2-driver-authentication-options.md)
+ [詳細オプション](odbc-v2-driver-advanced-options.md)
+ [ログ記録オプション](odbc-v2-driver-logging-options.md)
+ [エンドポイントオーバーライド](odbc-v2-driver-endpoint-overrides.md)
+ [プロキシオプション](odbc-v2-driver-proxy-options.md)
# 主な ODBC 2.x 接続パラメータ
以下のセクションでは、主な各接続パラメータについて説明します。
## データソース名
データソースの名前を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| DSN | DSN を使用しない接続タイプの場合のオプション | none | DSN=AmazonAthenaOdbcUsWest1; |
## 説明
データソースの説明が含まれます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| 説明 | オプションです。 | none | Description=Connection to Amazon Athena us-west-1; |
## カタログ
データカタログ名を指定します。詳細については、「Amazon Athena API リファレンス」の「[DataCatalog](https://docs.aws.amazon.com/athena/latest/APIReference/API_DataCatalog.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| カタログ | オプションです。 | AwsDataCatalog | Catalog=AwsDataCatalog; |
## リージョン
AWS リージョン を指定します。AWS リージョン の詳細については、「[リージョンとアベイラビリティーゾーン](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AwsRegion | 必須 | none | AwsRegion=us-west-1; |
## データベース
データベース名を指定します。詳細については、「Amazon Athena API リファレンス」の「[Database](https://docs.aws.amazon.com/athena/latest/APIReference/API_Database.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| Schema | オプションです。 | default | Schema=default; |
## Workgroup
ワークグループ名を指定します。詳細については、「Amazon Athena API リファレンス」の「[ワークグループ](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| Workgroup | オプションです。 | primary | Workgroup=primary; |
## 出力場所
クエリ結果が保存される Amazon S3 内の場所を指定します。出力場所の詳細については、「Amazon Athena API リファレンス」の「[ResultConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultConfiguration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| S3OutputLocation | 必須 | none | S3OutputLocation=s3://amzn-s3-demo-bucket/; |
## 暗号化オプション
**[ダイアログパラメータ名]**: 暗号化オプション
暗号化オプションを指定します。暗号化オプションの詳細については、「Amazon Athena API リファレンス」の「[EncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **使用できる値** | **接続文字列の例** |
| --- | --- | --- | --- | --- |
| S3OutputEncOption | オプションです。 | none | NOT\$1SET, SSE\$1S3, SSE\$1KMS, CSE\$1KMS | S3OutputEncOption=SSE\$1S3; |
## KMS キー
暗号化用の KMS キーを指定します。KMS キー用の暗号化設定に関する詳細については、「Amazon Athena API リファレンス」の「[EncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| S3OutputEncKMSKey | オプションです。 | none | S3OutputEncKMSKey=your\$1key; |
## 接続テスト
ODBC データソース管理者には、Amazon Athena への ODBC 2.x 接続をテストするために使用できる **[テスト]** オプションが用意されています。手順については、「[Windows 上でのデータソース名を設定する](odbc-v2-driver-getting-started-windows.md#odbc-v2-driver-configuring-dsn-on-windows)」を参照してください。接続をテストすると、ODBC ドライバーは [GetWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetWorkGroup.html) Athena API アクションをコールします。コールでは、指定した認証タイプと対応する認証情報プロバイダを使用して、認証情報を取得します。ODBC 2.x ドライバーを使用する場合、接続テストは無料です。このテストでは、Amazon S3 バケットにクエリ結果は生成されません。
# 認証オプション
以下の認証タイプを使用して Amazon Athena に接続できます。どのタイプでも、接続文字列名は `AuthenticationType`、パラメータタイプは `Required`、デフォルト値は `IAM Credentials` となります。各認証タイプのパラメータについては、それぞれのリンクを参照してください。一般的な認証パラメータについては、「[一般的な認証パラメータ](odbc-v2-driver-common-authentication-parameters.md)」を参照してください。
****
| 認証タイプ | 接続文字列の例 |
| --- | --- |
| [IAM 認証情報](odbc-v2-driver-iam-credentials.md) | AuthenticationType=IAM Credentials; |
| [IAM プロフィール](odbc-v2-driver-iam-profile.md) | AuthenticationType=IAM Profile; |
| [AD FS](odbc-v2-driver-ad-fs.md) | AuthenticationType=ADFS; |
| [Azure AD](odbc-v2-driver-azure-ad.md) | AuthenticationType=AzureAD; |
| [Browser Azure AD](odbc-v2-driver-browser-azure-ad.md) | AuthenticationType=BrowserAzureAD; |
| [Browser SAML](odbc-v2-driver-browser-saml.md) | AuthenticationType=BrowserSAML; |
| [Browser SSO OIDC](odbc-v2-driver-browser-sso-oidc.md) | AuthenticationType=BrowserSSOOIDC; |
| [デフォルト認証情報](odbc-v2-driver-default-credentials.md) | AuthenticationType=Default Credentials; |
| [外部認証情報](odbc-v2-driver-external-credentials.md) | AuthenticationType=External Credentials; |
| [インスタンスプロファイル](odbc-v2-driver-instance-profile.md) | AuthenticationType=Instance Profile; |
| [JWT](odbc-v2-driver-jwt.md) | AuthenticationType=JWT; |
| [JWT の信頼できる ID の伝播認証情報プロバイダー](odbc-v2-driver-jwt-tip.md) | AuthenticationType=JWT\$1TIP; |
| [ブラウザの信頼できる ID 伝播認証情報](odbc-v2-driver-browser-oidc-tip.md) | AuthenticationType=BrowserOidcTip; |
| [Okta](odbc-v2-driver-okta.md) | AuthenticationType=Okta; |
| [Ping](odbc-v2-driver-ping.md) | AuthenticationType=Ping; |
# IAM 認証情報
IAM 認証情報により、このセクションで説明する接続文字列パラメータを使用して ODBC ドライバーで Amazon Athena に接続できます。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=IAM Credentials; |
## ユーザー ID
AWS アクセスキー ID。アクセスキーの取得に関する詳細については、「IAM ユーザーガイド」の「[AWS セキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UID | 必須 | none | UID=AKIAIOSFODNN7EXAMPLE; |
## パスワード
AWS シークレットキーの ID。アクセスキーの取得に関する詳細については、「IAM ユーザーガイド」の「[AWS セキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| PWD | 必須 | none | PWD=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKE; |
## セッショントークン
一時的な AWS 認証情報を使用している場合は、セッショントークンを指定する必要があります。一時的なセキュリティ認証情報の詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的なセキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| SessionToken | オプションです。 | none | SessionToken=AQoDYXdzEJr...; |
# IAM プロフィール
ODBC ドライバーを使用して、Amazon Athena に接続するように名前付きプロファイルを設定できます。名前付きプロファイルは、次のいずれかの認証情報ソースで使用できます。
+ `Ec2InstanceMetadata` – Amazon EC2 インスタンスメタデータサービス (IMDS) から認証情報を取得します。これは、Amazon EC2 インスタンスで実行するときに使用します。
+ `EcsContainer` – Amazon ECS タスクロールエンドポイントから認証情報を取得します。これは、Amazon ECS コンテナで実行するときに使用します。
+ `Environment` – 環境変数 (`AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY`、`AWS_SESSION_TOKEN`) から認証情報を取得します。
AWS プロファイル設定の `credential_source` パラメータを環境に適した値に設定します。名前付きプロファイルでカスタム認証情報プロバイダを使用する場合は、プロファイル設定で `plugin_name` パラメータの値を指定します。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=IAM Profile; |
## AWS プロファイル
ODBC 接続に使用するプロファイル名。プロファイルの詳細については、「*AWS Command Line Interface ユーザーガイド*」の「[名前付きプロファイルを使用する](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AWS プロファイル | 必須 | none | AWSProfile=default; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。優先ロールパラメータは、カスタム認証情報プロバイダがプロファイル設定の `plugin_name` パラメータで指定されている場合に使用されます。ARN ロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。セッション期間パラメータは、カスタム認証情報プロバイダがプロファイル設定の `plugin_name` パラメータで指定されている場合に使用されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## プラグイン名
名前付きプロファイルで使用される、カスタム認証情報プロバイダの名前を指定します。このパラメータには、ODBC データソース管理者の **[認証タイプ]** フィールドの値と同じ値を指定できますが、`AWSProfile` 設定でのみ使用されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| plugin\$1name | オプションです。 | none | plugin\$1name=AzureAD; |
# AD FS
AD FS は、Active Directory フェデレーションサービス (AD FS) の ID プロバイダと連携する SAML ベースの認証プラグインです。このプラグインは、[統合 Windows 認証](https://learn.microsoft.com/en-us/aspnet/web-api/overview/security/integrated-windows-authentication)とフォームベース認証をサポートしています。統合 Windows 認証を使用する場合は、ユーザー名とパスワードを省略できます。AD FS と Athena の設定に関する詳細については、「[ODBC クライアントを使用して Microsoft AD FS ユーザーに Amazon Athena へのフェデレーテッドアクセスを設定する](odbc-adfs-saml.md)」を参照してください。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=ADFS; |
## ユーザー ID
AD FS サーバーに接続するためのユーザー名。統合 Windows 認証を使用する場合は、ユーザー名を省略できます。AD FS の設定でユーザー名が必要な場合は、接続パラメータでユーザー名を指定する必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UID | Windows 統合認証の場合はオプション | none | UID=domain\$1username; |
## パスワード
AD FS サーバーに接続するためのパスワード。[ユーザー名] フィールドと同様に、統合 Windows 認証を使用する場合はユーザー名を省略できます。AD FS の設定でパスワードが必要な場合は、接続パラメータでパスワードを指定する必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| PWD | Windows 統合認証の場合はオプション | none | PWD=password\$13EXAMPLE; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。SAML アサーションに複数の役割がある場合は、このパラメータを指定して引き受ける役割を選択できます。このロールは SAML アサーションに含まれている必要があります。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## IdP Host
AD FS サービスホストの名前。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1host | 必要 | none | idp\$1host=.; |
## IdP ポート
AD FS ホストへの接続に使用するポート。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1port | 必須 | none | idp\$1port=443; |
## LoginToRP
信頼できる依存パーティ。このパラメータを使用して、AD FS 依存パーティエンドポイント URL を上書きします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| LoginToRP | オプションです。 | urn:amazon:webservices | LoginToRP=trustedparty; |
# Azure AD
Azure AD は Azure AD ID プロバイダと連携する SAML ベースの認証プラグインです。このプラグインは、多要素認証 (MFA) をサポートしません。MFA サポートが必要な場合は、代わりに `BrowserAzureAD` プラグインを使用することを検討してください。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=AzureAD; |
## ユーザー ID
Azure AD に接続するためのユーザー名。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UID | 必須 | none | UID=jane.doe@example.com; |
## パスワード
Azure AD に接続するためのパスワード。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| PWD | 必須 | none | PWD=password\$13EXAMPLE; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:iam::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## テナント ID
アプリケーションのテナント ID を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1tenant | 必須 | none | idp\$1tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
## クライアント ID
アプリケーションのクライアント ID を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| client\$1id | 必須 | none | client\$1id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
## クライアントシークレット
クライアントのシークレットを指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| client\$1secret | 必須 | none | client\$1secret=zG12q\$1.xzG1xxxZ1wX1.\$1ZzXXX1XxkHZizeT1zzZ; |
# Browser Azure AD
Browser Azure AD は Azure AD ID プロバイダと連携する SAML ベースの認証プラグインで、多要素認証をサポートします。標準の Azure AD プラグインとは異なり、このプラグインでは接続パラメータにユーザー名、パスワード、クライアントシークレットは不要です。
**注記**
**v2.1.0.0 セキュリティ更新:** v2.1.0.0 以降、BrowserAzureAD プラグインには OAuth 2.0 認可フローに PKCE (コード交換の証明キー) が含まれています。これにより、共有システムに対する認可コードの傍受攻撃を防ぐことができます。設定の変更は必要ありません。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=BrowserAzureAD; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。SAML アサーションに複数の役割がある場合は、このパラメータを指定して引き受ける役割を選択できます。指定されたロールが SAML アサーションに含まれている必要があります。ARN ロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## テナント ID
アプリケーションのテナント ID を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1tenant | 必須 | none | idp\$1tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
## クライアント ID
アプリケーションのクライアント ID を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| client\$1id | 必須 | none | client\$1id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
## タイムアウト
プラグインが Azure AD からの SAML レスポンスが得られるまで待機するのを停止するまでの時間 (秒単位)。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| タイムアウト | オプションです。 | 120 | timeout=90; |
## Azure ファイルキャッシュを有効にする
一時的な認証情報キャッシュを有効にします。この接続パラメータにより、一時的な認証情報を複数のプロセス間でキャッシュおよび再利用できます。Microsoft Power BI などの BI ツールを使用するとき、このオプションを使用して開かれるブラウザーのウィンドウ数を減らすことができます。
**注記**
v2.1.0.0 以降、キャッシュされた認証情報は、AWS CLI がローカルに保存された認証情報を保護する方法に従って、所有ユーザーに制限されたファイルアクセス許可を持つプレーンテキストの JSON として `user-profile/.athena-odbc/` ディレクトリに保存されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| browser\$1azure\$1cache | オプションです。 | 1 | browser\$1azure\$1cache=0; |
# Browser SAML
Browser SAML は、SAML ベースの ID プロバイダと連携する汎用認証プラグインであり、多要素認証をサポートします。詳細な設定情報については、「[ODBC、SAML 2.0、Okta Identity Provider を使用してシングルサインオンを設定する](okta-saml-sso.md)」を参照してください。
**注記**
**v2.1.0.0 セキュリティ更新:** v2.1.0.0 以降、BrowserSAML プラグインには RelayState 検証による CSRF 保護が含まれています。ドライバーはランダムな状態トークンを生成し、ログイン URL に RelayState パラメータとして含め、SAML アサーションを受け入れる前に受信したレスポンスと照合します。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=BrowserSAML; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。SAML アサーションに複数の役割がある場合は、このパラメータを指定して引き受ける役割を選択できます。このロールは SAML アサーションに含まれている必要があります。ARN ロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## ログイン URL
アプリケーションに表示されるシングルサインオン URL。
**重要**
v2.1.0.0 以降、ログイン URL は有効な権限を持つ HTTP または HTTPS プロトコルを使用する必要があります。ドライバーは、認証フローを開始する前に URL 形式を検証します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| login\$1url | 必須 | none | login\$1url=https://trial-1234567.okta.com/app/trial-1234567\$1oktabrowsersaml\$11/zzz4izzzAzDFBzZz1234/sso/saml; |
## リッスンポート
SAML レスポンスをリッスンするために使用されるポート番号。この値は、IdP を設定した IAM Identity Center の URL (例: `http://localhost:7890/athena`) と一致する必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| listen\$1port | オプションです。 | 7890 | listen\$1port=7890; |
## タイムアウト
プラグインが ID プロバイダからの SAML レスポンスが得られるまで待機するのを停止するまでの時間 (秒単位)。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| タイムアウト | オプションです。 | 120 | timeout=90; |
# Browser SSO OIDC
Browser SSO OIDC は AWS IAM アイデンティティセンター で動作する認証プラグインです。IAM Identity Center を有効にして使用するための情報については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[ステップ 1: IAM Identity Center を有効にする](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)」を参照してください。
**注記**
**v2.1.0.0 セキュリティ更新:** バージョン 2.1.0.0 以降、BrowserSSOOIDC プラグインは、セキュリティを向上させるために、デバイスコード認可ではなく PKCE で認可コードを使用します。この変更により、デバイスコードの表示ステップがなくなり、認証が高速化されます。OAuth 2.0 コールバックサーバーには、新しい `listen_port` パラメータ (デフォルトは 7890) が使用されます。このポートをネットワークで許可リストに登録する必要がある場合があります。デフォルトのスコープが `sso:account:access` に変更されました。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=BrowserSSOOIDC; |
## IAM Identity Center の開始 URL
AWS アクセスポータルの URL。IAM Identity Center の [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API アクションは、この値を `issuerUrl` パラメータに使用します。
**AWS アクセスポータル URL をコピーする方法**
1. AWS マネジメントコンソール にサインインし、AWS IAM アイデンティティセンター コンソールを [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) で開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. **[設定]** ページにある **[ID ソース]** で、**AWS アクセスポータル URL** のクリップボードアイコンを選択します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1start\$1url | 必須 | none | sso\$1oidc\$1start\$1url=https://app\$1id.awsapps.com/start; |
