Amazon Athena ODBC 2.x 版本備註

• 預設啟用 SSL 憑證驗證 – 驅動程式現在會在連線至身分提供者時強制執行 SSL 憑證驗證。如果您使用沒有有效 SSL 憑證的本機身分提供者，您必須在連線字串SSL_Insecure=1中明確設定 。如需詳細資訊，請參閱SSL 不安全 (IdP)。

• 至少強制執行 TLS 1.2 – 驅動程式不再接受與身分提供者的 TLS 1.0 或 TLS 1.1 連線。所有 IdP 連線現在都需要 TLS 1.2 或更新版本。

• BrowserSSOOIDC 身分驗證流程已更新 – BrowserSSOOIDC 外掛程式現在使用授權碼搭配 PKCE，而非裝置碼授權。OAuth 2.0 回呼伺服器可使用新的選用參數 listen_port（預設 7890)。您可能需要允許列出您網路上的此連接埠。預設範圍已變更為 sso:account:access。如需詳細資訊，請參閱瀏覽器 SSO OIDC。

• BrowserSSOOIDC – 使用 PKCE 從裝置程式碼流程遷移至授權碼，以提高安全性。

• BrowserAzureAD – 已將 PKCE （程式碼交換的驗證金鑰） 新增至 OAuth 2.0 授權流程，以防止授權碼攔截攻擊。

• BrowserSAML – 新增 RelayState CSRF 保護，以防止 SAML 字符注入攻擊。

• 登入資料快取 – 從 v2.1.0.0 開始，快取的登入資料會以純文字 JSON 形式存放在 user-profile/.athena-odbc/目錄中，檔案許可僅限於擁有的使用者，與 AWS CLI 保護本機儲存的登入資料的方式一致。

• IAM 設定檔 – 除了現有 之外，還新增對 EcsContainer和 Environment憑證來源的支援Ec2InstanceMetadata。

• 連線字串剖析器 – 實作適當的 ODBC }}逸出處理。

• 目錄查詢 – 新增結構描述名稱和資料表模式的 SQL 識別符逸出。

• ODBC 模式比對 – 以直接 ODBC LIKE 萬用字元比對程式取代以 regex 為基礎的比對。

• XML 剖析 – 新增 SAML 權杖的遞迴深度限制 (100 個層級） 和大小限制 (1MB)。

• ADFS 身分驗證 – 新增 ADFS 伺服器回應的回應大小限制 (200KB)。

• 已修正身分驗證元件中特殊元素的不當中和，這些元素可透過製作的連線參數允許程式碼執行或身分驗證流程重新導向。影響 BrowserSSOOIDC、 BrowserAzureAD 和 BrowserSAML 外掛程式。

• 已修正查詢處理元件中特殊元素的不當中和，這些元素可能允許透過製作的資料表中繼資料拒絕服務或 SQL Injection。

• 修正連線至身分提供者時的不當憑證驗證。

• 修正瀏覽器型身分驗證流程中缺少的身分驗證安全控制，包括 OAuth 的 PKCE、SAML 的 CSRF 保護、安全登入資料快取，以及獨佔回呼連接埠繫結。

• 已修正剖析元件中不受控制的資源耗用量，這些元件可透過製作的輸入模式、無限制的伺服器回應或深度巢狀 XML 承載來允許拒絕服務。

• 修正在 Power BI Import 模式下UseSingleCatalogAndSchema=1搭配跨帳戶聯合目錄使用 時， SQLColumns和 未SQLTables傳回結果的問題。

• 瀏覽器可信任身分傳播身分驗證外掛程式 – 新增了新的身分驗證外掛程式，以支援具有可信任身分傳播的瀏覽器型 OpenID Connect (OIDC) 身分驗證。此外掛程式透過預設瀏覽器處理完整的 OAuth 2.0 流程、自動擷取 JSON Web Token (JWT)，以及與信任的身分傳播整合，以提供無縫的身分驗證體驗。外掛程式專為單一使用者桌面環境而設計。如需有關啟用和使用可信身分傳播的資訊，請參閱什麼是可信身分傳播？。

• 增強型記錄架構 – 透過下列方式大幅改善驅動程式的記錄機制：

  • 推出比基本 0/1 選項更精細的日誌層級

  • 移除備援日誌陳述式

  • 最佳化記錄架構以包含診斷相關資訊

  • 解決造成操作延遲的效能問題

  • 減少啟用記錄時產生過多的日誌檔案

• 結果擷取器最佳化 – 修正擷取大小參數限制錯誤套用至串流和非串流結果擷取器的問題。限制現在僅正確套用至非串流結果擷取器。

Amazon Athena ODBC v2.0.5.1 驅動器包含下列針對瀏覽器型身分驗證外掛程式的修正。

• 已實作登入 URL 驗證和結構描述檢查。

• 改善了 Linux 上的瀏覽器啟動機制，可利用系統 API，進而提升穩定性和安全性。

• JWT 可信身分提供者 (TIP) 身分驗證外掛程式 – 新增了新的身分驗證外掛程式，可支援 JWT 可信身分提供者 (TIP) 與 ODBC 驅動器的整合。此身分驗證類型允許您使用從外部身分提供者獲得的 JSON Web Token (JWT) 作為連線參數，向 Athena 進行身分驗證。使用 TIP，身分內容會新增至 IAM 角色，以識別請求存取 AWS 資源的使用者。如需有關啟用和使用 TIP 的資訊，請參閱什麼是可信身分傳播？。

