本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Athena ODBC 2.x 連線參數
**Amazon Athena ODBC 組態**對話訪客選項包括**身分驗證選項**、**進階選項**、**記錄選項**、**端點覆寫**和**代理選項**。如需有關各項內容的詳細資訊,請造訪相應的連結。
+ [主要 ODBC 2.x 連線參數](odbc-v2-driver-main-connection-parameters.md)
+ [身分驗證選項](odbc-v2-driver-authentication-options.md)
+ [進階選項](odbc-v2-driver-advanced-options.md)
+ [記錄選項](odbc-v2-driver-logging-options.md)
+ [端點覆寫](odbc-v2-driver-endpoint-overrides.md)
+ [代理選項](odbc-v2-driver-proxy-options.md)
# 主要 ODBC 2.x 連線參數
下列各節會描述每個主要連線參數。
## 資料來源名稱
指定資料來源的名稱。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| DSN | 無 DSN 連線類型的選用項目 | none | DSN=AmazonAthenaOdbcUsWest1; |
## Description
包含資料來源的描述。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| Description | 選用 | none | Description=Connection to Amazon Athena us-west-1; |
## 目錄
指定資料目錄名稱。如需有關目錄的詳細資訊,請參閱《Amazon Athena API 參考》中的 [DataCatalog](https://docs.aws.amazon.com/athena/latest/APIReference/API_DataCatalog.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 目錄 | 選用 | AwsDataCatalog | Catalog=AwsDataCatalog; |
## 區域
指定 AWS 區域。如需 的詳細資訊 AWS 區域,請參閱 [區域和可用區域](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AwsRegion | 強制性 | none | AwsRegion=us-west-1; |
## 資料庫
指定資料庫名稱。如需有關資料庫的詳細資訊,請參閱《Amazon Athena API 參考》**中的[資料庫](https://docs.aws.amazon.com/athena/latest/APIReference/API_Database.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 結構描述 | 選用 | default | Schema=default; |
## 工作群組
指定工作群組名稱。如需有關工作群組的詳細資訊,請參閱《Amazon Athena API 參考》**中的 [WorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 工作群組 | 選用 | primary | Workgroup=primary; |
## 輸出位置
指定 Amazon S3 中儲存查詢結果的位置。如需有關輸出位置的詳細資訊,請參閱《Amazon Athena API 參考》**中的 [ResultConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultConfiguration.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| S3OutputLocation | 強制性 | none | S3OutputLocation=s3://amzn-s3-demo-bucket/; |
## 加密選項
**對話方塊參數名稱**:加密選項
指定加密選項。如需有關加密選項的詳細資訊,請參閱《Amazon Athena API 參考》**中的 [EncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **可能的值** | **連線字串範例** |
| --- | --- | --- | --- | --- |
| S3OutputEncOption | 選用 | none | NOT\$1SET, SSE\$1S3, SSE\$1KMS, CSE\$1KMS | S3OutputEncOption=SSE\$1S3; |
## KMS 金鑰
指定要加密的 KMS 金鑰。如需有關 KMS 金鑰的加密組態的詳細資訊,請參閱《Amazon Athena API 參考》**中的加密 [EncryptionConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_EncryptionConfiguration.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| S3OutputEncKMSKey | 選用 | none | S3OutputEncKMSKey=your\$1key; |
## 連線測試
ODBC 資料來源管理員提供**測試**選項,您可以用來測試 ODBC 2.x 與 Amazon Athena 的連線。如需這些步驟,請參閱 [在 Windows 上設定資料來源名稱](odbc-v2-driver-getting-started-windows.md#odbc-v2-driver-configuring-dsn-on-windows)。當您測試連線時,ODBC 驅動程式會呼叫 [GetWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetWorkGroup.html) Athena API 動作。呼叫會使用您指定的身分驗證類型和對應的憑證提供者來擷取憑證。使用 ODBC 2.x 驅動程式時,可免費使用連線測試。測試不會在您的 Amazon S3 儲存貯體中產生查詢結果。
# 身分驗證選項
您可以使用下列身分驗證類型連線至 Amazon Athena。對於所有類型,連線字串名稱為 `AuthenticationType`,參數類型為 `Required`,預設值為 `IAM Credentials`。如需有關每種身分驗證類型的參數的資訊,請造訪對應的連結。如需常用身分驗證參數,請參閱 [常用身分驗證參數](odbc-v2-driver-common-authentication-parameters.md)。
****
| 身分驗證類型 | 連線字串範例 |
| --- | --- |
| [IAM 憑證](odbc-v2-driver-iam-credentials.md) | AuthenticationType=IAM Credentials; |
| [IAM 設定檔](odbc-v2-driver-iam-profile.md) | AuthenticationType=IAM Profile; |
| [AD FS](odbc-v2-driver-ad-fs.md) | AuthenticationType=ADFS; |
| [Azure AD](odbc-v2-driver-azure-ad.md) | AuthenticationType=AzureAD; |
| [瀏覽器 Azure AD](odbc-v2-driver-browser-azure-ad.md) | AuthenticationType=BrowserAzureAD; |
| [瀏覽器 SAML](odbc-v2-driver-browser-saml.md) | AuthenticationType=BrowserSAML; |
| [瀏覽器 SSO OIDC](odbc-v2-driver-browser-sso-oidc.md) | AuthenticationType=BrowserSSOOIDC; |
| [預設憑證](odbc-v2-driver-default-credentials.md) | AuthenticationType=Default Credentials; |
| [外部憑證](odbc-v2-driver-external-credentials.md) | AuthenticationType=External Credentials; |
| [執行個體設定檔](odbc-v2-driver-instance-profile.md) | AuthenticationType=Instance Profile; |
| [JWT](odbc-v2-driver-jwt.md) | AuthenticationType=JWT; |
| [JWT 可信身分傳播憑證提供者](odbc-v2-driver-jwt-tip.md) | AuthenticationType=JWT\$1TIP; |
| [瀏覽器信任的身分傳播憑證](odbc-v2-driver-browser-oidc-tip.md) | AuthenticationType=BrowserOidcTip; |
| [Okta](odbc-v2-driver-okta.md) | AuthenticationType=Okta; |
| [Ping](odbc-v2-driver-ping.md) | AuthenticationType=Ping; |
# IAM 憑證
您可以使用 IAM 憑證,以使用本節所述的連線字串參數,透過 ODBC 驅動程式連線至 Amazon Athena。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=IAM Credentials; |
## 使用者 ID
您的 AWS 存取金鑰 ID。如需有關存取金鑰的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UID | 必要 | none | UID=AKIAIOSFODNN7EXAMPLE; |
## 密碼
您的 AWS 私密金鑰 ID。如需有關存取金鑰的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| PWD | 必要 | none | PWD=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKE; |
## 工作階段字符
如果您使用臨時 AWS 登入資料,則必須指定工作階段字符。如需有關暫時憑證的資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的暫時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| SessionToken | 選用 | none | SessionToken=AQoDYXdzEJr...; |