## IAM Identity Center リージョン
SSO が設定されている AWS リージョン。`SSOOIDCClient` および `SSOClient` AWS SDK クライアントは、この値を `region` パラメータに使用します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1region | 必須 | none | sso\$1oidc\$1region=us-east-1; |
## スコープ
クライアントによって定義されるスコープのリスト。承認されると、このリストはアクセストークンが付与されたときの権限を制限します。IAM Identity Center の [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API アクションは、この値を `scopes` パラメータに使用します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1scopes | オプションです。 | sso:account:access | sso\$1oidc\$1scopes=sso:account:access; |
## アカウント ID
ユーザーに割り当てられる AWS アカウント の識別子。IAM Identity Center の [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API は、この値を `accountId` パラメータに使用します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1account\$1id | 必須 | none | sso\$1oidc\$1account\$1id=123456789123; |
## ロール名
ユーザーに割り当てられているロールのわかりやすい名前。このアクセス許可セットに指定した名前は、使用可能なロールとして AWS アクセスポータルに表示されます。IAM Identity Center の [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API アクションは、この値を `roleName` パラメータに使用します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1role\$1name | 必須 | none | sso\$1oidc\$1role\$1name=AthenaReadAccess; |
## タイムアウト
ポーリング SSO API がアクセストークンをチェックする秒数。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1timeout | オプションです。 | 120 | sso\$1oidc\$1timeout=60; |
## リッスンポート
OAuth 2.0 コールバックサーバーに使用するローカルポート番号。これはリダイレクト URI として使用され、ネットワークでこのポートを許可リストに追加する必要がある場合があります。デフォルトで生成されるリダイレクト URI は `http://localhost:7890/athena` です。このパラメータは、PKCE を使用したデバイスコードから認可コードへの移行の一環として v2.1.0.0 に追加されました。
**警告**
Windows ターミナルサーバーやリモートデスクトップサービスなどの共有環境では、ループバックポート(デフォルト:7890)は同一マシン上のすべてのユーザー間で共有されます。システム管理者は、潜在的なポートハイジャックリスクを以下の方法で軽減できます。
ユーザーグループごとに異なるポート番号を設定する
Windows セキュリティポリシーを使用してポートアクセスを制限する
ユーザーセッション間のネットワーク分離を実装する
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| listen\$1port | オプションです。 | 7890 | listen\$1port=8080; |
## ファイルキャッシュを有効にする
一時的な認証情報キャッシュを有効にします。この接続パラメータにより、一時的な認証情報を複数のプロセス間でキャッシュおよび再利用できます。Microsoft Power BI などの BI ツールを使用するとき、このオプションを使用して開かれるブラウザーのウィンドウ数を減らすことができます。
**注記**
v2.1.0.0 以降、キャッシュされた認証情報は、AWS CLI がローカルに保存された認証情報を保護する方法に従って、所有ユーザーに制限されたファイルアクセス許可を持つプレーンテキストの JSON として `user-profile/.athena-odbc/` ディレクトリに保存されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1cache | オプションです。 | 1 | sso\$1oidc\$1cache=0; |
# デフォルト認証情報
クライアントシステムで設定したデフォルトの認証情報を使用して、Amazon Athena に接続できます。デフォルト認証情報の使用に関する詳細については、「AWS SDK for Java デベロッパーガイド」の「[デフォルト認証情報プロバイダチェーンの使用](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/credentials.html#credentials-default)」を参照してください。
## [Authentication type] (認証タイプ)
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=Default Credentials; |
# 外部認証情報
外部認証情報は、任意の外部 SAML ベースの ID プロバイダに接続する際に使用できる汎用認証プラグインです。プラグインを使用するには、SAML レスポンスを返す実行可能ファイルを渡します。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=External Credentials; |
## 実行可能ファイルのパス
カスタム SAML ベースの認証情報プロバイダのロジックが含まれる実行可能ファイルへのパス。実行可能ファイルの出力は、ID プロバイダからの解析された SAML レスポンスである必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ExecutablePath | 必須 | none | ExecutablePath=C:\$1Users\$1user\$1name\$1external\$1credential.exe |
## 引数リスト
実行可能ファイルに渡すべき引数のリスト。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ArgumentList | オプションです。 | none | ArgumentList=arg1 arg2 arg3 |
# インスタンスプロファイル
この認証タイプは EC2 インスタンスで使用され、Amazon EC2 メタデータサービスを通じて提供されます。
## [Authentication type] (認証タイプ)
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=Instance Profile; |
# JWT
JSON ウェブトークン (JWT) プラグインは、JSON ウェブトークンを使用して Amazon IAM ロールを引き受けるインターフェイスを提供します。設定は、ID プロバイダによって異なります。Google Cloud および AWS でのフェデレーション設定については、Google Cloud ドキュメントの「[AWS または Azure との Workload Identity 連携を構成する](https://cloud.google.com/iam/docs/workload-identity-federation-with-other-clouds)」を参照してください。
## [Authentication type] (認証タイプ)
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=JWT; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## JSON ウェブトークン
AWS STS の [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) API アクションを使用して、IAM の一時的な認証情報を取得するために使用される JSON ウェブトークン。Google Cloud プラットフォーム (GCP) ユーザー向けに JSON ウェブトークンを生成するための詳細については、「Google Cloud ドキュメント」の「[JWT OAuth トークンの使用](https://cloud.google.com/apigee/docs/api-platform/security/oauth/using-jwt-oauth)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| web\$1identity\$1token | 必須 | none | web\$1identity\$1token=eyJhbGc...; |
## ロールセッション名
セッションの名前。アプリケーションのユーザーの名前あるいは識別子をロールセッション名として使用するのが一般的なテクニックです。これにより、アプリケーションが使用する一時的なセキュリティ認証情報を、該当するユーザーと簡単に関連付けられます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必須 | none | role\$1session\$1name=familiarname; |
# JWT の信頼できる ID の伝播認証情報プロバイダー
この認証タイプでは、外部 ID プロバイダーから取得した JSON Web トークン (JWT) を接続パラメータとして使用して Athena で認証できます。このプラグインを使用すると、信頼できる ID の伝播による企業 ID のサポートを有効にすることができます。
信頼できる ID の伝播では、ID コンテキストが IAM ロールに追加され、AWS リソースへのアクセスをリクエストするユーザーを識別します。信頼できる ID の伝播の有効化と使用方法の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)」を参照してください。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=JWT\$1TIP; |
## JWT ウェブ ID トークン
外部のフェデレーション ID プロバイダーから取得した JWT トークン。このトークンは Athena での認証に使用されます。トークンキャッシュはデフォルトで有効になっており、複数のドライバー接続にわたって同じ IAM Identity Center アクセストークンの使用が許可されます。交換されたトークンはドライバーインスタンスがアクティブな間のみ存在するため、「接続のテスト」時に新しい JWT トークンを提供することをお勧めします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| web\$1identity\$1token | 必須 | none | web\$1identity\$1token=eyJhbGc...; |
## ワークグループ ARN
Amazon Athena ワークグループの Amazon リソースネーム (ARN)。ワークグループの詳細については、「[ワークグループ](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| WorkGroupArn | 必須 | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
## JWT アプリケーションロール ARN
引き受けるロールの ARN。このロールは、JWT 交換、ワークグループタグによる IAM Identity Center カスタマーマネージドアプリケーション ARN の取得、アクセスロール ARN の取得に使用されます。ロールの引き受けの詳細については、「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ApplicationRoleArn | 必須 | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
## ロールセッション名
セッションの名前。どのようなものでもかまいませんが、通常は、アプリケーションを使用するユーザーに関連付けられている名前または識別子を渡します。そうすると、アプリケーションが使用する一時的なセキュリティ認証情報は、そのユーザーに関連付けられます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必須 | none | role\$1session\$1name=familiarname; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 3600 | duration=900; |
## JWT アクセスロール ARN
引き受けるロールの ARN。これは、ユーザーに代わって呼び出すために Athena が引き受けるロールです。ロールの引き受けの詳細については、「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AccessRoleArn | オプションです。 | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
## IAM Identity Center カスタマーマネージドアプリケーション ARN
IAM Identity Center カスタマーマネージド IDC アプリケーションの ARN。カスタマーマネージドアプリケーションの詳細については、「[カスタマーマネージドアプリケーション](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | オプションです。 | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333 |
## ファイルキャッシュを有効にする
一時的な認証情報キャッシュを有効にします。この接続パラメータにより、一時的な認証情報をキャッシュして複数のプロセス間で再利用できます。Microsoft Power BI などの BI ツールを使用するときに、このオプションを使用してウェブ ID トークンの数を減らすことができます。デフォルトでは、ドライバーは Windows の `%USERPROFILE%` と `HOME` パスを使用してファイルキャッシュを書き込みます。エクスペリエンスを向上させるために、これら 2 つの環境変数に存在するパスの読み取りおよび書き込みアクセスを提供するようにしてください。
**注記**
v2.1.0.0 以降、キャッシュされた認証情報は、AWS CLI がローカルに保存された認証情報を保護する方法に従って、所有ユーザーに制限されたファイルアクセス許可を持つプレーンテキストの JSON として `user-profile/.athena-odbc/` ディレクトリに保存されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| JwtTipFileCache | オプションです。 | 0 | JwtTipFileCache=1; |
# ブラウザの信頼できる ID 伝播認証情報
この認証タイプでは、外部 ID プロバイダーから新規の JSON Web トークン (JWT) を取得して Athena で認証できます。このプラグインを使用すると、信頼できる ID の伝播による企業 ID のサポートを有効にすることができます。ドライバーで信頼できる ID の伝播を使用する方法の詳細については、「[Amazon Athena ドライバーで信頼できる ID の伝播を使用する](using-trusted-identity-propagation.md)」を参照してください。[CloudFormation を使用してリソースを設定およびデプロイする](using-trusted-identity-propagation-cloudformation.md)こともできます。
信頼できる ID の伝播では、ID コンテキストが IAM ロールに追加され、AWS リソースへのアクセスをリクエストするユーザーを識別します。信頼できる ID の伝播の有効化と使用方法の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)」を参照してください。
**注記**
このプラグインは、シングルユーザーデスクトップ環境向けに特別に設計されています。Windows Server などの共有環境では、システム管理者がユーザー間のセキュリティ境界を確立して維持する責任を負います。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | none | AuthenticationType=BrowserOidcTip; |
## IDP well known configuration URL
IDP Well Known Configuration URL は、ID プロバイダーの OpenID Connect 設定の詳細を提供するエンドポイントです。この URL は通常、`.well-known/openid-configuration` で終わり、認証エンドポイント、サポートされている機能、トークン署名キーに関する必須メタデータが含まれています。たとえば、*Okta* を使用している場合、URL は `https://your-domain.okta.com/.well-known/openid-configuration` のようになります。
トラブルシューティング:接続エラーが発生した場合は、この URL がネットワークからアクセス可能なものであり、有効な *OpenID Connect* 設定 JSON を返すことを確認します。URL は、ドライバーがインストールされているクライアントが到達できるものでなければならず、ID プロバイダーの管理者から提供される必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| IdpWellKnownConfigurationUrl | 必須 | none | IdpWellKnownConfigurationUrl=https:///.well-known/openid-configuration; |
## クライアント識別子
OpenID Connect プロバイダーがアプリケーションに対して発行したクライアント識別子。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| client\$1id | 必須 | none | client\$1id=00001111-aaaa-2222-bbbb-3333cccc4444; |
## ワークグループ ARN
信頼できる ID の伝搬設定タグを含む Amazon Athena ワークグループの Amazon リソースネーム(ARN)。ワークグループの詳細については、「[ワークグループ](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)」を参照してください。
**注記**
このパラメータは、クエリの実行場所を指定する `Workgroup` パラメータとは異なります。次の両方のパラメータを設定する必要があります。
`WorkgroupArn` - 信頼できる ID の伝搬設定タグを含むワークグループを指す
`Workgroup` - クエリを実行するワークグループを指定する
これらは通常、同じワークグループを参照しますが、適切なオペレーションのために両方のパラメータを明示的に設定する必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| WorkGroupArn | 必須 | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
## JWT アプリケーションロール ARN
JWT 交換で継承されるロールの ARN。このロールは、JWT 交換、ワークグループタグによる IAM Identity Center カスタマーマネージドアプリケーション ARN の取得、アクセスロール ARN の取得に使用されます。ロールの引き受けの詳細については、「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ApplicationRoleArn | 必須 | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
## ロールセッション名
IAM セッションの名前。どのようなものでもかまいませんが、通常は、アプリケーションを使用するユーザーに関連付けられている名前または識別子を渡します。そうすると、アプリケーションが使用する一時的なセキュリティ認証情報は、そのユーザーに関連付けられます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必須 | none | role\$1session\$1name=familiarname; |
## クライアントシークレット
クライアントシークレットは、アプリケーションの認証に利用している ID プロバイダーによって発行された機密キーです。このパラメータはオプションであり、すべての認証フローに必須ではない場合がありますが、使用するとセキュリティレイヤーが追加されます。IDP 設定にクライアントシークレットが必要な場合は、ID プロバイダー管理者から提供された値をこのパラメータに含める必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| client\$1secret | オプションです。 | none | client\$1secret=s0m3R@nd0mS3cr3tV@lu3Th@tS3cur3lyPr0t3ct5Th3Cl13nt;\$1 |
## スコープ
スコープでは、アプリケーションが ID プロバイダーに要求するアクセス権限のレベルを指定します。重要なユーザー ID クレームを含む ID トークンを受け取るには、`openid` をスコープに含める必要があります。ID プロバイダー(*Microsoft Entra ID* など)が ID トークンに含めるように設定されているユーザークレームによっては、`email` や `profile` などの追加のアクセス許可をスコープに含める必要がある場合があります。これらのクレームは、適切な「*信頼できる ID の伝搬*」マッピングに不可欠です。ユーザー ID マッピングが失敗した場合、必要なすべてのアクセス許可がスコープに含まれており、必要なクレームを ID トークンに含めるように ID プロバイダーが設定されていることを確認します。これらのクレームは、IAM アイデンティティセンターの「*信頼できるトークン発行者*」マッピング設定と一致する必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| スコープ | オプションです。 | openid email offline\$1access | Scope=openid email; |
## セッション期間
ロールセッションの期間 (秒)。詳細については、「[AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 3600 | duration=900; |
## JWT アクセスロール ARN
Athena がユーザーに代わって呼び出しを行うために引き受けるロールの ARN。引き受けるロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AccessRoleArn | オプションです。 | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
## IAM Identity Center カスタマーマネージドアプリケーション ARN
IAM Identity Center カスタマーマネージド IDC アプリケーションの ARN。カスタマーマネージドアプリケーションの詳細については、「[カスタマーマネージドアプリケーション](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | オプションです。 | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333; |
## ID プロバイダーのポート番号
OAuth 2.0 コールバックサーバーに使用するローカルポート番号。これは redirect\$1uri として使用されます。これを IDP アプリケーションの許可リストに登録する必要があります。デフォルトで生成される redirect\$1uri は、http://localhost:7890/athena です。
**警告**
Windows ターミナルサーバーやリモートデスクトップサービスなどの共有環境では、ループバックポート(デフォルト:7890)は同一マシン上のすべてのユーザー間で共有されます。システム管理者は、潜在的なポートハイジャックリスクを以下の方法で軽減できます。
ユーザーグループごとに異なるポート番号を設定する
Windows セキュリティポリシーを使用してポートアクセスを制限する
ユーザーセッション間のネットワーク分離を実装する
これらのセキュリティコントロールを実装できない場合は、ループバックポートを必要としない「[JWT の信頼できる ID の伝搬](odbc-v2-driver-jwt-tip.md)」プラグインの使用をお勧めします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| listen\$1port | オプションです。 | 7890 | listen\$1port=8080; |
## ID プロバイダーの応答タイムアウト
OAuth 2.0 コールバック応答を待機するタイムアウト(秒単位)。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| IdpResponseTimeout | オプションです。 | 120 | IdpResponseTimeout=140; |
## ファイルキャッシュを有効にする
JwtTipFileCache パラメータは、ドライバーが接続間で認証トークンをキャッシュするかどうかを決定します。JwtTipFileCache を true に設定すると、認証プロンプトが減るのでユーザーエクスペリエンスが向上しますが、慎重に使用する必要があります。この設定は、シングルユーザーデスクトップ環境に最適です。Windows Server などの共有環境では、同様の接続文字列を持つユーザー間でのトークン共有を予防するために、これを無効にしておくことをお勧めします。
PowerBI Server などのツールを使用したエンタープライズデプロイの場合は、この認証方法の代わりに「[JWT の信頼できる ID の伝搬](odbc-v2-driver-jwt-tip.md)」プラグインを使用することをお勧めします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| JwtTipFileCache | オプションです。 | 0 | JwtTipFileCache=1; |
# Okta
Okta は Okta ID プロバイダと連携する SAML ベースの認証プラグインです。Okta と Amazon Athena のフェデレーションを設定するための情報については、「[Okta プラグインと Okta ID プロバイダを使用して ODBC 用 の SSO を設定する](odbc-okta-plugin.md)」を参照してください。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=Okta; |
## ユーザー ID
Okta のユーザー名。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UID | 必須 | none | UID=jane.doe@org.com; |
