Amazon Athena への接続を追加

1. アプリケーションコンソールで、接続ページに移動します。
2. 接続の追加パネルで、追加したい接続のアイコンを選択します。
3. Amazon Athena アイコンが利用できない場合は、Add More アイコンをクリックしてCData サイトからAmazon Athena コネクタをダウンロードおよびインストールします。

必須プロパティについては、設定タブを参照してください。

通常必須ではない接続プロパティについては、高度な設定タブを参照してください。

Amazon Athena への接続

データに接続するには、以下の基本的な接続パラメータを指定します。

• DataSource：接続するAmazon Athena データソース。
• Database：接続するAmazon Athena データベース。
• AWSRegion：Amazon Athena データがホストされているリージョン。
• S3StagingDirectory：クエリの結果を保存するS3 フォルダ。

Database またはDataSource が設定されていない場合、Sync App はAmazon Athena の利用可能なデータソースからすべてのデータベースをリストしようと試みます。両方のプロパティを設定することでSync App のパフォーマンスが向上します。

Amazon Athena への認証

AWS キーを取得

IAM ユーザーの認証情報を取得するには：

1. IAM コンソールにサインインします。
2. ナビゲーションペインでユーザーを選択します。
3. ユーザーのアクセスキーを作成または管理するには、ユーザーを選択してからセキュリティ認証情報タブに移動します。

AWS ルートアカウントの資格情報を取得するには：

1. ルートアカウントの認証情報を使用してAWS 管理コンソールにサインインします。
2. アカウント名または番号を選択します。
3. 表示されたメニューでMy Security Credentials を選択します。
4. ルートアカウントのアクセスキーを管理または作成するには、Continue to Security Credentials をクリックし、［Access Keys］セクションを展開します。

ルートクレデンシャル

アカウントのルートクレデンシャルで認証するには、次のパラメータを設定します。

• AuthScheme：AwsRootKeys。
• AWSAccessKey：AWS ルートアカウントに紐づいているアクセスキー。
• AWSSecretKey：AWS ルートアカウントに紐づいているシークレットキー。

Note: Amazon discourages using root credentials for anything beyond simple testing. The account root credentials have the full permissions of the user, posing a security risk and making this the least secure authentication method.

多要素認証が必要な場合は、以下を指定します。

• CredentialsLocation：MFA クレデンシャルが保存される設定ファイルの場所。
• MFASerialNumber：MFA デバイスが使用されている場合は、そのシリアル番号。
• MFAToken：MFA デバイスから利用できる一時トークン。

Note： 一時的な認証情報の有効期間（デフォルトは3600秒）を制御するには、TemporaryTokenDuration プロパティを設定します。

一時クレデンシャル

一時クレデンシャルで認証するには、次を設定します。

• AuthScheme：TemporaryCredentials。
• AWSAccessKey：ロールを担うIAM ユーザーのアクセスキー。
• AWSSecretKey：ロールを担うIAM ユーザーのシークレットキー。
• AWSSessionToken：一時クレデンシャルと共に提供されるAWS のセッショントークン。 詳細はAWS Identity and Access Management ユーザーガイド を参照してください。

Sync App は、一時クレデンシャルの有効期間中、長期的な認証情報（IAM ユーザー認証情報など）によって提供されるものと同じ権限を使用してリソースをリクエストできるようになりました。

一時クレデンシャルおよびIAM ロールの両方を使用して認証するには、上記のすべてのパラメータを設定し、さらに以下のパラメータを指定します。

• AWSRoleARN：認証したいロールのRole ARN。これにより、Sync App は指定されたロールの認証情報を取得しようと試みます。
• AWSExternalId（オプション）：別のAWS アカウントでロールを引き受ける場合にのみ必要です。

多要素認証が必要な場合は、以下を指定します。

• CredentialsLocation：MFA クレデンシャルが保存される設定ファイルの場所。
• MFASerialNumber：MFA デバイスが使用されている場合は、そのシリアル番号。
• MFAToken：MFA デバイスから利用できる一時トークン。

Note： 一時的な認証情報の有効期間（デフォルトは3600秒）を制御するには、TemporaryTokenDuration プロパティを設定します。

EC2 インスタンスからのAWS の使用

AuthScheme をAwsEC2Roles に設定します。

EC2 インスタンスからSync App を使用していて、そのインスタンスにIAM ロールが割り当てられている場合は、 認証にIAM ロールを使用できます。Sync App は自動的にIAM ロールの認証情報を取得し、それらを使って認証するため、AWSAccessKey およびAWSSecretKey を指定する必要はありません。

