# Athena ODBC 2.x 连接参数
**Amazon Athena ODBC 配置**对话框选项包括**身份验证选项**、**高级选项**、**日志记录选项**、**端点覆盖**和**代理选项**。有关每个选项的详细信息,请访问相应的链接。
+ [主要 ODBC 2.x 连接参数](odbc-v2-driver-main-connection-parameters.md)
+ [身份验证选项](odbc-v2-driver-authentication-options.md)
+ [高级选项](odbc-v2-driver-advanced-options.md)
+ [日志记录选项](odbc-v2-driver-logging-options.md)
+ [端点覆盖](odbc-v2-driver-endpoint-overrides.md)
+ [代理选项](odbc-v2-driver-proxy-options.md)
# 主要 ODBC 2.x 连接参数
以下各节介绍了每个主要连接参数。
## Data source name
指定数据来源的名称。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| DSN | 无 DSN 连接类型的可选项 | none | DSN=AmazonAthenaOdbcUsWest1; |
## 说明
包含数据来源的描述。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| 说明 | 可选 | none | Description=Connection to Amazon Athena us-west-1; |
## 目录
指定数据目录名称。有关目录的更多信息,请参阅《Amazon Athena API 参考》中的 [DataCatalog](https://docs.aws.amazon.com/athena/latest/APIReference/API_DataCatalog.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| 目录 | 可选 | AwsDataCatalog | Catalog=AwsDataCatalog; |
## 区域
指定 AWS 区域。有关 AWS 区域 的更多信息,请参阅[区域和可用区](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AwsRegion | 强制性 | none | AwsRegion=us-west-1; |
## 数据库
指定数据库名称。有关数据库的更多信息,请参阅 *Amazon Athena API 参考*中的[数据库](https://docs.aws.amazon.com/athena/latest/APIReference/API_Database.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| 架构 | 可选 | default | Schema=default; |
## 工作组
指定工作组名称。有关工作组的更多信息,请参阅 *Amazon Athena API 参考*中的[工作组](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| 工作组 | 可选 | primary | Workgroup=primary; |
## 输出位置
指定存储查询结果的 Amazon S3 位置。有关输出位置的更多信息,请参阅 *Amazon Athena API 参考*中的 [ResultConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultConfiguration.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| S3OutputLocation | 强制性 | none | S3OutputLocation=s3://amzn-s3-demo-bucket/; |
## 加密选项
**对话框参数名称**:加密选项
指定加密选项。有关加密选项的更多信息,请参阅 *Amazon Athena API 参考*中的 [EncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **可能的值** | **连接字符串示例** |
| --- | --- | --- | --- | --- |
| S3OutputEncOption | 可选 | none | NOT\$1SET, SSE\$1S3, SSE\$1KMS, CSE\$1KMS | S3OutputEncOption=SSE\$1S3; |
## KMS 密钥
指定用于加密的 KMS 密钥。有关 KMS 密钥的加密配置的更多信息,请参阅 *Amazon Athena API 参考*中的 [EncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| S3OutputEncKMSKey | 可选 | none | S3OutputEncKMSKey=your\$1key; |
## 连接测试
ODBC 数据来源管理器提供了一个**测试**选项,可用于测试 ODBC 2.x 与 Amazon Athena 的连接。要查看步骤,请参阅[在 Windows 上配置数据来源名称](odbc-v2-driver-getting-started-windows.md#odbc-v2-driver-configuring-dsn-on-windows)。在测试连接时,ODBC 驱动程序会调用 [GetWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetWorkGroup.html) Athena API 操作。该调用使用您指定的身份验证类型和相应的凭证提供程序来检索凭证。使用 ODBC 2.x 驱动程序时,连接测试不收费。该测试不会在 Amazon S3 存储桶中生成查询结果。
# 身份验证选项
您可以使用以下身份验证类型连接到 Amazon Athena。对于所有类型,连接字符串名称为 `AuthenticationType`,参数类型为 `Required`,默认值为 `IAM Credentials`。有关每种身份验证类型的参数的信息,请访问相应的链接。有关常见的身份验证参数,请参阅 [通用身份验证参数](odbc-v2-driver-common-authentication-parameters.md)。
****
| 身份验证类型 | 连接字符串示例 |
| --- | --- |
| [IAM 凭证](odbc-v2-driver-iam-credentials.md) | AuthenticationType=IAM Credentials; |
| [IAM 配置文件](odbc-v2-driver-iam-profile.md) | AuthenticationType=IAM Profile; |
| [AD FS](odbc-v2-driver-ad-fs.md) | AuthenticationType=ADFS; |
| [Azure AD](odbc-v2-driver-azure-ad.md) | AuthenticationType=AzureAD; |
| [浏览器 Azure AD](odbc-v2-driver-browser-azure-ad.md) | AuthenticationType=BrowserAzureAD; |
| [浏览器 SAML](odbc-v2-driver-browser-saml.md) | AuthenticationType=BrowserSAML; |
| [浏览器 SSO OIDC](odbc-v2-driver-browser-sso-oidc.md) | AuthenticationType=BrowserSSOOIDC; |
| [默认凭证](odbc-v2-driver-default-credentials.md) | AuthenticationType=Default Credentials; |
| [外部凭证](odbc-v2-driver-external-credentials.md) | AuthenticationType=External Credentials; |
| [实例配置文件](odbc-v2-driver-instance-profile.md) | AuthenticationType=Instance Profile; |
| [JWT](odbc-v2-driver-jwt.md) | AuthenticationType=JWT; |
| [JWT 可信身份传播凭证提供者](odbc-v2-driver-jwt-tip.md) | AuthenticationType=JWT\$1TIP; |
| [浏览器可信身份传播凭证](odbc-v2-driver-browser-oidc-tip.md) | AuthenticationType=BrowserOidcTip; |
| [Okta](odbc-v2-driver-okta.md) | AuthenticationType=Okta; |
| [Ping](odbc-v2-driver-ping.md) | AuthenticationType=Ping; |
# IAM 凭证
您可以通过本节中描述的连接字符串参数,使用您的 IAM 凭证通过 ODBC 驱动程序连接到 Amazon Athena。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=IAM Credentials; |
## 用户 ID
您的 AWS 访问密钥 ID。有关访问密钥的更多信息,请参阅《*IAM 用户指南*》中的 [AWS 安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UID | 必需 | none | UID=AKIAIOSFODNN7EXAMPLE; |
## 密码
您的 AWS 密钥 ID。有关访问密钥的更多信息,请参阅《*IAM 用户指南*》中的 [AWS 安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| PWD | 必需 | none | PWD=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKE; |
## 会话令牌
如果您使用的是临时 AWS 凭证,则必须指定会话令牌。有关临时凭证的更多信息,请参阅《*IAM 用户指南*》中的 [IAM 临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| SessionToken | 可选 | none | SessionToken=AQoDYXdzEJr...; |
# IAM 配置文件
您可以使用 ODBC 驱动程序配置命名配置文件以连接到 Amazon Athena。您可以使用具有以下凭证源之一的命名配置文件:
+ `Ec2InstanceMetadata`:从 Amazon EC2 实例元数据服务(IMDS)检索凭证。在 Amazon EC2 实例上运行时请使用它。
+ `EcsContainer`:从 Amazon ECS 任务角色端点检索凭证。在 Amazon ECS 容器中运行时请使用它。