## パスワード
Okta ユーザーのパスワード。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| PWD | 必須 | none | PWD=oktauserpasswordexample; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## IdP Host
Okta 組織の URL。Okta アプリケーションの **[埋め込みリンク]** URL から、`idp_host` パラメータを抽出できます。手順については、「[Okta から ODBC の設定情報を取得する](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)」を参照してください。`https://` の後に続く最初のセグメントから `okta.com` までは、IdP ホストです (例: `http://trial-1234567.okta.com`)。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1host | 必須 | None | idp\$1host=dev-99999999.okta.com; |
## IdP ポート
IdP ホストへの接続に使用するポート番号。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1port | 必須 | None | idp\$1port=443; |
## Okta アプリ ID
アプリケーション用の 2 つの部分で構成される識別子です。Okta アプリケーションの **[埋め込みリンク]** URL から、`app_id` パラメータを抽出できます。手順については、「[Okta から ODBC の設定情報を取得する](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)」を参照してください。アプリケーション ID は、URL の最後の 2 つのセグメントで、中央のスラッシュも含まれます。これら 2 つのセグメントは、数字と大文字と小文字が混在する 20 文字の文字列 2 組です (例: `Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4`)。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| app\$1id | 必須 | None | app\$1id=0oa25kx8ze9A3example/alnexamplea0piaWa0g7; |
## Okta アプリ名
Okta アプリケーションの名前。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| app\$1name | 必須 | None | app\$1name=amazon\$1aws\$1redshift; |
## Okta の待機時間
多要素認証 (MFA) コードを取得するまで待機する時間を、秒単位で指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| okta\$1mfa\$1wait\$1time | オプションです。 | 10 | okta\$1mfa\$1wait\$1time=20; |
## Okta MFA タイプ
MFA ファクターのタイプ。サポートされているタイプは、Google 認証システム、SMS (Okta)、プッシュ通知付き Okta Verify、および TOTP 付き Okta Verify です。個々の組織のセキュリティポリシーによって、ユーザーのログインに MFA が必要かどうかが決まります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **使用できる値** | **接続文字列の例** |
| --- | --- | --- | --- | --- |
| okta\$1mfa\$1type | Optional | None | googleauthenticator, smsauthentication, oktaverifywithpush, oktaverifywithtotp | okta\$1mfa\$1type=oktaverifywithpush; |
## Okta 電話番号
AWS SMS 認証に使用する電話番号。このパラメータは、多要素登録にのみ必要です。携帯電話番号がすでに登録されている、またはセキュリティポリシーで AWS SMS 認証が使用されていない場合は、このフィールドは無視してかまいません。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| okta\$1mfa\$1phone\$1number | MFA 登録には必須、それ以外の場合はオプション | None | okta\$1mfa\$1phone\$1number=19991234567; |
## Okta ファイルキャッシュを有効にする
一時的な認証情報キャッシュを有効にします。この接続パラメータにより、一時的な認証情報をキャッシュし、BI アプリケーションが開いた複数のプロセス間で再利用できます。このオプションを使用して Okta API のスロットリング制限を回避します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| okta\$1cache | オプションです。 | 0 | okta\$1cache=1; |
# Ping
Ping は [PingFederate](https://www.pingidentity.com/en/platform/capabilities/authentication-authority/pingfederate.html) ID プロバイダと連携する SAML ベースのプラグインです。
## [Authentication type] (認証タイプ)
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=Ping; |
## ユーザー ID
PingFederate サーバーのユーザー名。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| UID | 必須 | none | UID=pingusername@domain.com; |
## パスワード
PingFederate サーバーのパスワード。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| PWD | 必須 | none | PWD=pingpassword; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。SAML アサーションに複数の役割がある場合は、このパラメータを指定して引き受ける役割を選択できます。このロールは SAML アサーションに含まれている必要があります。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:iam::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## IdP Host
Ping サーバーのアドレス。アドレスを確認するには、次の URL にアクセスして **[SSO アプリケーションエンドポイント]** フィールドを確認してください。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1host | 必須 | none | idp\$1host=ec2-1-83-65-12.compute-1.amazonaws.com; |
## IdP ポート
IdP ホストへの接続に使用するポート番号。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1port | 必須 | None | idp\$1port=443; |
## パートナー SPID
サービスプロバイダのアドレス。サービスプロバイダのアドレスを確認するには、次の URL にアクセスして **[SSO アプリケーションエンドポイント]** フィールドを確認してください。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| partner\$1spid | 必須 | None | partner\$1spid=https://us-east-1.signin.aws.amazon.com/platform/saml/<...>; |
## Ping URI パラメータ
認証リクエストの URI 引数を Ping に渡します。このパラメータを使用して Lake Formation のシングルロール制限を回避します。渡されたパラメータを認識するように Ping を設定し、渡されたロールがユーザーに割り当てられたロールのリストに存在することを確認します。次に SAML アサーションで 1 つのロールを送信します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| ping\$1uri\$1param | オプションです。 | None | ping\$1uri\$1param=role=my\$1iam\$1role; |
# 一般的な認証パラメータ
このセクションのパラメータは、前述のように認証タイプに共通です。
## IdP にプロキシを使用する
プロキシを介したドライバーと IdP 間の通信を有効にします。このオプションは、以下の認証プラグインで使用できます。
+ AD FS
+ Azure AD
+ Browser Azure AD
+ Browser SSO OIDC
+ JWT の信頼できる ID の伝播
+ JWT
+ JWT の信頼できる ID の伝播
+ ブラウザの信頼できる ID 伝播
+ Okta
+ Ping
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseProxyForIdP | オプションです。 | 0 | UseProxyForIdP=1; |
## Lake Formation の使用
[AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) AWS STS API アクションの代わりに [AssumeDecoratedRoleWithSAML](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) Lake Formation API アクションを使用して、一時的な IAM 認証情報を取得します。このオプションは、Azure AD、Browser Azure AD、Browser SAML、Okta、Ping、および AD FS 認証プラグインで使用できます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| LakeformationEnabled | オプションです。 | 0 | LakeformationEnabled=1; |
## SSL インセキュア (IdP)
IdP と通信するときに SSL を無効にします。このオプションは、Azure AD、Browser Azure AD、Okta、Ping、および AD FS 認証プラグインで使用できます。
**重要**
**v2.1.0.0 の大幅な変更:** ID プロバイダーへの接続時の SSL 証明書検証のデフォルトの動作が変更されました。2.1.0.0 より前のバージョンでは、SSL 検証はデフォルトで無効になっています。v2.1.0.0 以降、SSL 検証はすべての IdP 接続でデフォルトで有効になっています。また、ドライバーは TLS 1.2 を最小 TLS バージョンとして適用します。有効な SSL 証明書がないローカル ID プロバイダーを使用する場合 (テスト目的のみ)、接続文字列に `SSL_Insecure=1` を設定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| SSL\$1Insecure | オプションです。 | 0 | SSL\$1Insecure=1; |
# エンドポイントオーバーライド
## Athena エンドポイントオーバーライド
`endpointOverride ClientConfiguration` クラスはこの値を使用して Amazon Athena クライアントのデフォルトの HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| EndpointOverride | オプションです。 | none | EndpointOverride=athena.us-west-2.amazonaws.com; |
## Athena ストリーミングエンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドはこの値を使用して Amazon Athena ストリーミングクライアントのデフォルトの HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。Athena ストリーミングサービスはポート 444 から利用できます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| StreamingEndpointOverride | オプションです。 | none | StreamingEndpointOverride=athena.us-west-1.amazonaws.com:444; |
## AWS STS エンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドはこの値を使用して AWS STS クライアントのデフォルトの HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| StsEndpointOverride | オプションです。 | none | StsEndpointOverride=sts.us-west-1.amazonaws.com; |
## Lake Formation エンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドはこの値を使用して Lake Formation クライアントのデフォルトの HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| LakeFormationEndpointOverride | オプションです。 | none | LakeFormationEndpointOverride=lakeformation.us-west-1.amazonaws.com; |
## SSO エンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドは、この値を使用して SSO クライアントのデフォルト HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| SSOEndpointOverride | オプションです。 | none | SSOEndpointOverride=portal.sso.us-east-2.amazonaws.com; |
## SSO OIDC エンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドは、この値を使用して SSO OIDC クライアントのデフォルト HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| SSOOIDCEndpointOverride | オプションです。 | none | SSOOIDCEndpointOverride=oidc.us-east-2.amazonaws.com |
## SSO Admin エンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドは、この値を使用して SSO Admin クライアントのデフォルト HTTP エンドポイントをオーバーライドします。詳細については、「[ClientConfiguration](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| SSOAdminEndpointOverride | オプションです。 | なし | SSOAdminEndpointOverride=sso.us-east-2.amazonaws.com |
## S3 エンドポイントオーバーライド
`ClientConfiguration.endpointOverride` メソッドはこの値を使用して S3 クライアントのデフォルトの HTTP エンドポイントをオーバーライドします。ドライバーが Amazon S3 フェッチャーを使用するとき、クエリ結果をダウンロードするために使用するエンドポイント。このパラメータが指定されていない場合、ドライバーはデフォルトの Amazon S3 エンドポイントを使用します。詳細については、「[ClientConfiguration](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| S3EndpointOverride | オプションです。 | なし | S3EndpointOverride=s3.us-east-2.amazonaws.com |
# 詳細オプション
## フェッチサイズ
このリクエストで返す結果 (行) の最大数。パラメータ情報については、「[GetQuery MaxResults](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetQueryResults.html#athena-GetQueryResults-request-MaxResults)」を参照してください。ストリーミング API の場合、最大値は 10000000 です。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| RowsToFetchPerBlock | オプションです。 | 非ストリーミング用の `1000` ストリーミング用の `20000` | RowsToFetchPerBlock=20000; |
## 結果フェッチャー
デフォルトの結果フェッチャーは、Athena API オペレーションを使用せずに Amazon S3 から直接クエリ結果をダウンロードします。直接 S3 ダウンロードが不可能な状況を検出すると、`GetQueryResultsStream` API オペレーションの使用に自動的にフォールバックします。例えば、クエリ結果が `CSE_KMS` オプションで暗号化されている場合に、この状況が発生します。
ほとんどの場合、`auto` フェッチャーを使用することをお勧めします。しかし、IAM ポリシーまたは S3 バケットポリシーが `s3:CalledVia` 条件を使用して Athena からの S3 オブジェクトリクエストへのアクセスを制限する場合、自動フェッチャーは最初に S3 からの結果のダウンロードを試行し、その後に `GetQueryResultsStream` を使用するためにフォールバックします。この場合、追加の API コールを回避するために `ResultFetcher` を `GetQueryResultsStream` に設定できます。
**注記**
ドライバーは引き続き、Enable streaming API (`UseResultsetStreaming=1;`) および Enable S3 fetcher (`EnableS3Fetcher=1;`) パラメータを認識します。ただし、より良いエクスペリエンスのために、`ResultFetcher` パラメータを使用することをお勧めします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **使用できる値** | **接続文字列の例** |
| --- | --- | --- | --- | --- |
| ResultFetcher | オプションです。 | auto | auto, S3, GetQueryResults, GetQueryResultsStream | ResultFetcher=auto |
## 結果の再利用を有効にする
クエリの実行時に以前のクエリ結果を再利用できるかどうかを指定します。パラメータ情報については、「ResultReuseByAgeConfiguration」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| EnableResultReuse | オプションです。 | 0 | EnableResultReuse=1; |
## 結果再利用の上限有効期間
Athena が再利用を検討するべき以前のクエリ結果の最大保存期間を、分単位で指定します。パラメータ情報については、「[ResultReuseByAgeConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultReuseByAgeConfiguration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ReusedResultMaxAgeInMinutes | オプションです。 | 60 | ReusedResultMaxAgeInMinutes=90; |
## 複数の S3 スレッドを使用する
複数のスレッドを使用して Amazon S3 からデータを取得します。このオプションを有効にすると、Amazon S3 バケットに保存された結果ファイルが、複数のスレッドを使用して同時に取得されます。
このオプションは、ネットワーク帯域幅が十分である場合にのみ有効にしてください。例えば、EC2 [c5.2xlarge](https://aws.amazon.com/ec2/instance-types/c5/) インスタンスでの測定では、シングルスレッドの S3 クライアントは 1 Gbps に達し、マルチスレッドの S3 クライアントではネットワークスループットが 4 Gbps に達しました。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseMultipleS3Threads | オプションです。 | 0 | UseMultipleS3Threads=1; |
## 単一のカタログとスキーマを使用
デフォルトでは、ODBC ドライバーは Athena にクエリを実行して、使用可能なカタログとスキーマのリストを取得します。このオプションでは、[ODBC データソースの管理者] 設定ダイアログボックスまたは接続パラメータで指定されたカタログとスキーマをドライバーに強制的に使用させます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseSingleCatalogAndSchema | オプションです。 | 0 | UseSingleCatalogAndSchema=1; |
## クエリを使用してテーブルをリストする
`LAMBDA` カタログ型の場合に、ODBC ドライバーが [SHOW TABLES](show-tables.md) クエリを送信して利用可能なテーブルのリストを取得できるようにします。この設定はデフォルトです。このパラメータが 0 に設定されていると、ODBC ドライバーは Athena [ListTableMetadata](https://docs.aws.amazon.com/athena/latest/APIReference/API_ListTableMetadata.html) API を使用して利用可能なテーブルのリストを取得します。`LAMBDA` カタログ型では、`ListTableMetadata` の使用がパフォーマンスの低下につながることに注意してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseQueryToListTables | オプションです。 | 1 | UseQueryToListTables=1; |
## 文字列型に WCHAR を使用する
デフォルトで、ODBC ドライバーは Athena 文字列型 `char`、`varchar`、`string`、`array`、`map<>`、`struct<>`、および `row` に、`SQL_CHAR` と `SQL_VARCHAR` を使用します。このパラメータを `1` に設定すると、文字列型への `SQL_WCHAR` と `SQL_WVARCHAR` の使用をドライバーに強制します。ワイド文字型とワイド可変文字型は、異なる言語からの文字が正しく保存および取得されることを確実にするために使用されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseWCharForStringTypes | オプションです。 | 0 | UseWCharForStringTypes=1; |
## 外部カタログをクエリする
ドライバーが Athena から外部カタログをクエリする必要があるかどうかを指定します。詳細については、「[ODBC 2.x ドライバーに移行する](odbc-v2-driver-migrating.md)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| QueryExternalCatalogs | オプションです。 | 0 | QueryExternalCatalogs=1; |
## SSL の検証
AWS SDK を使用するときに、SSL 証明書を検証するかどうかを管理します。この値は `ClientConfiguration.verifySSL` パラメータに渡されます。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| VerifySSL | オプションです。 | 1 | VerifySSL=0; |
## S3 結果のブロックサイズ
1 回の Amazon S3 [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) API リクエストでダウンロードするブロックのサイズをバイト単位で指定します。デフォルト値は 67108864 (64 MB) です。許容される最小値と最大値は 10485760 (10 MB) と 2146435072 (約 2 GB) です。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| S3ResultBlockSize | オプションです。 | 67108864 | S3ResultBlockSize=268435456; |
## 文字列の列長
`string` データ型の列の列長を指定します。Athena は精度が定義されていない [Apache Hive 文字列データ型](https://cwiki.apache.org/confluence/display/Hive/LanguageManual+Types#LanguageManualTypes-StringsstringStrings)を使用するため、Athena が報告するデフォルト長は 2147483647 (`INT_MAX`) になります。通常、BI ツールは列のメモリを事前に割り当てるため、メモリ消費量の増加につながる可能性があります。これを回避するため、Athena ODBC ドライバーは `string` データ型の列について報告される精度を制限するとともに、`StringColumnLength` 接続パラメータを公開してデフォルト値を変更できるようにします。
****
| 接続文字列名 | パラメータタイプ | デフォルトの値 | 接続文字列の例 |
| --- | --- | --- | --- |
| StringColumnLength | オプションです。 | 255 | StringColumnLength=65535; |
## 複合型の列長
`map`、`struct`、および `array` といった複合データ型の列の列長を指定します。[StringColumnLength](#odbc-v2-driver-advanced-options-string-column-length) と同様に、Athena は複合データ型の列にも 0 精度を報告します。Athena ODBC ドライバーは、複合データ型の列のデフォルト精度を設定するとともに、`ComplexTypeColumnLength` 接続パラメータを公開してデフォルト値を変更できるようにします。
****
| 接続文字列名 | パラメータタイプ | デフォルトの値 | 接続文字列の例 |
| --- | --- | --- | --- |
| ComplexTypeColumnLength | オプションです。 | 65535 | ComplexTypeColumnLength=123456; |