認証にIAM ロールも使用している場合は、さらに以下を指定する必要があります。

• AWSRoleARN：認証したいロールのRole ARN を指定。これにより、Sync App は指定されたロールの認証情報を 取得しようと試みます。
• AWSExternalId（オプション）：別のAWS アカウントでロールを引き受ける場合にのみ必要です。

IMDSv2 サポート

Amazon Athena Sync App は、IMDSv2 をサポートしています。IMDSv1 とは異なり、新バージョンでは認証トークンが必須です。エンドポイントおよびレスポンスは、両バージョンで同じです。

IMDSv2 では、Amazon Athena Sync App はまずIMDSv2 メタデータトークンの取得を試み、それを使用してAWS メタデータエンドポイントを呼び出します。トークンを取得できない場合、Sync App はIMDSv1 を使用します。

AWS Web Identity

AuthScheme をAwsWebIdentity に設定します。

Web ID でロールを割り当てられるように構成されたコンテナ（OpenID Provider を持つEKS クラスタ内のPod など）からAmazon Athena を使用する場合、またはIAM ロールに関連付けられたWeb ID プロバイダーで認証する場合（ID トークンを取得する場合）、Web ID トークンとIAM ロールの情報を一時的なセキュリティ認証情報と交換し、AWS サービスを認証してアクセスすることができます。

コンテナの環境変数にAWS_ROLE_ARN とAWS_WEB_IDENTITY_TOKEN_FILE が指定されている場合、Amazon Athena は自動的に認証情報を取得します。

AWSRoleARN とAWSWebIdentityToken の両方を指定することで、AssumeRoleWithWebIdentity API 操作を実行して認証することもできます。

AWS IAM Roles

AWS ロールとして認証するには、次のプロパティを設定します。

• AWSAccessKey：ロールを担うIAM ユーザーのアクセスキー。
• AWSSecretKey：ロールを担うIAM ユーザーのシークレットキー。
• AWSRoleARN：認証したいロールのRole ARN を指定。これにより、Sync App は指定されたロールの認証情報を 取得しようと試みます。
• AWSExternalId（オプション）：別のAWS アカウントでロールを引き受ける場合にのみ必要です。

多要素認証が必要な場合は、以下を指定します。

• CredentialsLocation：MFA クレデンシャルが保存される設定ファイルの場所。
• MFASerialNumber：MFA デバイスが使用されている場合は、そのシリアル番号。
• MFAToken：MFA デバイスから利用できる一時トークン。

Note： 一時的な認証情報の有効期間（デフォルトは3600秒）を制御するには、TemporaryTokenDuration プロパティを設定します。

Note：状況によっては、AWS ルートユーザーのダイレクトなセキュリティ認証情報よりも、IAM ロールを使用して認証する方が望ましい場合があります。AWS ルートユーザーのAWSAccessKey およびAWSSecretKey を指定している場合、ロールは使用できません。

ADFS

ADFS に接続するには以下のプロパティを設定します。

• AuthScheme：ADFS。
• User：認証するADFS ユーザー。
• Password：認証するADFS ユーザーのパスワード。
• SSOLoginURL：SSO プロバイダーのログインURL。

接続文字列の例：

AuthScheme=ADFS; AWSRegion=Ireland; Database=sampledb; [email protected]; Password=CH8WerW121235647iCa6; SSOLoginURL='https://adfs.domain.com'; AWSRoleArn=arn:aws:iam::1234:role/ADFS_SSO; AWSPrincipalArn=arn:aws:iam::1234:saml-provider/ADFSProvider; S3StagingDirectory=s3://athena/staging;

ADFS 統合

ADFS 統合フローでは、現在Windows にログインしているユーザーの資格情報を使用して接続します。 ADFS 統合フローを使用するには、User およびPassword を指定せず、それ以外の設定は上記のADFS に記載された手順に従ってください。

Okta

Okta に接続するには以下のプロパティを設定します。

• AuthScheme：Okta。
• User：認証するOkta ユーザー。
• Password：認証するOkta ユーザーのパスワード。
• SSOLoginURL：SSO プロバイダーのログインURL。

Okta クライアントリクエストコンテキストをオーバーライドする信頼されたアプリケーションまたはプロキシのいずれかを使用する場合、またはMFA を設定している場合は、Okta を使用して認証するためにSSOProperties を組み合わせて使用する必要があります。必要に応じて、以下のいずれかを設定します。