+ `Environment`:从环境变量(`AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY`、`AWS_SESSION_TOKEN`)检索凭证。
将 AWS 配置文件配置中的 `credential_source` 参数设置为适合您环境的值。如果要在命名配置文件中使用自定义凭证提供程序,在配置文件配置中指定 `plugin_name` 参数值。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=IAM Profile; |
## AWS 配置文件
用于 ODBC 连接的配置文件名称。有关命名配置文件的更多信息,请参阅《*AWS Command Line Interface 用户指南*》中的[使用命名配置文件](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AWS 配置文件 | 必需 | none | AWSProfile=default; |
## Preferred role
要代入的角色的 Amazon 资源名称(ARN)。当在配置文件配置的 `plugin_name` 参数中指定自定义凭证提供程序时,将使用首选角色参数。有关 ARN 角色的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| preferred\$1role | 可选 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 会话持续时间
角色会话的持续时间(以秒为单位)。有关会话持续时间的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。当在配置文件配置的 `plugin_name` 参数中指定自定义凭证提供程序时,将使用会话持续时间参数。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| duration | 可选 | 900 | duration=900; |
## 插件名称
指定命名配置文件中使用的自定义凭证提供程序的名称。此参数可以采用与 ODBC 数据来源管理器的**身份验证类型**字段相同的值,但只能在 `AWSProfile` 配置中使用。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| plugin\$1name | 可选 | none | plugin\$1name=AzureAD; |
# AD FS
AD FS 是一个基于 SAML 的身份验证插件,可与 Active Directory 联合身份验证服务(AD FS)身份提供商配合使用。该插件支持[集成式 Windows 身份验证](https://learn.microsoft.com/en-us/aspnet/web-api/overview/security/integrated-windows-authentication)和基于表单的身份验证。如果您使用集成式 Windows 身份验证,则可以省略用户名和密码。有关配置 AD FS 和 Athena 的更多信息,请参阅 [使用 ODBC 客户端为 Microsoft AD FS 用户配置对 Amazon Athena 的联合访问权限](odbc-adfs-saml.md)。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=ADFS; |
## 用户 ID
用于连接 AD FS 服务器的用户名。对于集成式 Windows 身份验证,可省略用户名。如果您的 AD FS 设置需要用户名,则必须在连接参数中提供该用户名。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UID | Windows 集成式身份验证的可选项 | none | UID=domain\$1username; |
## 密码
用于连接 AD FS 服务器的密码。与用户名字段一样,如果您使用集成式 Windows 身份验证,则可以省略用户名。如果您的 AD FS 设置需要密码,则必须在连接参数中提供该密码。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| PWD | Windows 集成式身份验证的可选项 | none | PWD=password\$13EXAMPLE; |
## Preferred role
担任角色的 Amazon Resource Name(ARN)。如果您的 SAML 断言具有多个角色,则可以指定此参数来选择要担任的角色。此角色应存在于 SAML 断言中。有关 ARN 角色的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| preferred\$1role | 可选 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 会话持续时间
角色会话的持续时间(以秒为单位)。有关会话持续时间的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| duration | 可选 | 900 | duration=900; |
## IdP host
AD FS 服务主机的名称。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| idp\$1host | Require | none | idp\$1host=.; |
## IdP port
用于连接 AD FS 主机的端口。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| idp\$1port | 必需 | none | idp\$1port=443; |
## LoginToRP
受信任的依赖方。使用此参数覆盖 AD FS 依赖方端点 URL。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| LoginToRP | 可选 | urn:amazon:webservices | LoginToRP=trustedparty; |
# Azure AD
Azure AD 是一个基于 SAML 的身份验证插件,可与 Azure AD 身份提供商配合使用。该插件不支持多重身份验证(MFA)。如果您需要 MFA 支持,请考虑改用 `BrowserAzureAD` 插件。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=AzureAD; |
## 用户 ID
用于连接 Azure AD 的用户名。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UID | 必需 | none | UID=jane.doe@example.com; |
## 密码
用于连接 Azure AD 的密码。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| PWD | 必需 | none | PWD=password\$13EXAMPLE; |
## Preferred role
担任角色的 Amazon Resource Name(ARN)。有关 ARN 角色的信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| preferred\$1role | 可选 | none | preferred\$1role=arn:aws:iam::123456789012:id/user1; |
## 会话持续时间
角色会话的持续时间(以秒为单位)。有关更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| duration | 可选 | 900 | duration=900; |
## 租户 ID
指定应用程序租户 ID。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| idp\$1tenant | 必需 | none | idp\$1tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
## 客户端 ID
指定应用程序客户端 ID。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| client\$1id | 必需 | none | client\$1id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
## 客户端密钥
指定客户端密钥。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| client\$1secret | 必需 | none | client\$1secret=zG12q\$1.xzG1xxxZ1wX1.\$1ZzXXX1XxkHZizeT1zzZ; |
# 浏览器 Azure AD
浏览器 Azure AD 是一个基于 SAML 的身份验证插件,可与 Azure AD 身份提供商配合使用并支持多重身份验证。与标准 Azure AD 插件不同,该插件不需要在连接参数中输入用户名、密码或客户端密钥。
**注意**
**v2.1.0.0 安全更新:**从 v2.1.0.0 开始,BrowserAzureAD 插件在 OAuth 2.0 授权流程中包含 PKCE(代码交换的证明密钥)。这样可以防止对共享系统进行授权码截取攻击。无需更改任何配置。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=BrowserAzureAD; |
## Preferred role
要代入的角色的 Amazon 资源名称(ARN)。如果您的 SAML 断言具有多个角色,则可以指定此参数来选择要担任的角色。指定的角色应存在于 SAML 断言中。有关 ARN 角色的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| preferred\$1role | 可选 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 会话持续时间
角色会话的持续时间(以秒为单位)。有关会话持续时间的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| duration | 可选 | 900 | duration=900; |
## 租户 ID
指定应用程序租户 ID。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| idp\$1tenant | 必需 | none | idp\$1tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
## 客户端 ID
指定应用程序客户端 ID。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| client\$1id | 必需 | none | client\$1id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