# IAM 設定檔
您可以將具名設定檔設定為使用 ODBC 驅動程式連線到 Amazon Athena。您可以使用具名設定檔搭配下列其中一個登入資料來源:
+ `Ec2InstanceMetadata` – 從 Amazon EC2 執行個體中繼資料服務 (IMDS) 擷取憑證。在 Amazon EC2 執行個體上執行時使用此值。
+ `EcsContainer` – 從 Amazon ECS 任務角色端點擷取登入資料。在 Amazon ECS 容器中執行時使用此值。
+ `Environment` – 從環境變數 (`AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY`、) 擷取登入資料`AWS_SESSION_TOKEN`。
將 AWS 設定檔組態中的 `credential_source` 參數設定為適合您環境的值。如果您要在具名設定檔中使用自訂憑證提供者,請在設定檔組態中指定 `plugin_name` 參數的值。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=IAM Profile; |
## AWS 設定檔
用於 ODBC 連線的設定檔名稱。如需有關描述檔的詳細資訊,請參閱《 *AWS Command Line Interface 使用者指南》*中的[使用具名描述檔](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AWS設定檔 | 必要 | none | AWSProfile=default; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。當設定檔組態中的 `plugin_name` 參數指定自訂憑證提供者時,將使用偏好角色參數。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。當設定檔組態中的 `plugin_name` 參數指定自訂憑證提供者時,將使用工作階段持續時間參數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## 外掛程式名稱
指定在具名設定檔中使用的自訂憑證提供者名稱。此參數可以採用與「ODBC 資料來源管理員」的「**驗證類型**」欄位中的值相同,但僅供 `AWSProfile` 組態使用。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| plugin\$1name | 選用 | none | plugin\$1name=AzureAD; |
# AD FS
AD FS 是 SAML 型身分驗證外掛程式,可與 Active Directory Federation Service (AD FS) 身分提供者搭配使用。該外掛程式支援[整合式 Windows 身分驗證](https://learn.microsoft.com/en-us/aspnet/web-api/overview/security/integrated-windows-authentication)和表單型身分驗證。如果您使用整合式 Windows 身分驗證,則可以省略使用者名稱和密碼。如需有關設定 AD FS 和 Athena 的資訊,請參閱 [使用 ODBC 用戶端為 Microsoft AD FS 使用者設定對 Amazon Athena 的聯合存取權](odbc-adfs-saml.md)。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=ADFS; |
## 使用者 ID
連線至 AD FS 伺服器的使用者名稱。對於整合式 Windows 身分驗證,您可以省略使用者名稱。如果您的 AD FS 設定需要使用者名稱,您必須在連線參數中予以提供。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UID | 對 Windows 整合式身分驗證為選用 | none | UID=domain\$1username; |
## 密碼
連線至 AD FS 伺服器的密碼。如同使用者名稱欄位,如果您使用整合式 Windows 身分驗證,您可以省略使用者名稱。如果您的 AD FS 設定需要密碼,您必須在連線參數中予以提供。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| PWD | 對 Windows 整合式身分驗證為選用 | none | PWD=password\$13EXAMPLE; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如果您的 SAML 聲明具有多個角色,您可以指定此參數來選擇要擔任的角色。此角色應出現在 SAML 聲明中。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## IdP 主機
AD FS 服務主機的名稱。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1host | 必要 | none | idp\$1host=.; |
## IdP 連接埠
用於連線至 AD FS 主機的連接埠。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1port | 必要 | none | idp\$1port=443; |
## LoginToRP
可信依賴方。使用此參數來覆寫 AD FS 依賴方端點 URL。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| LoginToRP | 選用 | urn:amazon:webservices | LoginToRP=trustedparty; |
# Azure AD
Azure AD 是 SAML 型身分驗證外掛程式,可與 Azure AD 身分提供者搭配使用。本外掛程式不支援多重要素驗證 (MFA)。如果您需要 MFA 支援,請考慮改用 `BrowserAzureAD` 外掛程式。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=AzureAD; |
## 使用者 ID
連線至 Azure AD 的使用者名稱。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UID | 必要 | none | UID=jane.doe@example.com; |
## 密碼
連線至 Azure AD 的密碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| PWD | 必要 | none | PWD=password\$13EXAMPLE; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如需有關 ARN 角色的資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:iam::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## 租用戶 ID
指定您的應用程式租用戶 ID。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1tenant | 必要 | none | idp\$1tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
## 用戶端 ID
指定您的應用程式用戶端 ID。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| client\$1id | 必要 | none | client\$1id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
## Client secret (用戶端密碼)
指定您的用戶端密碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| client\$1secret | 必要 | none | client\$1secret=zG12q\$1.xzG1xxxZ1wX1.\$1ZzXXX1XxkHZizeT1zzZ; |
# 瀏覽器 Azure AD
瀏覽器 Azure AD 是 SAML 型身分驗證外掛程式,可與 Azure AD 身分提供者搭配使用並支援多重因素認證。與標準 Azure AD 外掛程式不同,此外掛程式不需要連線參數中的使用者名稱、密碼或用戶端密碼。
**注意**
**v2.1.0.0 安全更新:**從 v2.1.0.0 開始,BrowserAzureAD 外掛程式在 OAuth 2.0 授權流程中包含 PKCE (程式碼交換的驗證金鑰)。這可防止授權碼攔截對共用系統的攻擊。不需要變更組態。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=BrowserAzureAD; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如果您的 SAML 聲明具有多個角色,您可以指定此參數來選擇要擔任的角色。指定的角色應出現在 SAML 聲明中。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## 租用戶 ID
指定您的應用程式租用戶 ID。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1tenant | 必要 | none | idp\$1tenant=123zz112z-z12d-1z1f-11zz-f111aa111234; |
## 用戶端 ID
指定您的應用程式用戶端 ID。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| client\$1id | 必要 | none | client\$1id=9178ac27-a1bc-1a2b-1a2b-a123abcd1234; |
## Timeout (逾時)
外掛程式停止等待來自 Azure AD 之 SAML 回應之前的持續時間 (以秒為單位)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| timeout | 選用 | 120 | timeout=90; |
## 啟用 Azure 檔案快取
啟用臨時憑證快取。此連線參數可讓您在多個程序之間快取,及重複使用臨時憑證。使用此選項可減少當您使用 BI 工具 (如 Microsoft Power BI) 時,開啟瀏覽器視窗的數目。
