Amazon Athena ODBC 2.x リリースノート

• SSL 証明書の検証がデフォルトで有効 – ドライバーは ID プロバイダーに接続する際、SSL 証明書の検証を強制するようになりました。有効な SSL 証明書がないローカル ID プロバイダーを使用する場合は、接続文字列で SSL_Insecure=1 を明示的に設定する必要があります。詳細については、「SSL インセキュア (IdP)」を参照してください。

• TLS 1.2 最小適用 — ドライバーは ID プロバイダーへの TLS 1.0 または TLS 1.1 接続を受け入れなくなりました。すべての IdP 接続に TLS 1.2 以降が必要になりました。

• BrowserSSOOIDC 認証フローの更新 – BrowserSSOOIDC プラグインは、デバイスコード認可ではなく PKCE で認可コードを使用するようになりました。OAuth 2.0 コールバックサーバーでは、新しいオプションパラメータ listen_port (デフォルトは 7890) を使用できます。このポートをネットワークで許可リストに登録する必要がある場合があります。デフォルトのスコープが sso:account:access に変更されました。詳細については、「Browser SSO OIDC」を参照してください。

• BrowserSSOOIDC – セキュリティを強化するために、デバイスコードフローから PKCE を使用した認可コードに移行しました。

• BrowserAzureAD – 認可コードの傍受攻撃を防ぐために、OAuth 2.0 認可フローに PKCE (コード交換の証明キー) を追加しました。

• BrowserSAML – SAML トークンインジェクション攻撃を防ぐための RelayState CSRF 保護を追加しました。

• 認証情報キャッシュ – v2.1.0.0 以降、キャッシュされた認証情報は、AWS CLI がローカルに保存されている認証情報を保護する方法に従って、所有ユーザーに制限されたファイルアクセス許可を持つプレーンテキストの JSON として user-profile/.athena-odbc/ ディレクトリに保存されます。

• IAM プロファイル – 既存の Ec2InstanceMetadata に加えて、EcsContainer および Environment 認証情報ソースのサポートが追加されました。

• 接続文字列パーサー — 適切な ODBC }} エスケープ処理を実装しました。

• カタログクエリ – スキーマ名とテーブルパターンの SQL 識別子エスケープを追加しました。

• ODBC パターンマッチング — 正規表現ベースのマッチングを直接 ODBC LIKE ワイルドカードマッチャーに置き換えました。

• XML 解析 – SAML トークンの再帰深度制限 (100 レベル) とサイズ制限 (1 MB) を追加しました。

• ADFS 認証 – ADFS サーバーレスポンスのレスポンスサイズ制限 (200 KB) を追加しました。

• 作成した接続パラメータを介したコード実行や認証フローのリダイレクトを許可する認証コンポーネントの特殊な要素の不適切な中立化を修正しました。BrowserSSOOIDC、BrowserAzureAD、BrowserSAML プラグインに影響します。

• 作成されたテーブルメタデータを介したサービス拒否や SQL インジェクションを許可するクエリ処理コンポーネントの特殊な要素の不適切な中立化を修正しました。

• ID プロバイダーに接続する際の証明書の不適切な検証を修正しました。

• PKCE for OAuth、CSRF protection for SAML、安全な認証情報キャッシュ、排他的コールバックポートバインディングなど、ブラウザベースの認証フローで欠落している認証セキュリティコントロールを修正しました。

• 計算された入力パターン、無制限のサーバーレスポンス、深くネストされた XML ペイロードを介してサービス拒否を許可する可能性のあるコンポーネントの解析における制御されないリソース消費を修正しました。

• Power BI Import モードでクロスアカウントフェデレーティッドカタログで UseSingleCatalogAndSchema=1 を使用する場合、SQLColumns と SQLTables が結果を返さない問題を修正しました。