• APIToken：Okta クライアントリクエストコンテキストをオーバーライドする、信頼されたアプリケーションまたはプロキシ経由でユーザーを認証する場合、これを顧客がOkta 組織で作成したAPI Token に設定します。
• MFAType：MFA フローを設定した場合、次の対応するタイプのいずれかに設定します：OktaVerify、Email、またはSMS。
• MFAPassCode：MFA フローを設定した場合は、有効なパスコードに設定します。
  これを空欄または無効な値に設定した場合、Sync App はユーザーのデバイスまたはE メールにワンタイムパスワードチャレンジを発行します。パスコードを受信後、取得したワンタイムパスワードをMFAPassCode 接続プロパティに設定する接続を再度開きます。
• MFARememberDevice：デフォルトはTrue です。Okta は、MFA が必要な場合にデバイスを記憶させることをサポートします。設定された認証ポリシーに従ってデバイスの記憶が許可されている場合、Sync App はMFA 認証の有効期間を延長するデバイストークンを送信します。MFA を記憶させない場合は、この 変数をFalse に設定してください。

接続文字列の例：

AuthScheme=Okta; AWSRegion=Ireland; Database=sampledb; [email protected]; Password=CH8WerW121235647iCa6; SSOLoginURL='https://cdata-us.okta.com/home/amazon_aws/0oa35m8arsAL5f5NrE6NdA356/272'; SSOProperties='ApiToken=01230GGG2ceAnm_tPAf4MhiMELXZ0L0N1pAYrO1VR-hGQSf;'; AWSRoleArn=arn:aws:iam::1234:role/Okta_SSO; AWSPrincipalARN=arn:aws:iam::1234:saml-provider/OktaProvider; S3StagingDirectory=s3://athena/staging;

PingFederate

• AuthScheme：PingFederate。
• User：認証するPingFederate ユーザー。
• Password：認証するユーザーのPingFederate パスワード。
• SSOLoginURL：SSO プロバイダーのログインURL。
• AWSRoleARN（オプション）：複数のロールARN がある場合は、認可に使用するARN を指定します。
• AWSPrincipalARN（オプション）：複数のプリンシパルARN がある場合は、認可に使用するARN を指定します。
• SSOExchangeURL: The Partner Service Identifier URI configured in your PingFederate server instance under: SP Connections > SP Connection > WS-Trust > Protocol Settings. This should uniquely identify a PingFederate SP Connection, so it is a good idea to set it to your AWS SSO ACS URL. You can find it under AWS SSO > Settings > View Details next to the Authentication field.
• SSOProperties（オプション）：Amazon S3へのリクエストにユーザー名とパスワードを認可ヘッダーとして含める場合は、Authscheme=Basic に設定します。

SSOLoginURL 用の相互SSL 認証（WS-Trust STS エンドポイント）を有効化するには、次の SSOProperties を設定します。

• SSLClientCert
• SSLClientCertType
• SSLClientCertSubject
• SSLClientCertPassword

接続文字列の例：

authScheme=pingfederate;SSOLoginURL=https://mycustomserver.com:9033/idp/sts.wst;SSOExchangeUrl=https://us-east-1.signin.aws.amazon.com/platform/saml/acs/764ef411-xxxxxx;user=admin;password=PassValue;AWSPrincipalARN=arn:aws:iam::215338515180:saml-provider/pingFederate;AWSRoleArn=arn:aws:iam::215338515180:role/SSOTest2;AWSRegion=Ireland;S3StagingDirectory=s3://somedirectory/staging;Database=athenadatabase;

クレデンシャルファイル

認証には、AccessKey / SecretKey 認証、一時クレデンシャル、ロール認証、またはMFAに関連する設定を含む、任意のクレデンシャルファイルを使用できます。

このためには、以下のプロパティを設定します。

• AuthScheme：AwsCredentialsFile。
• AWSCredentialsFile：クレデンシャルファイルの場所。
• AWSCredentialsFileProfile（オプション）：指定したクレデンシャルファイルから使用するプロファイルの名前。指定しない場合は、default という名前のプロファイルが使用されます。

AWS Cognito クレデンシャル

AWS Cognito のユーザープールに登録されたユーザーでSync App を使用する場合は、以下のプロパティを設定します。

• AuthSchemeAwsCognitoSrp（推奨）またはAwsCognitoBasic のいずれか。
• AWSCognitoRegion：ユーザープールのリージョン。
• AWSUserPoolId：ユーザープールのID。
• AWSUserPoolClientAppId：ユーザープールのアプリクライアントID。
• AWSUserPoolClientAppSecret：ユーザープールのクライアントシークレット。
• AWSIdentityPoolId：ユーザープールとリンクしているID プールのID。
• User：ユーザープールに登録されているユーザーのユーザー名。
• Password：ユーザープールに登録されているユーザーのパスワード。

AWS DataZone IDC

To use the Sync App with AWS DataZone IDC, configure the following connection properties. You can find the required values in the AWS DataZone portal by navigating to your project and reviewing the available connection details. Be sure to prefix each property with AWS, as required by this Sync App.