## 超时
插件停止等待 Azure AD 发出 SAML 响应之前的持续时间,以秒为单位。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| timeout | 可选 | 120 | timeout=90; |
## 启用 Azure 文件缓存
启用临时凭证缓存。此连接参数允许在多个进程之间缓存和重复使用临时凭证。当您使用 Microsoft Power BI 等 BI 工具时,使用此选项可以减少打开的浏览器窗口数量。
**注意**
从 v2.1.0.0 开始,缓存的凭证以纯文本 JSON 格式存储在 `user-profile/.athena-odbc/` 目录中,文件权限仅限于拥有用户,这与 AWS CLI 保护本地存储凭证的方式一致。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| browser\$1azure\$1cache | 可选 | 1 | browser\$1azure\$1cache=0; |
# 浏览器 SAML
浏览器 SAML 是一个通用身份验证插件,可与基于 SAML 的身份提供商配合使用并支持多重身份验证。有关详细的配置信息,请参阅 [使用 ODBC、SAML 2.0 和 Okta 身份提供商配置单点登录](okta-saml-sso.md)。
**注意**
**v2.1.0.0 安全更新:**从 v2.1.0.0 开始,BrowserSAML 插件包括通过 RelayState 验证进行的 CSRF 保护。驱动程序会生成一个随机状态令牌,将其作为 RelayState 参数包含在登录 URL 中,并在接受 SAML 断言之前根据收到的响应对其进行验证。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=BrowserSAML; |
## Preferred role
要代入的角色的 Amazon 资源名称(ARN)。如果您的 SAML 断言具有多个角色,则可以指定此参数来选择要担任的角色。此角色应存在于 SAML 断言中。有关 ARN 角色的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| preferred\$1role | 可选 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 会话持续时间
角色会话的持续时间(以秒为单位)。有关更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| duration | 可选 | 900 | duration=900; |
## 登录 URL
为应用程序显示的单点登录 URL。
**重要**
从 v2.1.0.0 版本开始,登录 URL 必须使用具有有效授权的 HTTP 或 HTTPS 协议。驱动程序在启动身份验证流程之前会验证 URL 格式。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| login\$1url | 必需 | none | login\$1url=https://trial-1234567.okta.com/app/trial-1234567\$1oktabrowsersaml\$11/zzz4izzzAzDFBzZz1234/sso/saml; |
## 侦听端口
用于侦听 SAML 响应的端口号。此值应与配置 IdP 时使用的 IAM Identity Center URL 相匹配(例如,`http://localhost:7890/athena`)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| listen\$1port | 可选 | 7890 | listen\$1port=7890; |
## 超时
插件停止等待身份提供商发出 SAML 响应之前的持续时间,以秒为单位。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| timeout | 可选 | 120 | timeout=90; |
# 浏览器 SSO OIDC
浏览器 SSO OIDC 是一个可与 AWS IAM Identity Center 配合使用的身份验证插件。有关启用和使用 IAM Identity Center 的信息,请参阅《*AWS IAM Identity Center 用户指南*》中的[步骤 1:启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)。
**注意**
**v2.1.0.0 安全更新:**从版本 2.1.0.0 开始,BrowserSSOOIDC 插件使用 PKCE 授权码而不是设备代码授权,以提高安全性。此更改取消了设备代码显示步骤,并提供更快的身份验证。有一个新参数 `listen_port`(默认值为 7890)用于 OAuth 2.0 回调服务器。您可能需要将此端口添加到您的网络允许列表中。默认范围已更改为 `sso:account:access`。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=BrowserSSOOIDC; |
## IAM Identity Center 启动 URL
AWS 访问门户的 URL。IAM Identity Center [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API 操作将此值用于 `issuerUrl` 参数。
**复制 AWS 访问门户 URL**
1. 登录 AWS 管理控制台,打开 AWS IAM Identity Center 控制台:[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)。
1. 在导航窗格中,选择**设置**。
1. 在**设置**页面的**身份源**下,选择 **AWS 访问门户 URL** 的剪贴板图标。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1start\$1url | 必需 | none | sso\$1oidc\$1start\$1url=https://app\$1id.awsapps.com/start; |
## IAM Identity Center 区域
配置 SSO 的 AWS 区域。`SSOOIDCClient` 和 `SSOClient` AWS SDK 客户端将此值用于 `region` 参数。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1region | 必需 | none | sso\$1oidc\$1region=us-east-1; |
## 范围
客户端定义的范围列表。进行授权时,此列表会限制授予访问令牌时的权限。IAM Identity Center [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API 操作将此值用于 `scopes` 参数。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1scopes | 可选 | sso:account:access | sso\$1oidc\$1scopes=sso:account:access; |
## 账户 ID
分配给用户的 AWS 账户 的标识符。IAM Identity Center [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API 将此值用于 `accountId` 参数。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1account\$1id | 必需 | none | sso\$1oidc\$1account\$1id=123456789123; |
## 角色名称
分配给用户的角色的友好名称。您为此权限集指定的名称将作为可用角色出现在 AWS 访问门户中。IAM Identity Center [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API 操作将此值用于 `roleName` 参数。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1role\$1name | 必需 | none | sso\$1oidc\$1role\$1name=AthenaReadAccess; |
## 超时
轮询 SSO API 需要检查是否存在访问令牌的秒数。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1timeout | 可选 | 120 | sso\$1oidc\$1timeout=60; |
## 侦听端口
用于 OAuth 2.0 回调服务器的本地端口号。这用作重定向 URI,您可能需要将此端口添加到您的网络允许列表中。生成的默认重定向 URI 为:`http://localhost:7890/athena`。此参数是在 v2.1.0.0 中添加的,属于从设备代码迁移到 PKCE 授权码的一部分。
**警告**
在 Windows 终端服务器或远程桌面服务等共享环境中,环回端口(默认值:7890)在同一台计算机上的所有用户之间共享。系统管理员可通过以下方式降低潜在的端口劫持风险:
为不同用户组配置不同的端口号
使用 Windows 安全策略限制端口访问权限
在用户会话之间实现网络隔离
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| listen\$1port | 可选 | 7890 | listen\$1port=8080; |
## 启用文件缓存
启用临时凭证缓存。此连接参数允许在多个进程之间缓存和重复使用临时凭证。当您使用 Microsoft Power BI 等 BI 工具时,使用此选项可以减少打开的浏览器窗口数量。
**注意**
从 v2.1.0.0 开始,缓存的凭证以纯文本 JSON 格式存储在 `user-profile/.athena-odbc/` 目录中,文件权限仅限于拥有用户,这与 AWS CLI 保护本地存储凭证的方式一致。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1cache | 可选 | 1 | sso\$1oidc\$1cache=0; |
# 默认凭证
您可以使用在客户端系统上配置的默认凭证来连接 Amazon Athena。有关使用默认凭证的信息,请参阅《*适用于 Java 的 AWS SDK 开发人员指南*》中的[使用默认凭证提供程序链](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/credentials.html#credentials-default)。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=Default Credentials; |
# 外部凭证
外部凭证是一个通用身份验证插件,可用于连接到任何外部基于 SAML 的身份提供商。要使用该插件,需要传递一个返回 SAML 响应的可执行文件。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=External Credentials; |