**注意**
從 v2.1.0.0 開始,快取的憑證會以純文字 JSON 形式存放在 `user-profile/.athena-odbc/`目錄中,檔案許可僅限於擁有的使用者,與 AWS CLI 保護本機儲存憑證的方式一致。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| browser\$1azure\$1cache | 選用 | 1 | browser\$1azure\$1cache=0; |
# 瀏覽器 SAML
瀏覽器 SAML 是一般身分驗證外掛程式,可與 SAML 型身分提供者搭配使用並支援多重因素認證。如需詳細的組態資訊,請參閱 [使用 ODBC、SAML 2.0 和 Okta 身分提供者設定單一登入](okta-saml-sso.md)。
**注意**
**v2.1.0.0 安全性更新:**從 v2.1.0.0 開始,BrowserSAML 外掛程式會透過 RelayState 驗證包含 CSRF 保護。驅動程式會產生隨機狀態字符,將其做為 RelayState 參數包含在登入 URL 中,並在接受 SAML 聲明之前針對收到的回應進行驗證。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=BrowserSAML; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如果您的 SAML 聲明具有多個角色,您可以指定此參數來選擇要擔任的角色。此角色應出現在 SAML 聲明中。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## 登入 URL
為您的應用程式顯示的單一登入 URL。
**重要**
從 v2.1.0.0 開始,登入 URL 必須使用具有有效授權的 HTTP 或 HTTPS 通訊協定。驅動程式會在啟動身分驗證流程之前驗證 URL 格式。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| login\$1url | 必要 | none | login\$1url=https://trial-1234567.okta.com/app/trial-1234567\$1oktabrowsersaml\$11/zzz4izzzAzDFBzZz1234/sso/saml; |
## 接聽連接埠
用來接聽 SAML 回應的連接埠號碼。此值應與您設定 IdP 時使用的 IAM Identity Center URL 相符 (例如,`http://localhost:7890/athena`)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| listen\$1port | 選用 | 7890 | listen\$1port=7890; |
## Timeout (逾時)
外掛程式停止等待來自身分提供者的 SAML 回應之前的持續時間 (以秒為單位)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| timeout | 選用 | 120 | timeout=90; |
# 瀏覽器 SSO OIDC
瀏覽器 SSO OIDC 是可與 搭配使用的身分驗證外掛程式 AWS IAM Identity Center。如需有關啟用和使用 IAM Identity Center 的資訊,請參閱《*AWS IAM Identity Center 使用者指南*》中的[步驟 1:啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)
**注意**
**v2.1.0.0 安全更新:**從 2.1.0.0 版開始,BrowserSSOOIDC 外掛程式使用授權碼搭配 PKCE 而非裝置碼授權,以提高安全性。此變更會消除裝置程式碼顯示步驟,並提供更快速的身分驗證。OAuth 2.0 回呼伺服器會使用新`listen_port`參數 (預設 7890)。您可能需要允許列出您網路上的此連接埠。預設範圍已變更為 `sso:account:access`。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=BrowserSSOOIDC; |
## IAM Identity Center 啟動 URL
AWS 存取入口網站的 URL。IAM Identity Center [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API 動作會將此值用於 `issuerUrl` 參數。
**複製 AWS 存取入口網站 URL**
1. 登入 AWS 管理主控台 並在 https://[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/) 開啟 AWS IAM Identity Center 主控台。
1. 在導覽窗格中,選擇**設定**。
1. 在**設定**頁面的**身分來源**下,選擇 **AWS 存取入口網站 URL** 的剪貼簿圖示。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1start\$1url | 必要 | none | sso\$1oidc\$1start\$1url=https://app\$1id.awsapps.com/start; |
## IAM Identity Center 區域
設定 SSO AWS 區域 的 。`SSOOIDCClient` 和 `SSOClient` AWS SDK 用戶端會針對 `region` 參數使用此值。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1region | 必要 | none | sso\$1oidc\$1region=us-east-1; |
## 範圍
用戶端所定義的範圍清單。授權後,此清單會在授予存取字符時限制許可。IAM Identity Center [RegisterClient](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_RegisterClient.html) API 動作會將此值用於 `scopes` 參數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1scopes | 選用 | sso:account:access | sso\$1oidc\$1scopes=sso:account:access; |
## 帳戶 ID
AWS 帳戶 指派給使用者的 識別符。IAM Identity Center [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API 使用此值做為 `accountId` 參數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1account\$1id | 必要 | none | sso\$1oidc\$1account\$1id=123456789123; |
## 角色名稱
指派給使用者的角色的易記名稱。您為此許可集指定的名稱會在 AWS 存取入口網站中顯示為可用角色。IAM Identity Center [GetRoleCredentials](https://docs.aws.amazon.com/singlesignon/latest/PortalAPIReference/API_GetRoleCredentials.html) API 使用此值做為 `roleName` 參數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1role\$1name | 必要 | none | sso\$1oidc\$1role\$1name=AthenaReadAccess; |
## Timeout (逾時)
輪詢 SSO API 應檢查存取字符的秒數。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1timeout | 選用 | 120 | sso\$1oidc\$1timeout=60; |
## 接聽連接埠
用於 OAuth 2.0 回呼伺服器的本機連接埠號碼。這用作重新導向 URI,您可能需要允許列出網路上的此連接埠。預設產生的重新導向 URI 為:`http://localhost:7890/athena`。此參數已在 v2.1.0.0 中新增,做為從 Device Code 遷移至 Authorization Code with PKCE 的一部分。
**警告**
在 Windows Terminal Server 或遠端桌面服務等共用環境中,循環連接埠 (預設值:7890) 會在相同機器上的所有使用者之間共用。系統管理員可以透過下列方式降低潛在的連接埠劫持風險:
為不同的使用者群組設定不同的連接埠號碼
使用 Windows 安全政策來限制連接埠存取
在使用者工作階段之間實作網路隔離
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| listen\$1port | 選用 | 7890 | listen\$1port=8080; |
## 啟用檔案快取
啟用臨時憑證快取。此連線參數可讓您在多個程序之間快取,及重複使用臨時憑證。使用此選項可減少當您使用 BI 工具 (如 Microsoft Power BI) 時,開啟瀏覽器視窗的數目。
**注意**
從 v2.1.0.0 開始,快取的憑證會以純文字 JSON 形式存放在 `user-profile/.athena-odbc/`目錄中,檔案許可僅限於擁有的使用者,與 AWS CLI 保護本機儲存憑證的方式一致。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| sso\$1oidc\$1cache | 選用 | 1 | sso\$1oidc\$1cache=0; |
# 預設憑證
您可以使用在用戶端系統上設定的預設憑證連線至 Amazon Athena。如需有關使用預設憑證的資訊,請參閱《*適用於 Java 的 AWS SDK 開發人員指南*》中的[使用預設憑證提供者鏈結](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/credentials.html#credentials-default)。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=Default Credentials; |
# 外部憑證
外部憑證的一般身分驗證外掛程式,可用來連線至任何外部 SAML 型身分提供者的外掛程式。若要使用外掛程式,您可以傳遞可傳回 SAML 回應的可執行檔。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=External Credentials; |
## 可執行路徑
包含自訂 SAML 型憑證提供者的邏輯的可執行檔路徑。可執行檔的輸出必須是身分提供者所解析的 SAML 回應。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ExecutablePath | 必要 | none | ExecutablePath=C:\$1Users\$1user\$1name\$1external\$1credential.exe |
