# ODBC で Amazon Athena に接続する
Amazon Athena には、バージョン 1.x と 2.x の 2 つの ODBC ドライバーが用意されています。Athena ODBC 2.x ドライバーは、Linux、macOS ARM、macOS Intel、および Windows 64 ビットシステムをサポートする新しいオプションです。Athena 2.x ドライバーは 1.x ODBC ドライバーがサポートするすべての認証プラグインをサポートしており、ほとんどすべての接続パラメータには下位互換性があります。
+ ODBC 2.x ドライバーをダウンロードするには、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
+ ODBC 1.x ドライバーをダウンロードするには、「[Athena ODBC 1.x ドライバー](connect-with-odbc-driver-and-documentation-download-links.md)」を参照してください。
**Topics**
+ [Amazon Athena ODBC 2.x](odbc-v2-driver.md)
+ [Athena ODBC 1.x ドライバー](connect-with-odbc-driver-and-documentation-download-links.md)
+ [Amazon Athena Power BI コネクタを使用する](connect-with-odbc-and-power-bi.md)
# Amazon Athena ODBC 2.x
ODBC 接続を使用すると、多くのサードパーティ SQL クライアントツールおよびアプリケーションから Amazon Athena に接続できます。ODBC 接続はクライアントコンピュータで設定します。
## 考慮事項と制限事項
Athena ODBC 1.x ドライバーから Athena 2.x ODBC ドライバーへと移行するための情報については、「[ODBC 2.x ドライバーに移行する](odbc-v2-driver-migrating.md)」を参照してください。
## ODBC 2.x ドライバーのダウンロード
Amazon Athena 2.x ODBC ドライバーをダウンロードするには、このページのリンクにアクセスしてください。
**重要**
ODBC 2.x ドライバーを使用するときは、次の要件に注意してください。
**オープン状態のポート 444** – Athena がクエリ結果のストリーミングに使用するポート 444 には、アウトバウンドトラフィックに対して開放されている状態を維持します。PrivateLink エンドポイントを使用して Athena に接続するときは、PrivateLink エンドポイントにアタッチされているセキュリティグループが、ポート 444 上のインバウンドトラフィックに対して開放されていることを確認してください。
**athena:GetQueryResultsStream ポリシー** – ODBC ドライバーを使用する IAM プリンシパルに `athena:GetQueryResultsStream` ポリシーアクションを追加します。このポリシーアクションが API で直接公開されることはありません。ストリーミング結果のサポートの一環として、ODBC および JDBC ドライバーでのみ使用されます。ポリシーの例については「[AWS 管理ポリシー: AWSQuicksightAthenaAccess](security-iam-awsmanpol.md#awsquicksightathenaaccess-managed-policy)」を参照してください。
**重要**
**セキュリティ更新:** バージョン 2.1.0.0 には、認証、クエリ処理、トランスポートセキュリティコンポーネントのセキュリティ強化が含まれています。これらの改善の恩恵を受けるには、このバージョンにアップグレードすることをお勧めします。詳細については、「[Amazon Athena ODBC 2.x リリースノート](odbc-v2-driver-release-notes.md)」を参照してください。
### Linux
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| Linux 64 ビット版対応 ODBC 2.1.0.0 | [Linux 64 ビット ODBC ドライバー 2.1.0.0](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Linux/AmazonAthenaODBC-2.1.0.0.rpm) |
### MacOS (ARM)
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| MacOS 64 ビット版 (ARM) 対応 ODBC 2.1.0.0 | [macOS 64 ビット ODBC ドライバー 2.1.0.0 (ARM)](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Mac/arm/AmazonAthenaODBC-2.1.0.0_arm.pkg) |
### macOS (Intel)
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| MacOS 64 ビット (Intel) 対応 ODBC 2.1.0.0 | [macOS 64 ビット ODBC ドライバー 2.1.0.0 (Intel)](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Mac/Intel/AmazonAthenaODBC-2.1.0.0_x86.pkg) |
### Server
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| Windows 64 ビット対応 ODBC 2.1.0.0 | [Windows 64 ビット ODBC ドライバー 2.1.0.0](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Windows/AmazonAthenaODBC-2.1.0.0.msi) |
### ライセンス
+ [AWS ライセンス](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/LICENSE.txt)
+ [サードパーティーライセンス](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/THIRD_PARTY_LICENSES.txt)
## ODBC での信頼できる ID の伝播
AWS Identity and Access Management Identity Center を通じて、シングルサインオン機能を備えた ODBC ドライバーを使用して Amazon Athena に接続できるようになりました。PowerBI、Tableau、DBeaver などのツールから Athena にアクセスすると、ID とアクセス許可が IAM Identity Center を介して Athena に自動的に伝播されます。詳細については、「[Amazon Athena ドライバーで信頼できる ID の伝播を使用する](using-trusted-identity-propagation.md)」を参照してください。
**Topics**
+ [考慮事項と制限事項](#odbc-v2-driver-considerations-limitations)
+ [ODBC 2.x ドライバーのダウンロード](#odbc-v2-driver-download)
+ [ODBC での信頼できる ID の伝播](#odbc-v2-driver-trusted-identity)
+ [ODBC 2.x ドライバーの使用を開始する](odbc-v2-driver-getting-started.md)
+ [Athena ODBC 2.x 接続パラメータ](odbc-v2-driver-connection-parameters.md)
+ [ODBC 2.x ドライバーに移行する](odbc-v2-driver-migrating.md)
+ [ODBC 2.x ドライバーをトラブルシューティングする](odbc-v2-driver-troubleshooting.md)
+ [Amazon Athena ODBC 2.x リリースノート](odbc-v2-driver-release-notes.md)
# ODBC 2.x ドライバーの使用を開始する
Amazon Athena ODBC 2.x ドライバーを開始するには、このセクションの情報を使用してください。ドライバーは、Windows、Linux、および macOS オペレーティングシステムでサポートされています。
**Topics**
+ [Server](odbc-v2-driver-getting-started-windows.md)
+ [Linux](odbc-v2-driver-getting-started-linux.md)
+ [macOS](odbc-v2-driver-getting-started-macos.md)
# Server
Amazon Athena へのアクセスに Windows クライアントコンピューターを使用する場合は、Amazon Athena ODBC ドライバーが必要です。
## Windows システム要件
ウェブブラウザを使用せずに Amazon Athena データベースに直接アクセスするクライアントコンピュータに、Amazon Athena ODBC ドライバーをインストールします。
使用する Windows システムは、以下の要件を満たしている必要があります。
+ 管理者権限がある
+ 次のいずれかの OS。
+ Windows 11、10 または 8.1。
+ Windows Server 2019、2016、または 2012。
+ サポートされているプロセッサアーキテクチャ: x86\$164 (64 ビット)
+ 最低でも 100 MB の空きディスク容量。
+ 64 ビット Windows 用の [Visual Studio の Microsoft Visual C\$1\$1 再頒布可能パッケージ](https://visualstudio.microsoft.com/downloads/#microsoft-visual-c-redistributable-for-visual-studio-2022)がインストールされている。
## Amazon Athena ODBC ドライバーをインストールする
**Windows 用 Amazon Athena ODBC ドライバーをダウンロードしてインストールする方法**
1. `AmazonAthenaODBC-2.x.x.x.msi` インストールファイルを[ダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)します。
1. インストールファイルを起動し、**[次へ]** を選択します。
1. 使用許諾契約書の条項に同意する場合は、チェックボックス > **[次へ]** の順に選択します。
1. インストール場所を変更するには、**[参照]** を選択して目的のフォルダを参照し、**[OK]** を選択します。
1. インストール場所を確定するには、**[次へ]** を選択します。
1. **[インストール]** を選択します。
1. インストールが完了したら、**[完了]** を選択します。
## ドライバー設定オプションの設定方法
Windows の Amazon Athena ODBC ドライバーの動作を制御するには、次の方法でドライバー設定オプションを指定できます。
+ データソース名 (DSN) を設定する場合は **[ODBC データソース管理者]** プログラム内で設定。
+ 次の場所に Windows レジストリキーを追加または変更する。
```
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\YOUR_DSN_NAME
```
+ プログラムで接続するときに、接続文字列にドライバーオプションを設定する。
## Windows 上でのデータソース名を設定する
ODBC ドライバーをダウンロードしてインストールした後、クライアントコンピュータか Amazon EC2 インスタンスにデータソース名 (DSN) エントリを追加する必要があります。SQL クライアントツールは、このデータソースを使用して Amazon Athena データベースに接続し、クエリします。
**システム DSN エントリを作成するには**
1. Windows の **[スタート]** メニューから **[ODBC データソース (64 ビット)]** を右クリックし、**[その他]** > **[管理者として実行]** の順に選択します。
1. **[ODBC データソース管理者]** で、**[ドライバー]** タブを選択します。
1. **[名前]** 列に **[Amazon Athena ODBC (x64)]** が表示されていることを確認します。
1. 次のいずれかを行います。
+ コンピュータ上のすべてのユーザーに対してドライバーを設定する場合は、**[システム DSN]** タブを選択します。別のアカウントを使用してデータをロードするアプリケーションでは、別のアカウントのユーザー DSN を検出できない場合があるため、システム DSN 構成オプションを使用することをお勧めします。
**注記**
**[システム DSN]** オプションを使用するには、管理者権限が必要です。
+ ユーザーアカウントのみに対してドライバーを設定するには、**[ユーザー DSN]** タブを選択します。
1. **[Add]** (追加) を選択します。**[新しいデータソースを作成]** ダイアログボックスが開きます。
1. **[Amazon Athena ODBC (x64)]** > **[完了]** の順に選択します。
1. **[Amazon Athena ODBC 設定]** ダイアログボックスに、次の情報を入力します。これらのオプションの詳細な情報については、[主な ODBC 2.x 接続パラメータ](odbc-v2-driver-main-connection-parameters.md)を参照してください。
+ **[データソース名]** に、データソースを識別するために使用する名前を入力します。
+ **[説明]** には、データソースをすばやく識別できるような説明を入力します。
+ **[リージョン]** には、Athena を使用する AWS リージョン の名前を入力します (例: ** us-west-1**)。
+ **[カタログ]** には、Amazon Athena カタログの名前を入力します。デフォルトは **[AWSDataCatalog]** で、AWS Glue によって使用されます。
+ **[データベース]** には、Amazon Athena データベースの名前を入力します。デフォルトは **[デフォルト]** です。
+ **[ワークグループ]** には、Amazon Athena ワークグループの名前を入力します。デフォルトは **[プライマリ]** です。
+ **[S3 出力場所]** に、クエリ結果が保存されることになる Amazon S3 内のロケーション (例: **s3://amzn-s3-demo-bucket/**) を入力します。
+ (オプション) **[暗号化オプション]** で、暗号化オプションを選択します。デフォルトは `NOT_SET` です。
+ (オプション) **[KMS キー]** では、必要に応じて暗号 KMS キーを選択します。
1. IAM 認証の設定オプションを指定するには、**[認証オプション]** を選択します。
1. 次の情報を入力します。
+ **[認証タイプ]** で **[IAM 認証情報]** を選択します。これがデフォルトです。使用できる認証タイプの詳細については、「[認証オプション](odbc-v2-driver-authentication-options.md)」を参照してください。
+ **[ユーザー名]** には、ユーザー名を入力します。
+ **[パスワード]** には、パスワードを入力します。
+ **[セッショントークン]** には、一時的な AWS 認証情報を使用する場合はセッショントークンを入力します。一時的な認証情報の詳細については、「IAM ユーザーガイド」の「[AWS リソースを使用した一時的な認証情報の使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)」を参照してください。
1. [**OK**] を選択してください。
1. **[Amazon Athena ODBC 設定]** ダイアログボックスの下部で、**[テスト]** を選択します。クライアントコンピュータが Amazon Athena に正常に接続すると、**[接続テスト]** ボックスに **[接続に成功しました]** と表示されます。成功しなかった場合は、ダイアログボックスに関連するエラー情報と共に **[接続に失敗しました]** と表示されます。
1. **[OK]** を選択して、接続テストを閉じます。作成したデータソースが、[データソース名] リストに表示されます。
## Windows で DSN なし接続を使用する
DSN を使用しない接続を使用すれば、データソース名 (DSN) なしでデータベースに接続できます。次の例は、Amazon Athena に接続する Amazon Athena ODBC (x64) ODBC ドライバーの接続文字列を示しています。
```
DRIVER={Amazon Athena ODBC (x64)};Catalog=AwsDataCatalog;AwsRegion=us-west-1;Schema=test_schema;S3OutputLocation=
s3://amzn-s3-demo-bucket/;AuthenticationType=IAM Credentials;UID=YOUR_UID;PWD=YOUR_PWD;
```
# Linux
Amazon Athena へのアクセスに Linux クライアントコンピューターを使用する場合は、Amazon Athena ODBC ドライバーが必要です。
## Linux システム要件
ドライバーをインストールする Linux コンピューターは、それぞれ以下の最小要件を満たしている必要があります。
+ ルートアクセス権がある。
+ 以下の Linux ディストリビューションのいずれかを使用している。
+ Red Hat Enterprise Linux (RHEL) 7 または 8
+ CentOS 7 または 8。
+ 100 MB のディスク空き容量がある。
+ [unixODBC](https://www.unixodbc.org/) のバージョン 2.3.1 以降を使用している。
+ [GNU C ライブラリ](https://www.gnu.org/software/libc/) (glibc) のバージョン 2.26 以降を使用している。
## Linux への ODBC データコネクタのインストール
Linux オペレーティングシステムに Amazon Athena ODBC ドライバーをインストールするには、以下の手順を実行します。
**Amazon Athena ODBC ドライバーを Linux にインストールする**
1. 次のいずれかのコマンドを入力します。
```
sudo rpm -Uvh AmazonAthenaODBC-2.X.Y.Z.rpm
```
または
```
sudo yum --nogpgcheck localinstall AmazonAthenaODBC-2.X.Y.Z.rpm
```
1. インストールが完了したら、以下のコマンドのいずれかを入力して、ドライバーがインストールされていることを確認します。
+
```
yum list | grep amazon-athena-odbc-driver
```
出力:
```
amazon-athena-odbc-driver.x86_64 2.0.2.1-1.amzn2int installed
```
+
```
rpm -qa | grep amazon
```
出力:
```
amazon-athena-odbc-driver-2.0.2.1-1.amzn2int.x86_64
```
## Linux でのデータソース名の設定
ドライバーがインストールされると、以下の場所に `.odbc.ini` および `.odbcinst.ini` のサンプルファイルを見つけることができます。
+ `/opt/athena/odbc/ini/`.
この場所にある `.ini` ファイルを、Amazon Athena ODBC ドライバーとデータソース名 (DSN) の設定例として使用してください。
**注記**
デフォルトで、ODBC ドライバーマネージャーはホームディレクトリにある隠し設定ファイル `.odbc.ini` と `.odbcinst.ini` を使用します。
unixODBC を使用して `.odbc.ini` と `.odbcinst.ini` ファイルへのパスを指定するには、次の手順を実行します。
**unixODBC を使用して ODBC `.ini` ファイルの場所を指定する**
1. 以下の例にあるように、`odbc.ini` ファイルのフルパスとファイル名に `ODBCINI` 設定します。
```
export ODBCINI=/opt/athena/odbc/ini/odbc.ini
```
1. 以下の例にあるように、`odbcinst.ini` のファイルが含まれるディレクトリのフルパスに `ODBCSYSINI` を設定します。
```
export ODBCSYSINI=/opt/athena/odbc/ini
```
1. 以下のコマンドを入力して、unixODBC ドライバーマネージャーと正しい `odbc*.ini` ファイルを使用していることを確認します。
```
username % odbcinst -j
```
サンプル出力
```
unixODBC 2.3.1
DRIVERS............: /opt/athena/odbc/ini/odbcinst.ini
SYSTEM DATA SOURCES: /opt/athena/odbc/ini/odbc.ini
FILE DATA SOURCES..: /opt/athena/odbc/ini/ODBCDataSources
USER DATA SOURCES..: /opt/athena/odbc/ini/odbc.ini
SQLULEN Size.......: 8
SQLLEN Size........: 8
SQLSETPOSIROW Size.: 8
```
1. データソース名 (DSN) を使用してデータストアに接続する場合は、`odbc.ini` ファイルを設定してデータソース名 (DSN) を定義します。以下の例にあるように、`odbc.ini` ファイルのプロパティを設定して、データストアの接続情報を指定する DSN を作成します。
```
[ODBC Data Sources]
athena_odbc_test=Amazon Athena ODBC (x64)
[ATHENA_WIDE_SETTINGS] # Special DSN-name to signal driver about logging configuration.
LogLevel=0 # To enable ODBC driver logs, set this to 1.
UseAwsLogger=0 # To enable AWS-SDK logs, set this to 1.
LogPath=/opt/athena/odbc/logs/ # Path to store the log files. Permissions to the location are required.