• 自訂 SSO 管理員端點支援 – 新增對 ODBC 驅動器中自訂 SSO 管理員端點的支援。此增強功能可讓您在 VPC 後方執行 ODBC 時，為 SSO 服務指定自己的端點。

• AWS 開發套件版本更新 – 我們已將驅動程式中使用的 AWS 開發套件版本更新至 2.32.16，並已更新 2.0.5.0 版的專案相依性。

• 結果擷取程式 – 驅動器現在會自動選取下載查詢結果的方法。如此一來，在大多數情況下都無需手動設定擷取程式。如需詳細資訊，請參閱結果擷取程式。

• Curl Library 已更新至 8.12.1。

• 修正了連線至 STS 時 IAM 設定檔的代理組態的問題。該修正可讓 IAM 設定檔用於成功的身分驗證。

• 使用身分驗證外掛程式讀取 IAM 設定檔的所有其他組態選項。這包括 UseProxyForIdP、SSL_Insecure、LakeformationEnabled 和 LoginToRP，以解決受影響外掛程式的錯誤組態。

• 修正了 round 函式，即允許其採用選用的第二個參數。它成功處理了包含逸出語法的查詢。

• 修正了 TIME WITH TIME ZONE 和 TIMESTAMP WITH TIME ZONE 資料類型的資料欄大小。具有時間戳記和時區資料類型的值不會被截斷。

• 新增了對 Linux 和 Mac 平台上 Okta 身分驗證外掛程式的 MFA 支援。

• 現在，athena-odbc.dll 程式庫和適用於 Windows 的 AmazonAthenaODBC-2.x.x.x.msi 安裝程式均已簽章。

• 更新了與驅動器一起安裝的 CA 憑證 cacert.pem 檔案。

• 改善了在 Lambda 目錄下列出資料表所需的時間。對於 LAMBDA 目錄類型，ODBC 驅動器現在可以提交 SHOW TABLES 查詢，進而取得可用資料表的清單。如需詳細資訊，請參閱使用查詢列出資料表。

• 引入了使用 SQL_WCHAR 和 SQL_WVARCHAR 報告字串資料類型的 UseWCharForStringTypes 連線參數。如需詳細資訊，請參閱針對字串類型使用 WCHAR。

• 修正了使用 Get-OdbcDsn PowerShell 工具時發生的登錄檔損毀警告。

• 更新了剖析邏輯，可處理查詢字串開頭的註解。

• 現在，日期和時間戳記資料類型允許年份欄位中為零。

• 新增了兩個連線參數 StringColumnLength 和 ComplexTypeColumnLength，可用來變更字串和複雜資料類型的預設資料欄長度。如需詳細資訊，請參閱字串資料欄長度及複雜類型資料欄長度。

• 新增了對 Linux 和 macOS (Intel 和 ARM) 作業系統的支援。如需詳細資訊，請參閱Linux及macOS。

• AWS-SDK-CPP 已更新至 1.11.245 標籤版本。

• curl 程式庫已更新至 8.6.0 版。

• 解決了在精確度資料欄中，針對類字串資料類型的結果集中繼資料中報告不正確值的問題。

• 改進了所有介面的 ODBC 驅動程式執行緒安全性。

• 啟用日誌記錄時，現在會以毫秒級精確度記錄日期時間值。

• 在使用 瀏覽器 SSO OIDC 外掛程式進行身分驗證期間，現在會開啟終端以向使用者顯示裝置代碼。

• 解決了剖析串流 API 結果時發生的記憶體釋放問題。

• 介面 SQLTablePrivileges()、SQLSpecialColumns()、SQLProcedureColumns() 和 SQLProcedures() 的請求現在會傳回空白結果集。

• 為瀏覽器 Azure AD、瀏覽器 SSO OIDC 和 Okta 基於瀏覽器的身分驗證外掛程式新增了檔案快取功能。

  BI 工具 (如 Power BI) 和基於瀏覽器的外掛程式使用多個瀏覽器視窗。新的檔案快取連線參數可讓您在 BI 應用程式開啟的多個程序之間快取及重複使用臨時憑證。

• 應用程式現在可以在陳述式準備好後查詢結果集的相關資訊。

• 預設連線和請求逾時已增加，以便用於速度較慢的用戶端網路。如需詳細資訊，請參閱連線逾時及請求逾時。

• 已針對 SSO 和 SSO OIDC 新增端點覆寫。如需詳細資訊，請參閱端點覆寫。

• 已新增連線參數，將身分驗證請求的 URI 引數傳遞至 Ping。您可以使用此參數繞過 Lake Formation 的單一角色限制。如需詳細資訊，請參閱Ping URI 參數。

• 已修正使用資料列型繫結機制時發生的整數溢位問題。

• 已從瀏覽器 SSO OIDC 身分驗證外掛程式的必要連線參數清單中移除逾時。

• 為 SQLStatistics()、SQLPrimaryKeys()、SQLForeignKeys() 和 SQLColumnPrivileges() 新增了缺少的介面，並新增了依請求傳回空白結果集的功能。

• 新增 URI 記錄至 Okta 身分驗證外掛程式。

• 新增偏好的角色參數至外部憑證提供者外掛程式

• 在 AWS 組態檔案的描述檔名稱中新增對描述當字首的處理。

• 更正使用 Lake Formation 和 AWS STS 用戶端時發生 AWS 區域 的使用問題。

• 將缺少的分割區索引鍵還原至資料表欄清單中。

• 新增缺少的 BrowserSSOOIDC 身分驗證類型至 AWS 描述檔。