• 「ブラウザの信頼できる ID の伝搬」認証プラグイン – 信頼できる ID の伝搬によるブラウザベースの OpenID Connect (OIDC) 認証をサポートする新しい認証プラグインを追加しました。このプラグインは、デフォルトのブラウザを介して完全な OAuth 2.0 フローを処理し、JSON ウェブトークン（JWT）を自動的に取得し、信頼できる ID の伝搬と統合することで、シームレスな認証エクスペリエンスを提供します。このプラグインは、シングルユーザーデスクトップ環境向けに特別に設計されています。信頼できる ID の伝播の有効化と使用方法の詳細については、「信頼できる ID の伝播とは」を参照してください。

• ログ記録フレームワークの強化 — 以下により、ドライバーのログ記録メカニズムが大幅に改善されました。

  • 基本的な 0/1 オプションを超えるより詳細なログレベルを導入

  • 冗長ログステートメントを削除

  • 診断関連情報を含めてログ記録フレームワークを最適化

  • オペレーション遅延の原因となっていたパフォーマンスの問題に対処

  • ログ記録有効時のログファイルの過剰生成を削減

• 結果フェッチャーの最適化 — フェッチサイズパラメータの制限がストリーミング結果フェッチャーと非ストリーミング結果フェッチャーの両方に誤って適用されていたという問題を修正しました。この制限は、非ストリーミング結果フェッチャーにのみ正しく適用されるようになりました。

Amazon Athena ODBC v2.0.5.1 ドライバーには、ブラウザベースの認証プラグインに対する以下の修正が含まれています。

• ログイン URL の検証とスキーマチェックを実装しました。

• Linux でのブラウザ起動メカニズムを改善し、システム API を利用できるようになりました。その結果、安定性とセキュリティが向上しました。

• JWT Trusted Identity Provider (TIP) 認証プラグイン – JWT Trusted Identity Provider (TIP) と ODBC ドライバーの統合をサポートする新しい認証プラグインが追加されました。この認証タイプでは、外部 ID プロバイダーから取得した JSON Web トークン (JWT) を接続パラメータとして使用して Athena で認証できます。TIP では、ID コンテキストが IAM ロールに追加され、AWS リソースへのアクセスをリクエストするユーザーを識別します。TIP の有効化と使用方法の詳細については、「信頼できる ID の伝播とは」を参照してください。

• カスタム SSO Admin エンドポイントのサポート – ODBC ドライバーでカスタム SSO Admin エンドポイントのサポートが追加されました。この機能強化により、VPC の背後で ODBC を実行するときに SSO サービス用の独自のエンドポイントを指定できます。

• AWS SDK バージョンの更新 – ドライバーで使用される AWS SDK バージョンを 2.32.16 に更新し、リリース 2.0.5.0 のプロジェクトの依存関係を更新しました。

• 結果フェッチャー – ドライバーは、クエリ結果をダウンロードする方法を自動的に選択するようになりました。これにより、ほとんどの場合、フェッチャーを手動で設定する必要がなくなります。詳細については、「結果フェッチャー」を参照してください。

• Curl ライブラリが 8.12.1 に更新されました。

• STS に接続する際の IAM プロファイルのプロキシ設定を修正しました。この修正により、IAM プロファイルを正常認証に使用できます。

• 認証プラグインを使用した IAM プロファイルの追加設定オプションをすべてお読みください。これには、影響を受けるプラグインの設定ミスを解決するための UseProxyForIdP、SSL_Insecure、LakeformationEnabled、LoginToRP が含まれます。

• オプションで 2 番目のパラメータを使用できるようにすることで、ラウンド関数を修正しました。エスケープ構文を含むクエリを正常に処理します。

• TIME WITH TIME ZONE および TIMESTAMP WITH TIME ZONE データ型の列サイズを修正しました。タイムスタンプとタイムゾーンのデータ型の値は切り捨てられません。

• Linux および Mac プラットフォーム上の Okta 認証プラグインに対する MFA サポートを追加しました。

• Windows 用の athena-odbc.dll ライブラリと AmazonAthenaODBC-2.x.x.x.msi インストーラの両方が署名付きになりました。