## 信頼できる CA 証明書
SSL 証明書の信頼ストアの場所を HTTP クライアントに指示します。この値は `ClientConfiguration.caFile` パラメータに渡されます。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| TrustedCerts | オプションです。 | %INSTALL\$1PATH%/bin | TrustedCerts=C:\$1\$1Program Files\$1\$1Amazon Athena ODBC Driver\$1\$1bin\$1\$1cacert.pem; |
## 最小ポーリング時間
Athena にクエリ実行ステータスをポーリングする前に、待機する最小値をミリ秒単位で指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| MinQueryExecutionPollingInterval | オプションです。 | 100 | MinQueryExecutionPollingInterval=200; |
## 最大ポーリング時間
Athena にクエリ実行ステータスをポーリングする前に、待機する最大値をミリ秒単位で指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| MaxQueryExecutionPollingInterval | オプションです。 | 60000 | MaxQueryExecutionPollingInterval=1000; |
## ポーリングの乗数
ポーリング時間を延長する要素を指定します。デフォルトでは、ポーリングは最小ポーリング時間の値から始まり、最大ポーリング時間の値に達するまでポーリングごとに倍増します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| QueryExecutionPollingIntervalMultiplier | オプションです。 | 2 | QueryExecutionPollingIntervalMultiplier=2; |
## 最大ポーリング時間
ドライバーは Athena にクエリ実行ステータスをポーリングできる時間の最大値をミリ秒単位で指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| MaxPollDuration | オプションです。 | 1800000 | MaxPollDuration=1800000; |
## 接続タイムアウト
接続を確立するまでに HTTP 接続が待機する時間 (ミリ秒単位)。この値は `ClientConfiguration.connectTimeoutMs` Athena クライアントで設定されます。指定されていない場合、curl デフォルト値が使用されます。接続パラメータに関する詳細については、「AWS SDK for Java デベロッパーガイド」の「[クライアント設定](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/section-client-configuration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| [ConnectionTimeout] | オプションです。 | 0 | ConnectionTimeout=2000; |
## リクエストのタイムアウト
HTTP クライアントのソケット読み取りのタイムアウト値を指定します。この値は Athena クライアントの `ClientConfiguration.requestTimeoutMs` パラメータで設定します。詳細については、「AWS SDK for Java デベロッパーガイド」の「[クライアント設定](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/section-client-configuration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| RequestTimeout | オプションです。 | 10000 | RequestTimeout=30000; |
# プロキシオプション
## プロキシのホスト
ユーザーにプロキシ経由のログインを要求する場合は、このパラメータを使用してプロキシホストを設定します。このパラメータは、AWS SDK 内の `ClientConfiguration.proxyHost` パラメータに対応します。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ProxyHost | オプションです。 | none | ProxyHost=127.0.0.1; |
## プロキシのポート
このパラメータを使用して、プロキシポートを設定します。このパラメータは、AWS SDK 内の `ClientConfiguration.proxyPort` パラメータに対応します。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ProxyPort | オプションです。 | none | ProxyPort=8888; |
## プロキシのユーザー名
このパラメータを使用して、プロキシのユーザー名を設定します。このパラメータは、AWS SDK 内の `ClientConfiguration.proxyUserName` パラメータに対応します。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ProxyUID | オプションです。 | none | ProxyUID=username; |
## プロキシのパスワード
このパラメータを使用して、プロキシのパスワードを設定します。このパラメータは、AWS SDK 内の `ClientConfiguration.proxyPassword` パラメータに対応します。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ProxyPWD | オプションです。 | none | ProxyPWD=password; |
## 非プロキシホスト
このオプションパラメータを使用して、ドライバーがプロキシを使用せずに接続するホストを指定します。このパラメータは、AWS SDK 内の `ClientConfiguration.nonProxyHosts` パラメータに対応します。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
`NonProxyHost` 接続パラメータは、curl の `CURLOPT_NOPROXY` オプションに渡されます。`CURLOPT_NOPROXY` 形式の詳細については、curl のドキュメントで「[CURLOPT\$1NOPROXY](https://curl.se/libcurl/c/CURLOPT_NOPROXY.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| NonProxyHost | オプションです。 | none | NonProxyHost=.amazonaws.com,localhost,.example.net,.example.com; |
## プロキシの使用
指定されたプロキシを経由するユーザートラフィックを有効にします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseProxy | オプションです。 | none | UseProxy=1; |
# ログ記録オプション
**警告**
**セキュリティ:** 詳細レベル (DEBUG または TRACE) でログ記録が有効になっている場合、ドライバーが使用する AWS SDK は、認証トークンや認証情報などの機密情報をプレーンテキストでログに記録することがあります。詳細なログ記録はトラブルシューティングにのみ使用し、ログファイルが安全に保存され、使用後に削除されていることを確認します。本番環境で詳細なログ記録を有効にしないでください。
ここで説明する設定を変更するには、管理者権限が必要です。変更するには、ODBC データソース管理者の **[ロギングオプション]** ダイアログボックスを使用するか、Windows レジストリを直接変更します。
## ログレベル
このオプションは、詳細レベルが異なる ODBC ドライバーのログを有効にするものです。Windows では、レジストリまたはダイアログボックスを使用してログ記録を設定できます。オプションは次のレジストリパスにあります。
```
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Amazon Athena\ODBC\Driver
```
以下のログレベルが使用可能です。
+ `OFF` - ログ記録は無効
+ `ERROR` - エラーメッセージのみがログに記録される
+ `WARN` - 警告メッセージとエラーがログに記録される
+ `INFO` - 情報メッセージ、警告、エラーがログに記録される
+ `DEBUG` - 詳細なデバッグ情報とすべての下位レベルメッセージがログに記録される
+ `TRACE` - 最も詳細なレベルのログ記録で、すべてのメッセージが含まれる
**注記**
各ログレベルには、それ以下のレベルからのすべてのメッセージが含まれます。ログレベルが高いと、パフォーマンスに影響し、ログファイルが大きくなる可能性があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| LogLevel | オプションです。 | OFF | LogLevel=INFO; |
## ログパス
ODBC ドライバーログが保存されているファイルへのパスを指定します。レジストリまたはダイアログボックスを使用して、この値を設定できます。オプションは次のレジストリパスにあります。
```
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Amazon Athena\ODBC\Driver
```
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| LogPath | オプションです。 | none | LogPath=C:\$1Users\$1username\$1projects\$1internal\$1trunk\$1; |
## AWS ロガーを使用する
AWS SDK ロギングを有効にするかどうかを指定します。有効にするには 1 を、無効にするには 0 を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseAwsLogger | オプションです。 | 0 | UseAwsLogger=1; |
# ODBC 2.x ドライバーに移行する
ほとんどの Athena ODBC 2.x 接続パラメータは ODBC 1.x ドライバーとの下位互換性があるため、既存の接続文字列のほとんどは Athena ODBC 2.x ドライバーでも引き続き使用できます。ただし、次の接続パラメータは変更が必要です。
## ログレベル
現行の ODBC ドライバーでは、`LOG_OFF (0)` から `LOG_TRACE (6)` までのさまざまなログオプションがありますが、Amazon Athena ODBC 2.x ドライバーには当初、0(無効)と 1(有効)の 2 つの値しかありませんでした。バージョン 2.0.6.0 以降のドライバーは、ログ記録機能が強化されてより詳細なログ記録レベルをサポートするようになりました。
+ `OFF` - ログ記録は無効
+ `ERROR` - エラーメッセージのみがログに記録される
+ `WARN` - 警告メッセージとエラーがログに記録される
+ `INFO` - 情報メッセージ、警告、エラーがログに記録される
+ `DEBUG` - 詳細なデバッグ情報とすべての下位レベルメッセージがログに記録される
+ `TRACE` - 最も詳細なレベルのログ記録で、すべてのメッセージが含まれる
ODBC 2.x ドライバーをログするための詳細については、「[ログ記録オプション](odbc-v2-driver-logging-options.md)」を参照してください。
****
| | ODBC 1.x ドライバー | ODBC 2.x ドライバー |
| --- | --- | --- |
| 接続文字列名 | LogLevel | LogLevel |
| パラメータタイプ | オプションです。 | オプションです。 |
| デフォルト値: | 0 | OFF |
| 使用できる値 | 0-6 | 2.0.6.0 より前のバージョン:`0,1` 2.0.6.0 以降のバージョン:`OFF`、`ERROR`、`WARN`、`INFO`、`DEBUG`、`TRACE` |
| 接続文字列の例 | LogLevel=6; | LogLevel=INFO; |
**注記**
バージョン 2.0.6.0 以降では、これらの詳細なログレベルを通じてより詳細な診断情報を提供しながらも、オペレーションの遅延と過剰なログファイルの生成を減らすように、ログ記録フレームワークが最適化されています。各レベルには、それ以下のレベルからのすべてのメッセージが含まれます。
## MetadataRetrievalMethod
現行の ODBC ドライバーには、Athena からメタデータを取得するためのオプションがいくつか用意されています。Amazon Athena ODBC ドライバーでは `MetadataRetrievalMethod` が廃止されており、メタデータの抽出には常に Amazon Athena API を使用することになります。
Athena では、外部カタログをクエリするための `QueryExternalCatalogs` フラグが導入されています。現行の ODBC ドライバーを使用して外部カタログをクエリするには、`MetadataRetrievalMethod` を `ProxyAPI` に設定します。Athena ODBC ドライバーを使用して外部カタログをクエリするには、`QueryExternalCatalogs` を `1` に設定します。
****
| | ODBC 1.x ドライバー | ODBC 2.x ドライバー |
| --- | --- | --- |
| 接続文字列名 | MetadataRetrievalMethod | QueryExternalCatalogs |
| パラメータタイプ | オプションです。 | オプションです。 |
| デフォルト値: | Auto | 0 |
| 使用できる値 | Auto, AWS Glue, ProxyAPI, Query | 0,1 |
| 接続文字列の例 | MetadataRetrievalMethod=ProxyAPI; | QueryExternalCatalogs=1; |
## 接続テスト
ODBC 1.x ドライバーの接続をテストすると、ドライバーは `SELECT 1` クエリを実行して Amazon S3 バケットに 2 つのファイルを生成します。1 つは結果セット用、もう 1 つはメタデータ用です。テスト接続は [Amazon Athena の料金](https://aws.amazon.com/athena/pricing/)ポリシーに従って請求されます。
ODBC 2.x ドライバーの接続をテストすると、ドライバーは [GetWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetWorkGroup.html) Athena API アクションをコールします。コールでは、指定した認証タイプと対応する認証情報プロバイダを使用して、認証情報を取得します。ODBC 2.x ドライバーを使用する場合、接続テストは無料です。また、テストでは Amazon S3 バケットにクエリ結果は生成されません。
# ODBC 2.x ドライバーをトラブルシューティングする
Amazon Athena ODBC ドライバーで問題が発生した場合は、サポート (AWS マネジメントコンソール で **[サポート]** > **[サポートセンター]** の順に選択) にお問い合わせください。
以下の情報を必ず含め、サポートチームがユースケースを理解するのに役立つ追加情報があれば提供してください。
+ **詳細** — (必須) 使用されているユースケースに関する詳細な情報と、予想される動作と観察された動作の違いも含めてご説明ください。サポートエンジニアが問題を簡単に解決するのに役立つ情報があれば、すべて含めてください。問題が断続的に発生する場合は、問題が発生した日付、タイムスタンプ、または問題が発生する間隔について具体的にお知らせください。
+ **バージョン情報** — (必須) ドライバーのバージョン、オペレーティングシステム、およびご使用されているアプリケーションに関する情報。たとえば「ODBC ドライバーバージョン 1.2.3、Windows 10 (x64)、Power BI」など。
+ **ログファイル** — (必須) 問題を理解するために必要となる ODBC ドライバーログファイルを最小限の数でご提供ください。ODBC 2.x ドライバーをログするための詳細については、「[ログ記録オプション](odbc-v2-driver-logging-options.md)」を参照してください。
+ **接続文字列** — (必須) 使用されている ODBC 接続文字列、または使用した接続パラメータを示すダイアログボックスのスクリーンショット。接続パラメータの詳細については、「[Athena ODBC 2.x 接続パラメータ](odbc-v2-driver-connection-parameters.md)」を参照してください。
+ **問題が発生する手順** — (オプション) 可能な場合は、問題の再現に役立つ手順あるいはスタンドアロンプログラムを含めてください。
+ **クエリエラー情報** — (オプション) DML または DDL クエリに関連するエラーがある場合は、次の情報を含めてください。
+ 失敗した DML または DDL クエリの完全版または簡略版。
+ 使用されたアカウント ID、AWS リージョン、およびクエリ実行 ID。
+ **SAML エラー** — (オプション) SAML アサーションを使用した認証に関する問題がある場合は、次の情報を含めてください。
+ 使用された ID プロバイダと認証プラグイン。
+ SAML トークンの例。
# Amazon Athena ODBC 2.x リリースノート
このリリースノートには、Amazon Athena ODBC 2.x ドライバーの強化内容、機能、既知の問題、ワークフローの変更点の詳細が記載されています。
## 2.1.0.0
2026 年 3 月 20 日リリース
Amazon Athena Amazon Athena ODBC v2.1.0.0 ドライバーにはセキュリティの強化が含まれています。このリリースでは、認証フロー、クエリ処理、トランスポートセキュリティが強化されています。早急にこのバージョンにアップグレードすることをお勧めします。
### 重要な変更
+ **SSL 証明書の検証がデフォルトで有効** – ドライバーは ID プロバイダーに接続する際、SSL 証明書の検証を強制するようになりました。有効な SSL 証明書がないローカル ID プロバイダーを使用する場合は、接続文字列で `SSL_Insecure=1` を明示的に設定する必要があります。詳細については、「[SSL インセキュア (IdP)](odbc-v2-driver-common-authentication-parameters.md#odbc-v2-driver-common-authentication-parameters-ssl-insecure-idp)」を参照してください。
+ **TLS 1.2 最小適用** — ドライバーは ID プロバイダーへの TLS 1.0 または TLS 1.1 接続を受け入れなくなりました。すべての IdP 接続に TLS 1.2 以降が必要になりました。
+ **BrowserSSOOIDC 認証フローの更新** – BrowserSSOOIDC プラグインは、デバイスコード認可ではなく PKCE で認可コードを使用するようになりました。OAuth 2.0 コールバックサーバーでは、新しいオプションパラメータ `listen_port` (デフォルトは 7890) を使用できます。このポートをネットワークで許可リストに登録する必要がある場合があります。デフォルトのスコープが `sso:account:access` に変更されました。詳細については、「[Browser SSO OIDC](odbc-v2-driver-browser-sso-oidc.md)」を参照してください。
### 改良点
+ **BrowserSSOOIDC** – セキュリティを強化するために、デバイスコードフローから PKCE を使用した認可コードに移行しました。
+ **BrowserAzureAD** – 認可コードの傍受攻撃を防ぐために、OAuth 2.0 認可フローに PKCE (コード交換の証明キー) を追加しました。
+ **BrowserSAML** – SAML トークンインジェクション攻撃を防ぐための RelayState CSRF 保護を追加しました。
+ **認証情報キャッシュ** – v2.1.0.0 以降、キャッシュされた認証情報は、AWS CLI がローカルに保存されている認証情報を保護する方法に従って、所有ユーザーに制限されたファイルアクセス許可を持つプレーンテキストの JSON として `user-profile/.athena-odbc/` ディレクトリに保存されます。
+ **IAM プロファイル** – 既存の `Ec2InstanceMetadata` に加えて、`EcsContainer` および `Environment` 認証情報ソースのサポートが追加されました。
+ **接続文字列パーサー** — 適切な ODBC `}}` エスケープ処理を実装しました。
+ **カタログクエリ** – スキーマ名とテーブルパターンの SQL 識別子エスケープを追加しました。
+ **ODBC パターンマッチング** — 正規表現ベースのマッチングを直接 ODBC LIKE ワイルドカードマッチャーに置き換えました。
+ **XML 解析** – SAML トークンの再帰深度制限 (100 レベル) とサイズ制限 (1 MB) を追加しました。
+ **ADFS 認証** – ADFS サーバーレスポンスのレスポンスサイズ制限 (200 KB) を追加しました。
### 修正内容
+ 作成した接続パラメータを介したコード実行や認証フローのリダイレクトを許可する認証コンポーネントの特殊な要素の不適切な中立化を修正しました。BrowserSSOOIDC、BrowserAzureAD、BrowserSAML プラグインに影響します。
+ 作成されたテーブルメタデータを介したサービス拒否や SQL インジェクションを許可するクエリ処理コンポーネントの特殊な要素の不適切な中立化を修正しました。
+ ID プロバイダーに接続する際の証明書の不適切な検証を修正しました。
+ PKCE for OAuth、CSRF protection for SAML、安全な認証情報キャッシュ、排他的コールバックポートバインディングなど、ブラウザベースの認証フローで欠落している認証セキュリティコントロールを修正しました。
+ 計算された入力パターン、無制限のサーバーレスポンス、深くネストされた XML ペイロードを介してサービス拒否を許可する可能性のあるコンポーネントの解析における制御されないリソース消費を修正しました。
+ Power BI Import モードでクロスアカウントフェデレーティッドカタログで `UseSingleCatalogAndSchema=1` を使用する場合、`SQLColumns` と `SQLTables` が結果を返さない問題を修正しました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.6.0
2025 年 11 月 21 日リリース
### 改良点
+ **「ブラウザの信頼できる ID の伝搬」認証プラグイン** – 信頼できる ID の伝搬によるブラウザベースの OpenID Connect (OIDC) 認証をサポートする新しい認証プラグインを追加しました。このプラグインは、デフォルトのブラウザを介して完全な OAuth 2.0 フローを処理し、JSON ウェブトークン(JWT)を自動的に取得し、信頼できる ID の伝搬と統合することで、シームレスな認証エクスペリエンスを提供します。このプラグインは、シングルユーザーデスクトップ環境向けに特別に設計されています。信頼できる ID の伝播の有効化と使用方法の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)」を参照してください。
+ **ログ記録フレームワークの強化** — 以下により、ドライバーのログ記録メカニズムが大幅に改善されました。
+ 基本的な 0/1 オプションを超えるより詳細なログレベルを導入
+ 冗長ログステートメントを削除
+ 診断関連情報を含めてログ記録フレームワークを最適化
+ オペレーション遅延の原因となっていたパフォーマンスの問題に対処
+ ログ記録有効時のログファイルの過剰生成を削減
### 修正内容
+ **結果フェッチャーの最適化** — フェッチサイズパラメータの制限がストリーミング結果フェッチャーと非ストリーミング結果フェッチャーの両方に誤って適用されていたという問題を修正しました。この制限は、非ストリーミング結果フェッチャーにのみ正しく適用されるようになりました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.5.1
2025 年 10 月 13 日リリース
### 修正内容
Amazon Athena ODBC v2.0.5.1 ドライバーには、ブラウザベースの認証プラグインに対する以下の修正が含まれています。
+ ログイン URL の検証とスキーマチェックを実装しました。
+ Linux でのブラウザ起動メカニズムを改善し、システム API を利用できるようになりました。その結果、安定性とセキュリティが向上しました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.5.0
2025 年 9 月 10 日リリース
### 改良点
+ **JWT Trusted Identity Provider (TIP) 認証プラグイン** – JWT Trusted Identity Provider (TIP) と ODBC ドライバーの統合をサポートする新しい認証プラグインが追加されました。この認証タイプでは、外部 ID プロバイダーから取得した JSON Web トークン (JWT) を接続パラメータとして使用して Athena で認証できます。TIP では、ID コンテキストが IAM ロールに追加され、AWS リソースへのアクセスをリクエストするユーザーを識別します。TIP の有効化と使用方法の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)」を参照してください。
+ **カスタム SSO Admin エンドポイントのサポート** – ODBC ドライバーでカスタム SSO Admin エンドポイントのサポートが追加されました。この機能強化により、VPC の背後で ODBC を実行するときに SSO サービス用の独自のエンドポイントを指定できます。
+ **AWS SDK バージョンの更新** – ドライバーで使用される AWS SDK バージョンを 2.32.16 に更新し、リリース 2.0.5.0 のプロジェクトの依存関係を更新しました。
## 2.0.4.0
2025 年 6 月 17 日リリース
Amazon Athena ODBC v2.0.4.0 ドライバーには、以下の改善と修正が含まれています。
### 改良点
+ **結果フェッチャー** – ドライバーは、クエリ結果をダウンロードする方法を自動的に選択するようになりました。これにより、ほとんどの場合、フェッチャーを手動で設定する必要がなくなります。詳細については、「[結果フェッチャー](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-result-fetcher)」を参照してください。
+ Curl ライブラリが 8.12.1 に更新されました。
### 修正内容
+ STS に接続する際の IAM プロファイルのプロキシ設定を修正しました。この修正により、IAM プロファイルを正常認証に使用できます。
+ 認証プラグインを使用した IAM プロファイルの追加設定オプションをすべてお読みください。これには、影響を受けるプラグインの設定ミスを解決するための `UseProxyForIdP`、`SSL_Insecure`、`LakeformationEnabled`、`LoginToRP` が含まれます。
+ オプションで 2 番目のパラメータを使用できるようにすることで、ラウンド関数を修正しました。エスケープ構文を含むクエリを正常に処理します。
