Amazon Athena ODBC 2.x 发布说明

• 默认启用 SSL 证书验证：现在，驱动程序在连接到身份提供者时会强制执行 SSL 证书验证。如果您使用的本地身份提供者没有有效的 SSL 证书，则必须在连接字符串中显式设置 SSL_Insecure=1。有关更多信息，请参阅 SSL 不安全（IdP）。

• 强制执行 TLS 1.2 或更高版本：驱动程序不再接受与身份提供者的 TLS 1.0 或 TLS 1.1 连接。所有 IdP 连接现在都需要 TLS 1.2 或更高版本。

• BrowserSSOOIDC 身份验证流程已更新：BrowserSSOOIDC 插件现在使用 PKCE 授权码，而非设备代码授权。有一个新的可选参数 listen_port（默认值为 7890）可用于 OAuth 2.0 回调服务器。您可能需要将此端口添加到您的网络允许列表中。默认范围已更改为 sso:account:access。有关更多信息，请参阅 浏览器 SSO OIDC。

• BrowserSSOOIDC：从设备代码流程迁移到 PKCE 授权码以提高安全性。

• BrowserAzureAD：在 OAuth 2.0 授权流程中添加了 PKCE（代码交换的证明密钥），以防止授权码截取攻击。

• BrowserSAML：添加了 RelayState CSRF 保护以防止 SAML 令牌注入攻击。

• 凭证缓存：从 v2.1.0.0 开始，缓存的凭证以纯文本 JSON 格式存储在 user-profile/.athena-odbc/ 目录中，文件权限仅限于拥有用户，这与 AWS CLI 保护本地存储凭证的方式一致。

• IAM 配置文件：除了现有 Ec2InstanceMetadata 之外，还增加了对 EcsContainer 和 Environment 凭证源的支持。

• 连接字符串解析器：实现了正确的 ODBC }} 转义处理。

• 目录查询：为架构名称和表模式添加了 SQL 标识符转义。

• ODBC 模式匹配：将基于正则表达式的匹配替换为直接 ODBC LIKE 通配符匹配器。

• XML 解析：为 SAML 令牌添加了递归深度限制（100 个级别）和大小限制（1MB）。

• ADFS 身份验证：为 ADFS 服务器响应添加了响应大小限制（200KB）。

• 修复了身份验证组件中特殊元素的不当中和问题，该问题可能导致通过精心设计的连接参数执行代码或重定向身份验证流程。影响 BrowserSSOOIDC、BrowserAzureAD 和 BrowserSAML 插件。

• 修复了查询处理组件中特殊元素的不当中和问题，该问题可能导致通过精心设计的表元数据进行拒绝服务攻击或 SQL 注入。

• 修复了连接到身份提供者时证书验证不正确的问题。

• 修复了基于浏览器的身份验证流程中缺失的身份验证安全控件，包括 OAuth 的 PKCE、SAML 的 CSRF 保护、安全凭证缓存和独占回调端口绑定。

• 修复了解析组件中不受控制的资源消耗问题，该问题可能导致通过精心设计的输入模式、无限制的服务器响应或深度嵌套的 XML 有效载荷来进行拒绝服务攻击。

• 修复了在 Power BI 导入模式下对跨账户联合目录使用 UseSingleCatalogAndSchema=1 时 SQLColumns 和 SQLTables 未返回任何结果的问题。

• 浏览器可信身份传播身份验证插件：添加了新的身份验证插件，以支持基于浏览器的 OpenID Connect（OIDC）身份验证及可信身份传播。该插件通过默认浏览器处理完整的 OAuth 2.0 流程，自动提取 JSON Web 令牌（JWT），并与可信身份传播集成，从而提供无缝的身份验证体验。该插件专为单用户桌面环境而设计。有关启用和使用可信身份传播的信息，请参阅 What is trusted identity propagation?。

• 增强的日志记录框架：通过以下方式显著改进了驱动程序的日志记录机制：

  • 除基本的 0/1 选项外，引入了更精细的日志级别

  • 删除冗余日志语句

  • 优化日志记录框架以包含与诊断相关的信息

  • 解决导致运营延误的性能问题

  • 启用日志记录时减少过多的日志文件生成

• 结果提取器优化：修复了将提取大小参数限制错误地应用于流式和非流式结果提取器的问题。现在，该限制仅正确应用于非流式结果提取器。

Amazon Athena ODBC 版本 2.0.5.1 驱动程序包含以下针对基于浏览器的身份验证插件的修复。

• 实现了登录 URL 和架构检查验证。

• 改进了 Linux 上的浏览器启动机制以利用系统 API，从而提高了稳定性和安全性。

• JWT 可信身份提供者（TIP）身份验证插件：添加了新的身份验证插件，以支持 JWT 可信身份提供者（TIP）与 ODBC 驱动程序集成。通过此身份验证类型，您可以使用从外部身份提供者处获得的 JSON Web 令牌（JWT）作为连接参数，在 Athena 进行身份验证。使用 TIP，可以向 IAM 角色添加身份上下文，以识别请求访问 AWS 资源的用户身份。有关启用和使用 TIP 的信息，请参阅 What is Trusted Identity Propagation?。