[athena_odbc_test]
Driver=/opt/athena/odbc/lib/libathena-odbc.so
AwsRegion=us-west-1
Workgroup=primary
Catalog=AwsDataCatalog
Schema=default
AuthenticationType=IAM Credentials
UID=
PWD=
S3OutputLocation=s3://amzn-s3-demo-bucket/
```
1. 以下の例にあるように、`odbcinst.ini` ファイルを設定します。
```
[ODBC Drivers]
Amazon Athena ODBC (x64)=Installed
[Amazon Athena ODBC (x64)]
Driver=/opt/athena/odbc/lib/libathena-odbc.so
Setup=/opt/athena/odbc/lib/libathena-odbc.so
```
1. Amazon Athena ODBC ドライバーをインストールして設定したら、以下の例にあるように、unixODBC `isql` コマンドラインツールを使用して接続を確認します。
```
username % isql -v "athena_odbc_test"
+---------------------------------------+
| Connected! |
| |
| sql-statement |
| help [tablename] |
| quit |
| |
+---------------------------------------+
SQL>
```
## ODBC ドライバーの署名を確認する
**重要**
Athena ODBC ドライバーの RPM 署名をマシンにインストールする前に検証することをお勧めします。
Athena ODBC ドライバー RPM パッケージの署名を確認するには、次の手順に従います。
1. **テンプレートを準備する**
適切なパブリックキー、RPM 署名、および Amazon S3 バケットでホストされている RPM スクリプトへの対応するアクセスリンクを使用してコマンドを準備します。デバイスに以下をダウンロードする必要があります。
+ [Athena ODBC ドライバー](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Linux/AmazonAthenaODBC-2.1.0.0.rpm)
+ [パブリックキー](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Linux/public_key.pem)
+ [Athena ODBC RPM 署名](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/v2.1.0.0/Linux/signature.bin)
1. Athena ODBC ドライバー、パブリックキー、および Athena ODBC RPM 署名をデバイスにダウンロードします。
1. 次のコマンドを実行して、ODBC ドライバーの署名を検証します。
```
openssl dgst -sha256 -verify public_key.pem -signature signature.bin AmazonAthenaODBC-2.1.0.0.rpm
```
検証に成功すると、`Verified OK` のようなメッセージが表示されます。これで、Athena ODBC ドライバーのインストールに進むことができます。
`Verification Failure` のメッセージで失敗した場合、RPM の署名が改ざんされたことを意味します。ステップ 1 で説明した 3 つのファイルがすべて存在し、パスが正しく指定され、ダウンロード後にファイルが変更されていないことを確認し、検証プロセスを再試行してください。
# macOS
Amazon Athena へのアクセスに macOS クライアントコンピューターを使用する場合は、Amazon Athena ODBC ドライバーが必要です。
## macOS システム要件
ドライバーをインストールする macOS コンピューターは、それぞれ以下の最小要件を満たしている必要があります。
+ macOS バージョン 14 以降を使用している。
+ 100 MB のディスク空き容量がある。
+ [iODBC](https://www.iodbc.org/dataspace/doc/iodbc/wiki/iodbcWiki/WelcomeVisitors) のバージョン 3.52.16 以降を使用している。
## macOS への ODBC データコネクタのインストール
macOS オペレーティングシステム用の Amazon Athena ODBC ドライバーをダウンロードしてインストールするには、以下の手順を実行します。
**macOS 用の Amazon Athena ODBC ドライバーをダウンロードしてインストールする**
1. `.pkg` パッケージファイルをダウンロードします。
1. `.pkg` ファイルをダブルクリックします。
1. ウィザードの手順に従ってドライバーをインストールします。
1. **[ライセンス契約]** ページで **[続行]** を押してから、**[同意する]** を選択します。
1. **[インストール]** を選択します。
1. インストールが完了したら、**[完了]** を選択します。
1. 以下のコマンドを入力して、ドライバーがインストールされていることを確認します。
```
> pkgutil --pkgs | grep athenaodbc
```
出力は、システムに応じて以下のいずれかのようになります。
```
com.amazon.athenaodbc-x86_64.Config
com.amazon.athenaodbc-x86_64.Driver
```
または
```
com.amazon.athenaodbc-arm64.Config
com.amazon.athenaodbc-arm64.Driver
```
## macOS でのデータソース名の設定
ドライバーがインストールされると、以下の場所に `.odbc.ini` および `.odbcinst.ini` のサンプルファイルを見つけることができます。
+ Intel プロセッサコンピューター: `/opt/athena/odbc/x86_64/ini/`
+ ARM プロセッサコンピューター: `/opt/athena/odbc/arm64/ini/`
この場所にある `.ini` ファイルを、Amazon Athena ODBC ドライバーとデータソース名 (DSN) の設定例として使用してください。
**注記**
デフォルトで、ODBC ドライバーマネージャーはホームディレクトリにある隠し設定ファイル `.odbc.ini` と `.odbcinst.ini` を使用します。
iODBC ドライバーマネージャーを使用して `.odbc.ini` と `.odbcinst.ini` ファイルへのパスを指定するには、次の手順を実行します。
**iODBC ドライバーマネージャーを使用して ODBC `.ini` ファイルの場所を指定する**
1. `odbc.ini` のファイルのフルパスとファイル名に `ODBCINI` を設定します。
+ Intel プロセッサ搭載の macOS コンピューターでは、以下の構文を使用します。
```
export ODBCINI=/opt/athena/odbc/x86_64/ini/odbc.ini
```
+ ARM プロセッサ搭載の macOS コンピューターでは、以下の構文を使用します。
```
export ODBCINI=/opt/athena/odbc/arm64/ini/odbc.ini
```
1. `odbcinst.ini` のファイルのフルパスとファイル名に `ODBCSYSINI` を設定します。
+ Intel プロセッサ搭載の macOS コンピューターでは、以下の構文を使用します。
```
export ODBCSYSINI=/opt/athena/odbc/x86_64/ini/odbcinst.ini
```
+ ARM プロセッサ搭載の macOS コンピューターでは、以下の構文を使用します。
```
export ODBCSYSINI=/opt/athena/odbc/arm64/ini/odbcinst.ini
```
1. データソース名 (DSN) を使用してデータストアに接続する場合は、`odbc.ini` ファイルを設定してデータソース名 (DSN) を定義します。以下の例にあるように、`odbc.ini` ファイルのプロパティを設定して、データストアの接続情報を指定する DSN を作成します。
```
[ODBC Data Sources]
athena_odbc_test=Amazon Athena ODBC (x64)
[ATHENA_WIDE_SETTINGS] # Special DSN-name to signal driver about logging configuration.
LogLevel=0 # set to 1 to enable ODBC driver logs
UseAwsLogger=0 # set to 1 to enable AWS-SDK logs
LogPath=/opt/athena/odbc/logs/ # Path to store the log files. Permissions to the location are required.
[athena_odbc_test]
Description=Amazon Athena ODBC (x64)
# For ARM:
Driver=/opt/athena/odbc/arm64/lib/libathena-odbc-arm64.dylib
# For Intel:
# Driver=/opt/athena/odbc/x86_64/lib/libathena-odbc-x86_64.dylib
AwsRegion=us-west-1
Workgroup=primary
Catalog=AwsDataCatalog
Schema=default
AuthenticationType=IAM Credentials
UID=
PWD=
S3OutputLocation=s3://amzn-s3-demo-bucket/
```
1. 以下の例にあるように、`odbcinst.ini` ファイルを設定します。
```
[ODBC Drivers]
Amazon Athena ODBC (x64)=Installed
[Amazon Athena ODBC (x64)]
# For ARM:
Driver=/opt/athena/odbc/arm64/lib/libathena-odbc-arm64.dylib
Setup=/opt/athena/odbc/arm64/lib/libathena-odbc-arm64.dylib
# For Intel:
# Driver=/opt/athena/odbc/x86_64/lib/libathena-odbc-x86_64.dylib
# Setup=/opt/athena/odbc/x86_64/lib/libathena-odbc-x86_64.dylib
```
1. Amazon Athena ODBC ドライバーをインストールして設定したら、以下の例にあるように、`iodbctest` コマンドラインツールを使用して接続を確認します。
```
username@ % iodbctest
iODBC Demonstration program
This program shows an interactive SQL processor
Driver Manager: 03.52.1623.0502
Enter ODBC connect string (? shows list): ?
DSN | Driver
------------------------------------------------------------------------------
athena_odbc_test | Amazon Athena ODBC (x64)
Enter ODBC connect string (? shows list): DSN=athena_odbc_test;
Driver: 2.0.2.1 (Amazon Athena ODBC Driver)
SQL>
```
# Athena ODBC 2.x 接続パラメータ
**[Amazon Athena ODBC 設定]** ダイアログボックスのオプションには、**[認証オプション]**、**[詳細オプション]**、**[ロギングオプション]**、**[エンドポイントオーバーライド]**、**[プロキシオプション]** が含まれます。各項目の詳細については、対応するリンク先をご覧ください。
+ [主な ODBC 2.x 接続パラメータ](odbc-v2-driver-main-connection-parameters.md)
+ [認証オプション](odbc-v2-driver-authentication-options.md)
+ [詳細オプション](odbc-v2-driver-advanced-options.md)
+ [ログ記録オプション](odbc-v2-driver-logging-options.md)
+ [エンドポイントオーバーライド](odbc-v2-driver-endpoint-overrides.md)
+ [プロキシオプション](odbc-v2-driver-proxy-options.md)
# 主な ODBC 2.x 接続パラメータ
以下のセクションでは、主な各接続パラメータについて説明します。
## データソース名
データソースの名前を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| DSN | DSN を使用しない接続タイプの場合のオプション | none | DSN=AmazonAthenaOdbcUsWest1; |
## 説明
データソースの説明が含まれます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| 説明 | オプションです。 | none | Description=Connection to Amazon Athena us-west-1; |
## カタログ
データカタログ名を指定します。詳細については、「Amazon Athena API リファレンス」の「[DataCatalog](https://docs.aws.amazon.com/athena/latest/APIReference/API_DataCatalog.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| カタログ | オプションです。 | AwsDataCatalog | Catalog=AwsDataCatalog; |
## リージョン
AWS リージョン を指定します。AWS リージョン の詳細については、「[リージョンとアベイラビリティーゾーン](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AwsRegion | 必須 | none | AwsRegion=us-west-1; |
## データベース
データベース名を指定します。詳細については、「Amazon Athena API リファレンス」の「[Database](https://docs.aws.amazon.com/athena/latest/APIReference/API_Database.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| Schema | オプションです。 | default | Schema=default; |
## Workgroup
ワークグループ名を指定します。詳細については、「Amazon Athena API リファレンス」の「[ワークグループ](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| Workgroup | オプションです。 | primary | Workgroup=primary; |
## 出力場所
クエリ結果が保存される Amazon S3 内の場所を指定します。出力場所の詳細については、「Amazon Athena API リファレンス」の「[ResultConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultConfiguration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| S3OutputLocation | 必須 | none | S3OutputLocation=s3://amzn-s3-demo-bucket/; |
## 暗号化オプション
**[ダイアログパラメータ名]**: 暗号化オプション
暗号化オプションを指定します。暗号化オプションの詳細については、「Amazon Athena API リファレンス」の「[EncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **使用できる値** | **接続文字列の例** |
| --- | --- | --- | --- | --- |
| S3OutputEncOption | オプションです。 | none | NOT\$1SET, SSE\$1S3, SSE\$1KMS, CSE\$1KMS | S3OutputEncOption=SSE\$1S3; |
## KMS キー
暗号化用の KMS キーを指定します。KMS キー用の暗号化設定に関する詳細については、「Amazon Athena API リファレンス」の「[EncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| S3OutputEncKMSKey | オプションです。 | none | S3OutputEncKMSKey=your\$1key; |
## 接続テスト
ODBC データソース管理者には、Amazon Athena への ODBC 2.x 接続をテストするために使用できる **[テスト]** オプションが用意されています。手順については、「[Windows 上でのデータソース名を設定する](odbc-v2-driver-getting-started-windows.md#odbc-v2-driver-configuring-dsn-on-windows)」を参照してください。接続をテストすると、ODBC ドライバーは [GetWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetWorkGroup.html) Athena API アクションをコールします。コールでは、指定した認証タイプと対応する認証情報プロバイダを使用して、認証情報を取得します。ODBC 2.x ドライバーを使用する場合、接続テストは無料です。このテストでは、Amazon S3 バケットにクエリ結果は生成されません。
# 認証オプション
以下の認証タイプを使用して Amazon Athena に接続できます。どのタイプでも、接続文字列名は `AuthenticationType`、パラメータタイプは `Required`、デフォルト値は `IAM Credentials` となります。各認証タイプのパラメータについては、それぞれのリンクを参照してください。一般的な認証パラメータについては、「[一般的な認証パラメータ](odbc-v2-driver-common-authentication-parameters.md)」を参照してください。
****
| 認証タイプ | 接続文字列の例 |
| --- | --- |
| [IAM 認証情報](odbc-v2-driver-iam-credentials.md) | AuthenticationType=IAM Credentials; |
| [IAM プロフィール](odbc-v2-driver-iam-profile.md) | AuthenticationType=IAM Profile; |
| [AD FS](odbc-v2-driver-ad-fs.md) | AuthenticationType=ADFS; |
| [Azure AD](odbc-v2-driver-azure-ad.md) | AuthenticationType=AzureAD; |
| [Browser Azure AD](odbc-v2-driver-browser-azure-ad.md) | AuthenticationType=BrowserAzureAD; |
| [Browser SAML](odbc-v2-driver-browser-saml.md) | AuthenticationType=BrowserSAML; |
| [Browser SSO OIDC](odbc-v2-driver-browser-sso-oidc.md) | AuthenticationType=BrowserSSOOIDC; |
| [デフォルト認証情報](odbc-v2-driver-default-credentials.md) | AuthenticationType=Default Credentials; |
| [外部認証情報](odbc-v2-driver-external-credentials.md) | AuthenticationType=External Credentials; |
| [インスタンスプロファイル](odbc-v2-driver-instance-profile.md) | AuthenticationType=Instance Profile; |
| [JWT](odbc-v2-driver-jwt.md) | AuthenticationType=JWT; |
| [JWT の信頼できる ID の伝播認証情報プロバイダー](odbc-v2-driver-jwt-tip.md) | AuthenticationType=JWT\$1TIP; |
| [ブラウザの信頼できる ID 伝播認証情報](odbc-v2-driver-browser-oidc-tip.md) | AuthenticationType=BrowserOidcTip; |
| [Okta](odbc-v2-driver-okta.md) | AuthenticationType=Okta; |
| [Ping](odbc-v2-driver-ping.md) | AuthenticationType=Ping; |
# IAM 認証情報
IAM 認証情報により、このセクションで説明する接続文字列パラメータを使用して ODBC ドライバーで Amazon Athena に接続できます。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=IAM Credentials; |
## ユーザー ID
AWS アクセスキー ID。アクセスキーの取得に関する詳細については、「IAM ユーザーガイド」の「[AWS セキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UID | 必須 | none | UID=AKIAIOSFODNN7EXAMPLE; |
## パスワード
AWS シークレットキーの ID。アクセスキーの取得に関する詳細については、「IAM ユーザーガイド」の「[AWS セキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| PWD | 必須 | none | PWD=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKE; |
## セッショントークン
一時的な AWS 認証情報を使用している場合は、セッショントークンを指定する必要があります。一時的なセキュリティ認証情報の詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的なセキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| SessionToken | オプションです。 | none | SessionToken=AQoDYXdzEJr...; |
# IAM プロフィール
ODBC ドライバーを使用して、Amazon Athena に接続するように名前付きプロファイルを設定できます。名前付きプロファイルは、次のいずれかの認証情報ソースで使用できます。
+ `Ec2InstanceMetadata` – Amazon EC2 インスタンスメタデータサービス (IMDS) から認証情報を取得します。これは、Amazon EC2 インスタンスで実行するときに使用します。
+ `EcsContainer` – Amazon ECS タスクロールエンドポイントから認証情報を取得します。これは、Amazon ECS コンテナで実行するときに使用します。
+ `Environment` – 環境変数 (`AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY`、`AWS_SESSION_TOKEN`) から認証情報を取得します。
AWS プロファイル設定の `credential_source` パラメータを環境に適した値に設定します。名前付きプロファイルでカスタム認証情報プロバイダを使用する場合は、プロファイル設定で `plugin_name` パラメータの値を指定します。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=IAM Profile; |
## AWS プロファイル
ODBC 接続に使用するプロファイル名。プロファイルの詳細については、「*AWS Command Line Interface ユーザーガイド*」の「[名前付きプロファイルを使用する](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AWS プロファイル | 必須 | none | AWSProfile=default; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。優先ロールパラメータは、カスタム認証情報プロバイダがプロファイル設定の `plugin_name` パラメータで指定されている場合に使用されます。ARN ロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。セッション期間パラメータは、カスタム認証情報プロバイダがプロファイル設定の `plugin_name` パラメータで指定されている場合に使用されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## プラグイン名
名前付きプロファイルで使用される、カスタム認証情報プロバイダの名前を指定します。このパラメータには、ODBC データソース管理者の **[認証タイプ]** フィールドの値と同じ値を指定できますが、`AWSProfile` 設定でのみ使用されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| plugin\$1name | オプションです。 | none | plugin\$1name=AzureAD; |
# AD FS
AD FS は、Active Directory フェデレーションサービス (AD FS) の ID プロバイダと連携する SAML ベースの認証プラグインです。このプラグインは、[統合 Windows 認証](https://learn.microsoft.com/en-us/aspnet/web-api/overview/security/integrated-windows-authentication)とフォームベース認証をサポートしています。統合 Windows 認証を使用する場合は、ユーザー名とパスワードを省略できます。AD FS と Athena の設定に関する詳細については、「[ODBC クライアントを使用して Microsoft AD FS ユーザーに Amazon Athena へのフェデレーテッドアクセスを設定する](odbc-adfs-saml.md)」を参照してください。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=ADFS; |
## ユーザー ID
AD FS サーバーに接続するためのユーザー名。統合 Windows 認証を使用する場合は、ユーザー名を省略できます。AD FS の設定でユーザー名が必要な場合は、接続パラメータでユーザー名を指定する必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UID | Windows 統合認証の場合はオプション | none | UID=domain\$1username; |
## パスワード
AD FS サーバーに接続するためのパスワード。[ユーザー名] フィールドと同様に、統合 Windows 認証を使用する場合はユーザー名を省略できます。AD FS の設定でパスワードが必要な場合は、接続パラメータでパスワードを指定する必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| PWD | Windows 統合認証の場合はオプション | none | PWD=password\$13EXAMPLE; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。SAML アサーションに複数の役割がある場合は、このパラメータを指定して引き受ける役割を選択できます。このロールは SAML アサーションに含まれている必要があります。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## IdP Host
AD FS サービスホストの名前。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1host | 必要 | none | idp\$1host=.; |
## IdP ポート
AD FS ホストへの接続に使用するポート。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1port | 必須 | none | idp\$1port=443; |
## LoginToRP
信頼できる依存パーティ。このパラメータを使用して、AD FS 依存パーティエンドポイント URL を上書きします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| LoginToRP | オプションです。 | urn:amazon:webservices | LoginToRP=trustedparty; |
# Azure AD
Azure AD は Azure AD ID プロバイダと連携する SAML ベースの認証プラグインです。このプラグインは、多要素認証 (MFA) をサポートしません。MFA サポートが必要な場合は、代わりに `BrowserAzureAD` プラグインを使用することを検討してください。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=AzureAD; |
## ユーザー ID
Azure AD に接続するためのユーザー名。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UID | 必須 | none | UID=jane.doe@example.com; |
## パスワード
Azure AD に接続するためのパスワード。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| PWD | 必須 | none | PWD=password\$13EXAMPLE; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:iam::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## テナント ID