## 引數清單
您要傳遞至可執行檔的引數清單。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ArgumentList | 選用 | none | ArgumentList=arg1 arg2 arg3 |
# 執行個體設定檔
此身份驗證類型用於 EC2 執行個體,並透過 Amazon EC2 中繼資料服務傳遞。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=Instance Profile; |
# JWT
JWT (JSON Web Token) 外掛程式提供了一個介面,該介面使用 JSON Web Token 來擔任 Amazon IAM 角色。組態取決於身分提供者。如需設定 Google Cloud 聯合的相關資訊 AWS,請參閱 Google Cloud 文件中的[使用 AWS 或 Azure 設定工作負載聯合身分](https://cloud.google.com/iam/docs/workload-identity-federation-with-other-clouds)。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=JWT; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## JSON Web Token
用於使用 [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) AWS STS API 動作擷取 IAM 臨時登入資料的 JSON Web 字符。如需有關為 Google Cloud Platform (GCP) 使用者產生 JSON Web Token 的資訊,請參閱 Google Cloud 文件中的[使用 JWT OAuth 字符](https://cloud.google.com/apigee/docs/api-platform/security/oauth/using-jwt-oauth)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| web\$1identity\$1token | 必要 | none | web\$1identity\$1token=eyJhbGc...; |
## 角色工作階段名稱
工作階段的名稱。一種常見技術是將應用程式使用者的名稱或識別符用作角色工作階段名稱。這可方便地將您應用程式使用的暫時安全憑證與對應的使用者建立關聯。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必要 | none | role\$1session\$1name=familiarname; |
# JWT 可信身分傳播憑證提供者
此身分驗證類型允許您使用從外部身分提供者獲得的 JSON Web Token (JWT) 作為連線參數,向 Athena 進行身分驗證。您可以使用此外掛程式,透過可信身分傳播啟用對企業身分的支援。
透過信任的身分傳播,身分內容會新增至 IAM 角色,以識別請求存取 AWS 資源的使用者。如需有關啟用和使用可信身分傳播的資訊,請參閱[什麼是可信身分傳播?](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=JWT\$1TIP; |
## JWT web 身分權杖
從外部聯合身分提供者獲得的 JWT 權杖。此權杖將用於向 Athena 進行身分驗證。權杖快取預設為啟用,並允許在不同的驅動器連線之間使用相同的 Identity Center 存取權杖。我們建議在「測試連線」時提供新的 JWT 權杖,因為交換的權杖僅在驅動器執行個體處於作用中狀態期間才會存在。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| web\$1identity\$1token | 必要 | none | web\$1identity\$1token=eyJhbGc...; |
## 工作群組 Arn
Amazon Athena 工作群組的 Amazon Resource Name (ARN)。如需有關工作群組的詳細資訊,請參閱[工作群組](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| WorkGroupArn | 必要 | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
## JWT 應用程式角色 ARN
要擔任的角色 ARN。此角色可用於 JWT 交換、透過工作群組標籤取得 IAM Identity Center 客戶自管應用程式 ARN,以及取得存取角色 ARN。如需有關擔任角色的詳細資訊,請參閱 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ApplicationRoleArn | 必要 | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
## 角色工作階段名稱
工作階段的名稱。名稱可隨意指定,但是一般來說,您會傳遞與應用程式使用者相關聯的名稱或識別碼。這樣一來,應用程式使用的臨時安全憑證會與該使用者相關聯。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必要 | none | role\$1session\$1name=familiarname; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 3600 | duration=900; |
## JWT 存取角色 ARN
要擔任的角色 ARN。此為 Athena 擔任的角色,可代表您進行呼叫。如需有關擔任角色的詳細資訊,請參閱 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AccessRoleArn | 選用 | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
## IAM Identity Center 客戶自管應用程式 ARN
IAM Identity Center 客戶自管 IDC 應用程式的 ARN。如需有關客戶受管應用程式的詳細資訊,請參閱[客戶自管應用程式](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | 選用 | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333 |
## 啟用檔案快取
啟用臨時憑證快取。此連線參數可讓您在多個程序之間快取並重複使用臨時憑證。使用此選項可減少當您使用 BI 工具 (如 Microsoft Power BI) 時,Web 身分權杖的數目。依預設,驅動器會在 Windows 中使用 `%USERPROFILE%` 和 `HOME` 路徑來寫入檔案快取。請確保您為這兩個環境變數中存在的路徑提供讀取和寫入存取權,以獲得更好的體驗。
**注意**
從 v2.1.0.0 開始,快取的登入資料會以純文字 JSON 形式存放在 `user-profile/.athena-odbc/`目錄中,檔案許可僅限於擁有的使用者,與 AWS CLI 保護本機儲存的登入資料的方式一致。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| JwtTipFileCache | 選用 | 0 | JwtTipFileCache=1; |
# 瀏覽器信任的身分傳播憑證
此身分驗證類型可讓您從外部身分提供者擷取新的 JSON Web 字符 (JWT),並使用 Athena 進行身分驗證。您可以使用此外掛程式,透過可信身分傳播啟用對企業身分的支援。如需有關如何搭配使用可信身分傳播與驅動器的詳細資訊,請參閱 [搭配使用可信身分傳播與 Amazon Athena 驅動器](using-trusted-identity-propagation.md)。您也可以[使用 CloudFormation 設定和部署資源](using-trusted-identity-propagation-cloudformation.md)。
透過信任的身分傳播,身分內容會新增至 IAM 角色,以識別請求存取 AWS 資源的使用者。如需有關啟用和使用可信身分傳播的資訊,請參閱[什麼是可信身分傳播?](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation.html)。
**注意**
外掛程式專為單一使用者桌面環境而設計。在 Windows Server 等共用環境中,系統管理員負責建立和維護使用者之間的安全界限。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | none | AuthenticationType=BrowserOidcTip; |
## IDP 已知組態 URL
IDP Well Known 組態 URL 是為您的身分提供者提供 OpenID Connect 組態詳細資訊的端點。此 URL 通常會以 結尾,`.well-known/openid-configuration`並包含有關身分驗證端點、支援的功能和字符簽署金鑰的基本中繼資料。例如,如果您使用的是 *Okta*,URL 可能看起來像 `https://your-domain.okta.com/.well-known/openid-configuration`。
針對疑難排解:如果您收到連線錯誤,請確認此 URL 可從您的網路存取,並傳回有效的 *OpenID Connect* 組態 JSON。此 URL 必須由安裝驅動程式的用戶端連線,且應由您的身分提供者管理員提供。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| IdpWellKnownConfigurationUrl | 必要 | none | IdpWellKnownConfigurationUrl=https:///.well-known/openid-configuration; |
## 用戶端識別符
OpenID Connect 提供者向應用程式發出的用戶端識別符。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| client\$1id | 必要 | none | client\$1id=00001111-aaaa-2222-bbbb-3333cccc4444; |
## 工作群組 ARN
Amazon Athena 工作群組的 Amazon Resource Name (ARN),其中包含信任的身分傳播組態標籤。如需有關工作群組的詳細資訊,請參閱[工作群組](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)。
