Microsoft ［ODBC データソースアドミニストレーター］の使用

Microsoft ODBC データソースアドミニストレーターを使ってDSN 設定を編集できます。DSN はインストールプロセス中に作成されることに注意してください。

DSN 設定を編集するには、次の手順を実行してください。

1. ［スタート］->［検索］ を選択し、［検索］ボックスに［ODBC データソース］ と入力します。
2. アプリケーションのビット数（32-bit または64-bit）に対応するODBC アドミニストレーターのバージョンを選択してください。
3. ［システムDSN］ タブをクリックします。
4. システムデータソースを選択して［構成］をクリックします。
5. ［接続］タブの情報を編集して［OK］をクリックします。

Note： .NET Framework 4.0 の場合、本製品 はMicrosoft Visual C++ 2015-2022 再頒布可能パッケージを配布します。.NET Framework 3.5 の場合、本製品 はMicrosoft Visual C++ 2008 再頒布可能パッケージを配布します。

DynamoDB への接続

以下を設定してデータに接続します。

• Domain：AWS に関連付けられたドメイン名を使用する場合に設定。
• AWSRegion：Amazon DynamoDB データがホストされているリージョンに設定。

DynamoDB への認証

AWS キーを取得

IAM ユーザーの認証情報を取得するには、以下の手順に従ってください。

1. IAM コンソールにサインインします。
2. ナビゲーションペインで［ユーザー］を選択します。
3. ユーザーのアクセスキーを作成または管理するには、ユーザーを選択してから［セキュリティ認証情報］タブを選択します。

AWS ルートアカウントの認証情報を取得するには、以下の手順に従ってください。

1. ルートアカウントの認証情報を使用してAWS 管理コンソールにサインインします。
2. アカウント名または番号を選択し、表示されたメニューで［My Security Credentials］を選択します。
3. ［Continue to Security Credentials］をクリックし、［Access Keys］セクションを展開して、ルートアカウントのアクセスキーを管理または作成します。

ルートクレデンシャル

アカウントのルートクレデンシャルで認証するには、次を設定します。

• AuthScheme：AwsRootKeys に設定。
• AWSAccessKey：AWS ルートアカウントに紐づいているアクセスキー。
• AWSSecretKey：AWS ルートアカウントに紐づいているシークレットキー。

Note： この認証スキームの使用は、簡単なテスト以外ではAmazon では推奨されていません。アカウントのルート認証情報はユーザーの完全な権限を持つため、これが最も安全性の低い認証方法になります。

一時クレデンシャル

一時クレデンシャルで認証するには、次を設定します。

• AuthScheme：TemporaryCredentials に設定。
• AWSAccessKey：ロールを担うIAM ユーザーのアクセスキー。
• AWSSecretKey：ロールを担うIAM ユーザーのシークレットキー。
• AWSSessionToken：AWS のセッショントークン。これは一時的な認証情報とともに提供されます。詳しくは、AWS Identity and Access Management User Guide を参照してください。

本製品 は、一時クレデンシャルの有効期間中、長期的な認証情報（IAM ユーザー認証情報など）によって提供されるものと同じ権限を使用してリソースをリクエストできるようになりました。

認証にIAM ロールも使用している場合は、さらに以下を指定する必要があります。

• AWSRoleARN：認証したいロールのRole ARN を指定。これにより、本製品 は指定されたロールの認証情報を 取得しようと試みます。
• AWSExternalId（オプション）：別のアカウントでロールを引き受ける場合にのみ必要です。

EC2 インスタンス

EC2 インスタンスから本製品 を使用していて、そのインスタンスにIAM ロールが割り当てられている場合は、 認証にIAM ロールを使用できます。これを行うには、次のプロパティを設定して認証します。

• AuthScheme：AwsEC2Roles に設定。

AWSAccessKey およびAWSSecretKey は指定しないでください。本製品 は自動的にIAM ロールの認証情報を取得し、それらを使って認証します。

認証にIAM ロールも使用している場合は、さらに以下を指定する必要があります。

• AWSRoleARN：認証したいロールのRole ARN を指定。これにより、本製品 は指定されたロールの認証情報を 取得しようと試みます。
• AWSExternalId（オプション）：別のアカウントでロールを引き受ける場合にのみ必要です。

IMDSv2 サポート

Amazon DynamoDB 本製品 は、IMDSv2 をサポートしています。IMDSv1 とは異なり、新バージョンでは認証トークンが必須です。エンドポイントおよびレスポンスは、両バージョンで同じです。 IMDSv2 では、Amazon DynamoDB 本製品 はまずIMDSv2 メタデータトークンの取得を試み、それを使用してAWS メタデータエンドポイントを呼び出します。トークンを取得できない場合、本製品 はIMDSv1 を使用します。