+ `TIME WITH TIME ZONE` および `TIMESTAMP WITH TIME ZONE` データ型の列サイズを修正しました。タイムスタンプとタイムゾーンのデータ型の値は切り捨てられません。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.3.0
2024 年 4 月 8 日リリース
Amazon Athena ODBC v2.0.3.0 ドライバーには、以下の改善と修正が含まれています。
### 改良点
+ Linux および Mac プラットフォーム上の Okta 認証プラグインに対する MFA サポートを追加しました。
+ Windows 用の `athena-odbc.dll` ライブラリと `AmazonAthenaODBC-2.x.x.x.msi` インストーラの両方が署名付きになりました。
+ ドライバーと共にインストールされる CA 証明書 `cacert.pem` ファイルを更新しました。
+ Lambda カタログのテーブルを一覧表示するために必要な時間が改善されました。`LAMBDA` カタログ型では、ODBC ドライバーが [SHOW TABLES](show-tables.md) クエリを送信して利用可能なテーブルのリストを取得できるようになりました。詳細については、「[クエリを使用してテーブルをリストする](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-use-query-to-list-tables)」を参照してください。
+ `SQL_WCHAR` と `SQL_WVARCHAR` を使用して文字列データ型を報告するための `UseWCharForStringTypes` 接続パラメータを導入しました。詳細については、「[文字列型に WCHAR を使用する](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-use-wchar-for-string-types)」を参照してください。
### 修正内容
+ Get-ODBCDSN PowerShell ツールの使用時に発生していたレジストリの破損警告を修正しました。
+ クエリ文字列の先頭にあるコメントを処理するように解析ロジックを更新しました。
+ 日付とタイムスタンプのデータ型で、年フィールドに 0 を使用できるようになりました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.2.2
2024 年 2 月 13 日リリース
Amazon Athena ODBC v2.0.2.2 ドライバーには、以下の改善と修正が含まれています。
### 改良点
+ `StringColumnLength` と `ComplexTypeColumnLength` の 2 つの接続パラメータを追加しました。これらは、文字列と複合データ型のデフォルト列長を変更するために使用できます。詳細については、「[文字列の列長](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-string-column-length)」および「[複合型の列長](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-complex-type-column-length)」を参照してください。
+ Linux および macOS (Intel と ARM) オペレーティングシステムのサポートが追加されました。詳細については、「[Linux](odbc-v2-driver-getting-started-linux.md)」および「[macOS](odbc-v2-driver-getting-started-macos.md)」を参照してください。
+ AWS-SDK-CPP が 1.11.245 タグバージョンに更新されました。
+ curl ライブラリが 8.6.0 バージョンに更新されました。
### 修正内容
+ 精度列内にある文字列に似たデータ型の結果セットメタデータで誤った値が報告される原因となっていた問題を解決しました。
ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.2.1
2023 年 12 月 7 日リリース
Amazon Athena ODBC v2.0.2.1 ドライバーには、次の改善と修正が含まれています。
### 改良点
+ すべてのインターフェースの ODBC ドライバースレッドセーフティが改善されました。
+ ロギングを有効にすると、日時の値がミリ秒の精度で記録されるようになりました。
+ [Browser SSO OIDC](odbc-v2-driver-browser-sso-oidc.md) プラグインによる認証中に、ターミナルが開き、ユーザーにデバイスコードが表示されるようになりました。
### 修正内容
+ ストリーミング API からの結果を解析する際に発生するメモリ解放の問題を解決しました。
+ インターフェイス `SQLTablePrivileges()`、`SQLSpecialColumns()`、`SQLProcedureColumns()`、`SQLProcedures()` のリクエストは空の結果セットを返すようになりました。
ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.2.0
2023 年 10 月 17 日リリース
Amazon Athena ODBC v2.0.2.0 ドライバーには、次の改善と修正が含まれています。
### 改良点
+ Browser Azure AD、Browser SSO OIDC、Okta ブラウザベースの認証プラグインにファイルキャッシュ機能が追加されました。
Power BI やブラウザーベースのプラグインなどの BI ツールは複数のブラウザーウィンドウを使用します。新しいファイルキャッシュ接続パラメータにより、一時的な認証情報をキャッシュし、BI アプリケーションが開いた複数のプロセス間で再利用できます。
+ ステートメントが作成された後、アプリケーションが結果セットに関する情報をクエリできるようになりました。
+ 遅いクライアントネットワークで使用できるように、デフォルト接続およびリクエストのタイムアウトが延長されました。詳細については、「[接続タイムアウト](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-connection-timeout)」および「[リクエストのタイムアウト](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-request-timeout)」を参照してください。
+ SSO および SSO OIDC にエンドポイントオーバーライドが追加されました。詳細については、「[エンドポイントオーバーライド](odbc-v2-driver-endpoint-overrides.md)」を参照してください。
+ 認証リクエストの URI 引数を Ping に渡す接続パラメータが追加されました。このパラメータを使用して Lake Formation のシングルロール制限を回避できます。詳細については、「[Ping URI パラメータ](odbc-v2-driver-ping.md#odbc-v2-driver-ping-uri-param)」を参照してください。
### 修正内容
+ 行ベースのバインディングメカニズムを使用する際に発生した整数オーバーフローの問題を修正しました。
+ Browser SSO OIDC 認証プラグインの必須接続パラメータのリストからタイムアウトを削除しました。
+ `SQLStatistics()`、`SQLPrimaryKeys()`、`SQLForeignKeys()`、`SQLColumnPrivileges()` に欠けていたインターフェイスを追加し、リクエストに応じて空の結果セットを返す機能を追加しました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.1.1
2023 年 8 月 10 日リリース
Amazon Athena ODBC v2.0.1.1 ドライバーには、以下の改善と修正が含まれています。
### 改良点
+ Okta 認証プラグインに URI ロギングを追加しました。
+ 外部認証情報プロバイダープラグインに優先ロールパラメータを追加しました。
+ AWS 設定ファイルのプロファイル名にプロファイルプレフィックスの処理を追加しました。
### 修正内容
+ Lake Formation および AWS STS クライアントの使用時に発生した AWS リージョン使用の問題を修正しました。
+ 欠落しているパーティションキーをテーブル列のリストに復元しました。
+ 欠落している `BrowserSSOOIDC` 認証タイプを AWS プロファイルに追加しました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。
## 2.0.1.0
2023 年 6 月 29 日リリース
Amazon Athena は ODBC v2.0.1.0 ドライバーをリリースしました。
Athena は、互換性のある SQL 開発、ビジネスインテリジェンスアプリケーションからのデータへの接続、クエリ、および視覚化のエクスペリエンスを向上させる新しい ODBC ドライバーをリリースしました。Athena ODBC ドライバーの最新バージョンでは、既存のドライバーの機能がサポートされており、簡単にアップグレードできます。新しいバージョンには、[AWS IAM アイデンティティセンター](https://aws.amazon.com/iam/identity-center/) によるユーザー認証のサポートが含まれています。また、Amazon S3 からクエリ結果を読み取るオプションも用意されているため、クエリ結果もより早く利用できるようになります。
詳細については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
# Athena ODBC 1.x ドライバー
ODBC 接続を使用すると、サードパーティー SQL クライアントツールおよびアプリケーションから Athena に接続できます。このページのリンクを使用して、Amazon Athena 1.x ODBC ドライバーライセンス契約、ODBC ドライバー、および ODBC ドキュメントをダウンロードします。ODBC 接続文字列の詳細については、ODBC ドライバーのインストールおよび設定ガイド PDF ファイル (このページからダウンロード可能) を参照してください。アクセス許可については、「[JDBC および ODBC 接続を介したアクセスの制御](policy-actions.md)」を参照してください。
**重要**
ODBC 1.x ドライバーを使用するときは、次の要件に注意してください。
**オープン状態のポート 444** – Athena がクエリ結果のストリーミングに使用するポート 444 には、アウトバウンドトラフィックに対して開放されている状態を維持します。PrivateLink エンドポイントを使用して Athena に接続するときは、PrivateLink エンドポイントにアタッチされているセキュリティグループが、ポート 444 上のインバウンドトラフィックに対して開放されていることを確認してください。
**athena:GetQueryResultsStream ポリシー** – ODBC ドライバーを使用する IAM プリンシパルに `athena:GetQueryResultsStream` ポリシーアクションを追加します。このポリシーアクションが API で直接公開されることはありません。ストリーミング結果のサポートの一環として、ODBC および JDBC ドライバーでのみ使用されます。ポリシーの例については「[AWS 管理ポリシー: AWSQuicksightAthenaAccess](security-iam-awsmanpol.md#awsquicksightathenaaccess-managed-policy)」を参照してください。
## Server
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| Windows 32 ビット版対応 ODBC 1.2.3.1000 | [Windows 32 ビット ODBC ドライバー 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/Windows/SimbaAthena_1.2.3.1000_32-bit.msi) |
| Windows 64 ビット版対応 ODBC 1.2.3.1000 | [Windows 64 ビット ODBC ドライバー 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/Windows/SimbaAthena_1.2.3.1000_64-bit.msi) |
## Linux
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| Linux 32 ビット版対応 ODBC 1.2.3.1000 | [Linux 32 ビット ODBC ドライバー 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/Linux/simbaathena-1.2.3.1000-1.el7.i686.rpm) |
| Linux 64 ビット版対応 ODBC 1.2.3.1000 | [Linux 64 ビット ODBC ドライバー 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/Linux/simbaathena-1.2.3.1000-1.el7.x86_64.rpm) |
## OSX
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| OSX 対応 ODBC 1.2.3.1000 | [OSX ODBC ドライバー 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/OSX/SimbaAthena_1.2.3.1000.dmg) |
## ドキュメント
| コンテンツ | ドキュメントのリンク |
| --- | --- |
| Amazon Athena ODBC ドライバーライセンス契約 | [ライセンス契約](https://downloads.athena.us-east-1.amazonaws.com/agreement/ODBC/Amazon+Athena+ODBC+Driver+License+Agreement.pdf) |
| ODBC 1.2.3.1000 に関するドキュメント | [ODBC ドライバーのインストールおよび設定ガイドバージョン 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/docs/Simba+Amazon+Athena+ODBC+Connector+Install+and+Configuration+Guide.pdf) |
| ODBC 1.2.3.1000 のリリースノート | [ODBC ドライバーリリースノートバージョン 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/docs/release-notes.txt) |
## ODBC ドライバーノート
**プロキシを使用しない接続**
プロキシを使用せずにドライバが接続する特定のホストを指定する場合は、ODBC 接続文字列でオプションの `NonProxyHost` プロパティを使用します。
次の例のように `NonProxyHost` プロパティでは、プロキシ接続が有効になっている場合に、コネクタがプロキシサーバーを経由せずにアクセスできるホストを、カンマ区切りリストで指定します。
```
.amazonaws.com,localhost,.example.net,.example.com
```
`NonProxyHost` 接続パラメータは、curl の `CURLOPT_NOPROXY` オプションに渡されます。`CURLOPT_NOPROXY` 形式の詳細については、curl のドキュメントで「[CURLOPT\$1NOPROXY](https://curl.se/libcurl/c/CURLOPT_NOPROXY.html)」を参照してください。
# ODBC クライアントを使用して Microsoft AD FS ユーザーに Amazon Athena へのフェデレーテッドアクセスを設定する
ODBC クライアントを使用して Microsoft Active Directory フェデレーションサービス (AD FS) ユーザーに Amazon Athena へのフェデレーテッドアクセスをセットアップするには、まず AD FS と AWS アカウントとの間に信頼を確立します。この信頼性が確立されると、AD ユーザーは AD 認証情報を使用して AWS へ[フェデレーション](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring-IdP)を行い、[AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM) ロールのアクセス許可を引き継ぎ、Athena API などの AWS リソースにアクセスできるようになります。
この信頼を作成するには、SAML プロバイダとして AD FS を AWS アカウント に追加し、フェデレーションユーザーが推定できる IAM ロールを作成します。AD FS 側では、証明書利用者として AWS を追加し、承認のために適切なユーザー属性を AWS (具体的には Athena と Amazon S3) に送信する SAML クレームルールを作成します。
Athena への AD FS アクセスを設定するには、主に次の手順が必要です。
[1. IAM SAML プロバイダとロールのセットアップ](#odbc-adfs-saml-setting-up-an-iam-saml-provider-and-role)
[2. AD FS の設定](#odbc-adfs-saml-configuring-ad-fs)
[3. Active Directory ユーザーとグループの作成](#odbc-adfs-saml-creating-active-directory-users-and-groups)
[4. Athena への AD FS ODBC 接続を設定する](#odbc-adfs-saml-configuring-the-ad-fs-odbc-connection-to-athena)
## 1. IAM SAML プロバイダとロールのセットアップ
このセクションでは、AD FS を SAML プロバイダとして AWS アカウントに追加し、フェデレーションユーザーが推定できる IAM ロールを作成します。
**SAML プロバイダをセットアップするには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. ナビゲーションペインで、[**Identity providers (ID プロバイダ)**] を選択します。
1. **[プロバイダーを追加]** をクリックします。
1. [**プロバイダのタイプ**] では [**SAML**] を選択します。
![\[SAML を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-1.png)
1. [**プロバイダ名**] では **adfs-saml-provider** を入力します。
1. ブラウザで、次のアドレスを入力して、AD FS サーバーのフェデレーション XML ファイルをダウンロードします。この手順を実行するには、ブラウザが AD FS サーバーにアクセスできる必要があります。
```
https://adfs-server-name/federationmetadata/2007-06/federationmetadata.xml
```
1. IAM コンソールの **[Metadata document]** (メタデータドキュメント) で、**[Choose file]** (ファイルを選択) を選択し、フェデレーションメタデータファイルを AWS にアップロードします。
1. 終了するには、**[Add provider]** (プロバイダを追加) を選択します。
次に、フェデレーションユーザーが設定できる IAM ロールを作成します。
**フェデレーションユーザーに IAM ロールを作成するには**
1. IAM コンソールのナビゲーションペインで、**[Roles]** (ロール) を選択します。
1. [**ロールの作成**] を選択してください。
1. **[Trusted entity type]** (信頼されたエンティティのタイプ) で、**[SAML 2.0 Federation]** (SAML 2.0 フェデレーション) を選択します。
1. **[SAML 2.0-based provider]** (SAML 2.0 ベースのプロバイダ) の場合は、作成した **[adfs-saml-provider]** プロバイダを選択します。
1. **[プログラムと AWS 管理コンソールへのアクセスを許可する]** 〉 **[次へ]** の順に選択します。
![\[信頼できるエンティティタイプとして SAML を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-2.png)
1. **[Add permissions]** (アクセス許可の追加) ページで、このロールに必要な IAM のアクセス許可ポリシーをフィルタリングし、対応するチェックボックスを選択します。このチュートリアルでは、`AmazonAthenaFullAccess` および `AmazonS3FullAccess` ポリシーをアタッチします。
![\[Athena のフルアクセスポリシーをロールにアタッチします。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-3.png)
![\[Amazon S3 フルアクセスポリシーをロールにアタッチします。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-4.png)
1. [**次へ**] を選択します。
1. **[Name, review, and create]** (名前、確認、および作成) ページの **[Role name]** (ロール名) に、ロールの名前を入力します。このチュートリアルでは、**[adfs-data-access]** という名前を使用します。
**[Step 1: Select trusted entities]** (ステップ 1: 信頼できるエンティティを選択する) では、**[Principal]** (プリンシパル) フィールドは自動的に `"Federated:" "arn:aws:iam::account_id:saml-provider/adfs-saml-provider"` に設定されます。`Condition` フィールドには `"SAML:aud"` と `"https://signin.aws.amazon.com/saml"` を含める必要があります。
![\[信頼できるエンティティ JSON。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-5.png)
**[Step 2: Add permissions]** (ステップ 2: アクセス許可の追加) には、ロールにアタッチしたポリシーが表示されます。
![\[ロールにアタッチされたポリシーの一覧表示。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-6.png)
1. [**ロールの作成**] を選択してください。ロールの作成を確認するバナーメッセージが表示されます。
1. **[Roles]** (ロール) ページで、作成したロールを選択します。ロールの概要ページには、アタッチされているポリシーが表示されます。
![\[ロールの概要ページ。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-7.png)
## 2. AD FS の設定
これで、証明書利用者として AWS を追加して SAML クレームルールを作成する準備が整い、承認のために適切なユーザー属性を AWS に送信できるようになりました。
SAML ベースのフェデレーションには、IdP (Active Directory) と、IdP からの認証を使用するサービスまたはアプリケーションである証明書利用者 (AWS) の 2 人の参加者がいます。
AD FS を設定するには、まず証明書利用者の信頼を追加し、次に証明書利用者の SAML クレームルールを設定します。AD FS はクレームルールを使用して SAML アサーションを作成し、証明書利用者に送信します。SAML アサーションには、AD ユーザーに関する情報が真実であり、ユーザーが認証されていることが記載されています。
### 証明書利用者の信頼を追加する
AD FS に証明書利用者の信頼を追加するには、AD FS サーバーマネージャーを使用します。
**AD FS で証明書利用者の信頼を追加する**
1. AD FS サーバーにサインインします。
1. **[Start]** (スタート) メニューで、**[Server Manager]** (サーバーマネージャー) を開きます。
1. **[Tools]** (ツール) を選択し、**[AD FS Management]** (AD FS 管理) を選択します。
![\[[Tools] (ツール)、[AD FS Management] (AD FS 管理) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-8.png)
1. ナビゲーションペインの **[Trust Relationships]** (信頼関係) で、**[Relying Party Trusts]** (証明書利用者の信頼) を選択します。
1. **[Actions]** (アクション) で、**[Add Relying Party Trust]** (証明書利用者の信頼を追加) を選択します。
![\[[Add Relying Party Trust] (証明書利用者の信頼を追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-9.png)
1. **証明書利用者信頼の追加ウィザード** ページで、**開始**を選択します。
![\[[開始] を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-10.png)
1. **[Select Data Source]** (データソースを選択) ページで、**[Import data about the relying party published online or on a local network]** (オンラインまたはローカル ネットワークで公開されている証明書利用者に関するデータをインポート) を選択します。
1. **[Federation metadata address (host name or URL)]** (フェデレーションメタデータアドレス (ホスト名または URL)) に、URL ** https://signin.aws.amazon.com/static/saml-metadata.xml** を入力します。
1. [**次へ**] を選択します。
![\[データソースの設定。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-11.png)
1. **[Specify Display Name]** (表示名の指定) ページの **[Display name]** (表示名) に、証明書利用者の表示名を入力し、**[Next]** (次へ) を選択します。
![\[証明書利用者の表示名を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-12.png)
1. このチュートリアルでは、**[Configure Multi-factor Authentication Now]** (多要素認証を今すぐ設定) ページで、**[I do not want to configure multi-factor authentication for this relying party trust at this time]** (現時点ではこの依存パーティの信頼に多要素認証を設定しない) を選択します。
セキュリティを向上させるには、多要素認証を設定して AWS リソースを保護することを推奨します。サンプルデータセットを使用しているため、このチュートリアルでは多要素認証を有効にしていません。
![\[多要素認証の設定。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-13.png)
1. [**次へ**] を選択します。