**注意**
此參數與指定查詢執行位置的 `Workgroup` 參數不同。您必須設定這兩個參數:
`WorkgroupArn` - 指向包含信任身分傳播組態標籤的工作群組
`Workgroup` - 指定要執行查詢的工作群組
雖然這些參數通常會參考相同的工作群組,但必須明確設定這兩個參數才能正常運作。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| WorkGroupArn | 必要 | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary |
## JWT 應用程式角色 ARN
將在 JWT 交換中擔任的角色 ARN。此角色可用於 JWT 交換、透過工作群組標籤取得 IAM Identity Center 客戶自管應用程式 ARN,以及取得存取角色 ARN。如需有關擔任角色的詳細資訊,請參閱 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ApplicationRoleArn | 必要 | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; |
## 角色工作階段名稱
IAM 工作階段的名稱。名稱可隨意指定,但是一般來說,您會傳遞與應用程式使用者相關聯的名稱或識別碼。這樣一來,應用程式使用的臨時安全憑證會與該使用者相關聯。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| role\$1session\$1name | 必要 | none | role\$1session\$1name=familiarname; |
## Client secret (用戶端密碼)
用戶端秘密是由您的身分提供者發行的機密金鑰,用於驗證您的應用程式。雖然此參數是選用的,而且可能不是所有身分驗證流程的必要項目,但在使用時提供額外的安全層。如果您的 IDP 組態需要用戶端秘密,您必須將此參數包含身分提供者管理員提供的值。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| client\$1secret | 選用 | none | client\$1secret=s0m3R@nd0mS3cr3tV@lu3Th@tS3cur3lyPr0t3ct5Th3Cl13nt;\$1 |
## Scope (範圍)
範圍會指定應用程式向身分提供者請求的存取層級。您必須在 `openid` 範圍內包含 ,才能接收包含基本使用者身分宣告的 ID 字符。您的範圍可能需要包含其他許可,例如 `email`或 `profile`,取決於哪些使用者宣告您的身分提供者 (例如 *Microsoft Entra ID*) 已設定為包含在 ID 字符中。這些宣告對於適當的*受信任身分傳播*映射至關重要。如果使用者身分映射失敗,請確認您的範圍包含所有必要的許可,且您的身分提供者已設定為在 ID 字符中包含必要的宣告。這些宣告必須符合 IAM Identity Center 中的*受信任權杖發行者*映射組態。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| Scope (範圍) | 選用 | openid email offline\$1access | Scope=openid email; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需詳細資訊,請參閱 [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 3600 | duration=900; |
## JWT 存取角色 ARN
Athena 代您呼叫所擔任角色的 ARN。如需有關擔任角色的詳細資訊,請參閱《AWS Security Token Service API 參考**》中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AccessRoleArn | 選用 | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; |
## IAM Identity Center 客戶自管應用程式 ARN
IAM Identity Center 客戶自管 IDC 應用程式的 ARN。如需有關客戶受管應用程式的詳細資訊,請參閱[客戶自管應用程式](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| CustomerIdcApplicationArn | 選用 | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333; |
## 身分提供者連接埠號碼
用於 OAuth 2.0 回呼伺服器的本機連接埠號碼。這用作 redirect\$1uri,您需要允許在 IDP 應用程式中將其列出。預設產生的 redirect\$1uri 為:http://localhost:7890/athena
**警告**
在共用環境中,例如 Windows Terminal Server 或遠端桌面服務,循環連接埠 (預設值:7890) 會在相同機器上的所有使用者之間共用。系統管理員可以透過下列方式降低潛在的連接埠劫持風險:
為不同的使用者群組設定不同的連接埠號碼
使用 Windows 安全政策來限制連接埠存取
在使用者工作階段之間實作網路隔離
如果無法實作這些安全控制,建議您改用 [JWT 信任的身分傳播](odbc-v2-driver-jwt-tip.md)外掛程式,這不需要迴路連接埠。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| listen\$1port | 選用 | 7890 | listen\$1port=8080; |
## 識別提供者回應逾時
等待 OAuth 2.0 回呼回應的逾時,以秒為單位。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| IdpResponseTimeout | 選用 | 120 | IdpResponseTimeout=140; |
## 啟用檔案快取
JwtTipFileCache 參數會判斷驅動程式是否在連線之間快取身分驗證字符。將 JwtTipFileCache 設為 true 可減少身分驗證提示並改善使用者體驗,但應謹慎使用。此設定最適合單一使用者桌面環境。在 Windows Server 等共用環境中,建議將其停用,以防止具有類似連線字串的使用者之間進行潛在的字符共用。
對於使用 PowerBI Server 等工具的企業部署,我們建議您使用 [JWT 信任的身分傳播](odbc-v2-driver-jwt-tip.md)外掛程式,而不是此身分驗證方法。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| JwtTipFileCache | 選用 | 0 | JwtTipFileCache=1; |
# Okta
Okta 是 SAML 型身分驗證外掛程式,可與 Okta 身分提供者搭配使用。如需有關設定 Okta 和 Amazon Athena 的聯合的資訊,請參閱 [使用 Okta 外掛程式和 Okta 身分提供者設定 ODBC 的 SSO](odbc-okta-plugin.md)。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=Okta; |
## 使用者 ID
您的 Okta 使用者名稱。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UID | 必要 | none | UID=jane.doe@org.com; |
## 密碼
您的 Okta 使用者密碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| PWD | 必要 | none | PWD=oktauserpasswordexample; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:IAM::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## IdP 主機
您的 Okta 組織的 URL。您可以從 Okta 應用程式中的**內嵌連結** URL 擷取 `idp_host` 參數。如需這些步驟,請參閱 [從 Okta 擷取 ODBC 組態資訊](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)。`https://` 後的第一個區段、直到並包括 `okta.com` 即為您的 IdP 主機 (例如 `http://trial-1234567.okta.com`)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1host | 必要 | None | idp\$1host=dev-99999999.okta.com; |
## IdP 連接埠
用於連線至 IdP 主機的連接埠號碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1port | 必要 | None | idp\$1port=443; |
## Okta 應用程式 ID
您應用程式的兩部分識別符。您可以從 Okta 應用程式中的**內嵌連結** URL 擷取 `app_id` 參數。如需這些步驟,請參閱 [從 Okta 擷取 ODBC 組態資訊](odbc-okta-plugin.md#odbc-okta-plugin-retrieve-odbc-configuration-information-from-okta)。應用程式 ID 是 URL 的最後兩個區段,包括中間的正斜線。這些區段是兩個由 20 個字元組成的字串,其中包含數字和大小寫字母的混合 (例如 `Abc1de2fghi3J45kL678/abc1defghij2klmNo3p4`)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| app\$1id | 必要 | None | app\$1id=0oa25kx8ze9A3example/alnexamplea0piaWa0g7; |
## Okta 應用程式名稱
Okta 應用程式的名稱。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| app\$1name | 必要 | None | app\$1name=amazon\$1aws\$1redshift; |
## Okta 等待時間
指定等待多重要素驗證 (MFA) 程式碼的持續時間 (以秒為單位)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| okta\$1mfa\$1wait\$1time | 選用 | 10 | okta\$1mfa\$1wait\$1time=20; |