## 可执行文件路径
具有基于 SAML 的自定义凭证提供程序逻辑的可执行文件的路径。可执行文件的输出必须是来自身份提供商的已解析 SAML 响应。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| ExecutablePath | 必需 | none | ExecutablePath=C:\$1Users\$1user\$1name\$1external\$1credential.exe |
## 参数列表
要传递给可执行文件的参数列表。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| ArgumentList | 可选 | none | ArgumentList=arg1 arg2 arg3 |
# 实例配置文件
此身份验证类型用于 EC2 实例,并通过 Amazon EC2 元数据服务提供。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=Instance Profile; |
# JWT
JWT(JSON Web 令牌)插件提供了一个使用 JSON Web 令牌担任 Amazon IAM 角色的接口。配置取决于身份提供商。有关为 Google Cloud 和 AWS 配置联合身份的信息,请参阅 Google Cloud 文档中的[使用 AWS 或 Azure 配置工作负载身份联合验证](https://cloud.google.com/iam/docs/workload-identity-federation-with-other-clouds)。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=JWT; |
## Preferred role
担任角色的 Amazon Resource Name(ARN)。有关 ARN 角色的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| preferred\$1role | 可选 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 会话持续时间
角色会话的持续时间(以秒为单位)。有关会话持续时间的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| duration | 可选 | 900 | duration=900; |
## JSON Web 令牌
用于使用 [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) AWS STS API 操作检索 IAM 临时凭证的 JSON Web 令牌。有关为 Google Cloud Platform(GCP)用户生成 JSON Web 令牌的信息,请参阅 Google Cloud 文档中的[使用 JWT OAuth 令牌](https://cloud.google.com/apigee/docs/api-platform/security/oauth/using-jwt-oauth)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| web\$1identity\$1token | 必需 | none | web\$1identity\$1token=eyJhbGc...; |
## 角色会话名称
会话的名称。常用方法是使用应用程序用户的名称或标识符作为角色会话名称。这样方便将应用程序使用的临时安全凭证与相应的用户相关联。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必需 | none | role\$1session\$1name=familiarname; |
# JWT 可信身份传播凭证提供者
通过此身份验证类型,您可以使用从外部身份提供者处获得的 JSON Web 令牌(JWT)作为连接参数,在 Athena 进行身份验证。您可以使用此插件,通过可信身份传播,实现对企业身份的支持。
使用可信身份传播,可以向 IAM 角色添加身份上下文,以识别请求访问 AWS 资源的用户身份。有关启用和使用可信身份传播的信息,请参阅 [What is trusted identity propagation?](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=JWT\$1TIP; |
## JWT Web 身份令牌
从外部联合身份提供者处获得的 JWT 令牌。此令牌将用于向 Athena 进行身份验证。令牌缓存默认为启用,以允许在驱动程序连接之间使用相同的 Identity Center 访问令牌。建议在“测试连接”时提供新的 JWT 令牌,因为交换的令牌仅在驱动程序实例处于活动状态期间才存在。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| web\$1identity\$1token | 必需 | none | web\$1identity\$1token=eyJhbGc...; |
## 工作组 ARN
Amazon Athena 工作组的 Amazon 资源名称(ARN)。有关工作组的更多信息,请参阅 [WorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| WorkGroupArn | 必需 | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
## JWT 应用程序角色 ARN
要代入的角色的 ARN。此角色用于 JWT 交换、通过工作组标签获取 IAM Identity Center 客户管理的应用程序 ARN,以及获取访问角色 ARN。有关代入角色的信息,请参阅 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| ApplicationRoleArn | 必需 | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
## 角色会话名称
会话的名称。它可以是任意名称,但通常,人们会填写与使用自身应用程序的用户关联的名称或标识符。这样,您的应用程序使用的临时安全凭证会与该用户相关联。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必需 | none | role\$1session\$1name=familiarname; |
## 会话持续时间
角色会话的持续时间(以秒为单位)。有关会话持续时间的更多信息,请参阅 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| duration | 可选 | 3600 | duration=900; |
## JWT 访问角色 ARN
要代入的角色的 ARN。这是 Athena 代表您进行调用时代入的角色。有关代入角色的信息,请参阅 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AccessRoleArn | 可选 | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
## IAM Identity Center 客户管理的应用程序 ARN
IAM Identity Center 客户管理的 IDC 应用程序 ARN。有关客户管理的应用程序的更多信息,请参阅 [Customer Managed Applications](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | 可选 | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333 |
## 启用文件缓存
启用临时凭证缓存。使用此连接参数,您可在多个进程之间缓存和重复使用临时凭证。当您使用 Microsoft Power BI 等 BI 工具时,使用此选项可以减少使用的 Web 身份令牌数量。默认情况下,驱动程序会使用 Windows 中的 `%USERPROFILE%`,以及 `HOME` 路径写入文件缓存。为了获得更好的体验,请确保提供对这两个环境变量中路径的读取和写入权限。
**注意**
从 v2.1.0.0 开始,缓存的凭证以纯文本 JSON 格式存储在 `user-profile/.athena-odbc/` 目录中,文件权限仅限于拥有用户,这与 AWS CLI 保护本地存储凭证的方式一致。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| JwtTipFileCache | 可选 | 0 | JwtTipFileCache=1; |
# 浏览器可信身份传播凭证
通过此身份验证类型,您可以从外部身份提供商处获取新的 JSON Web 令牌(JWT),并使用 Athena 进行身份验证。您可以使用此插件,通过可信身份传播,实现对企业身份的支持。有关如何将可信身份传播与驱动程序结合使用的更多信息,请参阅[将可信身份传播与 Amazon Athena 驱动程序结合使用](using-trusted-identity-propagation.md)。您还可以[使用 CloudFormation 配置和部署资源](using-trusted-identity-propagation-cloudformation.md)。
使用可信身份传播,可以向 IAM 角色添加身份上下文,以识别请求访问 AWS 资源的用户身份。有关启用和使用可信身份传播的信息,请参阅 [What is trusted identity propagation?](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)。
**注意**
该插件专为单用户桌面环境而设计。在 Windows Server 等共享环境中,系统管理员负责建立和维护用户之间的安全边界。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | none | AuthenticationType=BrowserOidcTip; |
## IDP 公开配置 URL
IDP 公开配置 URL 是为身份提供商提供 OpenID Connect 配置详细信息的端点。此 URL 通常以 `.well-known/openid-configuration` 结尾,并包含有关身份验证端点、支持的功能和令牌签名密钥的基本元数据。例如,如果您使用的是 *Okta*,则 URL 可能类似 `https://your-domain.okta.com/.well-known/openid-configuration`。
故障排除:如果您收到连接错误,请验证是否可以从您的网络访问此 URL 并返回有效的 *OpenID Connect* 配置 JSON。该 URL 必须能够已安装驱动程序的客户端访问,并且应由您的身份提供商管理员提供。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| IdpWellKnownConfigurationUrl | 必需 | none | IdpWellKnownConfigurationUrl=https:///.well-known/openid-configuration; |