アプリケーションのテナント ID を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1tenant | 必須 | none | idp\$1tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
## クライアント ID
アプリケーションのクライアント ID を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| client\$1id | 必須 | none | client\$1id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
## クライアントシークレット
クライアントのシークレットを指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| client\$1secret | 必須 | none | client\$1secret=zG12q\$1.xzG1xxxZ1wX1.\$1ZzXXX1XxkHZizeT1zzZ; |
# Browser Azure AD
Browser Azure AD は Azure AD ID プロバイダと連携する SAML ベースの認証プラグインで、多要素認証をサポートします。標準の Azure AD プラグインとは異なり、このプラグインでは接続パラメータにユーザー名、パスワード、クライアントシークレットは不要です。
**注記**
**v2.1.0.0 セキュリティ更新:** v2.1.0.0 以降、BrowserAzureAD プラグインには OAuth 2.0 認可フローに PKCE (コード交換の証明キー) が含まれています。これにより、共有システムに対する認可コードの傍受攻撃を防ぐことができます。設定の変更は必要ありません。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=BrowserAzureAD; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。SAML アサーションに複数の役割がある場合は、このパラメータを指定して引き受ける役割を選択できます。指定されたロールが SAML アサーションに含まれている必要があります。ARN ロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## テナント ID
アプリケーションのテナント ID を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1tenant | 必須 | none | idp\$1tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
## クライアント ID
アプリケーションのクライアント ID を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| client\$1id | 必須 | none | client\$1id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
## タイムアウト
プラグインが Azure AD からの SAML レスポンスが得られるまで待機するのを停止するまでの時間 (秒単位)。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| タイムアウト | オプションです。 | 120 | timeout=90; |
## Azure ファイルキャッシュを有効にする
一時的な認証情報キャッシュを有効にします。この接続パラメータにより、一時的な認証情報を複数のプロセス間でキャッシュおよび再利用できます。Microsoft Power BI などの BI ツールを使用するとき、このオプションを使用して開かれるブラウザーのウィンドウ数を減らすことができます。
**注記**
v2.1.0.0 以降、キャッシュされた認証情報は、AWS CLI がローカルに保存された認証情報を保護する方法に従って、所有ユーザーに制限されたファイルアクセス許可を持つプレーンテキストの JSON として `user-profile/.athena-odbc/` ディレクトリに保存されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| browser\$1azure\$1cache | オプションです。 | 1 | browser\$1azure\$1cache=0; |
# Browser SAML
Browser SAML は、SAML ベースの ID プロバイダと連携する汎用認証プラグインであり、多要素認証をサポートします。詳細な設定情報については、「[ODBC、SAML 2.0、Okta Identity Provider を使用してシングルサインオンを設定する](okta-saml-sso.md)」を参照してください。
**注記**
**v2.1.0.0 セキュリティ更新:** v2.1.0.0 以降、BrowserSAML プラグインには RelayState 検証による CSRF 保護が含まれています。ドライバーはランダムな状態トークンを生成し、ログイン URL に RelayState パラメータとして含め、SAML アサーションを受け入れる前に受信したレスポンスと照合します。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=BrowserSAML; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。SAML アサーションに複数の役割がある場合は、このパラメータを指定して引き受ける役割を選択できます。このロールは SAML アサーションに含まれている必要があります。ARN ロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## ログイン URL
アプリケーションに表示されるシングルサインオン URL。
**重要**
v2.1.0.0 以降、ログイン URL は有効な権限を持つ HTTP または HTTPS プロトコルを使用する必要があります。ドライバーは、認証フローを開始する前に URL 形式を検証します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| login\$1url | 必須 | none | login\$1url=https://trial-1234567.okta.com/app/trial-1234567\$1oktabrowsersaml\$11/zzz4izzzAzDFBzZz1234/sso/saml; |
## リッスンポート
SAML レスポンスをリッスンするために使用されるポート番号。この値は、IdP を設定した IAM Identity Center の URL (例: `http://localhost:7890/athena`) と一致する必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| listen\$1port | オプションです。 | 7890 | listen\$1port=7890; |
## タイムアウト
プラグインが ID プロバイダからの SAML レスポンスが得られるまで待機するのを停止するまでの時間 (秒単位)。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| タイムアウト | オプションです。 | 120 | timeout=90; |
# Browser SSO OIDC
Browser SSO OIDC は AWS IAM アイデンティティセンター で動作する認証プラグインです。IAM Identity Center を有効にして使用するための情報については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[ステップ 1: IAM Identity Center を有効にする](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)」を参照してください。
**注記**
**v2.1.0.0 セキュリティ更新:** バージョン 2.1.0.0 以降、BrowserSSOOIDC プラグインは、セキュリティを向上させるために、デバイスコード認可ではなく PKCE で認可コードを使用します。この変更により、デバイスコードの表示ステップがなくなり、認証が高速化されます。OAuth 2.0 コールバックサーバーには、新しい `listen_port` パラメータ (デフォルトは 7890) が使用されます。このポートをネットワークで許可リストに登録する必要がある場合があります。デフォルトのスコープが `sso:account:access` に変更されました。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=BrowserSSOOIDC; |
## IAM Identity Center の開始 URL
AWS アクセスポータルの URL。IAM Identity Center の [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API アクションは、この値を `issuerUrl` パラメータに使用します。
**AWS アクセスポータル URL をコピーする方法**
1. AWS マネジメントコンソール にサインインし、AWS IAM アイデンティティセンター コンソールを [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) で開きます。
1. ナビゲーションペインで **[設定]** を選択します。
1. **[設定]** ページにある **[ID ソース]** で、**AWS アクセスポータル URL** のクリップボードアイコンを選択します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1start\$1url | 必須 | none | sso\$1oidc\$1start\$1url=https://app\$1id.awsapps.com/start; |
## IAM Identity Center リージョン
SSO が設定されている AWS リージョン。`SSOOIDCClient` および `SSOClient` AWS SDK クライアントは、この値を `region` パラメータに使用します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1region | 必須 | none | sso\$1oidc\$1region=us-east-1; |
## スコープ
クライアントによって定義されるスコープのリスト。承認されると、このリストはアクセストークンが付与されたときの権限を制限します。IAM Identity Center の [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API アクションは、この値を `scopes` パラメータに使用します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1scopes | オプションです。 | sso:account:access | sso\$1oidc\$1scopes=sso:account:access; |
## アカウント ID
ユーザーに割り当てられる AWS アカウント の識別子。IAM Identity Center の [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API は、この値を `accountId` パラメータに使用します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1account\$1id | 必須 | none | sso\$1oidc\$1account\$1id=123456789123; |
## ロール名
ユーザーに割り当てられているロールのわかりやすい名前。このアクセス許可セットに指定した名前は、使用可能なロールとして AWS アクセスポータルに表示されます。IAM Identity Center の [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API アクションは、この値を `roleName` パラメータに使用します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1role\$1name | 必須 | none | sso\$1oidc\$1role\$1name=AthenaReadAccess; |
## タイムアウト
ポーリング SSO API がアクセストークンをチェックする秒数。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1timeout | オプションです。 | 120 | sso\$1oidc\$1timeout=60; |
## リッスンポート
OAuth 2.0 コールバックサーバーに使用するローカルポート番号。これはリダイレクト URI として使用され、ネットワークでこのポートを許可リストに追加する必要がある場合があります。デフォルトで生成されるリダイレクト URI は `http://localhost:7890/athena` です。このパラメータは、PKCE を使用したデバイスコードから認可コードへの移行の一環として v2.1.0.0 に追加されました。
**警告**
Windows ターミナルサーバーやリモートデスクトップサービスなどの共有環境では、ループバックポート(デフォルト:7890)は同一マシン上のすべてのユーザー間で共有されます。システム管理者は、潜在的なポートハイジャックリスクを以下の方法で軽減できます。
ユーザーグループごとに異なるポート番号を設定する
Windows セキュリティポリシーを使用してポートアクセスを制限する
ユーザーセッション間のネットワーク分離を実装する
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| listen\$1port | オプションです。 | 7890 | listen\$1port=8080; |
## ファイルキャッシュを有効にする
一時的な認証情報キャッシュを有効にします。この接続パラメータにより、一時的な認証情報を複数のプロセス間でキャッシュおよび再利用できます。Microsoft Power BI などの BI ツールを使用するとき、このオプションを使用して開かれるブラウザーのウィンドウ数を減らすことができます。
**注記**
v2.1.0.0 以降、キャッシュされた認証情報は、AWS CLI がローカルに保存された認証情報を保護する方法に従って、所有ユーザーに制限されたファイルアクセス許可を持つプレーンテキストの JSON として `user-profile/.athena-odbc/` ディレクトリに保存されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1cache | オプションです。 | 1 | sso\$1oidc\$1cache=0; |
# デフォルト認証情報
クライアントシステムで設定したデフォルトの認証情報を使用して、Amazon Athena に接続できます。デフォルト認証情報の使用に関する詳細については、「AWS SDK for Java デベロッパーガイド」の「[デフォルト認証情報プロバイダチェーンの使用](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/credentials.html#credentials-default)」を参照してください。
## [Authentication type] (認証タイプ)
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=Default Credentials; |
# 外部認証情報
外部認証情報は、任意の外部 SAML ベースの ID プロバイダに接続する際に使用できる汎用認証プラグインです。プラグインを使用するには、SAML レスポンスを返す実行可能ファイルを渡します。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=External Credentials; |
## 実行可能ファイルのパス
カスタム SAML ベースの認証情報プロバイダのロジックが含まれる実行可能ファイルへのパス。実行可能ファイルの出力は、ID プロバイダからの解析された SAML レスポンスである必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ExecutablePath | 必須 | none | ExecutablePath=C:\$1Users\$1user\$1name\$1external\$1credential.exe |
## 引数リスト
実行可能ファイルに渡すべき引数のリスト。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ArgumentList | オプションです。 | none | ArgumentList=arg1 arg2 arg3 |
# インスタンスプロファイル
この認証タイプは EC2 インスタンスで使用され、Amazon EC2 メタデータサービスを通じて提供されます。
## [Authentication type] (認証タイプ)
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=Instance Profile; |
# JWT
JSON ウェブトークン (JWT) プラグインは、JSON ウェブトークンを使用して Amazon IAM ロールを引き受けるインターフェイスを提供します。設定は、ID プロバイダによって異なります。Google Cloud および AWS でのフェデレーション設定については、Google Cloud ドキュメントの「[AWS または Azure との Workload Identity 連携を構成する](https://cloud.google.com/iam/docs/workload-identity-federation-with-other-clouds)」を参照してください。
## [Authentication type] (認証タイプ)
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=JWT; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## JSON ウェブトークン
AWS STS の [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) API アクションを使用して、IAM の一時的な認証情報を取得するために使用される JSON ウェブトークン。Google Cloud プラットフォーム (GCP) ユーザー向けに JSON ウェブトークンを生成するための詳細については、「Google Cloud ドキュメント」の「[JWT OAuth トークンの使用](https://cloud.google.com/apigee/docs/api-platform/security/oauth/using-jwt-oauth)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| web\$1identity\$1token | 必須 | none | web\$1identity\$1token=eyJhbGc...; |
## ロールセッション名
セッションの名前。アプリケーションのユーザーの名前あるいは識別子をロールセッション名として使用するのが一般的なテクニックです。これにより、アプリケーションが使用する一時的なセキュリティ認証情報を、該当するユーザーと簡単に関連付けられます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必須 | none | role\$1session\$1name=familiarname; |
# JWT の信頼できる ID の伝播認証情報プロバイダー
この認証タイプでは、外部 ID プロバイダーから取得した JSON Web トークン (JWT) を接続パラメータとして使用して Athena で認証できます。このプラグインを使用すると、信頼できる ID の伝播による企業 ID のサポートを有効にすることができます。
信頼できる ID の伝播では、ID コンテキストが IAM ロールに追加され、AWS リソースへのアクセスをリクエストするユーザーを識別します。信頼できる ID の伝播の有効化と使用方法の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)」を参照してください。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=JWT\$1TIP; |
## JWT ウェブ ID トークン
外部のフェデレーション ID プロバイダーから取得した JWT トークン。このトークンは Athena での認証に使用されます。トークンキャッシュはデフォルトで有効になっており、複数のドライバー接続にわたって同じ IAM Identity Center アクセストークンの使用が許可されます。交換されたトークンはドライバーインスタンスがアクティブな間のみ存在するため、「接続のテスト」時に新しい JWT トークンを提供することをお勧めします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| web\$1identity\$1token | 必須 | none | web\$1identity\$1token=eyJhbGc...; |
## ワークグループ ARN
Amazon Athena ワークグループの Amazon リソースネーム (ARN)。ワークグループの詳細については、「[ワークグループ](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| WorkGroupArn | 必須 | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
## JWT アプリケーションロール ARN
引き受けるロールの ARN。このロールは、JWT 交換、ワークグループタグによる IAM Identity Center カスタマーマネージドアプリケーション ARN の取得、アクセスロール ARN の取得に使用されます。ロールの引き受けの詳細については、「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ApplicationRoleArn | 必須 | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
## ロールセッション名
セッションの名前。どのようなものでもかまいませんが、通常は、アプリケーションを使用するユーザーに関連付けられている名前または識別子を渡します。そうすると、アプリケーションが使用する一時的なセキュリティ認証情報は、そのユーザーに関連付けられます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必須 | none | role\$1session\$1name=familiarname; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 3600 | duration=900; |
## JWT アクセスロール ARN
引き受けるロールの ARN。これは、ユーザーに代わって呼び出すために Athena が引き受けるロールです。ロールの引き受けの詳細については、「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AccessRoleArn | オプションです。 | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
## IAM Identity Center カスタマーマネージドアプリケーション ARN
IAM Identity Center カスタマーマネージド IDC アプリケーションの ARN。カスタマーマネージドアプリケーションの詳細については、「[カスタマーマネージドアプリケーション](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | オプションです。 | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333 |
## ファイルキャッシュを有効にする
一時的な認証情報キャッシュを有効にします。この接続パラメータにより、一時的な認証情報をキャッシュして複数のプロセス間で再利用できます。Microsoft Power BI などの BI ツールを使用するときに、このオプションを使用してウェブ ID トークンの数を減らすことができます。デフォルトでは、ドライバーは Windows の `%USERPROFILE%` と `HOME` パスを使用してファイルキャッシュを書き込みます。エクスペリエンスを向上させるために、これら 2 つの環境変数に存在するパスの読み取りおよび書き込みアクセスを提供するようにしてください。
**注記**
v2.1.0.0 以降、キャッシュされた認証情報は、AWS CLI がローカルに保存された認証情報を保護する方法に従って、所有ユーザーに制限されたファイルアクセス許可を持つプレーンテキストの JSON として `user-profile/.athena-odbc/` ディレクトリに保存されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| JwtTipFileCache | オプションです。 | 0 | JwtTipFileCache=1; |
# ブラウザの信頼できる ID 伝播認証情報
この認証タイプでは、外部 ID プロバイダーから新規の JSON Web トークン (JWT) を取得して Athena で認証できます。このプラグインを使用すると、信頼できる ID の伝播による企業 ID のサポートを有効にすることができます。ドライバーで信頼できる ID の伝播を使用する方法の詳細については、「[Amazon Athena ドライバーで信頼できる ID の伝播を使用する](using-trusted-identity-propagation.md)」を参照してください。[CloudFormation を使用してリソースを設定およびデプロイする](using-trusted-identity-propagation-cloudformation.md)こともできます。
信頼できる ID の伝播では、ID コンテキストが IAM ロールに追加され、AWS リソースへのアクセスをリクエストするユーザーを識別します。信頼できる ID の伝播の有効化と使用方法の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)」を参照してください。
**注記**
このプラグインは、シングルユーザーデスクトップ環境向けに特別に設計されています。Windows Server などの共有環境では、システム管理者がユーザー間のセキュリティ境界を確立して維持する責任を負います。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | none | AuthenticationType=BrowserOidcTip; |
## IDP well known configuration URL
IDP Well Known Configuration URL は、ID プロバイダーの OpenID Connect 設定の詳細を提供するエンドポイントです。この URL は通常、`.well-known/openid-configuration` で終わり、認証エンドポイント、サポートされている機能、トークン署名キーに関する必須メタデータが含まれています。たとえば、*Okta* を使用している場合、URL は `https://your-domain.okta.com/.well-known/openid-configuration` のようになります。
トラブルシューティング:接続エラーが発生した場合は、この URL がネットワークからアクセス可能なものであり、有効な *OpenID Connect* 設定 JSON を返すことを確認します。URL は、ドライバーがインストールされているクライアントが到達できるものでなければならず、ID プロバイダーの管理者から提供される必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| IdpWellKnownConfigurationUrl | 必須 | none | IdpWellKnownConfigurationUrl=https:///.well-known/openid-configuration; |
## クライアント識別子
OpenID Connect プロバイダーがアプリケーションに対して発行したクライアント識別子。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| client\$1id | 必須 | none | client\$1id=00001111-aaaa-2222-bbbb-3333cccc4444; |
## ワークグループ ARN
信頼できる ID の伝搬設定タグを含む Amazon Athena ワークグループの Amazon リソースネーム(ARN)。ワークグループの詳細については、「[ワークグループ](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)」を参照してください。
**注記**
このパラメータは、クエリの実行場所を指定する `Workgroup` パラメータとは異なります。次の両方のパラメータを設定する必要があります。
`WorkgroupArn` - 信頼できる ID の伝搬設定タグを含むワークグループを指す
`Workgroup` - クエリを実行するワークグループを指定する
これらは通常、同じワークグループを参照しますが、適切なオペレーションのために両方のパラメータを明示的に設定する必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| WorkGroupArn | 必須 | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
## JWT アプリケーションロール ARN
JWT 交換で継承されるロールの ARN。このロールは、JWT 交換、ワークグループタグによる IAM Identity Center カスタマーマネージドアプリケーション ARN の取得、アクセスロール ARN の取得に使用されます。ロールの引き受けの詳細については、「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ApplicationRoleArn | 必須 | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