## Okta MFA 類型
MFA 因素類型。支援的類型包括 Google Authenticator、SMS (Okta)、Okta Verify with Push 和 Okta Verify with TOTP。個別組織安全政策會判斷使用者登入是否需要 MFA。
****
| **連線字串名稱** | **參數類型** | **預設值** | **可能的值** | **連線字串範例** |
| --- | --- | --- | --- | --- |
| okta\$1mfa\$1type | Optional | None | googleauthenticator, smsauthentication, oktaverifywithpush, oktaverifywithtotp | okta\$1mfa\$1type=oktaverifywithpush; |
## Okta 電話號碼
要與 AWS SMS 身分驗證搭配使用的電話號碼。僅多重要素註冊需要此參數。如果您的手機號碼已經註冊,或者安全政策未使用 AWS SMS 身分驗證,則可以忽略此欄位。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| okta\$1mfa\$1phone\$1number | 需要 MFA 註冊,否則為選用 | None | okta\$1mfa\$1phone\$1number=19991234567; |
## 啟用 Okta 檔案快取
啟用臨時憑證快取。此連線參數可讓您在 BI 應用程式開啟的多個程序之間快取及重複使用臨時憑證。使用此選項可避免 Okta API 限流限制。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| okta\$1cache | 選用 | 0 | okta\$1cache=1; |
# Ping
Ping 是 SAML 型外掛程式,可與 [PingFederate](https://www.pingidentity.com/en/platform/capabilities/authentication-authority/pingfederate.html) 身分提供者搭配使用。
## 身分驗證類型
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| AuthenticationType | 必要 | IAM Credentials | AuthenticationType=Ping; |
## 使用者 ID
PingFederate 伺服器的使用者名稱。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UID | 必要 | none | UID=pingusername@domain.com; |
## 密碼
PingFederate 伺服器的密碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| PWD | 必要 | none | PWD=pingpassword; |
## 偏好的角色
要擔任之角色的 Amazon Resource Name (ARN)。如果您的 SAML 聲明具有多個角色,您可以指定此參數來選擇要擔任的角色。此角色應出現在 SAML 聲明中。如需有關 ARN 角色的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| preferred\$1role | 選用 | none | preferred\$1role=arn:aws:iam::123456789012:id/user1; |
## 工作階段持續時間
角色工作階段的持續時間 (以秒為單位)。如需有關工作階段持續時間的詳細資訊,請參閱《AWS Security Token Service API 參考》**中的 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| 持續時間 | 選用 | 900 | duration=900; |
## IdP 主機
Ping 伺服器的地址。若要尋找您的地址,請造訪下列 URL 並檢視 **SSO 應用程式端點**欄位。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1host | 必要 | none | idp\$1host=ec2-1-83-65-12.compute-1.amazonaws.com; |
## IdP 連接埠
用於連線至 IdP 主機的連接埠號碼。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| idp\$1port | 必要 | None | idp\$1port=443; |
## 合作夥伴 SPID
服務提供者地址。若要尋找服務提供者地址,請造訪下列 URL 並檢視 **SSO 應用程式端點**欄位。
```
https://your-pf-host-#:9999/pingfederate/your-pf-app#/spConnections
```
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| partner\$1spid | 必要 | None | partner\$1spid=https://us-east-1.signin.aws.amazon.com/platform/saml/<...>; |
## Ping URI 參數
將身分驗證請求的 URI 引數傳遞給 Ping。使用此參數可繞過 Lake Formation 的單一角色限制。設定 Ping 以識別傳遞的參數,並驗證傳遞的角色存在於分配給使用者的角色清單中。然後,在 SAML 聲明中傳送單個角色。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ping\$1uri\$1param | 選用 | None | ping\$1uri\$1param=role=my\$1iam\$1role; |
# 常用身分驗證參數
如上所述,本節中的參數對於驗證類型而言非常常見。
## 將代理用於 IdP
透過代理 Proxy 啟用驅動程式與 IdP 之間的通訊。此選項適用於下列身分驗證外掛程式:
+ AD FS
+ Azure AD
+ 瀏覽器 Azure AD
+ 瀏覽器 SSO OIDC
+ JWT 可信身分傳播
+ JWT
+ JWT 可信身分傳播
+ 瀏覽器信任的身分傳播
+ Okta
+ Ping
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UseProxyForIdP | 選用 | 0 | UseProxyForIdP=1; |
## 使用 Lake Formation
使用 [AssumeDecoratedRoleWithSAML](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_AssumeDecoratedRoleWithSAML.html) Lake Formation API 動作來擷取臨時 IAM 登入資料,而不是 [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) AWS STS API 動作。此選項適用於 Azure AD、瀏覽器 Azure AD、瀏覽器 SAML、Okta、Ping 和 AD FS 身分驗證外掛程式。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| LakeformationEnabled | 選用 | 0 | LakeformationEnabled=1; |
## SSL 不安全 (IdP)
與 IdP 通訊時停用 SSL。此選項適用於 Azure AD、瀏覽器 Azure AD、Okta、Ping 和 AD FS 身分驗證外掛程式。
**重要**
v**2.1.0.0 中的重大變更:**連線至身分提供者時 SSL 憑證驗證的預設行為已變更。在 2.1.0.0 之前的版本中,預設為停用 SSL 驗證。從 v2.1.0.0 開始,所有 IdP 連線預設都會啟用 SSL 驗證。驅動程式也會強制執行 TLS 1.2 作為最低 TLS 版本。如果您使用沒有有效 SSL 憑證的本機身分提供者 (僅用於測試),請在連線字串`SSL_Insecure=1`中設定 。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| SSL\$1Insecure | 選用 | 0 | SSL\$1Insecure=1; |
# 端點覆寫
## Athena 端點覆寫
`endpointOverride ClientConfiguration` 類別會使用此值覆寫 Amazon Athena 用戶端的預設 HTTP 端點。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| EndpointOverride | 選用 | none | EndpointOverride=athena.us-west-2.amazonaws.com; |
## Athena 串流端點覆寫
`ClientConfiguration.endpointOverride` 方法會使用此值覆寫 Amazon Athena 串流用戶端的預設 HTTP 端點。如需詳細資訊,請參閱《*適用於 C\$1\$1 的 AWS SDK 開發人員指南*》中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。Athena 串流服務可透過連接埠 444 使用。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| StreamingEndpointOverride | 選用 | none | StreamingEndpointOverride=athena.us-west-1.amazonaws.com:444; |
## AWS STS 端點覆寫
`ClientConfiguration.endpointOverride` 方法使用此值來覆寫 AWS STS 用戶端的預設 HTTP 端點。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| StsEndpointOverride | 選用 | none | StsEndpointOverride=sts.us-west-1.amazonaws.com; |
## Lake Formation 端點覆寫
`ClientConfiguration.endpointOverride` 方法會使用此值覆寫 Lake Formation 用戶端的預設 HTTP 端點。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| LakeFormationEndpointOverride | 選用 | none | LakeFormationEndpointOverride=lakeformation.us-west-1.amazonaws.com; |