## 客户端标识符
OpenID Connect 提供商向应用程序颁发的客户端标识符。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| client\$1id | 必需 | none | client\$1id=00001111-aaaa-2222-bbbb-3333cccc4444; |
## 工作组 ARN
包含可信身份传播配置标签的 Amazon Athena 工作组的 Amazon 资源名称(ARN)。有关工作组的更多信息,请参阅 [WorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)。
**注意**
此参数与指定查询运行位置的 `Workgroup` 参数不同。必须同时设置两个参数:
`WorkgroupArn`:指向包含可信身份传播配置标签的工作组
`Workgroup`:指定将在其中执行查询的工作组
虽然这两个参数通常指向同一个工作组,但必须显式设置两个参数以确保正常运行。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| WorkGroupArn | 必需 | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
## JWT 应用程序角色 ARN
JWT 交换时将代入角色的 ARN。此角色用于 JWT 交换、通过工作组标签获取 IAM Identity Center 客户管理的应用程序 ARN,以及获取访问角色 ARN。有关代入角色的信息,请参阅 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| ApplicationRoleArn | 必需 | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
## 角色会话名称
IAM 会话的名称。它可以是任意名称,但通常,人们会填写与使用自身应用程序的用户关联的名称或标识符。这样,您的应用程序使用的临时安全凭证会与该用户相关联。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必需 | none | role\$1session\$1name=familiarname; |
## 客户端密钥
客户端密钥是您的身份提供商颁发的机密密钥,用于对您的应用程序进行身份验证。虽然此参数是可选的,可能并非所有身份验证流程必需,但其使用可提了额外的安全层。如果您的 IDP 配置需要客户端密钥,则必须将此参数与身份提供商管理员提供的值一起包括在内。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| client\$1secret | 可选 | none | client\$1secret=s0m3R@nd0mS3cr3tV@lu3Th@tS3cur3lyPr0t3ct5Th3Cl13nt;\$1 |
## 范围
该范围指定您的应用程序向身份提供商请求的访问级别。要接收包含基本用户身份声明的 ID 令牌,您必须在范围内包含 `openid`。您的范围可能需要包括 `email` 或 `profile` 等其他权限,具体取决于您的身份提供商(例如 *Microsoft Entra ID*)配置为包含在 ID 令牌中的用户声明。这些声明对于正确的*可信身份传播*映射至关重要。如果用户身份映射失败,请验证您的范围是否包含所有必需的权限,并且您的身份提供商已配置为在 ID 令牌中包含所需的声明。这些声明必须与 IAM Identity Center 中的*可信令牌发布者*映射配置相匹配。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| 范围 | 可选 | openid email offline\$1access | Scope=openid email; |
## 会话持续时间
角色会话的持续时间(以秒为单位)。有关更多信息,请参阅 [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| duration | 可选 | 3600 | duration=900; |
## JWT 访问角色 ARN
Athena 代表您进行调用时所代入角色的 ARN。有关代入角色的更多信息,请参阅 *AWS Security Token Service API Reference* 中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AccessRoleArn | 可选 | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
## IAM Identity Center 客户管理的应用程序 ARN
IAM Identity Center 客户管理的 IDC 应用程序 ARN。有关客户管理的应用程序的更多信息,请参阅 [Customer Managed Applications](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | 可选 | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333; |
## 身份提供商端口号
用于 OAuth 2.0 回调服务器的本地端口号。此项用作 redirect\$1uri,您需要在 IDP 应用程序中将其列入允许列表。默认生成的 redirect\$1uri 为:http://localhost:7890/athena
**警告**
在 Windows 终端服务器或远程桌面服务等共享环境中,环回端口(默认值:7890)在同一台计算机上的所有用户之间共享。系统管理员可通过以下方式降低潜在的端口劫持风险:
为不同用户组配置不同的端口号
使用 Windows 安全策略限制端口访问权限
在用户会话之间实现网络隔离
如果无法实现这些安全控制措施,我们建议改用 [JWT 可信身份传播](odbc-v2-driver-jwt-tip.md)插件,该插件不需要环回端口。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| listen\$1port | 可选 | 7890 | listen\$1port=8080; |
## 身份提供者响应超时
等待 OAuth 2.0 回调响应的超时时间(秒)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| IdpResponseTimeout | 可选 | 120 | IdpResponseTimeout=140; |
## 启用文件缓存
JwtTipFileCache 参数决定驱动程序是否在两次连接之间缓存身份验证令牌。将 JwtTipFileCache 设置为 true 可减少身份验证提示并改善用户体验,但应谨慎使用。此设置最适合单用户桌面环境。在 Windows Server 等共享环境中,建议禁用此项,以防止连接字符串相似的用户之间可能共享令牌。
对于使用 PowerBI Server 等工具的企业部署,我们建议使用 [JWT 可信身份传播](odbc-v2-driver-jwt-tip.md)插件,而不是这种身份验证方法。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| JwtTipFileCache | 可选 | 0 | JwtTipFileCache=1; |
# Okta
Okta 是一个基于 SAML 的身份验证插件,可与 Okta 身份提供商配合使用。有关为 Okta 和 Amazon Athena 配置联合身份验证的信息,请参阅 [使用 Okta 插件和 Okta 身份提供商为 ODBC 配置 SSO](odbc-okta-plugin.md)。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=Okta; |
## 用户 ID
您的 Okta 用户名。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UID | 必需 | none | UID=jane.doe@org.com; |
## 密码
您的 Okta 用户密码。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| PWD | 必需 | none | PWD=oktauserpasswordexample; |
## Preferred role
担任角色的 Amazon Resource Name(ARN)。有关 ARN 角色的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| preferred\$1role | 可选 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 会话持续时间
角色会话的持续时间(以秒为单位)。有关更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| duration | 可选 | 900 | duration=900; |
## IdP host
您的 Okta 组织的 URL。您可以从 Okta 应用程序中的**嵌入链接** URL 中提取 `idp_host` 参数。要查看步骤,请参阅[从 Okta 检索 ODBC 配置信息](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)。`https://` 之后的第一个分段一直到 `okta.com`(包括在内)都是您的 IdP 主机(例如 `http://trial-1234567.okta.com`)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| idp\$1host | 必需 | None | idp\$1host=dev-99999999.okta.com; |
## IdP port
用于连接 IdP 主机的端口号。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| idp\$1port | 必需 | None | idp\$1port=443; |
## Okta app ID
适用于您的应用程序的两部分标识符。您可以从 Okta 应用程序中的**嵌入链接** URL 中提取 `app_id` 参数。要查看步骤,请参阅[从 Okta 检索 ODBC 配置信息](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)。应用程序 ID 是 URL 的最后两个分段,包括中间的正斜杠。这两个分段是两个长度为 20 个字符的字符串,其中包含数字和大小写字母(例如 `Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4`)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| app\$1id | 必需 | None | app\$1id=0oa25kx8ze9A3example/alnexamplea0piaWa0g7; |