• AuthScheme: AwsDataZoneIDC.
• InitiateOAuth: GetAndRefresh to enable browser pop-up.
• AWSDataZoneDomainRegion: The DataZone region.
• AWSDataZoneDomainId: The DataZone domain ID.
• AWSDataZoneEnvironmentId: The DataZone environment ID.
• AWSIdentityCenterIssuerUrl: The AWS IDC Issuer URL.
• Workgroup (optional): Based on configured permissions.

Azure Active Directory

Note：Microsoft はAzure AD をEntra ID にリブランドしました。ユーザーがEntra ID 管理サイトを操作する必要があるトピックでは、Microsoft が使用している名称と同じものを使用します。ただし、名前または値が"Azure AD" を参照しているCData 接続プロパティは、依然として存在します。

この構成はOAuth 2.0 On-Behalf-Of フロー（Microsoft identity platform and OAuth 2.0 On-Behalf-Of flow）を使用し、次の2つのMicrosoft Entra アプリケーションを必要とします：

• シングルサインオンに使用されるAmazon Athena アプリケーション
• Amazon Athena アプリケーションに対するuser_impersonation 権限を持つ別の"コネクタ" アプリケーション。

SSO アプリケーションの作成

SSO アプリケーションにuser_impersonation 権限を持つアプリケーションを作成するには、以下の手順に従ってください。

1. クラウドアプリケーション管理者以上の権限でMicrosoft Entra 管理センターにサインインします。
2. ID -> Applications -> アプリの登録に移動します。
3. ページ上部の新規登録をクリックします。
4. 名前を入力し、サポートされているアカウントの種類を適宜選択します。
5. リダイレクトURL ドロップダウンでWeb を選択し、http://localhost:33333 と入力します。
6. 登録を選択します。
7. "Overview" セクションに、OAuthClientId（アプリケーションID）が表示されます。
8. API のアクセス許可 -> アクセス許可の追加を選択します。
9. ［所属する組織で使用しているAPI］ タブでAPI 名またはアプリケーションID を指定してSSO アプリケーションのAPI を選択します。
10. 利用可能なアクセス許可のリストからuser_impersonation を選択します。
11. アクセス許可の追加を選択します。
12. 証明書とシークレットを選択します。
13. 新しいクライアントシークレットを選択します。
14. オプションで、説明を入力してデフォルトの有効期限を変更し、追加を選択します。
15. クライアントシークレット（表示されるOAuth シークレットの［値］フィールド）を控えておきます。

• OAuthClientId：アプリケーション登録の概要セクションにリストされている、コネクタアプリケーションのアプリケーションId。
• OAuthClientSecret：コネクタアプリケーションのクライアントシークレット値。新しいクライアントシークレットを作成すると、Azure AD にこれが表示されます。
• CallbackURL：コネクタアプリケーションのリダイレクトURI に設定。例：https://localhost:33333。
• InitiateOAuth：GETANDREFRESH。

以下のSSO プロパティを使用して、AzureAD へ認証します。

• Resource：アプリケーション登録の概要セクションにリストされている、Amazon Athena アプリケーションのアプリケーションId URI。ほとんどの場合、これはカスタムAmazon Athena ドメインのURL です。
• AzureTenant：アプリケーションが登録されているAzure AD テナントのId。

接続文字列の例：

AuthScheme=AzureAD;InitiateOAuth=GETANDREFRESH;OAuthClientId=3ea1c786-d527-4399-8c3b-2e3696ae4b48;OauthClientSecret=xxx;CallbackUrl=https://localhost:33333;SSOProperties='Resource=https://signin.aws.amazon.com/saml;AzureTenant=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx';

Amazon Athena 動作のカスタマイズ

下記の手順に従って、Amazon Athena をクエリするためのデフォルトSync App を設定します。

QueryPassthrough の使用

Amazon Athena は通常のSQL-92 標準で規定されていない一連のクエリをサポートしており、これらのクエリの実行はQueryPassthrough をtrue に設定するだけで可能です。これによって、内部でパースすることなくクエリを直接Amazon Athena に渡します。

Flattening Nested Objects and Arrays

The Sync App is capable of flattening array elements and object properties into columns. See the pages for FlattenArrays and FlattenObjects for more information.