• 自定义 SSO 管理端点支持：增加了对 ODBC 驱动程序中自定义 SSO 管理端点的支持。在 VPC 后面运行 ODBC 时，此增强功能可以为 SSO 服务指定自有端点。

• AWSSDK 版本更新：我们已将驱动程序中使用的 AWS SDK 版本更新到 2.32.16，并更新了 2.0.5.0 版本的项目依赖关系。

• 结果提取器 – 此驱动程序现在会自动选择方法来下载查询结果。这样在大多数情况下就无需手动配置提取器。有关更多信息，请参阅 结果提取器。

• Curl 库已更新至 8.12.1。

• 修复了在连接到 STS 时 IAM 配置文件的代理配置。该修复允许使用 IAM 配置文件进行成功身份验证。

• 读取带有身份验证插件的 IAM 配置文件的所有其他配置选项。这包括 UseProxyForIdP、SSL_Insecure、LakeformationEnabled 和 LoginToRP 以解决受影响插件的错误配置。

• 通过允许接受可选的第二个参数来修复了 round 函数。它成功处理包含转义语法的查询。

• 修复了 TIME WITH TIME ZONE 和 TIMESTAMP WITH TIME ZONE 数据类型的列大小。具有时间戳和时区数据类型的值不会被截断。

• Linux 和 Mac 平台上添加了对 Okta 身份验证插件的 MFA 支持。

• 适用于 Windows 的 athena-odbc.dll 库和 AmazonAthenaODBC-2.x.x.x.msi 安装程序现在均已签名。

• 更新了随驱动程序一起安装的 CA 证书 cacert.pem 文件。

• 缩短了列出 Lambda 目录下的表所需的时间。对于 LAMBDA 目录类型，ODBC 驱动程序现在可以提交 SHOW TABLES 查询来获取可用表的列表。有关更多信息，请参阅 使用查询来列出表。

• 引入了 UseWCharForStringTypes 连接参数，以便使用 SQL_WCHAR 和 SQL_WVARCHAR 来报告字符串数据类型。有关更多信息，请参阅 使用 WCHAR 作为字符串类型。

• 修复了使用 Get-OdbcDsn PowerShell 工具时出现的注册表损坏警告。

• 更新了解析逻辑，以便处理查询字符串开头的注释。

• 日期和时间戳数据类型现在允许年份字段为零。

• 添加了两个连接参数 StringColumnLength 和 ComplexTypeColumnLength，可用于更改字符串和复杂数据类型的默认列长度。有关更多信息，请参阅字符串列长度和复杂类型列长度。

• 添加了对 Linux 和 macOS（英特尔和 ARM）操作系统的支持。有关更多信息，请参阅Linux和macOS。

• AWS-SDK-CPP 已更新到 1.11.245 标签版本。

• curl 库已更新到 8.6.0 版本。

• 解决了导致在精度列中类似字符串数据类型的结果集元数据中报告错误值的问题。

• 改进了所有接口的 ODBC 驱动程序线程安全性。

• 启用日志记录后，现在会以毫秒精度记录日期时间值。

• 在使用 浏览器 SSO OIDC 插件进行身份验证期间，终端现在会打开，向用户显示设备代码。

• 解决了在解析流式传输 API 的结果时出现的内存释放问题。

• 针对接口 SQLTablePrivileges()、SQLSpecialColumns() SQLProcedureColumns() 和 SQLProcedures() 的请求现在会返回空结果集。

• 为浏览器 Azure AD、浏览器 SSO OIDC 和 Okta 基于浏览器的身份验证插件添加了文件缓存功能。

  像 Power BI 这样的 BI 工具和基于浏览器的插件会使用多个浏览器窗口。新的文件缓存连接参数允许在 BI 应用程序打开的多个进程之间缓存和重复使用临时凭证。

• 现在，应用程序可以在准备好语句后查询有关结果集的信息。

• 增加了默认连接和请求超时，以便在速度较慢的客户端网络中使用。有关更多信息，请参阅连接超时和请求超时。

• 为 SSO 和 SSO OIDC 添加了端点覆盖。有关更多信息，请参阅 端点覆盖。

• 添加了一个连接参数，可将身份验证请求的 URI 参数传递给 Ping。您可以使用此参数来绕过 Lake Formation 的单个角色限制。有关更多信息，请参阅 Ping URI 参数。

• 修复了使用基于行的绑定机制时出现的整数溢出问题。

• 从浏览器 SSO OIDC 身份验证插件所需的连接参数列表中删除了超时。

• 为 SQLStatistics()、SQLPrimaryKeys()、SQLForeignKeys() 和 SQLColumnPrivileges() 添加了缺少的接口，并添加了根据请求返回空结果集的功能。

• 在 Okta 身份验证插件中添加了 URI 日志记录。

• 向外部凭证提供程序插件添加了首选角色参数。

• 在 AWS 配置文件的配置文件名称中添加了对配置文件前缀的处理。

• 更正了 Lake Formation 和 AWS STS 客户端一起使用时出现的 AWS 区域 使用问题。

• 已将缺少的分区键还原到表列列表中。

• 在 AWS 配置文件中添加了缺少的 BrowserSSOOIDC 身份验证类型。