## Okta 应用程序名称
Okta 应用程序的名称。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| app\$1name | 必需 | None | app\$1name=amazon\$1aws\$1redshift; |
## Okta 等待时间
指定等待多重身份验证(MFA)代码的持续时间(以秒为单位)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| okta\$1mfa\$1wait\$1time | 可选 | 10 | okta\$1mfa\$1wait\$1time=20; |
## Okta MFA 类型
MFA 因素类型。支持的类型包括 Google Authenticator、SMS(Okta)、Okta Verify with Push 和 Okta Verify with TOTP。各个组织的安全策略决定用户登录是否需要 MFA。
****
| **连接字符串名称** | **参数类型** | **默认值** | **可能的值** | **连接字符串示例** |
| --- | --- | --- | --- | --- |
| okta\$1mfa\$1type | Optional | None | googleauthenticator, smsauthentication, oktaverifywithpush, oktaverifywithtotp | okta\$1mfa\$1type=oktaverifywithpush; |
## Okta 电话号码
用于 AWS SMS 身份验证的电话号码。此参数仅是多重注册的必需参数。如果您的手机号码已注册,或者如果安全策略未使用 AWS SMS 身份验证,则可以忽略此字段。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| okta\$1mfa\$1phone\$1number | 对于 MFA 注册为必需项,否则为可选项 | None | okta\$1mfa\$1phone\$1number=19991234567; |
## 启用 Okta 文件缓存
启用临时凭证缓存。此连接参数允许在 BI 应用程序打开的多个进程之间缓存和重复使用临时凭证。使用此选项可以避免 Okta API 的节流限制。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| okta\$1cache | 可选 | 0 | okta\$1cache=1; |
# Ping
Ping 是一个基于 SAML 的插件,可与 [PingFederate](https://www.pingidentity.com/en/platform/capabilities/authentication-authority/pingfederate.html) 身份提供商配合使用。
## 身份验证类型
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=Ping; |
## 用户 ID
PingFederate 服务器的用户名。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UID | 必需 | none | UID=pingusername@domain.com; |
## 密码
PingFederate 服务器的密码。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| PWD | 必需 | none | PWD=pingpassword; |
## Preferred role
担任角色的 Amazon Resource Name(ARN)。如果您的 SAML 断言具有多个角色,则可以指定此参数来选择要担任的角色。此角色应存在于 SAML 断言中。有关 ARN 角色的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| preferred\$1role | 可选 | none | preferred\$1role=arn:aws:iam::123456789012:id/user1; |
## 会话持续时间
角色会话的持续时间(以秒为单位)。有关会话持续时间的更多信息,请参阅 *AWS Security Token Service API 参考*中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| duration | 可选 | 900 | duration=900; |
## IdP host
您的 Ping 服务器的地址。要查找您的地址,请访问以下 URL 并查看 **SSO 应用程序端点**字段。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| idp\$1host | 必需 | none | idp\$1host=ec2-1-83-65-12.compute-1.amazonaws.com; |
## IdP port
用于连接 IdP 主机的端口号。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| idp\$1port | 必需 | None | idp\$1port=443; |
## 合作伙伴 SPID
服务提供商地址。要查找服务提供商地址,请访问以下 URL 并查看 **SSO 应用程序端点**字段。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| partner\$1spid | 必需 | None | partner\$1spid=https://us-east-1.signin.aws.amazon.com/platform/saml/<...>; |
## Ping URI 参数
将身份验证请求的 URI 参数传递给 Ping。使用此参数来绕过 Lake Formation 的单个角色限制。配置 Ping 识别传递的参数,并验证传递的角色是否存在于分配给用户的角色列表中。然后,在 SAML 断言中发送单个角色。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| ping\$1uri\$1param | 可选 | None | ping\$1uri\$1param=role=my\$1iam\$1role; |
# 通用身份验证参数
本节中的参数在所述身份验证类型中通用。
## 对 IdP 使用代理
通过代理在驱动程序和 IdP 之间启用通信。此选项适用于以下身份验证插件:
+ AD FS
+ Azure AD
+ 浏览器 Azure AD
+ 浏览器 SSO OIDC
+ JWT 可信身份传播
+ JWT
+ JWT 可信身份传播
+ 浏览器可信身份传播
+ Okta
+ Ping
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UseProxyForIdP | 可选 | 0 | UseProxyForIdP=1; |
## 使用 Lake Formation
使用 [AssumeDecoratedRoleWithSAML](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) Lake Formation API 操作检索临时 IAM 凭证,而不是 [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) AWS STS API 操作。此选项适用于 Azure AD、浏览器 Azure AD、浏览器 SAML、Okta、Ping 和 AD FS 身份验证插件。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| LakeformationEnabled | 可选 | 0 | LakeformationEnabled=1; |
## SSL 不安全(IdP)
与 IdP 通信时禁用 SSL。此选项适用于 Azure AD、浏览器 Azure AD、Okta、Ping 和 AD FS 身份验证插件。
**重要**
**v2.1.0.0 中的重大更改:**连接到身份提供者时 SSL 证书验证的默认行为已更改。2.1.0.0 之前的版本默认禁用 SSL 验证。从 v2.1.0.0 开始,所有 IdP 连接默认启用 SSL 验证。驱动程序还强制执行 TLS 1.2 作为最低 TLS 版本。如果您使用的本地身份提供者没有有效的 SSL 证书(仅用于测试目的),请在连接字符串中设置 `SSL_Insecure=1`。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| SSL\$1Insecure | 可选 | 0 | SSL\$1Insecure=1; |
# 端点覆盖
## Athena 端点覆盖
`endpointOverride ClientConfiguration` 类使用此值覆盖 Amazon Athena 客户端的默认 HTTP 端点。有关更多信息,请参阅《*适用于 C\$1\$1 的 AWS SDK 开发人员指南*》中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| EndpointOverride | 可选 | none | EndpointOverride=athena.us-west-2.amazonaws.com; |
## Athena 流式处理端点覆盖
`ClientConfiguration.endpointOverride` 方法使用此值覆盖 Amazon Athena 流式处理客户端的默认 HTTP 端点。有关更多信息,请参阅《*适用于 C\$1\$1 的 AWS SDK 开发人员指南*》中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。Athena 流式处理服务通过端口 444 提供。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| StreamingEndpointOverride | 可选 | none | StreamingEndpointOverride=athena.us-west-1.amazonaws.com:444; |
## AWS STS 端点覆盖
`ClientConfiguration.endpointOverride` 方法使用此值覆盖 AWS STS 客户端的默认 HTTP 端点。有关更多信息,请参阅《*适用于 C\$1\$1 的 AWS SDK 开发人员指南*》中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| StsEndpointOverride | 可选 | none | StsEndpointOverride=sts.us-west-1.amazonaws.com; |
## Lake Formation 端点覆盖
`ClientConfiguration.endpointOverride` 方法使用此值覆盖 Lake Formation 客户端的默认 HTTP 端点。有关更多信息,请参阅《*适用于 C\$1\$1 的 AWS SDK 开发人员指南*》中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| LakeFormationEndpointOverride | 可选 | none | LakeFormationEndpointOverride=lakeformation.us-west-1.amazonaws.com; |