AWS IAM ロール

多くの場合、認証にはAWS ルートユーザーのダイレクトなセキュリティ認証情報ではなく、IAM ロールを使用することをお勧めします。

AWS ロールとして認証するには、次を設定します。

• AuthScheme：AwsIAMRoles に設定。
• AWSAccessKey：ロールを担うIAM ユーザーのアクセスキー。
• AWSSecretKey：ロールを担うIAM ユーザーのシークレットキー。
• AWSRoleARN：認証したいロールのRole ARN を指定。これにより、本製品 は指定されたロールの認証情報を 取得しようと試みます。
• AWSExternalId（オプション）：別のアカウントでロールを引き受ける場合にのみ必要です。

Note： AWS ルートユーザーのAWSAccessKey およびAWSSecretKey を指定する場合、ロールは使用できません。

ADFS

AuthScheme をADFS に設定します。次の接続プロパティを設定する必要があります。

• User：ADFS ユーザーに設定。
• Password：ユーザーのADFS パスワードに設定。
• SSOLoginURL：SSO プロバイダーが使用するログインURL に設定。

以下は接続文字列の例です。

AuthScheme=ADFS; AWSRegion=Ireland; User=user@cdata.com; Password=CH8WerW121235647iCa6; SSOLoginURL='https://adfs.domain.com'; AWSRoleArn=arn:aws:iam::1234:role/ADFS_SSO; AWSPrincipalArn=arn:aws:iam::1234:saml-provider/ADFSProvider; S3StagingDirectory=s3://athena/staging;

ADFS 統合

ADFS 統合フローは、現在ログインしているWindows ユーザーの認証情報で接続していることを示します。 ADFS 統合フローを使うには、User およびPasswordを指定せず、それ以外は上記ADFS ガイドの手順と同じです。

Okta

AuthScheme をOkta に設定します。Okta を介した認証には、次の接続プロパティを使用します。

• User：Okta ユーザーに設定。
• Password：Okta パスワードに設定。
• SSOLoginURL：SSO プロバイダーが使用するログインURL に設定。

以下の場合、

• Okta クライアントリクエストコンテキストをオーバーライドする信頼されたアプリケーションまたはプロキシ経由でユーザーを認証する
• MFA を構成する

Okta を使用して認証するためには、SSOProperties 入力パラメータの組み合わせを使用する必要があります。それ以外の場合、これらの値を設定する必要はありません。

SSOProperties に、必要に応じて以下の入力パラメータを設定します。

• APIToken：Okta クライアントリクエストコンテキストをオーバーライドする、信頼されたアプリケーションまたはプロキシ経由でユーザーを認証する場合、これを顧客がOkta 組織で作成したAPI Token に設定します。
• MFAType：MFA フローを設定した場合に設定。現時点では、次のタイプをサポートしています：OktaVerify、Email、およびSMS。
• MFAPassCode：MFA フローを設定した場合にのみ設定。これを空欄または無効な値に設定した場合、本製品 はユーザーのデバイスまたはE メールにワンタイムパスワードチャレンジを発行します。パスコードを受信後、取得したワンタイムパスワードをMFAPassCode 接続プロパティに設定する接続を再度開きます。
• MFARememberDevice：Okta は、MFA が必要な場合にデバイスを記憶させることをサポートします。設定された認証ポリシーに従ってデバイスの記憶が許可されている場合、本製品 はMFA 認証の有効期間を延長するデバイストークンを送信します。このプロパティはデフォルトでTrue に設定されてます。MFA を記憶させない場合のみFalse に設定してください。

接続文字列の例：

AuthScheme=Okta; AWSRegion=Ireland; User=user@cdata.com; Password=CH8WerW121235647iCa6; SSOLoginURL='https://cdata-us.okta.com/home/amazon_aws/0oa35m8arsAL5f5NrE6NdA356/272'; SSOProperties='ApiToken=01230GGG2ceAnm_tPAf4MhiMELXZ0L0N1pAYrO1VR-hGQSf;'; AWSRoleArn=arn:aws:iam::1234:role/Okta_SSO; AWSPrincipalARN=arn:aws:iam::1234:saml-provider/OktaProvider; S3StagingDirectory=s3://athena/staging;