1. **[Choose Issuance Authorization Rules]** (発行承認ルールの選択) ページで、**[Permit all users to access this relying party]** (この証明書利用者へのアクセスをすべてのユーザーに許可) を選択します。
このオプションを使用すると、AWS で Active Directory 内のすべてのユーザーが AD FS を証明書利用者として使用できます。セキュリティ要件を考慮して、この設定を適宜調整します。
![\[証明書利用者へのユーザーアクセスを設定します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-14.png)
1. [**次へ**] を選択します。
1. **[Ready to Add Trust]** (信頼を追加する準備完了) ページで、**[Next]** (次へ) を選択して証明書利用者の信頼を AD FS 設定データベースに追加します。
![\[[次へ] を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-15.png)
1. **[Finish]** (終了) ページで、**[Close]** (閉じる) を選択します。
![\[[閉じる] を選択してください。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-16.png)
### 証明書利用者向け SAML クレームルールの設定
このタスクでは、クレームルールを 2 セット作成します。
最初のセットであるルール 1~4 には、AD グループメンバーシップに基づいて IAM ロールを設定するために必要な AD FS クレームルールが含まれています。これらは、[AWS マネジメントコンソール](https://aws.amazon.com/console) へのフェデレーションアクセスを確立する場合に作成するのと同じルールです。
2 番目のセットであるルール 5~6 は、Athena のアクセス制御に必要なクレームルールです。
**AD FS クレームルールを作成するには**
1. AD FS 管理コンソールのナビゲーションペインで、**[Trust Relationships]** (信頼関係)、**[Relying Party Trusts]** (証明書利用者の信頼) を選択します。
1. 以前のセクションで作成した証明書利用者を検索します。
1. 証明書利用者を右クリックして **[Edit Claim Rules]** (クレームルールを編集) を選択するか、**[Actions]** (アクション) メニューから **[Edit Claim Rules]** (クレームルールを編集) を選択します。
![\[[Edit Claim Rules] (クレームルールの編集) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-17.png)
1. **[ルールの追加]** を選択します。
1. 変換要求規則の追加ウィザードの **[Configure Rule]** (ルールの設定) ページで、次の情報を入力してクレームルール 1 を作成し、**[Finish]** (完了) を選択します。
+ **[Claim Rule name]** (クレームルール名) に **NameID** を入力します。
+ **[Rule template]** (ルールテンプレート) には、**[Transform an Incoming Claim]** (受信クレームの変換) を使用してください。
+ **[Incoming claim type]** (受信クレーム型) で、**[Windows account name]** (Windows アカウント名) を選択します。
+ **[Outgoing claim type]** (発信クレーム型) で、**[Name ID]** (名前 ID) を選択します。
+ **発信者名 ID フォーム**で、**永続的識別子**を選択します。
+ **[Pass through all claim values]** (すべてのクレーム値を通過) を選択します。
![\[最初のクレームルールを作成します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-18.png)
1. **[Add Rule]** (ルールを追加) を選択し、次の情報を入力してクレームルール 2 を作成し、**[Finish]** (完了) を選択します。
+ **[Claim rule name]** (クレームルール名) に **RoleSessionName** を入力します。
+ **[Rule template]** (ルールテンプレート) には、**[Send LDAP Attribute as Claims]** (LDAP 属性をクレームとして送信) を使用してください。
+ **属性を保存する**で **アクティブディレクトリ**を選択します。
+ **[Mapping of LDAP attributes to outgoing claim types]** (LDAP 属性を送信クレームタイプにマッピング) には、属性 **E-Mail-Addresses** を追加します。**[Outgoing Claim Type]** (送信クレーム型) には、** https://aws.amazon.com/SAML/Attributes/RoleSessionName** を入力します。
![\[2 番目のクレームルールを作成します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-19.png)
1. **[Add Rule]** (ルールを追加) を選択し、次の情報を入力してクレームルール 3 を作成し、**[Finish]** (完了) を選択します。
+ **[Claim rule name]** (クレームルール名) に **Get AD Groups** を入力します。
+ **[Rule template]** (ルールテンプレート) には、**[Send Claims Using a Custom Rule]** (カスタムルールを使用してクレームを送信) を使用してください。
+ **[Custom rule]** (カスタムルール) には、次のように入力します。
```
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]=> add(store = "Active Directory", types = ("http://temp/variable"),
query = ";tokenGroups;{0}", param = c.Value);
```
![\[3 番目のクレームルールを作成します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-20.png)
1. **[ルールの追加]** を選択します。次の情報を入力してクレームルール 4 を作成し、**[Finish]** (完了) を選択します。
+ **[Claim rule name]** (クレームルール名) に **Role** を入力します。
+ **[Rule template]** (ルールテンプレート) には、**[Send Claims Using a Custom Rule]** (カスタムルールを使用してクレームを送信) を使用してください。
+ **[Custom rule]** (カスタムルール) には、アカウント番号と以前に作成した SAML プロバイダの名前を含む次のコードを入力します。
```
c:[Type == "http://temp/variable", Value =~ "(?i)^aws-"]=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role",
Value = RegExReplace(c.Value, "aws-", "arn:aws:iam::AWS_ACCOUNT_NUMBER:saml-provider/adfs-saml-provider,arn:aws:iam:: AWS_ACCOUNT_NUMBER:role/"));
```
![\[4 番目のクレームルールを作成します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-21.png)
## 3. Active Directory ユーザーとグループの作成
これで、Athena にアクセスする AD ユーザーと、そのユーザーを配置する AD グループを作成して、グループごとにアクセスレベルを制御できる準備ができました。データアクセスのパターンを分類する AD グループを作成後、ユーザーをそれらのグループに追加します。
**Athena へアクセスするための AD ユーザーを作成するには**
1. サーバーマネージャーダッシュボードで、**[Tools]** (ツール) を選択し、次に **[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) を選択します。
![\[[Tools] (ツール)、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-22.png)
1. ナビゲーションペインで **[ユーザー]** を選択します。
1. **[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) のツールバーで、**[Create user]** (ユーザーの作成) オプションを選択します。
![\[[ユーザーの作成] を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-23.png)
1. **[New Object - User]** (新規オブジェクト - ユーザー) ダイアログボックスの **[First name]** (名)、**[Last name]** (姓)、**[Full name]** (フルネーム) には名前を入力します。このチュートリアルでは、**Jane Doe** を使用します。
![\[ユーザー名を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-24.png)
1. [**次へ**] を選択します。
1. **[Password]** (パスワード) には、パスワードを入力し、確認のため再入力します。
わかりやすくするために、このチュートリアルでは、**[User must change password at next sign on]** (ユーザーは次のサインオン時にパスワードを変更する必要がある) を選択解除しています。実際のシナリオでは、新しく作成したユーザーにはパスワードの変更を要求する必要があります。
![\[パスワードを入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-25.png)
1. [**次へ**] を選択します。
1. [**Finish**] を選択してください。
![\[[Finish] を選択してください。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-26.png)
1. **[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) で、[user name] (ユーザー名) を選択します。
1. ユーザーの **[Properties]** (プロパティ) ダイアログボックスの **[E-mail]** (メール) に、メールアドレスを入力します。このチュートリアルでは、**jane@example.com** を使用します。
![\[メールアドレスを入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-27.png)
1. [**OK**] を選択してください。
### データアクセスパターンを表す AD グループを作成する
メンバーが AWS にログインしたときに `adfs-data-access` IAM ロールを設定する AD グループを作成できます。次の例では、aws-adfs-data-access という名前の AD グループを作成します。
**AD グループを作成するには**
1. サーバーマネージャーダッシュボードの **[Tools]** (ツール) メニューで、**[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) を選択します。
1. ツールバーで、**[Create new group]** (新規グループを作成) オプションを選択します。
![\[[Create New Group] (新しいグループの作成) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-28.png)
1. **[New Object - Group]** (新しいオブジェクト - グループ) ダイアログボックスで、次の情報を入力します。
+ **[Group name]** (グループ名) に、「**aws-adfs-data-access**」と入力します。
+ **[Group scope]** (グループスコープ) には、**[Global]** (グローバル) を選択します。
+ **[Group type]** (グループタイプ) には、**[Security]** (セキュリティ) を選択します。
![\[AD でグローバルセキュリティグループを作成します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-29.png)
1. [**OK**] を選択してください。
### AD ユーザーを適切なグループに追加する
AD ユーザーと AD グループの両方を作成したため、ユーザーをグループに追加できるようになりました。
**AD グループに AD ユーザーを追加するには**
1. サーバーマネージャーダッシュボードで、**[Tools]** (ツール) メニューで、**[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) を選択します。
1. **[First name]** (ファーストネーム) と **[Last name]** (ラストネーム) には、[user] (ユーザー) (**[Jane Doe]** など) を選択します。
1. ユーザーの **[Properties]** (プロパティ) ダイアログボックスの **[Member Of]** (メンバー) タブで、**[Add]** (追加) を選択します。
![\[[Add] (追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-30.png)
1. 要件に応じて、1 つ以上の AD FS グループを追加します。このチュートリアルでは、**[aws-adfs-data-access]** グループを追加します。
1. **[Select Groups]** (グループの選択) ダイアログボックスの **[Enter the object names to select]** (選択するオブジェクト名を入力) に、作成した AD FS グループの名前 (例: **aws-adfs-data-access**) を入力し、**[Check Names]** (名前の確認) を選択します。
![\[[Check Names] (名前の確認) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-31.png)
1. [**OK**] を選択してください。
ユーザーの **[Properties]** (プロパティ) ダイアログボックスの **[Member of]** (メンバー) リストに AD グループの名前が表示されます。
![\[AD グループがユーザープロパティに追加されました。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-32.png)
1. **[Apply]** (適用)、**[OK]** の順に選択します。
## 4. Athena への AD FS ODBC 接続を設定する
AD のユーザーとグループを作成すると、Windows で ODBC データソースプログラムを使用して、AD FS 用の Athena ODBC 接続を設定する準備が整います。
**AD FS ODBC による Athena への接続を設定するには**
1. Athena 用の ODBC ドライバーをインストールします。ダウンロードリンクについては、「[ODBC で Amazon Athena に接続する](connect-with-odbc.md)」(ODBC を使用して Amazon Athena に接続する) を参照してください。
1. Windows で、**[Start]** (開始)、**[ODBC Data Sources]** (ODBC データソース) を選択します。
1. **[ODBC Data Source Administrator]** (ODBC データソースの管理者) プログラムで、**[Add]** (追加) をクリックします。
![\[[Add] (追加) を選択して、ODBC データソースを追加します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-33.png)
1. **[Create New Data Source]** (新しいデータソースの作成) ダイアログボックスで、**[Simba Athena ODBC Driver]** (Simba Athena ODBC ドライバー) を選択し、**[Finish]** (完了) を選択します。
![\[[Simba Athena ODBC Driver] (Simba Athena ODBC ドライバー) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-34.png)
1. **[Simba Athena ODBC Driver DSN Setup]** (Simba Athena ODBC ドライバーの DSN 設定) ダイアログで、以下の値を入力します。
+ **[Data Source Name]** (データソース名) に、使用するデータソースの名前 (例えば、** Athena-odbc-test**) を入力します。
+ **[Description]** (説明) に、データソースの説明を入力します。
+ **[AWS リージョン]** には、使用している AWS リージョン (例: ** us-west-1**) を入力します
+ **[S3 Output Location]** (S3 出力場所) には、出力を保存する先の Amazon S3 パスを入力します。
![\[[Simba Athena ODBC Driver DSN Setup] (Simba Athena ODBC ドライバーの DSN 設定) には値を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-35.png)
1. **[Authentication Options]** (認証オプション) をクリックします。
1. **[Authentication Options]** (認証オプション) ダイアログボックスで、以下の値を指定します。
+ **[Authentication Type]** (認証タイプ) で、**[ADFS]** を選択します。
+ **[User]** (ユーザー) には、ユーザーのメールアドレス (例: **jane@example.com**) を入力します。
+ **[Password]** (パスワード) には、ユーザーの ADFS パスワードを入力します。
+ **[IdP Host]** (IdP ホスト) には、AD FS サーバー名 (例: **adfs.example.com**) を入力します。
+ **[IdP Host]** (IdP ポート) には、デフォルト値の **[443]** を使用します。
+ **[SSL Insecure]** (SSL 非セキュア) オプションを選択します。
![\[認証オプションの設定。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-37.png)
1. **[OK]** をクリックして、**[Authentication Options]** (認証オプション) を閉じます。
1. 接続をテストするには **[Test]** (テスト) を、終了するには **[OK]** をクリックします。
# Okta プラグインと Okta ID プロバイダを使用して ODBC 用 の SSO を設定する
このページでは、Amazon Athena ODBC ドライバーと Okta プラグインを設定し、Okta の ID プロバイダを使用して Single Sign-On (SSO) 機能を追加する方法について説明します。
## 前提条件
このチュートリアルのステップを完了するには、以下が必要です。
+ Amazon Athena ODBC ドライバー ダウンロードリンクについては、「[ODBC で Amazon Athena に接続する](connect-with-odbc.md)」(ODBC を使用して Amazon Athena に接続する) を参照してください。
+ SAML で使用する IAM ロール。詳細については、「IAM ユーザーガイド」の「[SAML 2.0 フェデレーション用のロールの作成 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)」を参照してください。
+ Okta アカウント。詳細については、[Okta.com](https://www.okta.com/) を参照してください。
## Okta でのアプリケーション統合の作成
まず、Okta ダッシュボードを使用して、Athena へのシングルサインオン用の SAML 2.0 アプリケーションを作成して設定します。Okta で既存の Redshift アプリケーションを使用して、Athena へのアクセスを設定できます。
**Okta でアプリケーション統合を作成するには**
1. [Okta.com](https://www.okta.com/) で、アカウントの管理ページにログインします。
1. ナビゲーションパネルで、**[Applications]** (アプリケーション) を選択した後、もう一度 **[Applications]** (アプリケーション) を選択します。
1. **[Applications]** (アプリケーション) ページで、**[Browse App Catalog]** (アプリケーションカタログを参照) を選択します。
1. **[Browse App Integration Catalog]** (アプリケーションの統合カタログを表示) ページの **[Use Case]** (ユースケース) セクションで、**[All Integrations]** (すべての統合) を選択します。
1. 検索ボックスに **Amazon Web Services Redshift** と入力してから、**[Amazon Web Services Redshift SAML]** (アマゾン ウェブ サービス Redshift SAML) を選択します。
1. **[Add integration]** (統合の追加) を選択します。
![\[[Add integration] (統合の追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-1.png)
1. **[General Settings Required]** (必要な一般設定) セクションの **[Application label]** (アプリケーションラベル) に、アプリケーションの名前を入力します。このチュートリアルでは、**Athena-ODBC-Okta** という名前を使用します。
![\[Okta アプリケーションの名前を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-2.png)
1. **[Done]** (完了) をクリックします。
1. Okta アプリケーションのページ (たとえば、**[Athena-ODBC-Okta]**) で、**[Sign On]** (サインオン) を選択します。
![\[[Sign On] (サインオン) タブを選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-3.png)
1. **[Settings]** (設定) セクションで、**[Edit]** (編集) を選択します。
![\[[編集] を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-4.png)
1. **[Advanced Sign-on Settings]** (詳細なサインオン設定) セクションで、以下の値を設定します。
+ **[IdP ARN and Role ARN]** (IdP ARN とロール ARN) に、AWS IDP ARN とロール ARN をカンマ区切り値で入力します。IAM ロール形式の詳細については、「IAM ユーザーガイド」の「[認証レスポンスの SAML アサーションを設定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)」を参照してください。
+ **[Session Duration]** (セッション期間) に、900~43200 秒の値を入力します。このチュートリアルでは、デフォルトの 3600 (1 時間) を使用します。
![\[サインオン設定の詳細を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-5.png)
Athena では、**[DbUser Format]** (DbUser 形式)、**[AutoCreate]**、**[Allowed DBGroups]** (許可された DBGroups) の設定は使用されません。ユーザーがこれらを設定する必要はありません。
1. **[保存]** を選択します。
## Okta から ODBC の設定情報を取得する
Okta アプリケーションを作成し、アプリケーションの ID と IdP ホスト URL を取得する準備ができました。これらは、後で Athena への接続用に ODBC を設定するときに必要になります。
**Okta から ODBC の設定情報を取得するには**
1. Okta アプリケーションの **[General]** (一般) タブを選択してから、**[App Embed Link]** (アプリケーション埋め込みリンク) セクションまでスクロールダウンします。
![\[Okta アプリケーションの埋め込みリンク URL です。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-6.png)
**[Embed Link]** (埋め込みリンク) の URL の形式は以下のとおりです。
```
https://trial-1234567.okta.com/home/amazon_aws_redshift/Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4
```
1. **[Embed Link]** (埋め込みリンク) の URL から、次の部分を抽出して保存します。
+ `https://` に続く最初のセグメント、`okta.com` までです (たとえば、**trial-1234567.okta.com**)。これは IdP ホストです。
+ URL に含まれる最後の 2 つのセグメント、中央のスラッシュを含みます。これら 2 つのセグメントは、数字と大文字と小文字が混在する 20 文字の文字列 2 組です (たとえば、**Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4**)。これはアプリケーション ID です。
## Okta アプリケーションにユーザーを追加します。
Okta アプリケーションにユーザーを追加する準備ができました。
**Okta アプリケーションにユーザーを追加するには**
1. 左側のナビゲーションペインで、[**ディレクトリ**] 、[**ピープル**] の順に選択します。
1. **[Add Person]** (ユーザーを追加) を選択します。
![\[[Add Person] (ユーザーを追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-7.png)
1. **[Add Person]** (ユーザーを追加) ダイアログボックスで、以下の情報を入力します。
+ **[First name]** (名) と **[Last name]** (姓) に値を入力します。このチュートリアルでは、**test user** を使用します。