## SSO 端点覆盖
`ClientConfiguration.endpointOverride` 方法使用此值覆盖 SSO 客户端的默认 HTTP 端点。有关更多信息,请参阅《*适用于 C\$1\$1 的 AWS SDK 开发人员指南*》中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| SSOEndpointOverride | 可选 | none | SSOEndpointOverride=portal.sso.us-east-2.amazonaws.com; |
## SSO OIDC 端点覆盖
`ClientConfiguration.endpointOverride` 方法使用此值覆盖 SSO OIDC 客户端的默认 HTTP 端点。有关更多信息,请参阅《*适用于 C\$1\$1 的 AWS SDK 开发人员指南*》中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| SSOOIDCEndpointOverride | 可选 | none | SSOOIDCEndpointOverride=oidc.us-east-2.amazonaws.com |
## SSO 管理端点覆盖
`ClientConfiguration.endpointOverride` 方法会使用此值覆盖 SSO 管理客户端的默认 HTTP 端点。有关更多信息,请参阅 [ClientConfiguration](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| SSOAdminEndpointOverride | 可选 | none | SSOAdminEndpointOverride=sso.us-east-2.amazonaws.com |
## S3 端点覆盖
`ClientConfiguration.endpointOverride` 方法会使用此值覆盖 S3 客户端的默认 HTTP 端点。驱动程序在使用 Amazon S3 提取器时用于下载查询结果的端点。如果未指定此参数,驱动程序会使用默认的 Amazon S3 端点。有关更多信息,请参阅 [ClientConfiguration](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| S3EndpointOverride | 可选 | none | S3EndpointOverride=s3.us-east-2.amazonaws.com |
# 高级选项
## 提取大小
要在此请求中返回的最大结果(行)数。有关参数信息,请参阅 [GetQuery MaxResults](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetQueryResults.html#athena-GetQueryResults-request-MaxResults)。对于流式处理 API,最大值为 10000000。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| RowsToFetchPerBlock | 可选 | `1000`(对于非流式处理) `20000`(对于流式处理) | RowsToFetchPerBlock=20000; |
## 结果提取器
默认结果提取器直接从 Amazon S3 下载查询结果,而无需通过 Athena API 操作获取。当它检测到无法直接下载 S3 的情况时,它会自动回退到使用 `GetQueryResultsStream` API 操作。例如,当使用 `CSE_KMS` 选项加密查询结果时,就会发生这种情况。
在大多数情况下,建议使用 `auto` 提取器。但是,如果 IAM 策略或 S3 存储桶策略使用 `s3:CalledVia` 条件将对 S3 对象的访问限制为来自 Athena 的请求,则自动提取器将首先尝试从 S3 下载结果,然后再回退到使用 `GetQueryResultsStream`。在这种情况下,您可能需要将 `ResultFetcher` 设置为 `GetQueryResultsStream`,以避免额外的 API 调用。
**注意**
驱动程序仍可识别“启用流式处理 API”(`UseResultsetStreaming=1;`) 和“启用 S3 提取器”(`EnableS3Fetcher=1;`) 参数。但是,我们鼓励您使用 `ResultFetcher` 参数以获得更好的体验。
****
| **连接字符串名称** | **参数类型** | **默认值** | **可能的值** | **连接字符串示例** |
| --- | --- | --- | --- | --- |
| ResultFetcher | 可选 | auto | auto, S3, GetQueryResults, GetQueryResultsStream | ResultFetcher=auto |
## 启用结果重用
指定运行查询时是否可以重用先前查询结果。有关参数信息,请参阅 ResultReuseByAgeConfiguration。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| EnableResultReuse | 可选 | 0 | EnableResultReuse=1; |
## 结果重用最长使用期限
以分钟为单位指定 Athena 应考虑的先前查询结果的重用最长使用期限。有关参数信息,请参阅 [ResultReuseByAgeConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultReuseByAgeConfiguration.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| ReusedResultMaxAgeInMinutes | 可选 | 60 | ReusedResultMaxAgeInMinutes=90; |
## 使用多个 S3 线程
使用多个线程从 Amazon S3 获取数据。启用此选项后,存储在 Amazon S3 存储桶中的结果文件将使用多个线程并行获取。
仅当网络带宽适合时,才启用此选项。例如,在我们对 EC2 [c5.2xlarge](https://aws.amazon.com/ec2/instance-types/c5/) 实例进行的测量中,单线程 S3 客户端的网络吞吐量达到了 1Gbps,而多线程 S3 客户端达到了 4Gbps。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UseMultipleS3Threads | 可选 | 0 | UseMultipleS3Threads=1; |
## 使用单一目录和架构
默认情况下,ODBC 驱动程序会查询 Athena 以获取可用目录和架构列表。此选项将强制驱动程序使用 ODBC 数据来源管理器配置对话框或连接参数指定的目录和架构。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UseSingleCatalogAndSchema | 可选 | 0 | UseSingleCatalogAndSchema=1; |
## 使用查询来列出表
对于 `LAMBDA` 目录类型,允许 ODBC 驱动程序提交[SHOW TABLES](show-tables.md)查询来获取可用表的列表。此设置是默认设置。如果此参数设置为 0,则 ODBC 驱动程序将使用 Athena [ListTableMetadata](https://docs.aws.amazon.com/athena/latest/APIReference/API_ListTableMetadata.html) API 来获取可用表的列表。请注意,对于 `LAMBDA` 目录类型,使用 `ListTableMetadata` 会导致性能下降。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UseQueryToListTables | 可选 | 1 | UseQueryToListTables=1; |
## 使用 WCHAR 作为字符串类型
默认情况下,ODBC 驱动程序在 Athena 中使用 `SQL_CHAR` 和 `SQL_VARCHAR` 字符串数据类型 `char`、`varchar`、`string`、`array`、`map<>`、`struct<>` 和 `row`。将此参数设置为 `1`,会强制驱动程序将 `SQL_WCHAR` 和 `SQL_WVARCHAR` 作为字符串数据类型。使用宽字符和宽可变字符类型,可确保正确存储和检索不同语言的字符。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UseWCharForStringTypes | 可选 | 0 | UseWCharForStringTypes=1; |
## 查询外部目录
指定驱动程序是否需要从 Athena 查询外部目录。有关更多信息,请参阅 [迁移到 ODBC 2.x 驱动程序](odbc-v2-driver-migrating.md)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| QueryExternalCatalogs | 可选 | 0 | QueryExternalCatalogs=1; |
## 验证 SSL
控制在使用 AWS SDK 时是否验证 SSL 证书。此值将传递给 `ClientConfiguration.verifySSL` 参数。有关更多信息,请参阅《适用于 C\$1\$1 的 AWS SDK 开发人员指南》**中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| VerifySSL | 可选 | 1 | VerifySSL=0; |
## S3 结果块大小
以字节为单位指定要为单一 Amazon S3 [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) API 请求下载的数据块大小。默认值为 67108864(64MB)。允许的最小值和最大值分别为 10485760(10MB)和 2146435072(约 2GB)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| S3ResultBlockSize | 可选 | 67108864 | S3ResultBlockSize=268435456; |
## 字符串列长度
为具有 `string` 数据类型的列指定列长度。由于 Athena 使用 [Apache Hive 字符串数据类型](https://cwiki.apache.org/confluence/display/Hive/LanguageManual+Types#LanguageManualTypes-StringsstringStrings),但该数据类型并未定义精度,所以 Athena 报告的默认长度为 2147483647 (`INT_MAX`)。商业智能工具通常会为列预先分配内存,这可能会导致内存消耗较高。为避免这种情况,Athena ODBC 驱动程序会限制 `string` 数据类型列的报告精度,也会公开 `StringColumnLength` 连接参数,以便可以更改默认值。