クエリ結果のS3での暗号化

クエリ実行後にS3 に格納された結果セットを暗号化するには、EncryptionKey およびEncryptionType を設定します。

S3 に格納された結果を暗号化するには、次のステップを実行します。

1. ［Amazon Athena コンソール］に移動します。
2. ［設定］をクリックします。
3. ［クエリ結果の暗号化］オプションを有効にします。
4. ［暗号化タイプ］を選択して、接続の際にEncryptionType を設定します。
5. SSE-KMS またはCSE-KMS を選択した場合には、EncryptionType およびEncryptionKey を両方とも設定します。メニュー内の暗号化キーを選択するか、［KMS キーの作成］をクリックしてください。

Cleaning Query Results

Amazon Athena stores the results of every query you execute in CSV files in S3StagingDirectory; these can quickly rack up a lot of space in Amazon S3. You can use CleanQueryResults, enabled by default, to clean these files for every query executed.

Note that this behavior will add a minor performance hit when you disconnect the last connection in a process.

Using Athena's Query Caching

You configure QueryCachingLevel to modify the usage of the query results stored in S3StagingDirectory; note that you have to keep the connection open to benefit from this feature. This is especially helpful when executing a certain query multiple times. This means Amazon Athena will not scan the same data again and simply use the results from the previous execution. These results are cleaned in the amount of seconds specified in QueryTolerance.

Note that failing to properly disconnect the connection when QueryCachingLevel is set to Cloud may lead to a large amount of saved queries in Athena. For most use cases setting QueryCachingLevel to Local should be enough.

Fine Tuning Performance

You can use the PageSize property to optimize use of your provisioned throughput, based on the size of your items and Amazon Athena's 1000MB page size. Set this property to the number of items to return.

Generally, a smaller page size reduces spikes in throughput that cause throttling. A smaller page size also inserts pauses between requests. This interval evens out the distribution of requests and allows more requests to be successful by avoiding throttling.

We recommend using predefined roles for services rather than creating custom IAM policies, but if you want to create custom polices, use the roles described in the table below. Note that the specific policies required by the Amazon Athena driver are subject to change in future releases. Amazon Athena requires at a minimum the following permissions:

"arn:aws:athena:us-east-1:987654321098:datacatalog/*"

            "Resource": [
                "arn:aws:glue:region123:111111111111:table/*/*",
                "arn:aws:glue:region123:111111111111:database/*",
                "arn:aws:glue:region123:111111111111:catalog"
            ]
			

Federated Queries

    {
        "Effect": "Allow",
        "Action": [
            "lambda:InvokeFunction"
        ],
        "Resource": [
            "arn:aws:lambda:us-east-1:987654321098:function:cloudwatchtest1"
        ]
    }
 

このセクションでは、Amazon Athena Sync App の高度な機能を厳選して説明します。

ユーザー定義ビュー

Sync App はユーザー定義ビューの使用をサポートします。これは事前設定されたユーザー定義クエリによって内容が決定される仮想テーブルです。 このビューは、ドライバーに発行されるクエリを直接制御できない場合に有効です。 カスタムビューの作成と設定の概要については、ユーザー定義ビュー を参照してください。

SSL の設定

SSL の設定 を使用して、Sync App が証明書のネゴシエーションをどのように扱うかを調整します。さまざまな証明書形式を選択できます。詳しくは、「接続文字列オプション」にあるSSLServerCert プロパティを参照してください。

ファイアウォールとプロキシ

Windows プロキシとHTTP プロキシを含むファイアウォールとプロキシ に合致するようSync App を設定します。トンネル接続を設定することもできます。

クエリ処理

詳しくは、クエリ処理 を参照してください。

ログ

SSL 設定のカスタマイズ

デフォルトでは、Sync App はサーバーとのTLS のネゴシエーションを試みます。サーバー証明書は、デフォルトのシステム信頼済み証明書ストアで検証されます。SSLServerCert 接続プロパティを使用して、証明書の検証方法をオーバーライドできます。