## ロールセッション名
IAM セッションの名前。どのようなものでもかまいませんが、通常は、アプリケーションを使用するユーザーに関連付けられている名前または識別子を渡します。そうすると、アプリケーションが使用する一時的なセキュリティ認証情報は、そのユーザーに関連付けられます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必須 | none | role\$1session\$1name=familiarname; |
## クライアントシークレット
クライアントシークレットは、アプリケーションの認証に利用している ID プロバイダーによって発行された機密キーです。このパラメータはオプションであり、すべての認証フローに必須ではない場合がありますが、使用するとセキュリティレイヤーが追加されます。IDP 設定にクライアントシークレットが必要な場合は、ID プロバイダー管理者から提供された値をこのパラメータに含める必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| client\$1secret | オプションです。 | none | client\$1secret=s0m3R@nd0mS3cr3tV@lu3Th@tS3cur3lyPr0t3ct5Th3Cl13nt;\$1 |
## スコープ
スコープでは、アプリケーションが ID プロバイダーに要求するアクセス権限のレベルを指定します。重要なユーザー ID クレームを含む ID トークンを受け取るには、`openid` をスコープに含める必要があります。ID プロバイダー(*Microsoft Entra ID* など)が ID トークンに含めるように設定されているユーザークレームによっては、`email` や `profile` などの追加のアクセス許可をスコープに含める必要がある場合があります。これらのクレームは、適切な「*信頼できる ID の伝搬*」マッピングに不可欠です。ユーザー ID マッピングが失敗した場合、必要なすべてのアクセス許可がスコープに含まれており、必要なクレームを ID トークンに含めるように ID プロバイダーが設定されていることを確認します。これらのクレームは、IAM アイデンティティセンターの「*信頼できるトークン発行者*」マッピング設定と一致する必要があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| スコープ | オプションです。 | openid email offline\$1access | Scope=openid email; |
## セッション期間
ロールセッションの期間 (秒)。詳細については、「[AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 3600 | duration=900; |
## JWT アクセスロール ARN
Athena がユーザーに代わって呼び出しを行うために引き受けるロールの ARN。引き受けるロールの詳細については、「*AWS Security Token Service API リファレンス*」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AccessRoleArn | オプションです。 | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
## IAM Identity Center カスタマーマネージドアプリケーション ARN
IAM Identity Center カスタマーマネージド IDC アプリケーションの ARN。カスタマーマネージドアプリケーションの詳細については、「[カスタマーマネージドアプリケーション](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | オプションです。 | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333; |
## ID プロバイダーのポート番号
OAuth 2.0 コールバックサーバーに使用するローカルポート番号。これは redirect\$1uri として使用されます。これを IDP アプリケーションの許可リストに登録する必要があります。デフォルトで生成される redirect\$1uri は、http://localhost:7890/athena です。
**警告**
Windows ターミナルサーバーやリモートデスクトップサービスなどの共有環境では、ループバックポート(デフォルト:7890)は同一マシン上のすべてのユーザー間で共有されます。システム管理者は、潜在的なポートハイジャックリスクを以下の方法で軽減できます。
ユーザーグループごとに異なるポート番号を設定する
Windows セキュリティポリシーを使用してポートアクセスを制限する
ユーザーセッション間のネットワーク分離を実装する
これらのセキュリティコントロールを実装できない場合は、ループバックポートを必要としない「[JWT の信頼できる ID の伝搬](odbc-v2-driver-jwt-tip.md)」プラグインの使用をお勧めします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| listen\$1port | オプションです。 | 7890 | listen\$1port=8080; |
## ID プロバイダーの応答タイムアウト
OAuth 2.0 コールバック応答を待機するタイムアウト(秒単位)。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| IdpResponseTimeout | オプションです。 | 120 | IdpResponseTimeout=140; |
## ファイルキャッシュを有効にする
JwtTipFileCache パラメータは、ドライバーが接続間で認証トークンをキャッシュするかどうかを決定します。JwtTipFileCache を true に設定すると、認証プロンプトが減るのでユーザーエクスペリエンスが向上しますが、慎重に使用する必要があります。この設定は、シングルユーザーデスクトップ環境に最適です。Windows Server などの共有環境では、同様の接続文字列を持つユーザー間でのトークン共有を予防するために、これを無効にしておくことをお勧めします。
PowerBI Server などのツールを使用したエンタープライズデプロイの場合は、この認証方法の代わりに「[JWT の信頼できる ID の伝搬](odbc-v2-driver-jwt-tip.md)」プラグインを使用することをお勧めします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| JwtTipFileCache | オプションです。 | 0 | JwtTipFileCache=1; |
# Okta
Okta は Okta ID プロバイダと連携する SAML ベースの認証プラグインです。Okta と Amazon Athena のフェデレーションを設定するための情報については、「[Okta プラグインと Okta ID プロバイダを使用して ODBC 用 の SSO を設定する](odbc-okta-plugin.md)」を参照してください。
## 認証タイプ
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=Okta; |
## ユーザー ID
Okta のユーザー名。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UID | 必須 | none | UID=jane.doe@org.com; |
## パスワード
Okta ユーザーのパスワード。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| PWD | 必須 | none | PWD=oktauserpasswordexample; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## IdP Host
Okta 組織の URL。Okta アプリケーションの **[埋め込みリンク]** URL から、`idp_host` パラメータを抽出できます。手順については、「[Okta から ODBC の設定情報を取得する](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)」を参照してください。`https://` の後に続く最初のセグメントから `okta.com` までは、IdP ホストです (例: `http://trial-1234567.okta.com`)。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1host | 必須 | None | idp\$1host=dev-99999999.okta.com; |
## IdP ポート
IdP ホストへの接続に使用するポート番号。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1port | 必須 | None | idp\$1port=443; |
## Okta アプリ ID
アプリケーション用の 2 つの部分で構成される識別子です。Okta アプリケーションの **[埋め込みリンク]** URL から、`app_id` パラメータを抽出できます。手順については、「[Okta から ODBC の設定情報を取得する](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)」を参照してください。アプリケーション ID は、URL の最後の 2 つのセグメントで、中央のスラッシュも含まれます。これら 2 つのセグメントは、数字と大文字と小文字が混在する 20 文字の文字列 2 組です (例: `Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4`)。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| app\$1id | 必須 | None | app\$1id=0oa25kx8ze9A3example/alnexamplea0piaWa0g7; |
## Okta アプリ名
Okta アプリケーションの名前。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| app\$1name | 必須 | None | app\$1name=amazon\$1aws\$1redshift; |
## Okta の待機時間
多要素認証 (MFA) コードを取得するまで待機する時間を、秒単位で指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| okta\$1mfa\$1wait\$1time | オプションです。 | 10 | okta\$1mfa\$1wait\$1time=20; |
## Okta MFA タイプ
MFA ファクターのタイプ。サポートされているタイプは、Google 認証システム、SMS (Okta)、プッシュ通知付き Okta Verify、および TOTP 付き Okta Verify です。個々の組織のセキュリティポリシーによって、ユーザーのログインに MFA が必要かどうかが決まります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **使用できる値** | **接続文字列の例** |
| --- | --- | --- | --- | --- |
| okta\$1mfa\$1type | Optional | None | googleauthenticator, smsauthentication, oktaverifywithpush, oktaverifywithtotp | okta\$1mfa\$1type=oktaverifywithpush; |
## Okta 電話番号
AWS SMS 認証に使用する電話番号。このパラメータは、多要素登録にのみ必要です。携帯電話番号がすでに登録されている、またはセキュリティポリシーで AWS SMS 認証が使用されていない場合は、このフィールドは無視してかまいません。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| okta\$1mfa\$1phone\$1number | MFA 登録には必須、それ以外の場合はオプション | None | okta\$1mfa\$1phone\$1number=19991234567; |
## Okta ファイルキャッシュを有効にする
一時的な認証情報キャッシュを有効にします。この接続パラメータにより、一時的な認証情報をキャッシュし、BI アプリケーションが開いた複数のプロセス間で再利用できます。このオプションを使用して Okta API のスロットリング制限を回避します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| okta\$1cache | オプションです。 | 0 | okta\$1cache=1; |
# Ping
Ping は [PingFederate](https://www.pingidentity.com/en/platform/capabilities/authentication-authority/pingfederate.html) ID プロバイダと連携する SAML ベースのプラグインです。
## [Authentication type] (認証タイプ)
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| AuthenticationType | 必須 | IAM Credentials | AuthenticationType=Ping; |
## ユーザー ID
PingFederate サーバーのユーザー名。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| UID | 必須 | none | UID=pingusername@domain.com; |
## パスワード
PingFederate サーバーのパスワード。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| PWD | 必須 | none | PWD=pingpassword; |
## 優先ロール
引き受けるロールの Amazon リソースネーム (ARN)。SAML アサーションに複数の役割がある場合は、このパラメータを指定して引き受ける役割を選択できます。このロールは SAML アサーションに含まれている必要があります。ARN ロールの詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| preferred\$1role | オプションです。 | none | preferred\$1role=arn:aws:iam::123456789012:id/user1; |
## セッション期間
ロールセッションの期間 (秒)。セッション期間の詳細については、「AWS Security Token Service API リファレンス」の「[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| duration | オプションです。 | 900 | duration=900; |
## IdP Host
Ping サーバーのアドレス。アドレスを確認するには、次の URL にアクセスして **[SSO アプリケーションエンドポイント]** フィールドを確認してください。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1host | 必須 | none | idp\$1host=ec2-1-83-65-12.compute-1.amazonaws.com; |
## IdP ポート
IdP ホストへの接続に使用するポート番号。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| idp\$1port | 必須 | None | idp\$1port=443; |
## パートナー SPID
サービスプロバイダのアドレス。サービスプロバイダのアドレスを確認するには、次の URL にアクセスして **[SSO アプリケーションエンドポイント]** フィールドを確認してください。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| partner\$1spid | 必須 | None | partner\$1spid=https://us-east-1.signin.aws.amazon.com/platform/saml/<...>; |
## Ping URI パラメータ
認証リクエストの URI 引数を Ping に渡します。このパラメータを使用して Lake Formation のシングルロール制限を回避します。渡されたパラメータを認識するように Ping を設定し、渡されたロールがユーザーに割り当てられたロールのリストに存在することを確認します。次に SAML アサーションで 1 つのロールを送信します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値** | **接続文字列の例** |
| --- | --- | --- | --- |
| ping\$1uri\$1param | オプションです。 | None | ping\$1uri\$1param=role=my\$1iam\$1role; |
# 一般的な認証パラメータ
このセクションのパラメータは、前述のように認証タイプに共通です。
## IdP にプロキシを使用する
プロキシを介したドライバーと IdP 間の通信を有効にします。このオプションは、以下の認証プラグインで使用できます。
+ AD FS
+ Azure AD
+ Browser Azure AD
+ Browser SSO OIDC
+ JWT の信頼できる ID の伝播
+ JWT
+ JWT の信頼できる ID の伝播
+ ブラウザの信頼できる ID 伝播
+ Okta
+ Ping
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseProxyForIdP | オプションです。 | 0 | UseProxyForIdP=1; |
## Lake Formation の使用
[AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) AWS STS API アクションの代わりに [AssumeDecoratedRoleWithSAML](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) Lake Formation API アクションを使用して、一時的な IAM 認証情報を取得します。このオプションは、Azure AD、Browser Azure AD、Browser SAML、Okta、Ping、および AD FS 認証プラグインで使用できます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| LakeformationEnabled | オプションです。 | 0 | LakeformationEnabled=1; |
## SSL インセキュア (IdP)
IdP と通信するときに SSL を無効にします。このオプションは、Azure AD、Browser Azure AD、Okta、Ping、および AD FS 認証プラグインで使用できます。
**重要**
**v2.1.0.0 の大幅な変更:** ID プロバイダーへの接続時の SSL 証明書検証のデフォルトの動作が変更されました。2.1.0.0 より前のバージョンでは、SSL 検証はデフォルトで無効になっています。v2.1.0.0 以降、SSL 検証はすべての IdP 接続でデフォルトで有効になっています。また、ドライバーは TLS 1.2 を最小 TLS バージョンとして適用します。有効な SSL 証明書がないローカル ID プロバイダーを使用する場合 (テスト目的のみ)、接続文字列に `SSL_Insecure=1` を設定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| SSL\$1Insecure | オプションです。 | 0 | SSL\$1Insecure=1; |
# エンドポイントオーバーライド
## Athena エンドポイントオーバーライド
`endpointOverride ClientConfiguration` クラスはこの値を使用して Amazon Athena クライアントのデフォルトの HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| EndpointOverride | オプションです。 | none | EndpointOverride=athena.us-west-2.amazonaws.com; |
## Athena ストリーミングエンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドはこの値を使用して Amazon Athena ストリーミングクライアントのデフォルトの HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。Athena ストリーミングサービスはポート 444 から利用できます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| StreamingEndpointOverride | オプションです。 | none | StreamingEndpointOverride=athena.us-west-1.amazonaws.com:444; |
## AWS STS エンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドはこの値を使用して AWS STS クライアントのデフォルトの HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| StsEndpointOverride | オプションです。 | none | StsEndpointOverride=sts.us-west-1.amazonaws.com; |
## Lake Formation エンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドはこの値を使用して Lake Formation クライアントのデフォルトの HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| LakeFormationEndpointOverride | オプションです。 | none | LakeFormationEndpointOverride=lakeformation.us-west-1.amazonaws.com; |
## SSO エンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドは、この値を使用して SSO クライアントのデフォルト HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| SSOEndpointOverride | オプションです。 | none | SSOEndpointOverride=portal.sso.us-east-2.amazonaws.com; |
## SSO OIDC エンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドは、この値を使用して SSO OIDC クライアントのデフォルト HTTP エンドポイントをオーバーライドします。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| SSOOIDCEndpointOverride | オプションです。 | none | SSOOIDCEndpointOverride=oidc.us-east-2.amazonaws.com |
## SSO Admin エンドポイントのオーバーライド
`ClientConfiguration.endpointOverride` メソッドは、この値を使用して SSO Admin クライアントのデフォルト HTTP エンドポイントをオーバーライドします。詳細については、「[ClientConfiguration](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| SSOAdminEndpointOverride | オプションです。 | なし | SSOAdminEndpointOverride=sso.us-east-2.amazonaws.com |
## S3 エンドポイントオーバーライド
`ClientConfiguration.endpointOverride` メソッドはこの値を使用して S3 クライアントのデフォルトの HTTP エンドポイントをオーバーライドします。ドライバーが Amazon S3 フェッチャーを使用するとき、クエリ結果をダウンロードするために使用するエンドポイント。このパラメータが指定されていない場合、ドライバーはデフォルトの Amazon S3 エンドポイントを使用します。詳細については、「[ClientConfiguration](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| S3EndpointOverride | オプションです。 | なし | S3EndpointOverride=s3.us-east-2.amazonaws.com |
# 詳細オプション
## フェッチサイズ
このリクエストで返す結果 (行) の最大数。パラメータ情報については、「[GetQuery MaxResults](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetQueryResults.html#athena-GetQueryResults-request-MaxResults)」を参照してください。ストリーミング API の場合、最大値は 10000000 です。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| RowsToFetchPerBlock | オプションです。 | 非ストリーミング用の `1000` ストリーミング用の `20000` | RowsToFetchPerBlock=20000; |
## 結果フェッチャー
デフォルトの結果フェッチャーは、Athena API オペレーションを使用せずに Amazon S3 から直接クエリ結果をダウンロードします。直接 S3 ダウンロードが不可能な状況を検出すると、`GetQueryResultsStream` API オペレーションの使用に自動的にフォールバックします。例えば、クエリ結果が `CSE_KMS` オプションで暗号化されている場合に、この状況が発生します。
ほとんどの場合、`auto` フェッチャーを使用することをお勧めします。しかし、IAM ポリシーまたは S3 バケットポリシーが `s3:CalledVia` 条件を使用して Athena からの S3 オブジェクトリクエストへのアクセスを制限する場合、自動フェッチャーは最初に S3 からの結果のダウンロードを試行し、その後に `GetQueryResultsStream` を使用するためにフォールバックします。この場合、追加の API コールを回避するために `ResultFetcher` を `GetQueryResultsStream` に設定できます。
**注記**
ドライバーは引き続き、Enable streaming API (`UseResultsetStreaming=1;`) および Enable S3 fetcher (`EnableS3Fetcher=1;`) パラメータを認識します。ただし、より良いエクスペリエンスのために、`ResultFetcher` パラメータを使用することをお勧めします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **使用できる値** | **接続文字列の例** |
| --- | --- | --- | --- | --- |
| ResultFetcher | オプションです。 | auto | auto, S3, GetQueryResults, GetQueryResultsStream | ResultFetcher=auto |
## 結果の再利用を有効にする
クエリの実行時に以前のクエリ結果を再利用できるかどうかを指定します。パラメータ情報については、「ResultReuseByAgeConfiguration」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| EnableResultReuse | オプションです。 | 0 | EnableResultReuse=1; |
## 結果再利用の上限有効期間
Athena が再利用を検討するべき以前のクエリ結果の最大保存期間を、分単位で指定します。パラメータ情報については、「[ResultReuseByAgeConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultReuseByAgeConfiguration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ReusedResultMaxAgeInMinutes | オプションです。 | 60 | ReusedResultMaxAgeInMinutes=90; |
## 複数の S3 スレッドを使用する
複数のスレッドを使用して Amazon S3 からデータを取得します。このオプションを有効にすると、Amazon S3 バケットに保存された結果ファイルが、複数のスレッドを使用して同時に取得されます。
このオプションは、ネットワーク帯域幅が十分である場合にのみ有効にしてください。例えば、EC2 [c5.2xlarge](https://aws.amazon.com/ec2/instance-types/c5/) インスタンスでの測定では、シングルスレッドの S3 クライアントは 1 Gbps に達し、マルチスレッドの S3 クライアントではネットワークスループットが 4 Gbps に達しました。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseMultipleS3Threads | オプションです。 | 0 | UseMultipleS3Threads=1; |
## 単一のカタログとスキーマを使用
デフォルトでは、ODBC ドライバーは Athena にクエリを実行して、使用可能なカタログとスキーマのリストを取得します。このオプションでは、[ODBC データソースの管理者] 設定ダイアログボックスまたは接続パラメータで指定されたカタログとスキーマをドライバーに強制的に使用させます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseSingleCatalogAndSchema | オプションです。 | 0 | UseSingleCatalogAndSchema=1; |