+ **[Username]** (ユーザー名) と **[Primary email]** (プライマリ E メール) に値を入力します。このチュートリアルでは、両方に **test@amazon.com** を使用します。パスワードのセキュリティ要件はユーザーによって異なる可能性があります。
![\[ユーザー認証情報を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-8.png)
1. **[保存]** を選択します。
作成したユーザーをアプリケーションに割り当てる準備ができました。
**アプリケーションにユーザーを割り当てるには**
1. ナビゲーションペインで、**[Applications]** (アプリケーション) を選択してから、もう一度 **[Applications]** (アプリケーション) を選択し、アプリケーションの名前を選択します (たとえば、**[Athena-ODBC-Okta]**)。
1. **[Assign]** (割り当て) を選択してから、**[Assign to People]** (ユーザーに割り当て) を選択します。
![\[[Assign to People] (ユーザーに割り当て) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-9.png)
1. ユーザーの **[Assign]** (割り当て) オプションを選択し、**[Done]** (完了) を選択します。
![\[[Assign] (割り当て) を選択し、[Done] (完了) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-10.png)
1. プロンプトで、**[Save and Go Back]** (保存して戻る) を選択します。ダイアログボックスで、ユーザーのステータスが **[Assigned]** (割り当て済み) と表示されます。
1. **[Done]** (完了) をクリックします。
1. **[Sign On]** (サインオン) タブを選択します。
1. **[SAML Signing Certificates]** (SAML 署名証明書) セクションまでスクロールダウンします。
1. **[アクション]** を選択します。
1. **[View IdP metadata]** (IdP メタデータを表示) コンテキストメニューを開き (右クリック)、ファイルを保存するためのブラウザオプションを選択します。
1. 拡張子 (`.xml`) を付けてファイルを保存します。
![\[IdP メタデータを、ローカルの XML ファイルに保存します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-11.png)
## AWS SAML ID プロバイダとロールを作成する
メタデータ XML ファイルを AWS の IAM コンソールにアップロードする準備ができました。このファイルを使用して、AWS SAML ID プロバイダとロールを作成します。これらの手順を実行するには、AWS のサービスの管理者アカウントを使用します。
**AWS で SAML ID プロバイダとロールを作成するには**
1. AWS マネジメントコンソール にサインインして、[https://console.aws.amazon.com/IAM/](https://console.aws.amazon.com/IAM/) で IAM コンソールを開きます。
1. ナビゲーションペインで、[**Identity providers**] (ID プロバイダ) を選択し、[**Add provider**] (プロバイダを追加) を選択します。
![\[[プロバイダーを追加] をクリックします。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-12.png)
1. **[Add an Identity provider]** (ID プロバイダ) ページで、**[Configure provider]** (プロバイダの設定) に以下の情報を入力します。
+ [**プロバイダのタイプ**] では [**SAML**] を選択します。
+ **[Provider name]** (プロバイダ名) に、プロバイダの名前を入力します (例: ** AthenaODBCOkta**)。
+ [**メタデータドキュメント**] では、[**ファイルを選択**] オプションを使用して、ダウンロードした ID プロバイダ (IdP) メタデータ XML ファイルをアップロードします。
![\[ID プロバイダの情報を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-13.png)
1. **[プロバイダーを追加]** をクリックします。
### Athena および Amazon S3 にアクセスするための IAM ロールを作成する
Athena および Amazon S3 にアクセスするための IAM ロールを作成する準備ができました。このロールをユーザーに割り当てます。これにより、ユーザーに Athena へのシングルサインオンアクセスを提供できます。
**ユーザー用の IAM ロールを作成するには**
1. IAM コンソールのナビゲーションペインで、[**Roles**] (ロール)、[**Create role**] (ロールの作成) の順にクリックします。
![\[[ロールの作成] を選択してください。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-14.png)
1. **[Create role]** (ロールを作成) ページで、次のオプションを選択します。
+ **[Select type of trusted entity]** (信頼されたエンティティのタイプを選択) で、**[SAML 2.0 Federation]** (SAML 2.0 フェデレーション) を選択します。
+ **[SAML 2.0–based provider]** (SAML 2.0 ベースのプロバイダ) で、作成した SAML ID プロバイダを指定します (たとえば、**AthenaODBCOkta**)。
+ **[プログラムによるアクセスとコンソールによるアクセスを許可]** を選択します。
![\[[Create role] (ロールの作成) ページで、オプションを選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-15.png)
1. [**次へ**] を選択します。
1. **[Add Permissions]** (許可を追加) ページの **[Filter policies]** (ポリシーをフィルタリング) に、**AthenaFull** と入力してから Enter キーを押します。
1. `AmazonAthenaFullAccess` 管理ポリシーを選択してから、**[Next]** (次へ) を選択します。
![\[AmazonAthenaFullAccess 管理ポリシーを選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-16.png)
1. **[Name, review, and create]** (名前、確認、および作成) ページで、**[Role name]** (ロール名) にロールの名前 (たとえば、**Athena-ODBC-OktaRole**) を入力し、**[Create role]** (ロールを作成) を選択します。
## Athena への Okta ODBC 接続を設定する
Windows の ODBC データソースプログラムを使用して、Athena への Okta ODBC 接続を設定する準備ができました。
**Athena への Okta ODBC 接続を設定するには**
1. Windows で、**[ODBC Data Sources]** (ODBC データソース) プログラムを起動します。
1. **[ODBC Data Source Administrator]** (ODBC データソースの管理者) プログラムで、**[Add]** (追加) をクリックします。
![\[[Add] (追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-17.png)
1. **[Simba Athena ODBC Driver]** (Simba Athena ODBC ドライバー) を選択し、**[Finish]** (完了) をクリックします。
![\[Athena の ODBC ドライバーを選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-18.png)
1. 左**[Simba Athena ODBC Driver DSN Setup]** (Simba Athena ODBC ドライバーの DSN セットアップ) ダイアログで、以下に記述されている値を入力します。
+ **[Data Source Name]** (データソース名) に、使用するデータソースの名前 (例えば、**Athena ODBC 64**) を入力します。
+ **[Description]** (説明) に、データソースの説明を入力します。
+ **[AWS リージョン]** に、使用している AWS リージョン (たとえば、**us-west-1**) を入力します。
+ **[S3 Output Location]** (S3 出力場所) には、出力を保存する先の Amazon S3 パスを入力します。
![\[データソース名の設定で、値を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-19.png)
1. **[Authentication Options]** (認証オプション) をクリックします。
1. **[Authentication Options]** (認証オプション) ダイアログボックスで、以下の値を選択または入力します。
+ **[Authentication Type]** (認証タイプ) で、**[Okta]** を選択します。
+ **ユーザー**には、Okta ユーザー名を入力します。
+ **パスワード**には、Okta パスワードを入力します。
+ **[IdP Host]** (IdP ホスト) に、以前記録した値を入力します (たとえば、**trial-1234567.okta.com**)。
+ **[IdP Port]** (IdP ポート) に、**443** と入力します。
+ **[App ID]** (アプリケーション ID) に、以前記録した値 (Okta 埋め込みリンクに含まれる最後の 2 つのセグメント) を入力します。
+ **[Okta App Name]** (Okta アプリケーション名) に、**amazon\$1aws\$1redshift** と入力します。
![\[認証オプションを入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-20.png)
1. [**OK**] を選択してください。
1. 接続をテストするには **[Test]** (テスト) を、終了するには **[OK]** を選択します。
# ODBC、SAML 2.0、Okta Identity Provider を使用してシングルサインオンを設定する
データソースに接続する際、 Amazon Athena では、PingOne、Okta、OneLogin を初めとしたアイデンティティプロバイダ (IdPs) を使用できます。Athena ODBC ドライバーのバージョン 1.1.13 および Athena JDBC ドライバーのバージョン 2.0.25 以降には、ブラウザの SAML プラグインが含まれており、任意の SAML 2.0 プロバイダで動作するように設定できます。このトピックでは、Okta の ID プロバイダを使用して Single Sign-On (SSO) 機能を追加するために、Amazon Athena ODBC ドライバーとブラウザベースの SAML プラグインを設定する方法について説明します。
## 前提条件
このチュートリアルのステップを完了するには、以下が必要です。
+ Athena ODBC ドライバーバージョン 1.1.13 以降。バージョン 1.1.13 以降には、ブラウザの SAML サポートが含まれています。ダウンロード用のリンクは、「[ODBC を使用した Amazon Athena への接続](https://docs.aws.amazon.com/athena/latest/ug/connect-with-odbc.html)」でご確認ください。
+ SAML で使用する IAM ロール。詳細については、「IAM ユーザーガイド」の「[SAML 2.0 フェデレーション用のロールの作成 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)」を参照してください。
+ Okta アカウント。詳細については、[okta.com](https://www.okta.com/) を参照してください。
## Okta でのアプリケーション統合の作成
まず、Okta ダッシュボードを使用して、Athena へのシングルサインオン用の SAML 2.0 アプリケーションを作成して設定します。
**Okta ダッシュボードを使用して Athena のシングルサインオンをセットアップするには**
1. `okta.com` の Okta 管理ページにログインします。
1. [ナビゲーションペイン] で、**[Applications]** (アプリケーション) をクリックした後に、もう一度 **[Applications]** をクリックします。
1. **[Applications]** (アプリケーション) ページで、**[Create App Integration]** (アプリケーション統合を作成) をクリックします。
![\[[Create App Integration] (アプリの統合の作成) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-1.png)
1. **[Create a new app integration]** (新しいアプリケーション統合の作成) ダイアログボックスにある **[Sign-in method]** (サインイン方法) で、**[SAML 2.0]** を選択した上で、**[Next]** (次へ) をクリックします。
![\[[SAML 2.0] を選択\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-2.png)
1. **[Create SAML Integration]** (SAML 統合の作成) ページの **[General Settings]** (全般設定) セクションで、アプリケーションの名前を入力します。このチュートリアルでは、この名前として **[Athena SSO]** を使用します。
![\[Okta アプリケーションの名前を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-3.png)
1. [**次へ**] を選択します。
1. **[Configure SAML]** (SAML の設定) ページの **[SAML Settings]** (SAML 設定) セクションで、以下の値を入力します。
+ **[Single sign on URL]** (シングルサインオン URL) には **http://localhost:7890/athena** を入力します。
+ **[Audience URI]** (対象者の URI) には **urn:amazon:webservices** を入力します。
![\[SAML の設定を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-4.png)
1. **[Attribute Statements (optional)]** (属性ステートメント (オプション)) には、次の名前と値のペアを入力します。これらのマッピング属性は必須です。
+ **[Name]** (名前) に、次の URL を入力します。
**https://aws.amazon.com/SAML/Attributes/Role**
**[Value]** (値) に、IAM ロールの名前を入力します。IAM ロール形式の詳細については、「IAM ユーザーガイド」の「[認証レスポンスの SAML アサーションを設定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)」を参照してください。
+ **[Name]** (名前) に、次の URL を入力します。
**https://aws.amazon.com/SAML/Attributes/RoleSessionName**
**[Value]** (値) に「**user.email**」と入力します。
![\[Athena 用の SAML 属性を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-5.png)
1. **[次へ]** を選択し、**[完了]** を選択します。
Okta がアプリケーションを作成する際、同時にログイン URL も作成され、これは次で取得できます。
## Okta ダッシュボードからのログイン URL の取得
この段階まででアプリケーションが作成されたので、Okta ダッシュボードからログイン URL およびその他のメタデータを取得できます。
**Okta ダッシュボードからログイン URL を取得するには**
1. Okta のナビゲーションペインで、**[Applications]** (アプリケーション) をクリックした後、もう一度 **[Applications]** をクリックします。
1. ログイン URL を確認するアプリケーション (たとえば、**AthenASSO**) を選択します。
1. アプリケーションのページで、**[Sign On]** (サインオン) をクリックします。
![\[[Sign On] (サインオン) をクリックします。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-6.png)
1. **[View Setup Instructions]** (セットアップ手順を表示) をクリックします。
![\[[View Setup Instructions] (セットアップ手順を表示) をクリックします。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-7.png)
1. **[How to Configure SAML 2.0 for Athena SSO]** (Athena SSO 用の SAML 2.0 を設定するには) ページで、**[Identity Provider Issuer]** (ID プロバイダの発行者) の URL を探します。Okta ダッシュボード内の一部では、この URL を **[SAML issuer ID]** (SAML 発行者 ID) として参照します。
![\[[Identity Provider Issuer] (ID プロバイダの発行者) の値です。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-8.png)
1. **ID プロバイダシングルサインオン URL** の値をコピーまたは保存します。
次のセクションで ODBC 接続を設定する際に、ブラウザの SAML プラグイン用の接続パラメータ **[Login URL]** (ログインURL) として、この値を指定します。
## ブラウザ SAML ODBC による Athena への接続の設定
この段階で、Windows の ODBC データソースプログラムを使用して、Athena へのブラウザの SAML 接続を設定するための準備が整いました。
**ブラウザの SAML ODBC による Athena への接続を設定するには**
1. Windows で、**[ODBC Data Sources]** (ODBC データソース) プログラムを起動します。
1. **[ODBC Data Source Administrator]** (ODBC データソースの管理者) プログラムで、**[Add]** (追加) をクリックします。
![\[[Add] (追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-9.png)
1. **[Simba Athena ODBC Driver]** (Simba Athena ODBC ドライバー) を選択し、**[Finish]** (完了) をクリックします。
![\[[Simba Athena Driver] (Simba Athena ドライバー) を選択\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-10.png)
1. 左**[Simba Athena ODBC Driver DSN Setup]** (Simba Athena ODBC ドライバーの DSN セットアップ) ダイアログで、以下に記述されている値を入力します。
![\[DSN のセットアップ値を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-11.png)
+ **[Data Source Name]** (データソース名) には、使用するデータソースの名前 (例:**Athena ODBC 64**) を入力します。
+ **[Description]** (説明) に、データソースの説明を入力します。
+ **[AWS リージョン]** には、使用している AWS リージョン (例: **us-west-1**) を入力します
+ **[S3 Output Location]** (S3 出力場所) には、出力を保存する先の Amazon S3 パスを入力します。
1. **[Authentication Options]** (認証オプション) をクリックします。
1. **[Authentication Options]** (認証オプション) ダイアログボックスで、以下の値を選択または入力します。
![\[認証オプションを入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-12.png)
+ **[Authentication Type]** (認証タイプ) で、**[BrowserSAML]** を選択します。
+ **[Login URL]** (ログインURL) には、Okta ダッシュボードから取得した、**[Identity Provider Single Sign-On URL]** (ID プロバイダのシングルサインオン URL) を入力します。
+ **[Listen Port]** (リッスンするポート) には、「**7890**」と入力します。
+ **[Timeout (sec)]** (タイムアウト (秒)) に、接続のタイムアウト値を秒単位で入力します。
1. **[OK]** をクリックして、**[Authentication Options]** (認証オプション) を閉じます。
1. 接続をテストするには **[Test]** (テスト) を、終了するには **[OK]** をクリックします。
# Amazon Athena Power BI コネクタを使用する
Windows オペレーティングシステムでは、Amazon Athena 向けの Microsoft Power BI コネクタを使用して、Microsoft Power BI Desktop で Amazon Athena からのデータを分析することができます。Power BI の詳細については、「[Microsoft Power BI](https://powerbi.microsoft.com/)」を参照してください。Power BI サービスにコンテンツを公開した後は、2021 年 7 月以降にリリースされた [Power BI ゲートウェイ](https://powerbi.microsoft.com/gateway/)を使用して、オンデマンドまたはスケジュールされた更新によって、コンテンツを最新の状態に保つことができます。
## 前提条件
使用を開始する前に、環境が次の要件を満たしていることを確認してください。Amazon Athena ODBC ドライバーが必要です。
+ [AWS アカウント](https://aws.amazon.com/)
+ [Athena を使用するためのアクセス許可](policy-actions.md)
+ [Amazon Athena ODBC ドライバー](connect-with-odbc.md)
+ [Power BI Desktop](https://powerbi.microsoft.com/en-us/desktop/)
## サポートされる機能
+ **インポート** - 選択したテーブルと列がクエリ実行用に Power BI Desktop にインポートされます。
+ **DirectQuery** - Power BI Desktop にデータがインポートまたはコピーされることはありません。Power BI Desktop が、基盤となるデータソースに直接クエリを実行します。
+ **Power BI ゲートウェイ** – Microsoft Power BI サービスと Athena の間の橋渡しのように機能する、AWS アカウント 内のオンプレミスデータゲートウェイです。このゲートウェイは、Microsoft Power BI サービスでデータを表示するために必要です。
## Amazon Athena への接続
Power BI Desktop を Amazon Athena データに接続するには、次の手順を実行します。
**Power BI Desktop から Athena データに接続する**
1. Power BI Desktop を起動します。
1. 次のいずれかを行ってください。
+ [**File**] (ファイル) 、[**Get Data**] (データを取得) の順に選択します。
+ [**Home**] (ホーム) リボンから、[**Get Data**] (データを取得) を選択します。
1. 検索ボックスに「**Athena**」と入力します。
1. [**Amazon Athena**] を選択してから、[**Connect**] (接続) をクリックします。
![\[Amazon Athena コネクタを選択します\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/connect-with-odbc-and-power-bi-1.png)
1. **Amazon Athena** 接続ページで、次の情報を入力します。
+ [**DSN**] では、使用する ODBC DSN の名前を入力します。DSN の設定手順については、[ODBC ドライバーのドキュメント](connect-with-odbc-driver-and-documentation-download-links.md#connect-with-odbc-driver-documentation)をご覧ください。
+ [**Data Connectivity**] (データ接続モード) では、次の一般的なガイドラインに従って、ユースケースに適したモードを選択します。
+ 小さいデータセットの場合は、[**インポート**] を選択します。インポートモードを使用する場合、Power BI が Athena と連携して、可視化に使用するデータセット全体のコンテンツをインポートします。
+ 大規模なデータセットの場合は、[**DirectQuery**] を選択します。DirectQuery モードでは、データがワークステーションにダウンロードされることはありません。可視化を作成または操作している間、Microsoft Power BI が Athena と連携して基盤となるデータソースに動的にクエリを実行するため、常に最新のデータが表示されます。DirectQuery の詳細については、Microsoft のドキュメントの「[Power BI Desktop の DirectQuery を使用する](https://docs.microsoft.com/power-bi/connect-data/desktop-use-directquery)」を参照してください。
![\[データ接続情報を入力する\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/connect-with-odbc-and-power-bi-2.png)
1. [**OK**] を選択してください。
1. データソース認証を設定するプロンプトで、[**Use Data Source Configuration**] (データソース設定を使用) または [**AAD Authentication**] (AAD 認証) を選択してから、[**Connect**] (接続) をクリックします。