別の証明書を指定するには、SSLServerCert 接続プロパティを参照してください。

Firewall またはProxy 経由の接続

HTTP プロキシ

HTTP プロキシへの認証には、以下のように設定します。

• ProxyServer：HTTP トラフィックをルートするプロキシサーバーのホストネームもしくはIP アドレス。
• ProxyPort：プロキシサーバーが起動しているTCP ポート。
• ProxyAuthScheme：プロキシサーバーに対して認証する際にSync App が使用する認証方法。
• ProxyUser：プロキシサーバーに登録されているユーザーアカウントのユーザー名。
• ProxyPassword：ProxyUser に紐付けられたパスワード。

その他のプロキシ

次のプロパティを設定します。

• プロキシベースのファイヤーウォールを使用するには、FirewallType、FirewallServer、およびFirewallPort を設定します。
• 接続をトンネルするには、FirewallType をTUNNEL に設定します。
• 認証するには、FirewallUser とFirewallPassword を設定します。
• SOCKS プロキシへの認証には、さらにFirewallType をSOCKS5 に設定します。

Stored Procedures

システムテーブル

Authentication

Connection

AWS Authentication

SSO

OAuth

SSL

Firewall

Proxy

Logging

Schema

Miscellaneous

このセクションでは、本プロバイダーの接続文字列で設定可能なAuthentication プロパティの全リストを提供します。

Your Athena VPC Endpoint. It will override the default athena.{region}.amazonaws.com endpoint.

解説

Your Athena VPC Endpoint. It will override the default athena.{region}.amazonaws.com endpoint.

Specifies the location Amazon Athena will use to store the results of a query.

解説

Specifies the location Amazon Athena will use to store the results of a query. This folder can occupy space over the course of time and you may want to clean it manually if CleanQueryResults is not enabled.

Specifies the encryption option for query results in Athena.

解説

Specifies the encryption option for query results in Athena. This option is required if you have configured Amazon Athena to encrypt query results; Set EncryptionType and EncryptionKey if you would like to encrypt the result set stored in S3 after query execution. Note that setting these properties does not encrypt the result set in S3StagingDirectory.

To encrypt Amazon Athena query results, follow the following steps:

1. Navigate to Amazon Athena Console.
2. Click Settings.
3. Enable the Encrypt Query Results option.
4. Select the Encryption type.
5. If you selected SSE-KMS or CSE-KMS, select an encryption key in the menu or click Create KMS Key. Set EncryptionKey in addition to EncryptionType when you connect.

Specifies the encryption key when encrypting results stored in S3.

解説

Specifies the encryption key when encrypting results stored in S3. This option is required if the EncryptionType is set to SSE_KMS or CSE_KMS.

Set EncryptionType and EncryptionKey if you would like to encrypt the result set stored in S3 after query execution. Note that this does not encrypt the result set in S3StagingDirectory.

Enabling Encryption

To enable the encryption of results stored in S3, see データアクセスのファインチューニング.

Obtaining an Encryption Key

You can create a key when you enable encryption. Or, create a key in the IAM console: Click Encryption Keys, select a region, and then click Create Key. To obtain the key, sign into the AWS Management console and click Services -> IAM -> Encryption Keys -> Create Key.

The name of the Athena Data Source.

解説

The data source to connect to when querying Athena. For MetadataDiscoveryMethod=Glue, AwsDataCatalog is used as the default data source.

The name of the Athena database.

解説

The database to connect to when querying Athena.

このセクションでは、本プロバイダーの接続文字列で設定可能なConnection プロパティの全リストを提供します。

The Account Id to use when retrieving metadata from Glue. Default is current account id.

解説

When the property MetadataDiscoveryMethod has been set to 'Glue' then user is able to specify a Cross Account Id which they have permissions to access, and this account will be used to retrieve metadata. See more information here: https://docs.aws.amazon.com/glue/latest/dg/cross-account-access.html

この設定はしきい値をバイト単位で設定します。このしきい値を超えると、provider は1つのリクエストですべてをアップロードするのではなく、マルチパートでアップロードを実行します。

解説

この設定はしきい値をバイト単位で設定します。このしきい値を超えると、Sync App は1つのリクエストですべてをアップロードするのではなく、マルチパートでアップロードを実行します。

このプロパティがtrue に設定される場合、AWSLakeFormation サービスは、設定されたIAM ロールに基づくユーザーに対してアクセスポリシーを適用する一時的な資格情報を取得するために使用されます。このサービスは、SAML アサーションを提供した上で、OKTA、ADFS、AzureAD、PingFederate 経由で認証する場合に使用できます。