## クエリを使用してテーブルをリストする
`LAMBDA` カタログ型の場合に、ODBC ドライバーが [SHOW TABLES](show-tables.md) クエリを送信して利用可能なテーブルのリストを取得できるようにします。この設定はデフォルトです。このパラメータが 0 に設定されていると、ODBC ドライバーは Athena [ListTableMetadata](https://docs.aws.amazon.com/athena/latest/APIReference/API_ListTableMetadata.html) API を使用して利用可能なテーブルのリストを取得します。`LAMBDA` カタログ型では、`ListTableMetadata` の使用がパフォーマンスの低下につながることに注意してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseQueryToListTables | オプションです。 | 1 | UseQueryToListTables=1; |
## 文字列型に WCHAR を使用する
デフォルトで、ODBC ドライバーは Athena 文字列型 `char`、`varchar`、`string`、`array`、`map<>`、`struct<>`、および `row` に、`SQL_CHAR` と `SQL_VARCHAR` を使用します。このパラメータを `1` に設定すると、文字列型への `SQL_WCHAR` と `SQL_WVARCHAR` の使用をドライバーに強制します。ワイド文字型とワイド可変文字型は、異なる言語からの文字が正しく保存および取得されることを確実にするために使用されます。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseWCharForStringTypes | オプションです。 | 0 | UseWCharForStringTypes=1; |
## 外部カタログをクエリする
ドライバーが Athena から外部カタログをクエリする必要があるかどうかを指定します。詳細については、「[ODBC 2.x ドライバーに移行する](odbc-v2-driver-migrating.md)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| QueryExternalCatalogs | オプションです。 | 0 | QueryExternalCatalogs=1; |
## SSL の検証
AWS SDK を使用するときに、SSL 証明書を検証するかどうかを管理します。この値は `ClientConfiguration.verifySSL` パラメータに渡されます。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| VerifySSL | オプションです。 | 1 | VerifySSL=0; |
## S3 結果のブロックサイズ
1 回の Amazon S3 [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) API リクエストでダウンロードするブロックのサイズをバイト単位で指定します。デフォルト値は 67108864 (64 MB) です。許容される最小値と最大値は 10485760 (10 MB) と 2146435072 (約 2 GB) です。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| S3ResultBlockSize | オプションです。 | 67108864 | S3ResultBlockSize=268435456; |
## 文字列の列長
`string` データ型の列の列長を指定します。Athena は精度が定義されていない [Apache Hive 文字列データ型](https://cwiki.apache.org/confluence/display/Hive/LanguageManual+Types#LanguageManualTypes-StringsstringStrings)を使用するため、Athena が報告するデフォルト長は 2147483647 (`INT_MAX`) になります。通常、BI ツールは列のメモリを事前に割り当てるため、メモリ消費量の増加につながる可能性があります。これを回避するため、Athena ODBC ドライバーは `string` データ型の列について報告される精度を制限するとともに、`StringColumnLength` 接続パラメータを公開してデフォルト値を変更できるようにします。
****
| 接続文字列名 | パラメータタイプ | デフォルトの値 | 接続文字列の例 |
| --- | --- | --- | --- |
| StringColumnLength | オプションです。 | 255 | StringColumnLength=65535; |
## 複合型の列長
`map`、`struct`、および `array` といった複合データ型の列の列長を指定します。[StringColumnLength](#odbc-v2-driver-advanced-options-string-column-length) と同様に、Athena は複合データ型の列にも 0 精度を報告します。Athena ODBC ドライバーは、複合データ型の列のデフォルト精度を設定するとともに、`ComplexTypeColumnLength` 接続パラメータを公開してデフォルト値を変更できるようにします。
****
| 接続文字列名 | パラメータタイプ | デフォルトの値 | 接続文字列の例 |
| --- | --- | --- | --- |
| ComplexTypeColumnLength | オプションです。 | 65535 | ComplexTypeColumnLength=123456; |
## 信頼できる CA 証明書
SSL 証明書の信頼ストアの場所を HTTP クライアントに指示します。この値は `ClientConfiguration.caFile` パラメータに渡されます。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| TrustedCerts | オプションです。 | %INSTALL\$1PATH%/bin | TrustedCerts=C:\$1\$1Program Files\$1\$1Amazon Athena ODBC Driver\$1\$1bin\$1\$1cacert.pem; |
## 最小ポーリング時間
Athena にクエリ実行ステータスをポーリングする前に、待機する最小値をミリ秒単位で指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| MinQueryExecutionPollingInterval | オプションです。 | 100 | MinQueryExecutionPollingInterval=200; |
## 最大ポーリング時間
Athena にクエリ実行ステータスをポーリングする前に、待機する最大値をミリ秒単位で指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| MaxQueryExecutionPollingInterval | オプションです。 | 60000 | MaxQueryExecutionPollingInterval=1000; |
## ポーリングの乗数
ポーリング時間を延長する要素を指定します。デフォルトでは、ポーリングは最小ポーリング時間の値から始まり、最大ポーリング時間の値に達するまでポーリングごとに倍増します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| QueryExecutionPollingIntervalMultiplier | オプションです。 | 2 | QueryExecutionPollingIntervalMultiplier=2; |
## 最大ポーリング時間
ドライバーは Athena にクエリ実行ステータスをポーリングできる時間の最大値をミリ秒単位で指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| MaxPollDuration | オプションです。 | 1800000 | MaxPollDuration=1800000; |
## 接続タイムアウト
接続を確立するまでに HTTP 接続が待機する時間 (ミリ秒単位)。この値は `ClientConfiguration.connectTimeoutMs` Athena クライアントで設定されます。指定されていない場合、curl デフォルト値が使用されます。接続パラメータに関する詳細については、「AWS SDK for Java デベロッパーガイド」の「[クライアント設定](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/section-client-configuration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| [ConnectionTimeout] | オプションです。 | 0 | ConnectionTimeout=2000; |
## リクエストのタイムアウト
HTTP クライアントのソケット読み取りのタイムアウト値を指定します。この値は Athena クライアントの `ClientConfiguration.requestTimeoutMs` パラメータで設定します。詳細については、「AWS SDK for Java デベロッパーガイド」の「[クライアント設定](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/section-client-configuration.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| RequestTimeout | オプションです。 | 10000 | RequestTimeout=30000; |
# プロキシオプション
## プロキシのホスト
ユーザーにプロキシ経由のログインを要求する場合は、このパラメータを使用してプロキシホストを設定します。このパラメータは、AWS SDK 内の `ClientConfiguration.proxyHost` パラメータに対応します。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ProxyHost | オプションです。 | none | ProxyHost=127.0.0.1; |
## プロキシのポート
このパラメータを使用して、プロキシポートを設定します。このパラメータは、AWS SDK 内の `ClientConfiguration.proxyPort` パラメータに対応します。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ProxyPort | オプションです。 | none | ProxyPort=8888; |
## プロキシのユーザー名
このパラメータを使用して、プロキシのユーザー名を設定します。このパラメータは、AWS SDK 内の `ClientConfiguration.proxyUserName` パラメータに対応します。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ProxyUID | オプションです。 | none | ProxyUID=username; |
## プロキシのパスワード
このパラメータを使用して、プロキシのパスワードを設定します。このパラメータは、AWS SDK 内の `ClientConfiguration.proxyPassword` パラメータに対応します。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| ProxyPWD | オプションです。 | none | ProxyPWD=password; |
## 非プロキシホスト
このオプションパラメータを使用して、ドライバーがプロキシを使用せずに接続するホストを指定します。このパラメータは、AWS SDK 内の `ClientConfiguration.nonProxyHosts` パラメータに対応します。詳細については、「AWS SDK for C\$1\$1 デベロッパーガイド」の「[AWS クライアント設定](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)」を参照してください。
`NonProxyHost` 接続パラメータは、curl の `CURLOPT_NOPROXY` オプションに渡されます。`CURLOPT_NOPROXY` 形式の詳細については、curl のドキュメントで「[CURLOPT\$1NOPROXY](https://curl.se/libcurl/c/CURLOPT_NOPROXY.html)」を参照してください。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| NonProxyHost | オプションです。 | none | NonProxyHost=.amazonaws.com,localhost,.example.net,.example.com; |
## プロキシの使用
指定されたプロキシを経由するユーザートラフィックを有効にします。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseProxy | オプションです。 | none | UseProxy=1; |
# ログ記録オプション
**警告**
**セキュリティ:** 詳細レベル (DEBUG または TRACE) でログ記録が有効になっている場合、ドライバーが使用する AWS SDK は、認証トークンや認証情報などの機密情報をプレーンテキストでログに記録することがあります。詳細なログ記録はトラブルシューティングにのみ使用し、ログファイルが安全に保存され、使用後に削除されていることを確認します。本番環境で詳細なログ記録を有効にしないでください。
ここで説明する設定を変更するには、管理者権限が必要です。変更するには、ODBC データソース管理者の **[ロギングオプション]** ダイアログボックスを使用するか、Windows レジストリを直接変更します。
## ログレベル
このオプションは、詳細レベルが異なる ODBC ドライバーのログを有効にするものです。Windows では、レジストリまたはダイアログボックスを使用してログ記録を設定できます。オプションは次のレジストリパスにあります。
```
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Amazon Athena\ODBC\Driver
```
以下のログレベルが使用可能です。
+ `OFF` - ログ記録は無効
+ `ERROR` - エラーメッセージのみがログに記録される
+ `WARN` - 警告メッセージとエラーがログに記録される
+ `INFO` - 情報メッセージ、警告、エラーがログに記録される
+ `DEBUG` - 詳細なデバッグ情報とすべての下位レベルメッセージがログに記録される
+ `TRACE` - 最も詳細なレベルのログ記録で、すべてのメッセージが含まれる
**注記**
各ログレベルには、それ以下のレベルからのすべてのメッセージが含まれます。ログレベルが高いと、パフォーマンスに影響し、ログファイルが大きくなる可能性があります。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| LogLevel | オプションです。 | OFF | LogLevel=INFO; |
## ログパス
ODBC ドライバーログが保存されているファイルへのパスを指定します。レジストリまたはダイアログボックスを使用して、この値を設定できます。オプションは次のレジストリパスにあります。
```
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Amazon Athena\ODBC\Driver
```
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| LogPath | オプションです。 | none | LogPath=C:\$1Users\$1username\$1projects\$1internal\$1trunk\$1; |
## AWS ロガーを使用する
AWS SDK ロギングを有効にするかどうかを指定します。有効にするには 1 を、無効にするには 0 を指定します。
****
| **接続文字列名** | **パラメータタイプ** | **デフォルト値**: | **接続文字列の例** |
| --- | --- | --- | --- |
| UseAwsLogger | オプションです。 | 0 | UseAwsLogger=1; |
# ODBC 2.x ドライバーに移行する
ほとんどの Athena ODBC 2.x 接続パラメータは ODBC 1.x ドライバーとの下位互換性があるため、既存の接続文字列のほとんどは Athena ODBC 2.x ドライバーでも引き続き使用できます。ただし、次の接続パラメータは変更が必要です。
## ログレベル
現行の ODBC ドライバーでは、`LOG_OFF (0)` から `LOG_TRACE (6)` までのさまざまなログオプションがありますが、Amazon Athena ODBC 2.x ドライバーには当初、0(無効)と 1(有効)の 2 つの値しかありませんでした。バージョン 2.0.6.0 以降のドライバーは、ログ記録機能が強化されてより詳細なログ記録レベルをサポートするようになりました。
+ `OFF` - ログ記録は無効
+ `ERROR` - エラーメッセージのみがログに記録される
+ `WARN` - 警告メッセージとエラーがログに記録される
+ `INFO` - 情報メッセージ、警告、エラーがログに記録される
+ `DEBUG` - 詳細なデバッグ情報とすべての下位レベルメッセージがログに記録される
+ `TRACE` - 最も詳細なレベルのログ記録で、すべてのメッセージが含まれる
ODBC 2.x ドライバーをログするための詳細については、「[ログ記録オプション](odbc-v2-driver-logging-options.md)」を参照してください。
****
| | ODBC 1.x ドライバー | ODBC 2.x ドライバー |
| --- | --- | --- |
| 接続文字列名 | LogLevel | LogLevel |
| パラメータタイプ | オプションです。 | オプションです。 |
| デフォルト値: | 0 | OFF |
| 使用できる値 | 0-6 | 2.0.6.0 より前のバージョン:`0,1` 2.0.6.0 以降のバージョン:`OFF`、`ERROR`、`WARN`、`INFO`、`DEBUG`、`TRACE` |
| 接続文字列の例 | LogLevel=6; | LogLevel=INFO; |
**注記**
バージョン 2.0.6.0 以降では、これらの詳細なログレベルを通じてより詳細な診断情報を提供しながらも、オペレーションの遅延と過剰なログファイルの生成を減らすように、ログ記録フレームワークが最適化されています。各レベルには、それ以下のレベルからのすべてのメッセージが含まれます。
## MetadataRetrievalMethod
現行の ODBC ドライバーには、Athena からメタデータを取得するためのオプションがいくつか用意されています。Amazon Athena ODBC ドライバーでは `MetadataRetrievalMethod` が廃止されており、メタデータの抽出には常に Amazon Athena API を使用することになります。
Athena では、外部カタログをクエリするための `QueryExternalCatalogs` フラグが導入されています。現行の ODBC ドライバーを使用して外部カタログをクエリするには、`MetadataRetrievalMethod` を `ProxyAPI` に設定します。Athena ODBC ドライバーを使用して外部カタログをクエリするには、`QueryExternalCatalogs` を `1` に設定します。
****
| | ODBC 1.x ドライバー | ODBC 2.x ドライバー |
| --- | --- | --- |
| 接続文字列名 | MetadataRetrievalMethod | QueryExternalCatalogs |
| パラメータタイプ | オプションです。 | オプションです。 |
| デフォルト値: | Auto | 0 |
| 使用できる値 | Auto, AWS Glue, ProxyAPI, Query | 0,1 |
| 接続文字列の例 | MetadataRetrievalMethod=ProxyAPI; | QueryExternalCatalogs=1; |
## 接続テスト
ODBC 1.x ドライバーの接続をテストすると、ドライバーは `SELECT 1` クエリを実行して Amazon S3 バケットに 2 つのファイルを生成します。1 つは結果セット用、もう 1 つはメタデータ用です。テスト接続は [Amazon Athena の料金](https://aws.amazon.com/athena/pricing/)ポリシーに従って請求されます。
ODBC 2.x ドライバーの接続をテストすると、ドライバーは [GetWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetWorkGroup.html) Athena API アクションをコールします。コールでは、指定した認証タイプと対応する認証情報プロバイダを使用して、認証情報を取得します。ODBC 2.x ドライバーを使用する場合、接続テストは無料です。また、テストでは Amazon S3 バケットにクエリ結果は生成されません。
# ODBC 2.x ドライバーをトラブルシューティングする
Amazon Athena ODBC ドライバーで問題が発生した場合は、サポート (AWS マネジメントコンソール で **[サポート]** > **[サポートセンター]** の順に選択) にお問い合わせください。
以下の情報を必ず含め、サポートチームがユースケースを理解するのに役立つ追加情報があれば提供してください。
+ **詳細** — (必須) 使用されているユースケースに関する詳細な情報と、予想される動作と観察された動作の違いも含めてご説明ください。サポートエンジニアが問題を簡単に解決するのに役立つ情報があれば、すべて含めてください。問題が断続的に発生する場合は、問題が発生した日付、タイムスタンプ、または問題が発生する間隔について具体的にお知らせください。
+ **バージョン情報** — (必須) ドライバーのバージョン、オペレーティングシステム、およびご使用されているアプリケーションに関する情報。たとえば「ODBC ドライバーバージョン 1.2.3、Windows 10 (x64)、Power BI」など。
+ **ログファイル** — (必須) 問題を理解するために必要となる ODBC ドライバーログファイルを最小限の数でご提供ください。ODBC 2.x ドライバーをログするための詳細については、「[ログ記録オプション](odbc-v2-driver-logging-options.md)」を参照してください。
+ **接続文字列** — (必須) 使用されている ODBC 接続文字列、または使用した接続パラメータを示すダイアログボックスのスクリーンショット。接続パラメータの詳細については、「[Athena ODBC 2.x 接続パラメータ](odbc-v2-driver-connection-parameters.md)」を参照してください。
+ **問題が発生する手順** — (オプション) 可能な場合は、問題の再現に役立つ手順あるいはスタンドアロンプログラムを含めてください。
+ **クエリエラー情報** — (オプション) DML または DDL クエリに関連するエラーがある場合は、次の情報を含めてください。
+ 失敗した DML または DDL クエリの完全版または簡略版。
+ 使用されたアカウント ID、AWS リージョン、およびクエリ実行 ID。
+ **SAML エラー** — (オプション) SAML アサーションを使用した認証に関する問題がある場合は、次の情報を含めてください。
+ 使用された ID プロバイダと認証プラグイン。
+ SAML トークンの例。
# Amazon Athena ODBC 2.x リリースノート
このリリースノートには、Amazon Athena ODBC 2.x ドライバーの強化内容、機能、既知の問題、ワークフローの変更点の詳細が記載されています。
## 2.1.0.0
2026 年 3 月 20 日リリース
Amazon Athena Amazon Athena ODBC v2.1.0.0 ドライバーにはセキュリティの強化が含まれています。このリリースでは、認証フロー、クエリ処理、トランスポートセキュリティが強化されています。早急にこのバージョンにアップグレードすることをお勧めします。
### 重要な変更
+ **SSL 証明書の検証がデフォルトで有効** – ドライバーは ID プロバイダーに接続する際、SSL 証明書の検証を強制するようになりました。有効な SSL 証明書がないローカル ID プロバイダーを使用する場合は、接続文字列で `SSL_Insecure=1` を明示的に設定する必要があります。詳細については、「[SSL インセキュア (IdP)](odbc-v2-driver-common-authentication-parameters.md#odbc-v2-driver-common-authentication-parameters-ssl-insecure-idp)」を参照してください。
+ **TLS 1.2 最小適用** — ドライバーは ID プロバイダーへの TLS 1.0 または TLS 1.1 接続を受け入れなくなりました。すべての IdP 接続に TLS 1.2 以降が必要になりました。
+ **BrowserSSOOIDC 認証フローの更新** – BrowserSSOOIDC プラグインは、デバイスコード認可ではなく PKCE で認可コードを使用するようになりました。OAuth 2.0 コールバックサーバーでは、新しいオプションパラメータ `listen_port` (デフォルトは 7890) を使用できます。このポートをネットワークで許可リストに登録する必要がある場合があります。デフォルトのスコープが `sso:account:access` に変更されました。詳細については、「[Browser SSO OIDC](odbc-v2-driver-browser-sso-oidc.md)」を参照してください。
### 改良点
+ **BrowserSSOOIDC** – セキュリティを強化するために、デバイスコードフローから PKCE を使用した認可コードに移行しました。
+ **BrowserAzureAD** – 認可コードの傍受攻撃を防ぐために、OAuth 2.0 認可フローに PKCE (コード交換の証明キー) を追加しました。
+ **BrowserSAML** – SAML トークンインジェクション攻撃を防ぐための RelayState CSRF 保護を追加しました。
+ **認証情報キャッシュ** – v2.1.0.0 以降、キャッシュされた認証情報は、AWS CLI がローカルに保存されている認証情報を保護する方法に従って、所有ユーザーに制限されたファイルアクセス許可を持つプレーンテキストの JSON として `user-profile/.athena-odbc/` ディレクトリに保存されます。
+ **IAM プロファイル** – 既存の `Ec2InstanceMetadata` に加えて、`EcsContainer` および `Environment` 認証情報ソースのサポートが追加されました。
+ **接続文字列パーサー** — 適切な ODBC `}}` エスケープ処理を実装しました。
+ **カタログクエリ** – スキーマ名とテーブルパターンの SQL 識別子エスケープを追加しました。
+ **ODBC パターンマッチング** — 正規表現ベースのマッチングを直接 ODBC LIKE ワイルドカードマッチャーに置き換えました。
+ **XML 解析** – SAML トークンの再帰深度制限 (100 レベル) とサイズ制限 (1 MB) を追加しました。
+ **ADFS 認証** – ADFS サーバーレスポンスのレスポンスサイズ制限 (200 KB) を追加しました。
### 修正内容
+ 作成した接続パラメータを介したコード実行や認証フローのリダイレクトを許可する認証コンポーネントの特殊な要素の不適切な中立化を修正しました。BrowserSSOOIDC、BrowserAzureAD、BrowserSAML プラグインに影響します。
+ 作成されたテーブルメタデータを介したサービス拒否や SQL インジェクションを許可するクエリ処理コンポーネントの特殊な要素の不適切な中立化を修正しました。
+ ID プロバイダーに接続する際の証明書の不適切な検証を修正しました。
+ PKCE for OAuth、CSRF protection for SAML、安全な認証情報キャッシュ、排他的コールバックポートバインディングなど、ブラウザベースの認証フローで欠落している認証セキュリティコントロールを修正しました。
+ 計算された入力パターン、無制限のサーバーレスポンス、深くネストされた XML ペイロードを介してサービス拒否を許可する可能性のあるコンポーネントの解析における制御されないリソース消費を修正しました。
+ Power BI Import モードでクロスアカウントフェデレーティッドカタログで `UseSingleCatalogAndSchema=1` を使用する場合、`SQLColumns` と `SQLTables` が結果を返さない問題を修正しました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.6.0
2025 年 11 月 21 日リリース
### 改良点
+ **「ブラウザの信頼できる ID の伝搬」認証プラグイン** – 信頼できる ID の伝搬によるブラウザベースの OpenID Connect (OIDC) 認証をサポートする新しい認証プラグインを追加しました。このプラグインは、デフォルトのブラウザを介して完全な OAuth 2.0 フローを処理し、JSON ウェブトークン(JWT)を自動的に取得し、信頼できる ID の伝搬と統合することで、シームレスな認証エクスペリエンスを提供します。このプラグインは、シングルユーザーデスクトップ環境向けに特別に設計されています。信頼できる ID の伝播の有効化と使用方法の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)」を参照してください。
+ **ログ記録フレームワークの強化** — 以下により、ドライバーのログ記録メカニズムが大幅に改善されました。
+ 基本的な 0/1 オプションを超えるより詳細なログレベルを導入
+ 冗長ログステートメントを削除
+ 診断関連情報を含めてログ記録フレームワークを最適化
+ オペレーション遅延の原因となっていたパフォーマンスの問題に対処
+ ログ記録有効時のログファイルの過剰生成を削減
### 修正内容
+ **結果フェッチャーの最適化** — フェッチサイズパラメータの制限がストリーミング結果フェッチャーと非ストリーミング結果フェッチャーの両方に誤って適用されていたという問題を修正しました。この制限は、非ストリーミング結果フェッチャーにのみ正しく適用されるようになりました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.5.1
2025 年 10 月 13 日リリース
### 修正内容
Amazon Athena ODBC v2.0.5.1 ドライバーには、ブラウザベースの認証プラグインに対する以下の修正が含まれています。
+ ログイン URL の検証とスキーマチェックを実装しました。
+ Linux でのブラウザ起動メカニズムを改善し、システム API を利用できるようになりました。その結果、安定性とセキュリティが向上しました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.5.0