## SSO 端點覆寫
`ClientConfiguration.endpointOverride` 方法會使用此值覆寫 SSO 用戶端的預設 HTTP 端點。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| SSOEndpointOverride | 選用 | none | SSOEndpointOverride=portal.sso.us-east-2.amazonaws.com; |
## SSO OIDC 端點覆寫
`ClientConfiguration.endpointOverride` 方法會使用此值覆寫 SSO OIDC 用戶端的預設 HTTP 端點。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| SSOOIDCEndpointOverride | 選用 | none | SSOOIDCEndpointOverride=oidc.us-east-2.amazonaws.com |
## SSO 管理員端點覆寫
`ClientConfiguration.endpointOverride` 方法會使用此值覆寫 SSO 管理員用戶端的預設 HTTP 端點。如需詳細資訊,請參閱 [ClientConfiguration](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| SSOAdminEndpointOverride | 選用 | 無 | SSOAdminEndpointOverride=sso.us-east-2.amazonaws.com |
## S3 端點覆寫
`ClientConfiguration.endpointOverride` 方法會使用此值覆寫 S3 用戶端的預設 HTTP 端點。當驅動程式使用 Amazon S3 擷取程式時,將用來下載查詢結果的端點。若沒有指定此參數,則驅動程式會使用預設的 Amazon S3 端點。如需詳細資訊,請參閱 [ClientConfiguration](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| S3EndpointOverride | 選用 | 無 | S3EndpointOverride=s3.us-east-2.amazonaws.com |
# 進階選項
## 擷取大小
本次請求傳回結果 (列) 的最大數量。如需參數資訊,請參閱 [GetQuery MaxResults](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetQueryResults.html#athena-GetQueryResults-request-MaxResults)。對於串流 API,最大值為 10000000。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| RowsToFetchPerBlock | 選用 | 非串流為 `1000` 串流為 `20000` | RowsToFetchPerBlock=20000; |
## 結果擷取程式
預設的結果擷取程式會直接從 Amazon S3 下載查詢結果,而無需透過 Athena API 操作。當其偵測到無法直接下載 S3 的情況時,即會自動回退至使用 `GetQueryResultsStream` API 操作。例如,當使用 `CSE_KMS` 選項加密查詢結果時,就會發生這種情況。
在大多數情況下,建議使用 `auto` 擷取程式。不過,如果您的 IAM 政策或 S3 儲存貯體政策使用 `s3:CalledVia` 條件來限制存取來自 Athena 的 S3 物件請求,則自動擷取程式會先嘗試從 S3 下載結果,然後回退至使用 `GetQueryResultsStream`。在這種情況下,您可以想要將 `ResultFetcher` 設定為 `GetQueryResultsStream`,以避免額外的 API 呼叫。
**注意**
驅動器仍會識別啟用串流 API (`UseResultsetStreaming=1;`) 和啟用 S3 擷取程式 (`EnableS3Fetcher=1;`) 參數。不過,我們建議您使用 `ResultFetcher` 參數,以獲得更好的體驗。
****
| **連線字串名稱** | **參數類型** | **預設值** | **可能的值** | **連線字串範例** |
| --- | --- | --- | --- | --- |
| ResultFetcher | 選用 | auto | auto, S3, GetQueryResults, GetQueryResultsStream | ResultFetcher=auto |
## 啟用結果重複使用
指定執行查詢時是否可以重複使用之前的查詢結果。如需參數資訊,請參閱 ResultReuseByAgeConfiguration。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| EnableResultReuse | 選用 | 0 | EnableResultReuse=1; |
## 結果重複使用最長期限
指定 Athena 應考慮重複使用的之前查詢結果的最長期限 (以分鐘為單位)。如需參數資訊,請參閱 [ResultReuseByAgeConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultReuseByAgeConfiguration.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ReusedResultMaxAgeInMinutes | 選用 | 60 | ReusedResultMaxAgeInMinutes=90; |
## 使用多個 S3 執行緒
使用多個執行緒從 Amazon S3 擷取資料。啟用此選項時,會使用多個執行緒平行擷取存放在 Amazon S3 儲存貯體中的結果檔案。
只有在網路頻寬良好時,才會啟用此選項。例如,在我們對 EC2 [c5.2xlarge](https://aws.amazon.com/ec2/instance-types/c5/) 執行個體的測量中,單一執行緒 S3 用戶端達到 1 Gbps,而多執行緒 S3 用戶端則達到 4 Gbps 的網路輸送量。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UseMultipleS3Threads | 選用 | 0 | UseMultipleS3Threads=1; |
## 使用單一目錄和結構描述
依預設,ODBC 驅動程式會查詢 Athena,以取得可用目錄和結構描述的清單。此選項會強制驅動程式使用「ODBC 資料來源管理員組態」對話方塊或連線參數指定的目錄和結構描述。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UseSingleCatalogAndSchema | 選用 | 0 | UseSingleCatalogAndSchema=1; |
## 使用查詢列出資料表
對於 `LAMBDA` 目錄類型,ODBC 驅動器可以提交 [SHOW TABLES](show-tables.md) 查詢,進而取得可用資料表的清單。此設定是預設值。如果此參數設定為 0,ODBC 驅動器會使用 Athena [ListTableMetadata](https://docs.aws.amazon.com/athena/latest/APIReference/API_ListTableMetadata.html) API 來取得可用資料表的清單。請注意,對於 `LAMBDA` 目錄類型,使用 `ListTableMetadata` 會導致效能迴歸。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UseQueryToListTables | 選用 | 1 | UseQueryToListTables=1; |
## 針對字串類型使用 WCHAR
依預設,ODBC 驅動器對 Athena 使用 `SQL_CHAR` 和 `SQL_VARCHAR`,其中字串資料類型包括 `char`、`varchar`、`string`、`array`、`map<>`、`struct<>` 和 `row`。將此參數設定為 `1` 會強制驅動器針對字串資料類型使用 `SQL_WCHAR` 和 `SQL_WVARCHAR`。寬字元和寬變數字元類型可用於確保來自不同語言的字元可以正確儲存和擷取。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UseWCharForStringTypes | 選用 | 0 | UseWCharForStringTypes=1; |
## 查詢外部目錄
指定驅動程式是否需要從 Athena 查詢外部目錄。如需詳細資訊,請參閱[移轉至 ODBC 2.x 驅動器](odbc-v2-driver-migrating.md)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| QueryExternalCatalogs | 選用 | 0 | QueryExternalCatalogs=1; |
## 驗證 SSL
控制是否在使用 AWS SDK 時驗證 SSL 憑證。這個值會傳遞給 `ClientConfiguration.verifySSL` 參數。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| VerifySSL | 選用 | 1 | VerifySSL=0; |
## S3 結果區塊大小
指定單一 Amazon S3 [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) API 請求下載的區塊大小 (以位元組為單位)。預設值為 67108864 (64 MB)。允許的最小值和最大值為 10485760 (10 MB) 和 2146435072 (約 2 GB)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| S3ResultBlockSize | 選用 | 67108864 | S3ResultBlockSize=268435456; |
## 字串資料欄長度
為具有 `string` 資料類型的資料欄指定資料欄長度。由於 Athena 使用沒有定義精確度的 [Apache Hive 字串資料類型](https://cwiki.apache.org/confluence/display/Hive/LanguageManual+Types#LanguageManualTypes-StringsstringStrings),因此 Athena 報告的預設長度為 2147483647 (`INT_MAX`)。由於 BI 工具通常會為資料欄預先配置記憶體,這可能會導致記憶體耗用量過高。若要避免這種情況,Athena ODBC 驅動器會限制報告的 `string` 資料類型的資料欄精確度,並公開 `StringColumnLength` 連線參數,以便可以變更預設值。