解説

このプロパティがtrue に設定される場合、AWSLakeFormation サービスは、設定されたIAM ロールに基づくユーザーに対してアクセスポリシーを適用する一時的な資格情報を取得するために使用されます。このサービスは、SAML アサーションを提供した上で、OKTA、ADFS、AzureAD、PingFederate 経由で認証する場合に使用できます。

このセクションでは、本プロバイダーの接続文字列で設定可能なAWS Authentication プロパティの全リストを提供します。

Amazon Athena に接続する際に使用する認証の種類を指定します。このプロパティが空白の場合は、デフォルトの認証が使用されます。

解説

• ADFS：ADFS をID プロバイダーとしたシングルサインオン接続を使用する場合に設定します。
• AwsRootKeys：クイックテストを実行するために、ルートユーザーのアクセスキーとシークレットを使用して認証します。（本番環境のユースケースでは、権限を絞ったものを使用することをお勧めします。）
• AwsIAMRoles：IAM ロールを使用して認証します。
• AwsEC2Roles：Sync App が現在実行されているEC2 マシンに割り当てられたIAM ロールを、自動的に使用します。
• AwsWebIdentity：Web Identity を使用して認証します。
• AwsCredentialsFile：認証にクレデンシャルファイルを使用するために設定します。
• Okta：OKTA をID プロバイダーとしたシングルサインオン接続を使用する場合に設定します。
• KeyCloak：KeyCloak を使用して認証します。
• TemporaryCredentials：一時的なセキュリティ認証情報を、セッショントークンと一緒に利用して認証します。
• PingFederate：PingFederate をID プロバイダーとしたシングルサインオン接続を使用する場合に設定します。
• AwsCognitoBasic：Cognito ベースの認証を使用するために設定します。
• AwsCognitoSrp：Cognito ベースの認証を使用するために設定します。このオプションは、認証のためにパスワードをサーバーに送信せず、代わりにSRP プロトコルを使用します。そのため、AwsCognitoBasic よりもこのオプションを推奨します。
• AwsDataZoneIDC：DataZone IDC 認証を使用するために設定します。
• AzureAD：AzureAD を使用して認証します。

AWS アカウントのアクセスキーを指定します。この値には、AWS セキュリティ認証情報ページからアクセスできます。

解説

AWS アカウントのアクセスキーを見つけるには、次の手順に従います。

1. ルートアカウントの認証情報を使用してAWS 管理コンソールにサインインします。
2. アカウント名または番号を選択します。
3. メニューでMy Security Credentials を選択します。
4. Continue to Security Credentials をクリックします。
5. ルートアカウントのアクセスキーを表示または管理するには、Access Keys セクションを展開します。

AWS アカウントのシークレットキー。この値には、［AWS セキュリティ認証情報］ページからアクセスできます。

解説

AWS アカウントのシークレットキー。この値には、［AWS セキュリティ認証情報］ページからアクセスできます。

1. ルートアカウントの認証情報を使用してAWS 管理コンソールにサインインします。
2. アカウント名または番号を選択し、表示されたメニューで［My Security Credentials］を選択します。
3. ［Continue to Security Credentials］をクリックし、［Access Keys］セクションを展開して、ルートアカウントのアクセスキーを管理または作成します。

認証時に使用するロールのAmazon リソースネーム。

解説

AWS の外部で認証する場合は、AWS アカウント認証情報ではなく、ロールを認証に使用するのが 一般的です。AWSRoleARN を入力すると、CData Sync App はAWSAccessKey とAWSSecretKey を直接 使用する代わりに、ロールベースの認証を実行します。この認証を実行するためには、AWSAccessKey と AWSSecretKey を指定する必要があります。RoleARN を設定するときは、AWS ルートユーザーの 認証情報を使用できません。AWSAccessKey およびAWSSecretKey はIAM ユーザーのものである必要があります。

AWS アカウントのSAML ID プロバイダーのARN。

解説

AWS アカウントのSAML ID プロバイダーのARN。

Amazon Web サービスのホスティングリージョン。

解説

Amazon Web サービスのホスティングリージョン。利用可能な値は、OHIO、NORTHERNVIRGINIA、NORTHERNCALIFORNIA、OREGON、CAPETOWN、HONGKONG、TAIPEI、HYDERABAD、JAKARTA、MALAYSIA、MELBOURNE、MUMBAI、OSAKA、SEOUL、SINGAPORE、SYDNEY、THAILAND、TOKYO、CENTRAL、CALGARY、BEIJING、NINGXIA、FRANKFURT、IRELAND、LONDON、MILAN、PARIS、SPAIN、STOCKHOLM、ZURICH、TELAVIV、MEXICOCENTRAL、BAHRAIN、UAE、SAOPAULO、GOVCLOUDEAST、GOVCLOUDWEST、ISOLATEDUSEAST、ISOLATEDUSEASTB、ISOLATEDUSEASTF、ISOLATEDUSSOUTHF、ISOLATEDUSWEST、およびISOLATEDEUWEST です。