2025 年 9 月 10 日リリース
### 改良点
+ **JWT Trusted Identity Provider (TIP) 認証プラグイン** – JWT Trusted Identity Provider (TIP) と ODBC ドライバーの統合をサポートする新しい認証プラグインが追加されました。この認証タイプでは、外部 ID プロバイダーから取得した JSON Web トークン (JWT) を接続パラメータとして使用して Athena で認証できます。TIP では、ID コンテキストが IAM ロールに追加され、AWS リソースへのアクセスをリクエストするユーザーを識別します。TIP の有効化と使用方法の詳細については、「[信頼できる ID の伝播とは](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html)」を参照してください。
+ **カスタム SSO Admin エンドポイントのサポート** – ODBC ドライバーでカスタム SSO Admin エンドポイントのサポートが追加されました。この機能強化により、VPC の背後で ODBC を実行するときに SSO サービス用の独自のエンドポイントを指定できます。
+ **AWS SDK バージョンの更新** – ドライバーで使用される AWS SDK バージョンを 2.32.16 に更新し、リリース 2.0.5.0 のプロジェクトの依存関係を更新しました。
## 2.0.4.0
2025 年 6 月 17 日リリース
Amazon Athena ODBC v2.0.4.0 ドライバーには、以下の改善と修正が含まれています。
### 改良点
+ **結果フェッチャー** – ドライバーは、クエリ結果をダウンロードする方法を自動的に選択するようになりました。これにより、ほとんどの場合、フェッチャーを手動で設定する必要がなくなります。詳細については、「[結果フェッチャー](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-result-fetcher)」を参照してください。
+ Curl ライブラリが 8.12.1 に更新されました。
### 修正内容
+ STS に接続する際の IAM プロファイルのプロキシ設定を修正しました。この修正により、IAM プロファイルを正常認証に使用できます。
+ 認証プラグインを使用した IAM プロファイルの追加設定オプションをすべてお読みください。これには、影響を受けるプラグインの設定ミスを解決するための `UseProxyForIdP`、`SSL_Insecure`、`LakeformationEnabled`、`LoginToRP` が含まれます。
+ オプションで 2 番目のパラメータを使用できるようにすることで、ラウンド関数を修正しました。エスケープ構文を含むクエリを正常に処理します。
+ `TIME WITH TIME ZONE` および `TIMESTAMP WITH TIME ZONE` データ型の列サイズを修正しました。タイムスタンプとタイムゾーンのデータ型の値は切り捨てられません。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.3.0
2024 年 4 月 8 日リリース
Amazon Athena ODBC v2.0.3.0 ドライバーには、以下の改善と修正が含まれています。
### 改良点
+ Linux および Mac プラットフォーム上の Okta 認証プラグインに対する MFA サポートを追加しました。
+ Windows 用の `athena-odbc.dll` ライブラリと `AmazonAthenaODBC-2.x.x.x.msi` インストーラの両方が署名付きになりました。
+ ドライバーと共にインストールされる CA 証明書 `cacert.pem` ファイルを更新しました。
+ Lambda カタログのテーブルを一覧表示するために必要な時間が改善されました。`LAMBDA` カタログ型では、ODBC ドライバーが [SHOW TABLES](show-tables.md) クエリを送信して利用可能なテーブルのリストを取得できるようになりました。詳細については、「[クエリを使用してテーブルをリストする](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-use-query-to-list-tables)」を参照してください。
+ `SQL_WCHAR` と `SQL_WVARCHAR` を使用して文字列データ型を報告するための `UseWCharForStringTypes` 接続パラメータを導入しました。詳細については、「[文字列型に WCHAR を使用する](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-use-wchar-for-string-types)」を参照してください。
### 修正内容
+ Get-ODBCDSN PowerShell ツールの使用時に発生していたレジストリの破損警告を修正しました。
+ クエリ文字列の先頭にあるコメントを処理するように解析ロジックを更新しました。
+ 日付とタイムスタンプのデータ型で、年フィールドに 0 を使用できるようになりました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.2.2
2024 年 2 月 13 日リリース
Amazon Athena ODBC v2.0.2.2 ドライバーには、以下の改善と修正が含まれています。
### 改良点
+ `StringColumnLength` と `ComplexTypeColumnLength` の 2 つの接続パラメータを追加しました。これらは、文字列と複合データ型のデフォルト列長を変更するために使用できます。詳細については、「[文字列の列長](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-string-column-length)」および「[複合型の列長](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-complex-type-column-length)」を参照してください。
+ Linux および macOS (Intel と ARM) オペレーティングシステムのサポートが追加されました。詳細については、「[Linux](odbc-v2-driver-getting-started-linux.md)」および「[macOS](odbc-v2-driver-getting-started-macos.md)」を参照してください。
+ AWS-SDK-CPP が 1.11.245 タグバージョンに更新されました。
+ curl ライブラリが 8.6.0 バージョンに更新されました。
### 修正内容
+ 精度列内にある文字列に似たデータ型の結果セットメタデータで誤った値が報告される原因となっていた問題を解決しました。
ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.2.1
2023 年 12 月 7 日リリース
Amazon Athena ODBC v2.0.2.1 ドライバーには、次の改善と修正が含まれています。
### 改良点
+ すべてのインターフェースの ODBC ドライバースレッドセーフティが改善されました。
+ ロギングを有効にすると、日時の値がミリ秒の精度で記録されるようになりました。
+ [Browser SSO OIDC](odbc-v2-driver-browser-sso-oidc.md) プラグインによる認証中に、ターミナルが開き、ユーザーにデバイスコードが表示されるようになりました。
### 修正内容
+ ストリーミング API からの結果を解析する際に発生するメモリ解放の問題を解決しました。
+ インターフェイス `SQLTablePrivileges()`、`SQLSpecialColumns()`、`SQLProcedureColumns()`、`SQLProcedures()` のリクエストは空の結果セットを返すようになりました。
ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.2.0
2023 年 10 月 17 日リリース
Amazon Athena ODBC v2.0.2.0 ドライバーには、次の改善と修正が含まれています。
### 改良点
+ Browser Azure AD、Browser SSO OIDC、Okta ブラウザベースの認証プラグインにファイルキャッシュ機能が追加されました。
Power BI やブラウザーベースのプラグインなどの BI ツールは複数のブラウザーウィンドウを使用します。新しいファイルキャッシュ接続パラメータにより、一時的な認証情報をキャッシュし、BI アプリケーションが開いた複数のプロセス間で再利用できます。
+ ステートメントが作成された後、アプリケーションが結果セットに関する情報をクエリできるようになりました。
+ 遅いクライアントネットワークで使用できるように、デフォルト接続およびリクエストのタイムアウトが延長されました。詳細については、「[接続タイムアウト](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-connection-timeout)」および「[リクエストのタイムアウト](odbc-v2-driver-advanced-options.md#odbc-v2-driver-advanced-options-request-timeout)」を参照してください。
+ SSO および SSO OIDC にエンドポイントオーバーライドが追加されました。詳細については、「[エンドポイントオーバーライド](odbc-v2-driver-endpoint-overrides.md)」を参照してください。
+ 認証リクエストの URI 引数を Ping に渡す接続パラメータが追加されました。このパラメータを使用して Lake Formation のシングルロール制限を回避できます。詳細については、「[Ping URI パラメータ](odbc-v2-driver-ping.md#odbc-v2-driver-ping-uri-param)」を参照してください。
### 修正内容
+ 行ベースのバインディングメカニズムを使用する際に発生した整数オーバーフローの問題を修正しました。
+ Browser SSO OIDC 認証プラグインの必須接続パラメータのリストからタイムアウトを削除しました。
+ `SQLStatistics()`、`SQLPrimaryKeys()`、`SQLForeignKeys()`、`SQLColumnPrivileges()` に欠けていたインターフェイスを追加し、リクエストに応じて空の結果セットを返す機能を追加しました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。接続情報については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
## 2.0.1.1
2023 年 8 月 10 日リリース
Amazon Athena ODBC v2.0.1.1 ドライバーには、以下の改善と修正が含まれています。
### 改良点
+ Okta 認証プラグインに URI ロギングを追加しました。
+ 外部認証情報プロバイダープラグインに優先ロールパラメータを追加しました。
+ AWS 設定ファイルのプロファイル名にプロファイルプレフィックスの処理を追加しました。
### 修正内容
+ Lake Formation および AWS STS クライアントの使用時に発生した AWS リージョン使用の問題を修正しました。
+ 欠落しているパーティションキーをテーブル列のリストに復元しました。
+ 欠落している `BrowserSSOOIDC` 認証タイプを AWS プロファイルに追加しました。
新しい ODBC v2 ドライバーをダウンロードするには、「[ODBC 2.x ドライバーのダウンロード](odbc-v2-driver.md#odbc-v2-driver-download)」を参照してください。
## 2.0.1.0
2023 年 6 月 29 日リリース
Amazon Athena は ODBC v2.0.1.0 ドライバーをリリースしました。
Athena は、互換性のある SQL 開発、ビジネスインテリジェンスアプリケーションからのデータへの接続、クエリ、および視覚化のエクスペリエンスを向上させる新しい ODBC ドライバーをリリースしました。Athena ODBC ドライバーの最新バージョンでは、既存のドライバーの機能がサポートされており、簡単にアップグレードできます。新しいバージョンには、[AWS IAM アイデンティティセンター](https://aws.amazon.com/iam/identity-center/) によるユーザー認証のサポートが含まれています。また、Amazon S3 からクエリ結果を読み取るオプションも用意されているため、クエリ結果もより早く利用できるようになります。
詳細については、「[Amazon Athena ODBC 2.x](odbc-v2-driver.md)」を参照してください。
# Athena ODBC 1.x ドライバー
ODBC 接続を使用すると、サードパーティー SQL クライアントツールおよびアプリケーションから Athena に接続できます。このページのリンクを使用して、Amazon Athena 1.x ODBC ドライバーライセンス契約、ODBC ドライバー、および ODBC ドキュメントをダウンロードします。ODBC 接続文字列の詳細については、ODBC ドライバーのインストールおよび設定ガイド PDF ファイル (このページからダウンロード可能) を参照してください。アクセス許可については、「[JDBC および ODBC 接続を介したアクセスの制御](policy-actions.md)」を参照してください。
**重要**
ODBC 1.x ドライバーを使用するときは、次の要件に注意してください。
**オープン状態のポート 444** – Athena がクエリ結果のストリーミングに使用するポート 444 には、アウトバウンドトラフィックに対して開放されている状態を維持します。PrivateLink エンドポイントを使用して Athena に接続するときは、PrivateLink エンドポイントにアタッチされているセキュリティグループが、ポート 444 上のインバウンドトラフィックに対して開放されていることを確認してください。
**athena:GetQueryResultsStream ポリシー** – ODBC ドライバーを使用する IAM プリンシパルに `athena:GetQueryResultsStream` ポリシーアクションを追加します。このポリシーアクションが API で直接公開されることはありません。ストリーミング結果のサポートの一環として、ODBC および JDBC ドライバーでのみ使用されます。ポリシーの例については「[AWS 管理ポリシー: AWSQuicksightAthenaAccess](security-iam-awsmanpol.md#awsquicksightathenaaccess-managed-policy)」を参照してください。
## Server
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| Windows 32 ビット版対応 ODBC 1.2.3.1000 | [Windows 32 ビット ODBC ドライバー 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/Windows/SimbaAthena_1.2.3.1000_32-bit.msi) |
| Windows 64 ビット版対応 ODBC 1.2.3.1000 | [Windows 64 ビット ODBC ドライバー 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/Windows/SimbaAthena_1.2.3.1000_64-bit.msi) |
## Linux
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| Linux 32 ビット版対応 ODBC 1.2.3.1000 | [Linux 32 ビット ODBC ドライバー 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/Linux/simbaathena-1.2.3.1000-1.el7.i686.rpm) |
| Linux 64 ビット版対応 ODBC 1.2.3.1000 | [Linux 64 ビット ODBC ドライバー 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/Linux/simbaathena-1.2.3.1000-1.el7.x86_64.rpm) |
## OSX
| ドライバーバージョン | ダウンロードリンク |
| --- | --- |
| OSX 対応 ODBC 1.2.3.1000 | [OSX ODBC ドライバー 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/OSX/SimbaAthena_1.2.3.1000.dmg) |
## ドキュメント
| コンテンツ | ドキュメントのリンク |
| --- | --- |
| Amazon Athena ODBC ドライバーライセンス契約 | [ライセンス契約](https://downloads.athena.us-east-1.amazonaws.com/agreement/ODBC/Amazon+Athena+ODBC+Driver+License+Agreement.pdf) |
| ODBC 1.2.3.1000 に関するドキュメント | [ODBC ドライバーのインストールおよび設定ガイドバージョン 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/docs/Simba+Amazon+Athena+ODBC+Connector+Install+and+Configuration+Guide.pdf) |
| ODBC 1.2.3.1000 のリリースノート | [ODBC ドライバーリリースノートバージョン 1.2.3.1000](https://downloads.athena.us-east-1.amazonaws.com/drivers/ODBC/SimbaAthenaODBC_1.2.3.1000/docs/release-notes.txt) |
## ODBC ドライバーノート
**プロキシを使用しない接続**
プロキシを使用せずにドライバが接続する特定のホストを指定する場合は、ODBC 接続文字列でオプションの `NonProxyHost` プロパティを使用します。
次の例のように `NonProxyHost` プロパティでは、プロキシ接続が有効になっている場合に、コネクタがプロキシサーバーを経由せずにアクセスできるホストを、カンマ区切りリストで指定します。
```
.amazonaws.com,localhost,.example.net,.example.com
```
`NonProxyHost` 接続パラメータは、curl の `CURLOPT_NOPROXY` オプションに渡されます。`CURLOPT_NOPROXY` 形式の詳細については、curl のドキュメントで「[CURLOPT\$1NOPROXY](https://curl.se/libcurl/c/CURLOPT_NOPROXY.html)」を参照してください。
# ODBC クライアントを使用して Microsoft AD FS ユーザーに Amazon Athena へのフェデレーテッドアクセスを設定する
ODBC クライアントを使用して Microsoft Active Directory フェデレーションサービス (AD FS) ユーザーに Amazon Athena へのフェデレーテッドアクセスをセットアップするには、まず AD FS と AWS アカウントとの間に信頼を確立します。この信頼性が確立されると、AD ユーザーは AD 認証情報を使用して AWS へ[フェデレーション](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring-IdP)を行い、[AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM) ロールのアクセス許可を引き継ぎ、Athena API などの AWS リソースにアクセスできるようになります。
この信頼を作成するには、SAML プロバイダとして AD FS を AWS アカウント に追加し、フェデレーションユーザーが推定できる IAM ロールを作成します。AD FS 側では、証明書利用者として AWS を追加し、承認のために適切なユーザー属性を AWS (具体的には Athena と Amazon S3) に送信する SAML クレームルールを作成します。
Athena への AD FS アクセスを設定するには、主に次の手順が必要です。
[1. IAM SAML プロバイダとロールのセットアップ](#odbc-adfs-saml-setting-up-an-iam-saml-provider-and-role)
[2. AD FS の設定](#odbc-adfs-saml-configuring-ad-fs)
[3. Active Directory ユーザーとグループの作成](#odbc-adfs-saml-creating-active-directory-users-and-groups)
[4. Athena への AD FS ODBC 接続を設定する](#odbc-adfs-saml-configuring-the-ad-fs-odbc-connection-to-athena)
## 1. IAM SAML プロバイダとロールのセットアップ
このセクションでは、AD FS を SAML プロバイダとして AWS アカウントに追加し、フェデレーションユーザーが推定できる IAM ロールを作成します。
**SAML プロバイダをセットアップするには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. ナビゲーションペインで、[**Identity providers (ID プロバイダ)**] を選択します。
1. **[プロバイダーを追加]** をクリックします。
1. [**プロバイダのタイプ**] では [**SAML**] を選択します。
![\[SAML を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-1.png)
1. [**プロバイダ名**] では **adfs-saml-provider** を入力します。
1. ブラウザで、次のアドレスを入力して、AD FS サーバーのフェデレーション XML ファイルをダウンロードします。この手順を実行するには、ブラウザが AD FS サーバーにアクセスできる必要があります。
```
https://adfs-server-name/federationmetadata/2007-06/federationmetadata.xml
```
1. IAM コンソールの **[Metadata document]** (メタデータドキュメント) で、**[Choose file]** (ファイルを選択) を選択し、フェデレーションメタデータファイルを AWS にアップロードします。
1. 終了するには、**[Add provider]** (プロバイダを追加) を選択します。
次に、フェデレーションユーザーが設定できる IAM ロールを作成します。
**フェデレーションユーザーに IAM ロールを作成するには**
1. IAM コンソールのナビゲーションペインで、**[Roles]** (ロール) を選択します。
1. [**ロールの作成**] を選択してください。
1. **[Trusted entity type]** (信頼されたエンティティのタイプ) で、**[SAML 2.0 Federation]** (SAML 2.0 フェデレーション) を選択します。
1. **[SAML 2.0-based provider]** (SAML 2.0 ベースのプロバイダ) の場合は、作成した **[adfs-saml-provider]** プロバイダを選択します。
1. **[プログラムと AWS 管理コンソールへのアクセスを許可する]** 〉 **[次へ]** の順に選択します。
![\[信頼できるエンティティタイプとして SAML を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-2.png)
1. **[Add permissions]** (アクセス許可の追加) ページで、このロールに必要な IAM のアクセス許可ポリシーをフィルタリングし、対応するチェックボックスを選択します。このチュートリアルでは、`AmazonAthenaFullAccess` および `AmazonS3FullAccess` ポリシーをアタッチします。
![\[Athena のフルアクセスポリシーをロールにアタッチします。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-3.png)
![\[Amazon S3 フルアクセスポリシーをロールにアタッチします。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-4.png)
1. [**次へ**] を選択します。
1. **[Name, review, and create]** (名前、確認、および作成) ページの **[Role name]** (ロール名) に、ロールの名前を入力します。このチュートリアルでは、**[adfs-data-access]** という名前を使用します。
**[Step 1: Select trusted entities]** (ステップ 1: 信頼できるエンティティを選択する) では、**[Principal]** (プリンシパル) フィールドは自動的に `"Federated:" "arn:aws:iam::account_id:saml-provider/adfs-saml-provider"` に設定されます。`Condition` フィールドには `"SAML:aud"` と `"https://signin.aws.amazon.com/saml"` を含める必要があります。
![\[信頼できるエンティティ JSON。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-5.png)
**[Step 2: Add permissions]** (ステップ 2: アクセス許可の追加) には、ロールにアタッチしたポリシーが表示されます。
![\[ロールにアタッチされたポリシーの一覧表示。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-6.png)
1. [**ロールの作成**] を選択してください。ロールの作成を確認するバナーメッセージが表示されます。
1. **[Roles]** (ロール) ページで、作成したロールを選択します。ロールの概要ページには、アタッチされているポリシーが表示されます。
![\[ロールの概要ページ。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-7.png)
## 2. AD FS の設定
これで、証明書利用者として AWS を追加して SAML クレームルールを作成する準備が整い、承認のために適切なユーザー属性を AWS に送信できるようになりました。
SAML ベースのフェデレーションには、IdP (Active Directory) と、IdP からの認証を使用するサービスまたはアプリケーションである証明書利用者 (AWS) の 2 人の参加者がいます。
AD FS を設定するには、まず証明書利用者の信頼を追加し、次に証明書利用者の SAML クレームルールを設定します。AD FS はクレームルールを使用して SAML アサーションを作成し、証明書利用者に送信します。SAML アサーションには、AD ユーザーに関する情報が真実であり、ユーザーが認証されていることが記載されています。
### 証明書利用者の信頼を追加する
AD FS に証明書利用者の信頼を追加するには、AD FS サーバーマネージャーを使用します。
**AD FS で証明書利用者の信頼を追加する**
1. AD FS サーバーにサインインします。
1. **[Start]** (スタート) メニューで、**[Server Manager]** (サーバーマネージャー) を開きます。
1. **[Tools]** (ツール) を選択し、**[AD FS Management]** (AD FS 管理) を選択します。
![\[[Tools] (ツール)、[AD FS Management] (AD FS 管理) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-8.png)
1. ナビゲーションペインの **[Trust Relationships]** (信頼関係) で、**[Relying Party Trusts]** (証明書利用者の信頼) を選択します。
1. **[Actions]** (アクション) で、**[Add Relying Party Trust]** (証明書利用者の信頼を追加) を選択します。
![\[[Add Relying Party Trust] (証明書利用者の信頼を追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-9.png)
1. **証明書利用者信頼の追加ウィザード** ページで、**開始**を選択します。
![\[[開始] を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-10.png)
1. **[Select Data Source]** (データソースを選択) ページで、**[Import data about the relying party published online or on a local network]** (オンラインまたはローカル ネットワークで公開されている証明書利用者に関するデータをインポート) を選択します。
1. **[Federation metadata address (host name or URL)]** (フェデレーションメタデータアドレス (ホスト名または URL)) に、URL ** https://signin.aws.amazon.com/static/saml-metadata.xml** を入力します。
1. [**次へ**] を選択します。
![\[データソースの設定。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-11.png)
1. **[Specify Display Name]** (表示名の指定) ページの **[Display name]** (表示名) に、証明書利用者の表示名を入力し、**[Next]** (次へ) を選択します。
![\[証明書利用者の表示名を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-12.png)
1. このチュートリアルでは、**[Configure Multi-factor Authentication Now]** (多要素認証を今すぐ設定) ページで、**[I do not want to configure multi-factor authentication for this relying party trust at this time]** (現時点ではこの依存パーティの信頼に多要素認証を設定しない) を選択します。