• ドライバーと共にインストールされる CA 証明書 cacert.pem ファイルを更新しました。

• Lambda カタログのテーブルを一覧表示するために必要な時間が改善されました。LAMBDA カタログ型では、ODBC ドライバーが SHOW TABLES クエリを送信して利用可能なテーブルのリストを取得できるようになりました。詳細については、「クエリを使用してテーブルをリストする」を参照してください。

• SQL_WCHAR と SQL_WVARCHAR を使用して文字列データ型を報告するための UseWCharForStringTypes 接続パラメータを導入しました。詳細については、「文字列型に WCHAR を使用する」を参照してください。

• Get-ODBCDSN PowerShell ツールの使用時に発生していたレジストリの破損警告を修正しました。

• クエリ文字列の先頭にあるコメントを処理するように解析ロジックを更新しました。

• 日付とタイムスタンプのデータ型で、年フィールドに 0 を使用できるようになりました。

• StringColumnLength と ComplexTypeColumnLength の 2 つの接続パラメータを追加しました。これらは、文字列と複合データ型のデフォルト列長を変更するために使用できます。詳細については、「文字列の列長」および「複合型の列長」を参照してください。

• Linux および macOS (Intel と ARM) オペレーティングシステムのサポートが追加されました。詳細については、「Linux」および「macOS」を参照してください。

• AWS-SDK-CPP が 1.11.245 タグバージョンに更新されました。

• curl ライブラリが 8.6.0 バージョンに更新されました。

• 精度列内にある文字列に似たデータ型の結果セットメタデータで誤った値が報告される原因となっていた問題を解決しました。

• すべてのインターフェースの ODBC ドライバースレッドセーフティが改善されました。

• ロギングを有効にすると、日時の値がミリ秒の精度で記録されるようになりました。

• Browser SSO OIDC プラグインによる認証中に、ターミナルが開き、ユーザーにデバイスコードが表示されるようになりました。

• ストリーミング API からの結果を解析する際に発生するメモリ解放の問題を解決しました。

• インターフェイス SQLTablePrivileges()、SQLSpecialColumns()、SQLProcedureColumns()、SQLProcedures() のリクエストは空の結果セットを返すようになりました。

• Browser Azure AD、Browser SSO OIDC、Okta ブラウザベースの認証プラグインにファイルキャッシュ機能が追加されました。

  Power BI やブラウザーベースのプラグインなどの BI ツールは複数のブラウザーウィンドウを使用します。新しいファイルキャッシュ接続パラメータにより、一時的な認証情報をキャッシュし、BI アプリケーションが開いた複数のプロセス間で再利用できます。

• ステートメントが作成された後、アプリケーションが結果セットに関する情報をクエリできるようになりました。

• 遅いクライアントネットワークで使用できるように、デフォルト接続およびリクエストのタイムアウトが延長されました。詳細については、「接続タイムアウト」および「リクエストのタイムアウト」を参照してください。

• SSO および SSO OIDC にエンドポイントオーバーライドが追加されました。詳細については、「エンドポイントオーバーライド」を参照してください。

• 認証リクエストの URI 引数を Ping に渡す接続パラメータが追加されました。このパラメータを使用して Lake Formation のシングルロール制限を回避できます。詳細については、「Ping URI パラメータ」を参照してください。

• 行ベースのバインディングメカニズムを使用する際に発生した整数オーバーフローの問題を修正しました。

• Browser SSO OIDC 認証プラグインの必須接続パラメータのリストからタイムアウトを削除しました。

• SQLStatistics()、SQLPrimaryKeys()、SQLForeignKeys()、SQLColumnPrivileges() に欠けていたインターフェイスを追加し、リクエストに応じて空の結果セットを返す機能を追加しました。

• Okta 認証プラグインに URI ロギングを追加しました。

• 外部認証情報プロバイダープラグインに優先ロールパラメータを追加しました。

• AWS 設定ファイルのプロファイル名にプロファイルプレフィックスの処理を追加しました。

• Lake Formation および AWS STS クライアントの使用時に発生した AWS リージョン使用の問題を修正しました。

• 欠落しているパーティションキーをテーブル列のリストに復元しました。

• 欠落している BrowserSSOOIDC 認証タイプを AWS プロファイルに追加しました。