PingFederate

AuthScheme をPingFederate に設定します。次の接続プロパティを設定する必要があります。

• User：PingFederate ユーザーに設定。
• Password：ユーザーのPingFederate パスワードに設定。
• SSOLoginURL：SSO プロバイダーが使用するログインURL に設定。
• AWSRoleARN （オプション）：複数のロールARN がある場合、認可に使用したいものをオプションで指定できます。
• AWSPrincipalARN （オプション）：複数のプリンシパルARN がある場合、認可に使用したいものをオプションで指定できます。
• SSOExchangeUrl：SP Connections -> SP Connection -> WS-Trust -> Protocol Settings の下にあるPingFederate サーバーインスタンスで設定されるPartner Service Identifier URI。これはPingFederate SP Connection を一意に識別する必要があるため、AWS SSO ACS URL に設定することを推奨します。Authentication フィールドの横にあるAWS SSO -> Settings -> View Details の下で確認できます。
• SSOProperties （オプション）：Amazon S3 へのリクエストにユーザー名とパスワードを認可ヘッダーとして含めたい場合は、オプションで"AuthScheme=Basic" に設定できます。

追加で次のSSOProperties を使って、SSOLoginURL 用の相互SSL 認証（WS-Trust STS エンドポイント）の設定が可能です。

• SSLClientCert
• SSLClientCertType
• SSLClientCertSubject
• SSLClientCertPassword

以下は接続文字列の例です。

authScheme=pingfederate;SSOLoginURL=https://mycustomserver.com:9033/idp/sts.wst;SSOExchangeUrl=https://us-east-1.signin.aws.amazon.com/platform/saml/acs/764ef411-xxxxxx;user=admin;password=PassValue;AWSPrincipalARN=arn:aws:iam::215338515180:saml-provider/pingFederate;AWSRoleArn=arn:aws:iam::215338515180:role/SSOTest2;

MFA

多要素認証を必要とするユーザーおよびロールには、以下を指定して認証してください。

• AuthScheme：AwsMFA に設定。
• CredentialsLocation：MFA クレデンシャルが保存される設定ファイルの場所。詳しくは、接続文字列オプションのCredentials File Location のページを参照してください。
• MFASerialNumber：MFA デバイスが使用されている場合は、そのシリアル番号。
• MFAToken：MFA デバイスから利用できる一時トークン。

（すでにEC2 インスタンスなどで接続されているのではなく）AWS に接続している場合は、追加で以下を指定する必要があります。

• AWSAccessKey：MFA が発行されるIAM ユーザーのアクセスキー。
• AWSSecretKey：MFA が発行されるIAM ユーザーのシークレットキー。

認証にIAM ロールも使用している場合は、さらに以下を指定する必要があります。

• AWSRoleARN：認証したいロールのRole ARN を指定。これにより、本製品 はMFA を使用して指定されたロールの認証情報を 取得しようと試みます。
• AWSExternalId（オプション）：別のアカウントでロールを引き受ける場合にのみ必要です。

これにより、本製品 は一時的な認証情報を取得するために、リクエストでMFA 認証情報を送信します。

一時的な認証情報の有効期間（デフォルトは3600秒）は、TemporaryTokenDuration プロパティを設定することで制御できます。

クレデンシャルファイル

認証にはクレデンシャルファイルを使用することができます。AccessKey/SecretKey 認証、一時クレデンシャル、ロール認証、またはMFA に関連するすべての設定が使用できます。 これを行うには、次のプロパティを設定して認証します。

• AuthScheme：AwsCredentialsFile に設定。
• AWSCredentialsFile：クレデンシャルファイルの場所に設定。
• AWSCredentialsFileProfile（オプション）：オプションで、指定したクレデンシャルファイルから使用するプロファイルの名前に設定。指定しない場合は、default という名前のプロファイルが使用されます。

詳しくは、AWS Command Line Interface User Guide を参照してください。

AWS Cognito クレデンシャル

AWS Cognito のユーザープールに登録されたユーザーで本製品 を使用する場合は、以下のプロパティを設定して認証してください。

• AuthScheme：AwsCognitoSrp に設定（推奨）。また、AwsCognitoBasic を使用することもできます。
• AWSCognitoRegion：ユーザープールのリージョンに設定。
• AWSUserPoolId：ユーザープールのId に設定。
• AWSUserPoolClientAppId：ユーザープールのアプリクライアントId に設定。
• AWSUserPoolClientAppSecret：ユーザープールのクライアントシークレットに設定。
• AWSIdentityPoolId：ユーザープールとリンクしているID プールのId に設定。
• User：ユーザープールに登録されているユーザーのユーザー名に設定。
• Password：ユーザープールに登録されているユーザーのパスワードに設定。