セキュリティを向上させるには、多要素認証を設定して AWS リソースを保護することを推奨します。サンプルデータセットを使用しているため、このチュートリアルでは多要素認証を有効にしていません。
![\[多要素認証の設定。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-13.png)
1. [**次へ**] を選択します。
1. **[Choose Issuance Authorization Rules]** (発行承認ルールの選択) ページで、**[Permit all users to access this relying party]** (この証明書利用者へのアクセスをすべてのユーザーに許可) を選択します。
このオプションを使用すると、AWS で Active Directory 内のすべてのユーザーが AD FS を証明書利用者として使用できます。セキュリティ要件を考慮して、この設定を適宜調整します。
![\[証明書利用者へのユーザーアクセスを設定します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-14.png)
1. [**次へ**] を選択します。
1. **[Ready to Add Trust]** (信頼を追加する準備完了) ページで、**[Next]** (次へ) を選択して証明書利用者の信頼を AD FS 設定データベースに追加します。
![\[[次へ] を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-15.png)
1. **[Finish]** (終了) ページで、**[Close]** (閉じる) を選択します。
![\[[閉じる] を選択してください。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-16.png)
### 証明書利用者向け SAML クレームルールの設定
このタスクでは、クレームルールを 2 セット作成します。
最初のセットであるルール 1~4 には、AD グループメンバーシップに基づいて IAM ロールを設定するために必要な AD FS クレームルールが含まれています。これらは、[AWS マネジメントコンソール](https://aws.amazon.com/console) へのフェデレーションアクセスを確立する場合に作成するのと同じルールです。
2 番目のセットであるルール 5~6 は、Athena のアクセス制御に必要なクレームルールです。
**AD FS クレームルールを作成するには**
1. AD FS 管理コンソールのナビゲーションペインで、**[Trust Relationships]** (信頼関係)、**[Relying Party Trusts]** (証明書利用者の信頼) を選択します。
1. 以前のセクションで作成した証明書利用者を検索します。
1. 証明書利用者を右クリックして **[Edit Claim Rules]** (クレームルールを編集) を選択するか、**[Actions]** (アクション) メニューから **[Edit Claim Rules]** (クレームルールを編集) を選択します。
![\[[Edit Claim Rules] (クレームルールの編集) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-17.png)
1. **[ルールの追加]** を選択します。
1. 変換要求規則の追加ウィザードの **[Configure Rule]** (ルールの設定) ページで、次の情報を入力してクレームルール 1 を作成し、**[Finish]** (完了) を選択します。
+ **[Claim Rule name]** (クレームルール名) に **NameID** を入力します。
+ **[Rule template]** (ルールテンプレート) には、**[Transform an Incoming Claim]** (受信クレームの変換) を使用してください。
+ **[Incoming claim type]** (受信クレーム型) で、**[Windows account name]** (Windows アカウント名) を選択します。
+ **[Outgoing claim type]** (発信クレーム型) で、**[Name ID]** (名前 ID) を選択します。
+ **発信者名 ID フォーム**で、**永続的識別子**を選択します。
+ **[Pass through all claim values]** (すべてのクレーム値を通過) を選択します。
![\[最初のクレームルールを作成します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-18.png)
1. **[Add Rule]** (ルールを追加) を選択し、次の情報を入力してクレームルール 2 を作成し、**[Finish]** (完了) を選択します。
+ **[Claim rule name]** (クレームルール名) に **RoleSessionName** を入力します。
+ **[Rule template]** (ルールテンプレート) には、**[Send LDAP Attribute as Claims]** (LDAP 属性をクレームとして送信) を使用してください。
+ **属性を保存する**で **アクティブディレクトリ**を選択します。
+ **[Mapping of LDAP attributes to outgoing claim types]** (LDAP 属性を送信クレームタイプにマッピング) には、属性 **E-Mail-Addresses** を追加します。**[Outgoing Claim Type]** (送信クレーム型) には、** https://aws.amazon.com/SAML/Attributes/RoleSessionName** を入力します。
![\[2 番目のクレームルールを作成します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-19.png)
1. **[Add Rule]** (ルールを追加) を選択し、次の情報を入力してクレームルール 3 を作成し、**[Finish]** (完了) を選択します。
+ **[Claim rule name]** (クレームルール名) に **Get AD Groups** を入力します。
+ **[Rule template]** (ルールテンプレート) には、**[Send Claims Using a Custom Rule]** (カスタムルールを使用してクレームを送信) を使用してください。
+ **[Custom rule]** (カスタムルール) には、次のように入力します。
```
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
Issuer == "AD AUTHORITY"]=> add(store = "Active Directory", types = ("http://temp/variable"),
query = ";tokenGroups;{0}", param = c.Value);
```
![\[3 番目のクレームルールを作成します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-20.png)
1. **[ルールの追加]** を選択します。次の情報を入力してクレームルール 4 を作成し、**[Finish]** (完了) を選択します。
+ **[Claim rule name]** (クレームルール名) に **Role** を入力します。
+ **[Rule template]** (ルールテンプレート) には、**[Send Claims Using a Custom Rule]** (カスタムルールを使用してクレームを送信) を使用してください。
+ **[Custom rule]** (カスタムルール) には、アカウント番号と以前に作成した SAML プロバイダの名前を含む次のコードを入力します。
```
c:[Type == "http://temp/variable", Value =~ "(?i)^aws-"]=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role",
Value = RegExReplace(c.Value, "aws-", "arn:aws:iam::AWS_ACCOUNT_NUMBER:saml-provider/adfs-saml-provider,arn:aws:iam:: AWS_ACCOUNT_NUMBER:role/"));
```
![\[4 番目のクレームルールを作成します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-21.png)
## 3. Active Directory ユーザーとグループの作成
これで、Athena にアクセスする AD ユーザーと、そのユーザーを配置する AD グループを作成して、グループごとにアクセスレベルを制御できる準備ができました。データアクセスのパターンを分類する AD グループを作成後、ユーザーをそれらのグループに追加します。
**Athena へアクセスするための AD ユーザーを作成するには**
1. サーバーマネージャーダッシュボードで、**[Tools]** (ツール) を選択し、次に **[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) を選択します。
![\[[Tools] (ツール)、[Active Directory Users and Computers] (Active Directory ユーザーとコンピュータ) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-22.png)
1. ナビゲーションペインで **[ユーザー]** を選択します。
1. **[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) のツールバーで、**[Create user]** (ユーザーの作成) オプションを選択します。
![\[[ユーザーの作成] を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-23.png)
1. **[New Object - User]** (新規オブジェクト - ユーザー) ダイアログボックスの **[First name]** (名)、**[Last name]** (姓)、**[Full name]** (フルネーム) には名前を入力します。このチュートリアルでは、**Jane Doe** を使用します。
![\[ユーザー名を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-24.png)
1. [**次へ**] を選択します。
1. **[Password]** (パスワード) には、パスワードを入力し、確認のため再入力します。
わかりやすくするために、このチュートリアルでは、**[User must change password at next sign on]** (ユーザーは次のサインオン時にパスワードを変更する必要がある) を選択解除しています。実際のシナリオでは、新しく作成したユーザーにはパスワードの変更を要求する必要があります。
![\[パスワードを入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-25.png)
1. [**次へ**] を選択します。
1. [**Finish**] を選択してください。
![\[[Finish] を選択してください。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-26.png)
1. **[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) で、[user name] (ユーザー名) を選択します。
1. ユーザーの **[Properties]** (プロパティ) ダイアログボックスの **[E-mail]** (メール) に、メールアドレスを入力します。このチュートリアルでは、**jane@example.com** を使用します。
![\[メールアドレスを入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-27.png)
1. [**OK**] を選択してください。
### データアクセスパターンを表す AD グループを作成する
メンバーが AWS にログインしたときに `adfs-data-access` IAM ロールを設定する AD グループを作成できます。次の例では、aws-adfs-data-access という名前の AD グループを作成します。
**AD グループを作成するには**
1. サーバーマネージャーダッシュボードの **[Tools]** (ツール) メニューで、**[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) を選択します。
1. ツールバーで、**[Create new group]** (新規グループを作成) オプションを選択します。
![\[[Create New Group] (新しいグループの作成) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-28.png)
1. **[New Object - Group]** (新しいオブジェクト - グループ) ダイアログボックスで、次の情報を入力します。
+ **[Group name]** (グループ名) に、「**aws-adfs-data-access**」と入力します。
+ **[Group scope]** (グループスコープ) には、**[Global]** (グローバル) を選択します。
+ **[Group type]** (グループタイプ) には、**[Security]** (セキュリティ) を選択します。
![\[AD でグローバルセキュリティグループを作成します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-29.png)
1. [**OK**] を選択してください。
### AD ユーザーを適切なグループに追加する
AD ユーザーと AD グループの両方を作成したため、ユーザーをグループに追加できるようになりました。
**AD グループに AD ユーザーを追加するには**
1. サーバーマネージャーダッシュボードで、**[Tools]** (ツール) メニューで、**[Active Directory Users and Computers]** (Active Directory ユーザーとコンピュータ) を選択します。
1. **[First name]** (ファーストネーム) と **[Last name]** (ラストネーム) には、[user] (ユーザー) (**[Jane Doe]** など) を選択します。
1. ユーザーの **[Properties]** (プロパティ) ダイアログボックスの **[Member Of]** (メンバー) タブで、**[Add]** (追加) を選択します。
![\[[Add] (追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-30.png)
1. 要件に応じて、1 つ以上の AD FS グループを追加します。このチュートリアルでは、**[aws-adfs-data-access]** グループを追加します。
1. **[Select Groups]** (グループの選択) ダイアログボックスの **[Enter the object names to select]** (選択するオブジェクト名を入力) に、作成した AD FS グループの名前 (例: **aws-adfs-data-access**) を入力し、**[Check Names]** (名前の確認) を選択します。
![\[[Check Names] (名前の確認) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-31.png)
1. [**OK**] を選択してください。
ユーザーの **[Properties]** (プロパティ) ダイアログボックスの **[Member of]** (メンバー) リストに AD グループの名前が表示されます。
![\[AD グループがユーザープロパティに追加されました。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-32.png)
1. **[Apply]** (適用)、**[OK]** の順に選択します。
## 4. Athena への AD FS ODBC 接続を設定する
AD のユーザーとグループを作成すると、Windows で ODBC データソースプログラムを使用して、AD FS 用の Athena ODBC 接続を設定する準備が整います。
**AD FS ODBC による Athena への接続を設定するには**
1. Athena 用の ODBC ドライバーをインストールします。ダウンロードリンクについては、「[ODBC で Amazon Athena に接続する](connect-with-odbc.md)」(ODBC を使用して Amazon Athena に接続する) を参照してください。
1. Windows で、**[Start]** (開始)、**[ODBC Data Sources]** (ODBC データソース) を選択します。
1. **[ODBC Data Source Administrator]** (ODBC データソースの管理者) プログラムで、**[Add]** (追加) をクリックします。
![\[[Add] (追加) を選択して、ODBC データソースを追加します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-33.png)
1. **[Create New Data Source]** (新しいデータソースの作成) ダイアログボックスで、**[Simba Athena ODBC Driver]** (Simba Athena ODBC ドライバー) を選択し、**[Finish]** (完了) を選択します。
![\[[Simba Athena ODBC Driver] (Simba Athena ODBC ドライバー) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-34.png)
1. **[Simba Athena ODBC Driver DSN Setup]** (Simba Athena ODBC ドライバーの DSN 設定) ダイアログで、以下の値を入力します。
+ **[Data Source Name]** (データソース名) に、使用するデータソースの名前 (例えば、** Athena-odbc-test**) を入力します。
+ **[Description]** (説明) に、データソースの説明を入力します。
+ **[AWS リージョン]** には、使用している AWS リージョン (例: ** us-west-1**) を入力します
+ **[S3 Output Location]** (S3 出力場所) には、出力を保存する先の Amazon S3 パスを入力します。
![\[[Simba Athena ODBC Driver DSN Setup] (Simba Athena ODBC ドライバーの DSN 設定) には値を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-35.png)
1. **[Authentication Options]** (認証オプション) をクリックします。
1. **[Authentication Options]** (認証オプション) ダイアログボックスで、以下の値を指定します。
+ **[Authentication Type]** (認証タイプ) で、**[ADFS]** を選択します。
+ **[User]** (ユーザー) には、ユーザーのメールアドレス (例: **jane@example.com**) を入力します。
+ **[Password]** (パスワード) には、ユーザーの ADFS パスワードを入力します。
+ **[IdP Host]** (IdP ホスト) には、AD FS サーバー名 (例: **adfs.example.com**) を入力します。
+ **[IdP Host]** (IdP ポート) には、デフォルト値の **[443]** を使用します。
+ **[SSL Insecure]** (SSL 非セキュア) オプションを選択します。
![\[認証オプションの設定。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-adfs-saml-37.png)
1. **[OK]** をクリックして、**[Authentication Options]** (認証オプション) を閉じます。
1. 接続をテストするには **[Test]** (テスト) を、終了するには **[OK]** をクリックします。
# Okta プラグインと Okta ID プロバイダを使用して ODBC 用 の SSO を設定する
このページでは、Amazon Athena ODBC ドライバーと Okta プラグインを設定し、Okta の ID プロバイダを使用して Single Sign-On (SSO) 機能を追加する方法について説明します。
## 前提条件
このチュートリアルのステップを完了するには、以下が必要です。
+ Amazon Athena ODBC ドライバー ダウンロードリンクについては、「[ODBC で Amazon Athena に接続する](connect-with-odbc.md)」(ODBC を使用して Amazon Athena に接続する) を参照してください。
+ SAML で使用する IAM ロール。詳細については、「IAM ユーザーガイド」の「[SAML 2.0 フェデレーション用のロールの作成 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)」を参照してください。
+ Okta アカウント。詳細については、[Okta.com](https://www.okta.com/) を参照してください。
## Okta でのアプリケーション統合の作成
まず、Okta ダッシュボードを使用して、Athena へのシングルサインオン用の SAML 2.0 アプリケーションを作成して設定します。Okta で既存の Redshift アプリケーションを使用して、Athena へのアクセスを設定できます。
**Okta でアプリケーション統合を作成するには**
1. [Okta.com](https://www.okta.com/) で、アカウントの管理ページにログインします。
1. ナビゲーションパネルで、**[Applications]** (アプリケーション) を選択した後、もう一度 **[Applications]** (アプリケーション) を選択します。
1. **[Applications]** (アプリケーション) ページで、**[Browse App Catalog]** (アプリケーションカタログを参照) を選択します。
1. **[Browse App Integration Catalog]** (アプリケーションの統合カタログを表示) ページの **[Use Case]** (ユースケース) セクションで、**[All Integrations]** (すべての統合) を選択します。
1. 検索ボックスに **Amazon Web Services Redshift** と入力してから、**[Amazon Web Services Redshift SAML]** (アマゾン ウェブ サービス Redshift SAML) を選択します。
1. **[Add integration]** (統合の追加) を選択します。
![\[[Add integration] (統合の追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-1.png)
1. **[General Settings Required]** (必要な一般設定) セクションの **[Application label]** (アプリケーションラベル) に、アプリケーションの名前を入力します。このチュートリアルでは、**Athena-ODBC-Okta** という名前を使用します。
![\[Okta アプリケーションの名前を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-2.png)
1. **[Done]** (完了) をクリックします。
1. Okta アプリケーションのページ (たとえば、**[Athena-ODBC-Okta]**) で、**[Sign On]** (サインオン) を選択します。
![\[[Sign On] (サインオン) タブを選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-3.png)
1. **[Settings]** (設定) セクションで、**[Edit]** (編集) を選択します。
![\[[編集] を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-4.png)
1. **[Advanced Sign-on Settings]** (詳細なサインオン設定) セクションで、以下の値を設定します。
+ **[IdP ARN and Role ARN]** (IdP ARN とロール ARN) に、AWS IDP ARN とロール ARN をカンマ区切り値で入力します。IAM ロール形式の詳細については、「IAM ユーザーガイド」の「[認証レスポンスの SAML アサーションを設定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)」を参照してください。
+ **[Session Duration]** (セッション期間) に、900~43200 秒の値を入力します。このチュートリアルでは、デフォルトの 3600 (1 時間) を使用します。
![\[サインオン設定の詳細を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-5.png)
Athena では、**[DbUser Format]** (DbUser 形式)、**[AutoCreate]**、**[Allowed DBGroups]** (許可された DBGroups) の設定は使用されません。ユーザーがこれらを設定する必要はありません。
1. **[保存]** を選択します。
## Okta から ODBC の設定情報を取得する
Okta アプリケーションを作成し、アプリケーションの ID と IdP ホスト URL を取得する準備ができました。これらは、後で Athena への接続用に ODBC を設定するときに必要になります。
**Okta から ODBC の設定情報を取得するには**
1. Okta アプリケーションの **[General]** (一般) タブを選択してから、**[App Embed Link]** (アプリケーション埋め込みリンク) セクションまでスクロールダウンします。
![\[Okta アプリケーションの埋め込みリンク URL です。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-6.png)
**[Embed Link]** (埋め込みリンク) の URL の形式は以下のとおりです。
```
https://trial-1234567.okta.com/home/amazon_aws_redshift/Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4
```
1. **[Embed Link]** (埋め込みリンク) の URL から、次の部分を抽出して保存します。
+ `https://` に続く最初のセグメント、`okta.com` までです (たとえば、**trial-1234567.okta.com**)。これは IdP ホストです。
+ URL に含まれる最後の 2 つのセグメント、中央のスラッシュを含みます。これら 2 つのセグメントは、数字と大文字と小文字が混在する 20 文字の文字列 2 組です (たとえば、**Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4**)。これはアプリケーション ID です。
## Okta アプリケーションにユーザーを追加します。
Okta アプリケーションにユーザーを追加する準備ができました。
**Okta アプリケーションにユーザーを追加するには**
1. 左側のナビゲーションペインで、[**ディレクトリ**] 、[**ピープル**] の順に選択します。
1. **[Add Person]** (ユーザーを追加) を選択します。
![\[[Add Person] (ユーザーを追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-7.png)
1. **[Add Person]** (ユーザーを追加) ダイアログボックスで、以下の情報を入力します。
+ **[First name]** (名) と **[Last name]** (姓) に値を入力します。このチュートリアルでは、**test user** を使用します。
+ **[Username]** (ユーザー名) と **[Primary email]** (プライマリ E メール) に値を入力します。このチュートリアルでは、両方に **test@amazon.com** を使用します。パスワードのセキュリティ要件はユーザーによって異なる可能性があります。
![\[ユーザー認証情報を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-8.png)
1. **[保存]** を選択します。
作成したユーザーをアプリケーションに割り当てる準備ができました。
**アプリケーションにユーザーを割り当てるには**
1. ナビゲーションペインで、**[Applications]** (アプリケーション) を選択してから、もう一度 **[Applications]** (アプリケーション) を選択し、アプリケーションの名前を選択します (たとえば、**[Athena-ODBC-Okta]**)。
1. **[Assign]** (割り当て) を選択してから、**[Assign to People]** (ユーザーに割り当て) を選択します。
![\[[Assign to People] (ユーザーに割り当て) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-9.png)
1. ユーザーの **[Assign]** (割り当て) オプションを選択し、**[Done]** (完了) を選択します。
![\[[Assign] (割り当て) を選択し、[Done] (完了) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-10.png)
1. プロンプトで、**[Save and Go Back]** (保存して戻る) を選択します。ダイアログボックスで、ユーザーのステータスが **[Assigned]** (割り当て済み) と表示されます。
1. **[Done]** (完了) をクリックします。