****
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
| --- | --- | --- | --- |
| StringColumnLength | 選用 | 255 | StringColumnLength=65535; |
## 複雜類型資料欄長度
為具有複雜資料類型 (例如 `map`、`struct` 和 `array`) 的資料欄指定資料欄長度。與 [StringColumnLength](#odbc-v2-driver-advanced-options-string-column-length) 類似,Athena 會針對具有複雜資料類型的資料欄報告 0 精確度。Athena ODBC 驅動器會設定複雜資料類型的資料欄預設精確度,並公開 `ComplexTypeColumnLength` 連線參數,以便可以變更預設值。
****
| 連線字串名稱 | 參數類型 | 預設值 | 連線字串範例 |
| --- | --- | --- | --- |
| ComplexTypeColumnLength | 選用 | 65535 | ComplexTypeColumnLength=123456; |
## 可信 CA 憑證
指示 HTTP 用戶端在何處找到您的 SSL 憑證信任存放區。這個值會傳遞給 `ClientConfiguration.caFile` 參數。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| TrustedCerts | 選用 | %INSTALL\$1PATH%/bin | TrustedCerts=C:\$1\$1Program Files\$1\$1Amazon Athena ODBC Driver\$1\$1bin\$1\$1cacert.pem; |
## 最短輪詢期間
指定輪詢 Athena 查詢執行狀態之前要等待的最小值 (以毫秒為單位)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| MinQueryExecutionPollingInterval | 選用 | 100 | MinQueryExecutionPollingInterval=200; |
## 最長輪詢期間
指定輪詢 Athena 查詢執行狀態之前要等待的最大值 (以毫秒為單位)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| MaxQueryExecutionPollingInterval | 選用 | 60000 | MaxQueryExecutionPollingInterval=1000; |
## 輪詢乘數
指定增加輪詢期間的因數。依預設,輪詢會以最短輪詢期間的值開始,並且每次輪詢都會加倍,直到達到最長輪詢期間的值為止。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| QueryExecutionPollingIntervalMultiplier | 選用 | 2 | QueryExecutionPollingIntervalMultiplier=2; |
## 最長輪詢持續時間
指定驅動程式可輪詢 Athena 查詢執行狀態的最大值 (以毫秒為單位)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| MaxPollDuration | 選用 | 1800000 | MaxPollDuration=1800000; |
## 連線逾時
HTTP 連線等待建立連線的時間量 (以毫秒為單位)。此值是針對 `ClientConfiguration.connectTimeoutMs` Athena 用戶端設定的。若未指定,則使用 curl 預設值。如需有關連線參數的資訊,請參閱《適用於 Java 的 AWS SDK 開發人員指南》**中的[用戶端組態](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/section-client-configuration.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ConnectionTimeout | 選用 | 0 | ConnectionTimeout=2000; |
## 請求逾時
指定 HTTP 用戶端的通訊端讀取逾時。此值是為 Athena 用戶端的 `ClientConfiguration.requestTimeoutMs` 參數設定的。如需參數資訊,請參閱《適用於 Java 的 AWS SDK 開發人員指南》**中的[用戶端組態](https://docs.aws.amazon.com/sdk-for-java/v1/developer-guide/section-client-configuration.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| RequestTimeout | 選用 | 10000 | RequestTimeout=30000; |
# 代理選項
## 代理主機
若您要求使用者通過代理,請使用此參數來設定代理主機。此參數對應至 AWS SDK 中的 `ClientConfiguration.proxyHost` 參數。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ProxyHost | 選用 | none | ProxyHost=127.0.0.1; |
## 代理連接埠
使用此參數來設定代理連接埠。此參數對應至 AWS SDK 中的 `ClientConfiguration.proxyPort` 參數。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ProxyPort | 選用 | none | ProxyPort=8888; |
## 代理使用者名稱
使用此參數來設定代理使用者名稱。此參數對應至 AWS SDK 中的 `ClientConfiguration.proxyUserName` 參數。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ProxyUID | 選用 | none | ProxyUID=username; |
## 代理密碼
使用此參數來設定代理密碼。此參數對應至 AWS SDK 中的 `ClientConfiguration.proxyPassword` 參數。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| ProxyPWD | 選用 | none | ProxyPWD=password; |
## 非代理主機
使用此選用參數,指定驅動程式在不使用代理的情況下連線至的主機。此參數對應至 AWS SDK 中的 `ClientConfiguration.nonProxyHosts` 參數。如需詳細資訊,請參閱《適用於 C\$1\$1 的 AWS SDK 開發人員指南》**中的 [AWS 用戶端組態](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/client-config.html)。
該 `NonProxyHost` 連線參數會傳遞給 `CURLOPT_NOPROXY` curl 選項。如需 `CURLOPT_NOPROXY` 格式的相關資訊,請參閱 curl 文件中的 [CURLOPT\$1NOPROXY](https://curl.se/libcurl/c/CURLOPT_NOPROXY.html)。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| NonProxyHost | 選用 | none | NonProxyHost=.amazonaws.com,localhost,.example.net,.example.com; |
## 使用代理
啟用通過指定代理的使用者流量。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UseProxy | 選用 | none | UseProxy=1; |
# 記錄選項
**警告**
**安全性:**在詳細層級 (DEBUG 或 TRACE) 啟用記錄時,驅動程式使用的 AWS SDK 可能會以純文字記錄敏感資訊,例如身分驗證字符和登入資料。僅使用詳細記錄進行故障診斷,並確保日誌檔案安全存放,並在使用後刪除。請勿在生產環境中啟用詳細記錄。
需要管理員權限才能修改此處所述的設定。若要進行變更,您可以使用 ODBC 資料來源管理員**記錄選項**對話方塊或直接修改 Windows 登錄檔。
## 日誌層級
此選項會啟用不同細節層級的 ODBC 驅動程式日誌。在 Windows 中,您可以使用登錄檔或對話方塊來設定記錄。此選項位於以下登錄檔路徑:
```
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Amazon Athena\ODBC\Driver
```
可用的日誌層級如下:
+ `OFF` - 已停用記錄
+ `ERROR` - 只會記錄錯誤訊息
+ `WARN` - 記錄警告訊息和錯誤
+ `INFO` - 記錄資訊性訊息、警告和錯誤
+ `DEBUG` - 記錄詳細的偵錯資訊以及所有較低層級的訊息
+ `TRACE` - 記錄的最詳細層級,包括所有訊息
**注意**
每個日誌層級都包含來自其下方層級的所有訊息。較高的日誌層級可能會影響效能並產生更大的日誌檔案。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| LogLevel | 選用 | OFF | LogLevel=INFO; |
## 日誌路徑
指定儲存 ODBC 驅動程式日誌的檔案路徑。您可以使用登錄檔或對話方塊來設定此值。此選項位於以下登錄檔路徑:
```
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Amazon Athena\ODBC\Driver
```
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| LogPath | 選用 | none | LogPath=C:\$1Users\$1username\$1projects\$1internal\$1trunk\$1; |
## 使用 AWS 記錄器
指定是否啟用 AWS SDK 記錄。指定 1 表示啟用,0 表示停用。
****
| **連線字串名稱** | **參數類型** | **預設值** | **連線字串範例** |
| --- | --- | --- | --- |
| UseAwsLogger | 選用 | 0 | UseAwsLogger=1; |