![\[データソース認証方法を選択する\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/connect-with-odbc-and-power-bi-3.png)
データカタログ、データベース、およびテーブルが [**Navigator**] (ナビゲータ) ダイアログボックスに表示されます。
![\[ナビゲータにデータが表示されます\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/connect-with-odbc-and-power-bi-4.png)
1. [**Display Options**] (表示オプション) ペインで、使用するデータセットのチェックボックスをオンにします。
1. インポートする前にデータセットを変換する場合は、ダイアログボックスの下部に移動し、[**Transform Data**] (データを変換する) をクリックします。これにより、Power Query エディターが開き、使用するデータのセットをフィルタリングして絞り込むことができます。
1. **[ロード]** を選択します。ロードが完了すると、次の画像のような可視化を作成できます。**DirectQuery** をインポートモードとして選択した場合、Power BI はユーザーがリクエストした可視化のクエリを Athena に対して発行します。
![\[サンプルデータの可視化\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/connect-with-odbc-and-power-bi-5.png)
## オンプレミスゲートウェイの設定
ダッシュボードとデータセットを Power BI サービスに公開すると、他のユーザーがウェブアプリ、モバイルアプリ、埋め込みアプリを使用してダッシュボードやデータセットを操作できるようになります。Microsoft Power BI サービスでデータを表示するには、Microsoft Power BI オンプレミスデータゲートウェイを AWS アカウント にインストールします。ゲートウェイは、Microsoft Power BI サービスと Athena の間の橋渡しのように機能します。
**オンプレミスデータゲートウェイをダウンロードしてインストールし、テストを行う**
1. 「[Microsoft Power BI ゲートウェイのダウンロード](https://powerbi.microsoft.com/en-us/gateway/)」ページにアクセスし、個人モードまたは標準モードを選択します。個人モードは、Athena コネクタをローカルでテストする場合に便利です。標準モードは、マルチユーザーの本番稼働の設定に適しています。
1. オンプレミスゲートウェイ (個人モードまたは標準モード) をインストールするには、Microsoft のドキュメントの「[オンプレミス データ ゲートウェイをインストールする](https://docs.microsoft.com/en-us/data-integration/gateway/service-gateway-install)」を参照してください。
1. ゲートウェイをテストするには、Microsoft のドキュメントの「[オンプレミス データ ゲートウェイでカスタム データ コネクタを使用する](https://docs.microsoft.com/en-us/power-bi/connect-data/service-gateway-custom-connectors)」を参照してください。
オンプレミスデータゲートウェイの詳細については、次の Microsoft リソースを参照してください。
+ [オンプレミスデータゲートウェイとは?](https://docs.microsoft.com/en-us/power-bi/connect-data/service-gateway-onprem)
+ [Power BI 用のデータゲートウェイのデプロイに関するガイダンス](https://docs.microsoft.com/en-us/power-bi/connect-data/service-gateway-deployment-guidance)
Athena で使用するための Power BI ゲートウェイの設定例については、AWS Big Data ブログの記事「[Creating dashboards quickly on Microsoft Power BI using Amazon Athena](https://aws.amazon.com/blogs/big-data/creating-dashboards-quickly-on-microsoft-power-bi-using-amazon-athena/)」を参照してください。
# Amazon Athena ドライバーで信頼できる ID の伝播を使用する
信頼できる ID の伝播では、データのアクセス許可管理を一元化し、サービス境界をまたいで IdP ID に基づいてリクエストを承認したいと考えている組織に適した新しい認証オプションを提供します。IAM Identity Center を使用すると、ユーザーとグループを管理し、AWS Lake Formation を使用してこれらの IdP ID のカタログリソースに対するきめ細かなアクセスコントロール許可を定義するように既存の IdP を設定できます。Athena は、データをクエリして IdP ID によるデータアクセスを監査する際に ID の伝播をサポートしているため、組織が規制要件とコンプライアンス要件を満たすのに役立ちます。
IAM Identity Center を通じて、シングルサインオン機能を備えた Java Database Connectivity (JDBC) または Open Database Connectivity (ODBC) ドライバーを使用して Athena に接続できるようになりました。PowerBI、Tableau、DBeaver などのツールから Athena にアクセスすると、ID とアクセス許可が IAM Identity Center を介して Athena に自動的に伝播されます。つまり、個別の認証ステップや認証情報管理を必要とせずに、データのクエリ時に個々のデータアクセス許可が直接適用されます。
管理者にとって、この機能は IAM Identity Center と Lake Formation を通じてアクセスコントロールを一元化し、サポートされているあらゆる分析ツールが Athena に接続する際に一貫したアクセス許可を適用できます。開始するには、組織で ID ソースとして IAM Identity Center を設定していて、ユーザーに適したデータアクセス許可を設定していることを確認します。
**Topics**
+ [主な定義](#using-trusted-identity-propagation-key-definitions)
+ [考慮事項](#using-trusted-identity-propagation-considerations)
+ [前提条件](#using-trusted-identity-propagation-prerequisites)
+ [Athena を IAM Identity Center に接続する](using-trusted-identity-propagation-setup.md)
+ [AWS CloudFormation を使用してリソースを設定およびデプロイする](using-trusted-identity-propagation-cloudformation.md)
## 主な定義
1. **[アプリケーションロール]** – トークンの交換、ワークグループとカスタマーマネージド AWS IAM Identity Center アプリケーション ARN の取得を行うロール。
1. **[アクセスロール]** – ID 拡張認証情報を使用してカスタマーワークフローを実行するために Athena ドライバーで使用するロール。つまり、このロールはダウンストリームサービスにアクセスするために必要です。
1. **[カスタマーマネージドアプリケーション]** – AWS IAM Identity Center アプリケーション。詳細については、「[カスタマーマネージドアプリケーション](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)」を参照してください。
## 考慮事項
1. この機能は、信頼できる ID の伝播で Athena が一般提供されているリージョンでのみ使用できます。提供状況の詳細については、「[考慮事項と誓約事項](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html)」を参照してください。
1. JDBC ドライバーと ODBC ドライバーは、IAM 対応ワークグループによる信頼できる ID 伝播をサポートします。
1. JDBC と ODBC の両方をスタンドアロンドライバーとして使用するか、またはこの認証プラグインを使用して信頼できる ID の伝播に対応した任意の BI ツールまたは SQL ツールと一緒に使用できます。
## 前提条件
1. AWS IAM Identity Center インスタンスが有効になっている必要があります。詳細については、「[IAM Identity Center とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html)」を参照してください。
1. 動作する外部 ID プロバイダーが必要であり、ユーザーまたはグループが AWS IAM Identity Center に存在する必要があります。ユーザーやグループを自動または手動で、あるいは SCIM を使用してプロビジョニングすることができます。詳細については、「[SCIM を使用して外部 ID プロバイダーを IAM Identity Center にプロビジョニングする](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html)」を参照してください。
1. カタログ、データベース、およびテーブルに対する Lake Formation アクセス許可をユーザーまたはグループに付与する必要があります。詳細については、「[Athena を使用して Lake Formation に登録されたデータをクエリする](https://docs.aws.amazon.com/athena/latest/ug/security-athena-lake-formation.html)」を参照してください。
1. JDBC または ODBC ドライバーを使用して Athena クエリを実行するには、動作する BI ツールまたは SQL クライアントが必要です。
# Athena を IAM Identity Center に接続する
次のセクションでは、Athena を IAM Identity Center に接続するプロセスを示します。
## 信頼できるトークン発行者の設定
「[信頼できるトークン発行者の設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html)」ガイドに従って、信頼できるトークン発行者を設定します。これによって、AWS IAM アイデンティティセンター が作成されます。
**注記**
**[プロバイダータイプ]** で、**[OpenID Connect]** を選択します。**[プロバイダー URL]** には、ID プロバイダーの発行者 URL を入力します。**[対象者]** には、アプリに対して ID プロバイダーから発行されたクライアント ID を指定します。
AWS IAM ID プロバイダーのアプリケーションリソースネーム (ARN) をコピーします。詳細については、「[Identity providers and federation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)」(ID プロバイダとフェデレーション) を参照してください。
## IAM ロールの設定
### IAM アプリケーションロールの設定
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. 左側のナビゲーションで **[ロール]** を選択し、続いて **[ロールの作成]** を選択します。
1. **[信頼できるエンティティタイプ]** で、**[カスタム信頼ポリシー]** を選択して次のようにします。
1. **[フェデレーションプリンシパル]**には、信頼できるトークン発行者の設定中にコピーした AWS IAM ID プロバイダーの ARN を追加します。
1. ポリシー条件には、外部のフェデレーション ID プロバイダーの対象者を追加します。
1. 次のインラインポリシーを追加して、[CreateTokenWithIAM](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)、[ListTagsForResource](https://docs.aws.amazon.com/athena/latest/APIReference/API_ListTagsForResource.html)、および [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) のアクセス許可をユーザーに付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListTags*",
"sso:ListTags*"
],
"Resource": "*"
}
]
}
```
------
**注記**
`CreateTokenWithIam` アクセス許可は、カスタマーマネージド IAM Identity Center アプリケーションで付与されます。
1. アプリケーションロールの ARN をコピーします。
### IAM アクセスロールの設定
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. 左側のナビゲーションで **[ロール]** を選択し、続いて **[ロールの作成]** を選択します。
1. **[信頼できるエンティティタイプ]** で、**[カスタム信頼ポリシー]** を選択して次のようにします。
1. **[フェデレーションプリンシパル]**には、信頼できるトークン発行者の設定中にコピーした AWS IAM Identity Center の ARN を追加します。
1. **[AWS プリンシパル]**には、IAM アプリケーションロールの設定中にコピーした AWS IAM アプリケーションロールの ARN を追加します。
1. 次の**[インラインポリシー]**を追加して、ドライバーワークフローへのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:ListWorkGroups",
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateTable",
"glue:GetTable",
"glue:GetTables",
"glue:UpdateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:DeleteTableVersion",
"glue:BatchDeleteTableVersion",
"glue:CreatePartition",
"glue:BatchCreatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"glue:UpdatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess"
],
"Resource": "*"
}
]
}
```
------
1. アクセスロールの ARN をコピーします。
## AWS IAM アイデンティティセンター カスタマーマネージドアプリケーションを設定する
カスタマーマネージドアプリケーションを設定するには、「[信頼できる ID 伝播用のカスタマーマネージド OAuth 2.0 アプリケーションを設定する](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.html)」の手順に従い、Athena に関する以下の考慮事項も参考にしてください。
+ **[タグ]** に、以下のキーと値のペアを追加します。
+ **キー** – **AthenaDriverOidcAppArn**
+ **値** – *IAM アクセスロールの設定中にコピーした *AccessRoleARN**。
+ [アプリケーション認証情報を指定する](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.html#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)ときに、IAM アプリケーションロールの設定中にコピーした AWS IAM アプリケーションロールの ARN を追加します。
+ **[リクエストを受信できるアプリケーション]** には、**AWS-Lake-Formation-AWS-Glue-Data-Catalog-** を選択します。
+ **[アクセススコープを適用する]** ために、IAM 対応ワークグループの場合は **lakeformation:query**、アイデンティティセンター対応ワークグループの場合は **lakeformation:query**、**athena:workgroup:read\$1write**、**s3:access\$1grants:read\$1write** を選択します。
## ワークグループの関連付けを設定する
1. Athena コンソールのナビゲーションペインで、**[Workgroups]** (ワークグループ) をクリックします。
1. リストからワークグループを選択し、**[タグ]** タブを開きます。
1. **[タグの管理]** を選択し、次のように入力します。
1. **キー** – `AthenaDriverOidcAppArn`
1. **[値]** – AWS IAM アイデンティティセンター アプリケーションの ARN。
1. **[保存]** を選択します。
管理者は 1 回限りの設定を完了すると、必要な接続の詳細をユーザーに配布できます。SQL ワークロードを実行するには、次の 5 つの必須パラメータが必要です。
1. **[ApplicationRoleARN]** – アプリケーションロールの ARN
1. **[JwtWebIdentityToken]** – ID 検証用の JWT トークン
1. **[WorkgroupARN]** – Athena ワークグループの ARN
1. **[JwtRoleSessionName]** – JWT ロールのセッション名
1. **[CredentialsProvider]** – 認証情報プロバイダーの設定
**注記**
戦略的タグ付けにより、接続文字列の設定を簡素化しました。管理者が Athena ワークグループと AWS IAM アイデンティティセンター カスタマーマネージドアプリケーションの両方に適切にタグ付けすることで、ユーザーは `AccessRoleArn`と `CustomerIdcApplicationArn` を指定する必要がなくなります。プラグインは、アプリケーションロールを使用して必要なタグを見つけ、ワークフローに対応する ARN 値を取得することで、これを自動的に処理します。
管理者は、必要に応じてアプリケーションロールのアクセス許可を調整することで、引き続きユーザーに接続文字列で `AccessRoleArn` または `CustomerIdcApplicationArn` を指定してもらうように設定できます。
## 信頼できる ID の伝播を有効にした Athena ドライバーを使用してクエリを実行する
使用する最新バージョンのドライバーをダウンロードします。JDBC のインストールに関する詳細については、「[JDBC 3.x ドライバーの使用を開始する](jdbc-v3-driver-getting-started.md)」を参照してください。サポートされているプラットフォームに基づいて ODBC ドライバーをインストールするよう選択できます。詳細については、「[ODBC 2.x ドライバーの使用を開始する](odbc-v2-driver-getting-started.md)」を参照してください。使用するドライバーに基づいて、以下に記載されているパラメータを指定します。
+ [JDBC 認証プラグイン接続パラメータ](jdbc-v3-driver-jwt-tip-credentials.md)
+ [ODBC 認証プラグイン接続パラメータ](odbc-v2-driver-jwt-tip.md)
**注記**
ドライバーでの信頼できる ID の伝播は、JDBC バージョン 3.6.0 以降および ODBC バージョン 2.0.5.0 以降でのみ使用できます。
## DBeaver で Athena ドライバーと信頼できる ID の伝播を使用する
1. Athena から依存関係を持つ最新の JDBC jar をダウンロードします。詳細については、「[Athena JDBC 3.x ドライバー](jdbc-v3-driver.md)」を参照してください。
1. コンピュータで DBeaver アプリケーションを開きます。
1. 画面上部の **[データベース]** メニューに移動し、**[ドライバーマネージャー]** を選択します。
1. **[新規]** を選択し、次に **[ライブラリ]** を選択します。
1. 最新のドライバーを追加し、**[クラスの検索]** を選択します。これにより、`com.amazon.athena.jdbc.AthenaDriver` のようなファイルパスが提供されます。
1. **[設定]** タブを開き、次のフィールドを指定します。
1. **[ドライバー名]** – Athena JDBC の信頼できる ID の伝播
1. **[クラス名]** – `com.amazon.athena.jdbc.AthenaDriver`
1. **[認証なし]** オプションを選択します。
1. **[データベースに接続]** を選択し、「Athena JDBC の信頼できる ID の伝播」を検索します。これにより、JDBC URL に移動します。詳細については、「[ドライバーの設定](jdbc-v3-driver-getting-started.md#jdbc-v3-driver-configuring-the-driver)」を参照してください。
1. 次の詳細情報を入力します。
1. **[Workgroup]** – クエリを実行するワークグループ。ワークグループの詳細については、「[WorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)」を参照してください。
1. **[Region]** – クエリが実行される AWS リージョン。リージョンのリストについては、「[Amazon Athena エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/athena.html)」を参照してください。
1. **[OutputLocation]** – クエリ結果を保存する Amazon S3 内の場所。出力場所の詳細については、「[ResultConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultConfiguration.html)」を参照してください。
1. **[CredentialsProvider]** – `JWT_TIP` と入力します。
1. **[ApplicationRoleArn]** – を有効にするロールの ARN`AssumeRoleWithWebIdentity`。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
1. **[WorkgroupArn]** – クエリを実行するワークグループの ARN。これは、**[Workgroup]** フィールドで指定されているのと同じワークグループである必要があります。ワークグループの詳細については、「[WorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)」を参照してください。
1. **[JwtRoleSessionName]** – JWT 認証情報を認証に使用するときのセッションの名前。任意の名前を指定できます。
1. **[JwtWebIdentityToken]** – 外部のフェデレーション ID プロバイダーから取得した JWT トークン。このトークンは Athena での認証に使用されます。
```
jdbc:athena://Workgroup=;Region=;OutputLocation=;CredentialsProvider=JWT_TIP;ApplicationRoleArn=;WorkgroupArn=;JwtRoleSessionName=JDBC_TIP_SESSION;JwtWebIdentityToken=;
```
1. **[OK]** を選択してウィンドウを閉じます。DBeaver はこのステップの後にメタデータのロードを開始します。カタログ、データベース、テーブルが入力され始めます。
**注記**
トークンに JTI クレームが存在している場合、**[OK]** を選択する前に **[接続のテスト]** を選択すると、トークン交換で同じ JTI が再利用されるのを防ぐことができます。詳細については、「[信頼できるトークン発行者の前提条件と考慮事項](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#trusted-token-issuer-prerequisites)」を参照してください。これを処理するために、JDBC はインメモリキャッシュを実装します。そのライフサイクルはメインドライバーインスタンスに依存します。ODBC の場合、一時的な認証情報をキャッシュして再利用し、セッションライフサイクル中に使用されるウェブ ID トークンの数を減らすことができる[ファイルキャッシュ](odbc-v2-driver-jwt-tip.md#odbc-v2-driver-jwt-tip-file-cache)がオプションで存在します。
1. **[SQL クエリエディタ]**を開き、クエリの実行を開始します。ユーザーの伝播された ID を確認するには、「[Cloudtrail ログ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)」を参照してください。
# AWS CloudFormation を使用してリソースを設定およびデプロイする
次の手順で、CloudFormation テンプレートを使用してリソースを設定およびデプロイし、Athena ドライバーで信頼できる ID の伝播の使用を開始できます。
1. CloudFormation テンプレートをダウンロードして、ワークグループと IAM Identity Center のアプリケーションタグとともに、IAM Identity Center のカスタマーマネージドアプリケーションとアクセスロールを設定します。この[CloudFormation テンプレートリンク](https://downloads.athena.us-east-1.amazonaws.com/drivers/CFNTemplate/AthenaDriversTrustedIdentityPropagationCFNTemplate.yaml)からダウンロードできます。
1. 次のように `create-stack` AWS CLI コマンドを実行して、設定されたリソースをプロビジョニングする CloudFormation スタックをデプロイします。
```
aws cloudformation create-stack \
--stack-name my-stack \
--template-url URL_of_the_file_that_contains_the_template_body \
--parameters file://params.json
```
1. リソースプロビジョニングのステータスを表示するには、CloudFormation コンソールに移動します。クラスターの作成が完了したら、Identity Center コンソールで新しい IAM Identity Center アプリケーションを表示します。IAM ロールは IAM コンソールで確認できます。
タグは、ワークグループと IAM Identity Center アプリケーションに関連付けられます。
1. 作成したロールとアプリケーションを使用して、Athena ドライバーをすぐに使用できます。JDBC ドライバーを使用するには、「[JDBC 認証プラグイン接続パラメータ](jdbc-v3-driver-jwt-tip-credentials.md)」を参照してください。ODBC ドライバーを使用するには、「[ODBC 認証プラグイン接続パラメータ](odbc-v2-driver-jwt-tip.md)」を参照してください。