****
| 连接字符串名称 | 参数类型 | 默认 值 | 连接字符串示例 |
| --- | --- | --- | --- |
| StringColumnLength | 可选 | 255 | StringColumnLength=65535; |
## 复杂类型列长度
为具有复杂数据类型(如 `map`、`struct` 和 `array`)的列指定列长度。与 [StringColumnLength](#odbc-v2-driver-advanced-options-string-column-length) 一样,对于具有复杂数据类型的列,Athena 报告的精度为 0。Athena ODBC 驱动程序会为具有复杂数据类型的列设置默认精度,也会公开 `ComplexTypeColumnLength` 连接参数,以便可以更改默认值。
****
| 连接字符串名称 | 参数类型 | 默认 值 | 连接字符串示例 |
| --- | --- | --- | --- |
| ComplexTypeColumnLength | 可选 | 65535 | ComplexTypeColumnLength=123456; |
## 可信 CA 证书
指示 HTTP 客户端查找 SSL 证书信任存储的位置。此值将传递给 `ClientConfiguration.caFile` 参数。有关更多信息,请参阅《适用于 C\$1\$1 的 AWS SDK 开发人员指南》**中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| TrustedCerts | 可选 | %INSTALL\$1PATH%/bin | TrustedCerts=C:\$1\$1Program Files\$1\$1Amazon Athena ODBC Driver\$1\$1bin\$1\$1cacert.pem; |
## 最小轮询期
指定在 Athena 中轮询查询执行状态之前要等待的最小时间值(以毫秒为单位)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| MinQueryExecutionPollingInterval | 可选 | 100 | MinQueryExecutionPollingInterval=200; |
## 最大轮询期
指定在 Athena 中轮询查询执行状态之前要等待的最大时间值(以毫秒为单位)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| MaxQueryExecutionPollingInterval | 可选 | 60000 | MaxQueryExecutionPollingInterval=1000; |
## 轮询乘数
指定增加轮询期的系数。默认情况下,轮询以最小轮询期值开始,每次轮询时都翻倍,直到达到最大轮询期值。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| QueryExecutionPollingIntervalMultiplier | 可选 | 2 | QueryExecutionPollingIntervalMultiplier=2; |
## 最长轮询持续时间
指定驱动程序可以在 Athena 中轮询查询执行状态的最大时间值(以毫秒为单位)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| MaxPollDuration | 可选 | 1800000 | MaxPollDuration=1800000; |
## 连接超时
HTTP 连接等待建立连接的时间长度(以毫秒为单位)。此值是为 `ClientConfiguration.connectTimeoutMs` Athena 客户端设置的。如果未指定,则使用 curl 的默认值。有关连接参数的信息,请参阅《适用于 Java 的 AWS SDK 开发人员指南》**中的[客户端配置](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/section-client-configuration.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| ConnectionTimeout | 可选 | 0 | ConnectionTimeout=2000; |
## 请求超时
指定 HTTP 客户端的套接字读取超时。此值是为 Athena 客户端的 `ClientConfiguration.requestTimeoutMs` 参数设置的。有关更多信息,请参阅《适用于 Java 的 AWS SDK 开发人员指南》**中的[客户端配置](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/section-client-configuration.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| RequestTimeout | 可选 | 10000 | RequestTimeout=30000; |
# 代理选项
## 代理主机
如果您要求用户经过代理,使用此参数来设置代理主机。此参数对应于 AWS SDK 中的 `ClientConfiguration.proxyHost` 参数。有关更多信息,请参阅《*适用于 C\$1\$1 的 AWS SDK 开发人员指南*》中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| ProxyHost | 可选 | none | ProxyHost=127.0.0.1; |
## 代理端口
使用此参数设置代理端口。此参数对应于 AWS SDK 中的 `ClientConfiguration.proxyPort` 参数。有关更多信息,请参阅《*适用于 C\$1\$1 的 AWS SDK 开发人员指南*》中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| ProxyPort | 可选 | none | ProxyPort=8888; |
## 代理用户名
使用此参数设置代理用户名。此参数对应于 AWS SDK 中的 `ClientConfiguration.proxyUserName` 参数。有关更多信息,请参阅《*适用于 C\$1\$1 的 AWS SDK 开发人员指南*》中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| ProxyUID | 可选 | none | ProxyUID=username; |
## 代理密码
使用此参数设置代理密码。此参数对应于 AWS SDK 中的 `ClientConfiguration.proxyPassword` 参数。有关更多信息,请参阅《*适用于 C\$1\$1 的 AWS SDK 开发人员指南*》中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| ProxyPWD | 可选 | none | ProxyPWD=password; |
## 非代理主机
使用此可选参数指定驱动程序在不使用代理的情况下连接到的主机。此参数对应于 AWS SDK 中的 `ClientConfiguration.nonProxyHosts` 参数。有关更多信息,请参阅《*适用于 C\$1\$1 的 AWS SDK 开发人员指南*》中的 [AWS 客户端配置](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
`NonProxyHost` 连接参数传递给 `CURLOPT_NOPROXY` curl 选项。有关 `CURLOPT_NOPROXY` 格式的信息,请参阅 curl 文档中的 [CURLOPT\$1NOPROXY](https://curl.se/libcurl/c/CURLOPT_NOPROXY.html)。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| NonProxyHost | 可选 | none | NonProxyHost=.amazonaws.com,localhost,.example.net,.example.com; |
## 使用代理
启用通过指定代理的用户流量。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UseProxy | 可选 | none | UseProxy=1; |
# 日志记录选项
**警告**
**安全:**当启用详细级别(DEBUG 或 TRACE)的日志记录时,驱动程序使用的 AWS SDK 可能会以明文形式记录敏感信息,例如身份验证令牌和凭证。仅在进行故障排除时才使用详细日志记录,并确保日志文件安全存储并在使用后删除。不要在生产环境中启用详细日志记录。
要修改在此描述的设置,需要管理员权限。要进行更改,可使用 ODBC 数据来源管理器**日志记录选项**对话框或直接修改 Windows 注册表。
## 日志级别
此选项可启用具有不同详细信息级别的 ODBC 驱动程序日志。在 Windows 中,您可以使用注册表或对话框来配置日志记录。该选项位于以下注册表路径中:
```
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Amazon Athena\ODBC\Driver
```
可用日志级别如下:
+ `OFF`:禁用日志记录
+ `ERROR`:仅记录错误消息
+ `WARN`:记录警告消息和错误
+ `INFO`:记录信息性消息、警告和错误
+ `DEBUG`:记录详细的调试信息以及所有较低级别的消息
+ `TRACE`:最详细的日志记录级别,包括所有消息
**注意**
每个日志级别都包含来自其以下级别的所有消息。较高的日志级别可能会影响性能并生成较大的日志文件。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| LogLevel | 可选 | OFF | LogLevel=INFO; |
## 日志路径
指定存储 ODBC 驱动程序日志的文件的路径。您可以使用注册表或对话框来设置此值。该选项位于以下注册表路径中:
```
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Amazon Athena\ODBC\Driver
```
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| LogPath | 可选 | none | LogPath=C:\$1Users\$1username\$1projects\$1internal\$1trunk\$1; |
## 使用 AWS 记录器
指定是否启用 AWS SDK 日志记录。要启用,指定 1;要禁用,指定 0。
****
| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** |
| --- | --- | --- | --- |
| UseAwsLogger | 可选 | 0 | UseAwsLogger=1; |