1. **[Sign On]** (サインオン) タブを選択します。
1. **[SAML Signing Certificates]** (SAML 署名証明書) セクションまでスクロールダウンします。
1. **[アクション]** を選択します。
1. **[View IdP metadata]** (IdP メタデータを表示) コンテキストメニューを開き (右クリック)、ファイルを保存するためのブラウザオプションを選択します。
1. 拡張子 (`.xml`) を付けてファイルを保存します。
![\[IdP メタデータを、ローカルの XML ファイルに保存します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-11.png)
## AWS SAML ID プロバイダとロールを作成する
メタデータ XML ファイルを AWS の IAM コンソールにアップロードする準備ができました。このファイルを使用して、AWS SAML ID プロバイダとロールを作成します。これらの手順を実行するには、AWS のサービスの管理者アカウントを使用します。
**AWS で SAML ID プロバイダとロールを作成するには**
1. AWS マネジメントコンソール にサインインして、[https://console.aws.amazon.com/IAM/](https://console.aws.amazon.com/IAM/) で IAM コンソールを開きます。
1. ナビゲーションペインで、[**Identity providers**] (ID プロバイダ) を選択し、[**Add provider**] (プロバイダを追加) を選択します。
![\[[プロバイダーを追加] をクリックします。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-12.png)
1. **[Add an Identity provider]** (ID プロバイダ) ページで、**[Configure provider]** (プロバイダの設定) に以下の情報を入力します。
+ [**プロバイダのタイプ**] では [**SAML**] を選択します。
+ **[Provider name]** (プロバイダ名) に、プロバイダの名前を入力します (例: ** AthenaODBCOkta**)。
+ [**メタデータドキュメント**] では、[**ファイルを選択**] オプションを使用して、ダウンロードした ID プロバイダ (IdP) メタデータ XML ファイルをアップロードします。
![\[ID プロバイダの情報を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-13.png)
1. **[プロバイダーを追加]** をクリックします。
### Athena および Amazon S3 にアクセスするための IAM ロールを作成する
Athena および Amazon S3 にアクセスするための IAM ロールを作成する準備ができました。このロールをユーザーに割り当てます。これにより、ユーザーに Athena へのシングルサインオンアクセスを提供できます。
**ユーザー用の IAM ロールを作成するには**
1. IAM コンソールのナビゲーションペインで、[**Roles**] (ロール)、[**Create role**] (ロールの作成) の順にクリックします。
![\[[ロールの作成] を選択してください。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-14.png)
1. **[Create role]** (ロールを作成) ページで、次のオプションを選択します。
+ **[Select type of trusted entity]** (信頼されたエンティティのタイプを選択) で、**[SAML 2.0 Federation]** (SAML 2.0 フェデレーション) を選択します。
+ **[SAML 2.0–based provider]** (SAML 2.0 ベースのプロバイダ) で、作成した SAML ID プロバイダを指定します (たとえば、**AthenaODBCOkta**)。
+ **[プログラムによるアクセスとコンソールによるアクセスを許可]** を選択します。
![\[[Create role] (ロールの作成) ページで、オプションを選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-15.png)
1. [**次へ**] を選択します。
1. **[Add Permissions]** (許可を追加) ページの **[Filter policies]** (ポリシーをフィルタリング) に、**AthenaFull** と入力してから Enter キーを押します。
1. `AmazonAthenaFullAccess` 管理ポリシーを選択してから、**[Next]** (次へ) を選択します。
![\[AmazonAthenaFullAccess 管理ポリシーを選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-16.png)
1. **[Name, review, and create]** (名前、確認、および作成) ページで、**[Role name]** (ロール名) にロールの名前 (たとえば、**Athena-ODBC-OktaRole**) を入力し、**[Create role]** (ロールを作成) を選択します。
## Athena への Okta ODBC 接続を設定する
Windows の ODBC データソースプログラムを使用して、Athena への Okta ODBC 接続を設定する準備ができました。
**Athena への Okta ODBC 接続を設定するには**
1. Windows で、**[ODBC Data Sources]** (ODBC データソース) プログラムを起動します。
1. **[ODBC Data Source Administrator]** (ODBC データソースの管理者) プログラムで、**[Add]** (追加) をクリックします。
![\[[Add] (追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-17.png)
1. **[Simba Athena ODBC Driver]** (Simba Athena ODBC ドライバー) を選択し、**[Finish]** (完了) をクリックします。
![\[Athena の ODBC ドライバーを選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-18.png)
1. 左**[Simba Athena ODBC Driver DSN Setup]** (Simba Athena ODBC ドライバーの DSN セットアップ) ダイアログで、以下に記述されている値を入力します。
+ **[Data Source Name]** (データソース名) に、使用するデータソースの名前 (例えば、**Athena ODBC 64**) を入力します。
+ **[Description]** (説明) に、データソースの説明を入力します。
+ **[AWS リージョン]** に、使用している AWS リージョン (たとえば、**us-west-1**) を入力します。
+ **[S3 Output Location]** (S3 出力場所) には、出力を保存する先の Amazon S3 パスを入力します。
![\[データソース名の設定で、値を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-19.png)
1. **[Authentication Options]** (認証オプション) をクリックします。
1. **[Authentication Options]** (認証オプション) ダイアログボックスで、以下の値を選択または入力します。
+ **[Authentication Type]** (認証タイプ) で、**[Okta]** を選択します。
+ **ユーザー**には、Okta ユーザー名を入力します。
+ **パスワード**には、Okta パスワードを入力します。
+ **[IdP Host]** (IdP ホスト) に、以前記録した値を入力します (たとえば、**trial-1234567.okta.com**)。
+ **[IdP Port]** (IdP ポート) に、**443** と入力します。
+ **[App ID]** (アプリケーション ID) に、以前記録した値 (Okta 埋め込みリンクに含まれる最後の 2 つのセグメント) を入力します。
+ **[Okta App Name]** (Okta アプリケーション名) に、**amazon\$1aws\$1redshift** と入力します。
![\[認証オプションを入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/odbc-okta-plugin-20.png)
1. [**OK**] を選択してください。
1. 接続をテストするには **[Test]** (テスト) を、終了するには **[OK]** を選択します。
# ODBC、SAML 2.0、Okta Identity Provider を使用してシングルサインオンを設定する
データソースに接続する際、 Amazon Athena では、PingOne、Okta、OneLogin を初めとしたアイデンティティプロバイダ (IdPs) を使用できます。Athena ODBC ドライバーのバージョン 1.1.13 および Athena JDBC ドライバーのバージョン 2.0.25 以降には、ブラウザの SAML プラグインが含まれており、任意の SAML 2.0 プロバイダで動作するように設定できます。このトピックでは、Okta の ID プロバイダを使用して Single Sign-On (SSO) 機能を追加するために、Amazon Athena ODBC ドライバーとブラウザベースの SAML プラグインを設定する方法について説明します。
## 前提条件
このチュートリアルのステップを完了するには、以下が必要です。
+ Athena ODBC ドライバーバージョン 1.1.13 以降。バージョン 1.1.13 以降には、ブラウザの SAML サポートが含まれています。ダウンロード用のリンクは、「[ODBC を使用した Amazon Athena への接続](https://docs.aws.amazon.com/athena/latest/ug/connect-with-odbc.html)」でご確認ください。
+ SAML で使用する IAM ロール。詳細については、「IAM ユーザーガイド」の「[SAML 2.0 フェデレーション用のロールの作成 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)」を参照してください。
+ Okta アカウント。詳細については、[okta.com](https://www.okta.com/) を参照してください。
## Okta でのアプリケーション統合の作成
まず、Okta ダッシュボードを使用して、Athena へのシングルサインオン用の SAML 2.0 アプリケーションを作成して設定します。
**Okta ダッシュボードを使用して Athena のシングルサインオンをセットアップするには**
1. `okta.com` の Okta 管理ページにログインします。
1. [ナビゲーションペイン] で、**[Applications]** (アプリケーション) をクリックした後に、もう一度 **[Applications]** をクリックします。
1. **[Applications]** (アプリケーション) ページで、**[Create App Integration]** (アプリケーション統合を作成) をクリックします。
![\[[Create App Integration] (アプリの統合の作成) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-1.png)
1. **[Create a new app integration]** (新しいアプリケーション統合の作成) ダイアログボックスにある **[Sign-in method]** (サインイン方法) で、**[SAML 2.0]** を選択した上で、**[Next]** (次へ) をクリックします。
![\[[SAML 2.0] を選択\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-2.png)
1. **[Create SAML Integration]** (SAML 統合の作成) ページの **[General Settings]** (全般設定) セクションで、アプリケーションの名前を入力します。このチュートリアルでは、この名前として **[Athena SSO]** を使用します。
![\[Okta アプリケーションの名前を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-3.png)
1. [**次へ**] を選択します。
1. **[Configure SAML]** (SAML の設定) ページの **[SAML Settings]** (SAML 設定) セクションで、以下の値を入力します。
+ **[Single sign on URL]** (シングルサインオン URL) には **http://localhost:7890/athena** を入力します。
+ **[Audience URI]** (対象者の URI) には **urn:amazon:webservices** を入力します。
![\[SAML の設定を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-4.png)
1. **[Attribute Statements (optional)]** (属性ステートメント (オプション)) には、次の名前と値のペアを入力します。これらのマッピング属性は必須です。
+ **[Name]** (名前) に、次の URL を入力します。
**https://aws.amazon.com/SAML/Attributes/Role**
**[Value]** (値) に、IAM ロールの名前を入力します。IAM ロール形式の詳細については、「IAM ユーザーガイド」の「[認証レスポンスの SAML アサーションを設定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)」を参照してください。
+ **[Name]** (名前) に、次の URL を入力します。
**https://aws.amazon.com/SAML/Attributes/RoleSessionName**
**[Value]** (値) に「**user.email**」と入力します。
![\[Athena 用の SAML 属性を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-5.png)
1. **[次へ]** を選択し、**[完了]** を選択します。
Okta がアプリケーションを作成する際、同時にログイン URL も作成され、これは次で取得できます。
## Okta ダッシュボードからのログイン URL の取得
この段階まででアプリケーションが作成されたので、Okta ダッシュボードからログイン URL およびその他のメタデータを取得できます。
**Okta ダッシュボードからログイン URL を取得するには**
1. Okta のナビゲーションペインで、**[Applications]** (アプリケーション) をクリックした後、もう一度 **[Applications]** をクリックします。
1. ログイン URL を確認するアプリケーション (たとえば、**AthenASSO**) を選択します。
1. アプリケーションのページで、**[Sign On]** (サインオン) をクリックします。
![\[[Sign On] (サインオン) をクリックします。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-6.png)
1. **[View Setup Instructions]** (セットアップ手順を表示) をクリックします。
![\[[View Setup Instructions] (セットアップ手順を表示) をクリックします。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-7.png)
1. **[How to Configure SAML 2.0 for Athena SSO]** (Athena SSO 用の SAML 2.0 を設定するには) ページで、**[Identity Provider Issuer]** (ID プロバイダの発行者) の URL を探します。Okta ダッシュボード内の一部では、この URL を **[SAML issuer ID]** (SAML 発行者 ID) として参照します。
![\[[Identity Provider Issuer] (ID プロバイダの発行者) の値です。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-8.png)
1. **ID プロバイダシングルサインオン URL** の値をコピーまたは保存します。
次のセクションで ODBC 接続を設定する際に、ブラウザの SAML プラグイン用の接続パラメータ **[Login URL]** (ログインURL) として、この値を指定します。
## ブラウザ SAML ODBC による Athena への接続の設定
この段階で、Windows の ODBC データソースプログラムを使用して、Athena へのブラウザの SAML 接続を設定するための準備が整いました。
**ブラウザの SAML ODBC による Athena への接続を設定するには**
1. Windows で、**[ODBC Data Sources]** (ODBC データソース) プログラムを起動します。
1. **[ODBC Data Source Administrator]** (ODBC データソースの管理者) プログラムで、**[Add]** (追加) をクリックします。
![\[[Add] (追加) を選択します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-9.png)
1. **[Simba Athena ODBC Driver]** (Simba Athena ODBC ドライバー) を選択し、**[Finish]** (完了) をクリックします。
![\[[Simba Athena Driver] (Simba Athena ドライバー) を選択\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-10.png)
1. 左**[Simba Athena ODBC Driver DSN Setup]** (Simba Athena ODBC ドライバーの DSN セットアップ) ダイアログで、以下に記述されている値を入力します。
![\[DSN のセットアップ値を入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-11.png)
+ **[Data Source Name]** (データソース名) には、使用するデータソースの名前 (例:**Athena ODBC 64**) を入力します。
+ **[Description]** (説明) に、データソースの説明を入力します。
+ **[AWS リージョン]** には、使用している AWS リージョン (例: **us-west-1**) を入力します
+ **[S3 Output Location]** (S3 出力場所) には、出力を保存する先の Amazon S3 パスを入力します。
1. **[Authentication Options]** (認証オプション) をクリックします。
1. **[Authentication Options]** (認証オプション) ダイアログボックスで、以下の値を選択または入力します。
![\[認証オプションを入力します。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/okta-saml-sso-12.png)
+ **[Authentication Type]** (認証タイプ) で、**[BrowserSAML]** を選択します。
+ **[Login URL]** (ログインURL) には、Okta ダッシュボードから取得した、**[Identity Provider Single Sign-On URL]** (ID プロバイダのシングルサインオン URL) を入力します。
+ **[Listen Port]** (リッスンするポート) には、「**7890**」と入力します。
+ **[Timeout (sec)]** (タイムアウト (秒)) に、接続のタイムアウト値を秒単位で入力します。
1. **[OK]** をクリックして、**[Authentication Options]** (認証オプション) を閉じます。
1. 接続をテストするには **[Test]** (テスト) を、終了するには **[OK]** をクリックします。
# Amazon Athena Power BI コネクタを使用する
Windows オペレーティングシステムでは、Amazon Athena 向けの Microsoft Power BI コネクタを使用して、Microsoft Power BI Desktop で Amazon Athena からのデータを分析することができます。Power BI の詳細については、「[Microsoft Power BI](https://powerbi.microsoft.com/)」を参照してください。Power BI サービスにコンテンツを公開した後は、2021 年 7 月以降にリリースされた [Power BI ゲートウェイ](https://powerbi.microsoft.com/gateway/)を使用して、オンデマンドまたはスケジュールされた更新によって、コンテンツを最新の状態に保つことができます。
## 前提条件
使用を開始する前に、環境が次の要件を満たしていることを確認してください。Amazon Athena ODBC ドライバーが必要です。
+ [AWS アカウント](https://aws.amazon.com/)
+ [Athena を使用するためのアクセス許可](policy-actions.md)
+ [Amazon Athena ODBC ドライバー](connect-with-odbc.md)
+ [Power BI Desktop](https://powerbi.microsoft.com/en-us/desktop/)
## サポートされる機能
+ **インポート** - 選択したテーブルと列がクエリ実行用に Power BI Desktop にインポートされます。
+ **DirectQuery** - Power BI Desktop にデータがインポートまたはコピーされることはありません。Power BI Desktop が、基盤となるデータソースに直接クエリを実行します。
+ **Power BI ゲートウェイ** – Microsoft Power BI サービスと Athena の間の橋渡しのように機能する、AWS アカウント 内のオンプレミスデータゲートウェイです。このゲートウェイは、Microsoft Power BI サービスでデータを表示するために必要です。
## Amazon Athena への接続
Power BI Desktop を Amazon Athena データに接続するには、次の手順を実行します。
**Power BI Desktop から Athena データに接続する**
1. Power BI Desktop を起動します。
1. 次のいずれかを行ってください。
+ [**File**] (ファイル) 、[**Get Data**] (データを取得) の順に選択します。
+ [**Home**] (ホーム) リボンから、[**Get Data**] (データを取得) を選択します。
1. 検索ボックスに「**Athena**」と入力します。
1. [**Amazon Athena**] を選択してから、[**Connect**] (接続) をクリックします。
![\[Amazon Athena コネクタを選択します\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/connect-with-odbc-and-power-bi-1.png)
1. **Amazon Athena** 接続ページで、次の情報を入力します。
+ [**DSN**] では、使用する ODBC DSN の名前を入力します。DSN の設定手順については、[ODBC ドライバーのドキュメント](connect-with-odbc-driver-and-documentation-download-links.md#connect-with-odbc-driver-documentation)をご覧ください。
+ [**Data Connectivity**] (データ接続モード) では、次の一般的なガイドラインに従って、ユースケースに適したモードを選択します。
+ 小さいデータセットの場合は、[**インポート**] を選択します。インポートモードを使用する場合、Power BI が Athena と連携して、可視化に使用するデータセット全体のコンテンツをインポートします。
+ 大規模なデータセットの場合は、[**DirectQuery**] を選択します。DirectQuery モードでは、データがワークステーションにダウンロードされることはありません。可視化を作成または操作している間、Microsoft Power BI が Athena と連携して基盤となるデータソースに動的にクエリを実行するため、常に最新のデータが表示されます。DirectQuery の詳細については、Microsoft のドキュメントの「[Power BI Desktop の DirectQuery を使用する](https://docs.microsoft.com/power-bi/connect-data/desktop-use-directquery)」を参照してください。
![\[データ接続情報を入力する\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/connect-with-odbc-and-power-bi-2.png)
1. [**OK**] を選択してください。
1. データソース認証を設定するプロンプトで、[**Use Data Source Configuration**] (データソース設定を使用) または [**AAD Authentication**] (AAD 認証) を選択してから、[**Connect**] (接続) をクリックします。
![\[データソース認証方法を選択する\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/connect-with-odbc-and-power-bi-3.png)
データカタログ、データベース、およびテーブルが [**Navigator**] (ナビゲータ) ダイアログボックスに表示されます。
![\[ナビゲータにデータが表示されます\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/connect-with-odbc-and-power-bi-4.png)
1. [**Display Options**] (表示オプション) ペインで、使用するデータセットのチェックボックスをオンにします。
1. インポートする前にデータセットを変換する場合は、ダイアログボックスの下部に移動し、[**Transform Data**] (データを変換する) をクリックします。これにより、Power Query エディターが開き、使用するデータのセットをフィルタリングして絞り込むことができます。
1. **[ロード]** を選択します。ロードが完了すると、次の画像のような可視化を作成できます。**DirectQuery** をインポートモードとして選択した場合、Power BI はユーザーがリクエストした可視化のクエリを Athena に対して発行します。
![\[サンプルデータの可視化\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/connect-with-odbc-and-power-bi-5.png)
## オンプレミスゲートウェイの設定
ダッシュボードとデータセットを Power BI サービスに公開すると、他のユーザーがウェブアプリ、モバイルアプリ、埋め込みアプリを使用してダッシュボードやデータセットを操作できるようになります。Microsoft Power BI サービスでデータを表示するには、Microsoft Power BI オンプレミスデータゲートウェイを AWS アカウント にインストールします。ゲートウェイは、Microsoft Power BI サービスと Athena の間の橋渡しのように機能します。
**オンプレミスデータゲートウェイをダウンロードしてインストールし、テストを行う**
1. 「[Microsoft Power BI ゲートウェイのダウンロード](https://powerbi.microsoft.com/en-us/gateway/)」ページにアクセスし、個人モードまたは標準モードを選択します。個人モードは、Athena コネクタをローカルでテストする場合に便利です。標準モードは、マルチユーザーの本番稼働の設定に適しています。
1. オンプレミスゲートウェイ (個人モードまたは標準モード) をインストールするには、Microsoft のドキュメントの「[オンプレミス データ ゲートウェイをインストールする](https://docs.microsoft.com/en-us/data-integration/gateway/service-gateway-install)」を参照してください。
1. ゲートウェイをテストするには、Microsoft のドキュメントの「[オンプレミス データ ゲートウェイでカスタム データ コネクタを使用する](https://docs.microsoft.com/en-us/power-bi/connect-data/service-gateway-custom-connectors)」を参照してください。
オンプレミスデータゲートウェイの詳細については、次の Microsoft リソースを参照してください。
+ [オンプレミスデータゲートウェイとは?](https://docs.microsoft.com/en-us/power-bi/connect-data/service-gateway-onprem)
+ [Power BI 用のデータゲートウェイのデプロイに関するガイダンス](https://docs.microsoft.com/en-us/power-bi/connect-data/service-gateway-deployment-guidance)
Athena で使用するための Power BI ゲートウェイの設定例については、AWS Big Data ブログの記事「[Creating dashboards quickly on Microsoft Power BI using Amazon Athena](https://aws.amazon.com/blogs/big-data/creating-dashboards-quickly-on-microsoft-power-bi-using-amazon-athena/)」を参照してください。