認証に使用するAWS クレデンシャルファイルへのパス。

解説

認証に使用するAWS クレデンシャルファイルへのパス。詳しくは、https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html を参照してください。

提供されたAWSCredentialsFile から使用されるプロファイルの名前。

解説

提供されたAWSCredentialsFile から使用されるプロファイルの名前。詳しくは、https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html を参照してください。

AWS のセッショントークン。

解説

AWS のセッショントークン。この値はさまざまな方法で取得できます。詳しくは、this link を参照してください。

他のアカウントでロールを引き受ける際に必要となる一意の識別子。

解説

他のアカウントでロールを引き受ける際に必要となる一意の識別子。

MFA デバイスが使用されている場合は、そのシリアル番号。

解説

AWS マネジメントコンソールにアクセスしてユーザーのセキュリティ認証情報を表示することで、IAM ユーザーのデバイスを見つけることができます。 仮想デバイスの場合、これは実際にはAmazon リソースネームです（ arn:aws:iam::123456789012:mfa/user など）。

MFA デバイスから利用できる一時トークン。

解説

MFA が必要な場合、この値はログインのためのテンポラリクレデンシャルを取得するためにMFASerialNumber とともに使用されます。 AWS から入手可能な一時的な認証情報はデフォルトで最長1時間しか持続しません（TemporaryTokenDuration を参照してください）。時間が経過したら、新しい認証情報を取得できるように、接続を 更新して新しいMFA トークンを指定する必要があります。

一時トークンが持続する時間（秒単位）。

解説

一時トークンは、MFA 認証とロールベース認証の両方で使用されます。一時トークンは、やがてタイムアウトします。 そのときには、新しい一時トークンを取得する必要があります。MFA が使用されていない状況では、これは大したこと ではありません。一時トークンが期限切れになると、CData Sync App は内部的に新しい一時トークンをリクエストします。

ただし、MFA が必要な接続の場合は、新しい一時トークンを取得するために新しいMFAToken を接続で指定 する必要があります。これは、ユーザーによる接続の更新が必要になるため、より煩わしい問題です。指定できる 最大値と最小値は、使用されている接続によって大きく異なります。

ロールベース認証の場合は、最小期間は900秒（15分）で、最大期間は3600秒（1時間）です。 ロールベース認証でMFA が使用されている場合でも、3600秒が依然として最大です。

MFA 認証自体では（IAM ユーザーまたはルートユーザーを使用）、最小値は900秒（15分）、 最大値は129600（36時間）です。

AWS Cognito のホスティングリージョン。

解説

AWS Cognito のホスティングリージョン。利用可能な値は、OHIO、NORTHERNVIRGINIA、NORTHERNCALIFORNIA、OREGON、CAPETOWN、HONGKONG、TAIPEI、HYDERABAD、JAKARTA、MALAYSIA、MELBOURNE、MUMBAI、OSAKA、SEOUL、SINGAPORE、SYDNEY、THAILAND、TOKYO、CENTRAL、CALGARY、BEIJING、NINGXIA、FRANKFURT、IRELAND、LONDON、MILAN、PARIS、SPAIN、STOCKHOLM、ZURICH、TELAVIV、MEXICOCENTRAL、BAHRAIN、UAE、SAOPAULO、GOVCLOUDEAST、GOVCLOUDWEST、ISOLATEDUSEAST、ISOLATEDUSEASTB、ISOLATEDUSEASTF、ISOLATEDUSSOUTHF、ISOLATEDUSWEST、およびISOLATEDEUWEST です。

ユーザープールのID。

解説

［AWS Cognito］->［Manage User Pools（ユーザープールの管理）］->［select your user pool（ユーザープールを選択）］->［General settings（全般設定）］->［Pool ID（プールのID）］で確認できます。

ユーザープールのアプリクライアントID。

解説

［AWS Cognito］->［Manage Identity Pools（ID プールの管理）］->［select your user pool（ユーザープールを選択）］->［General settings（全般設定）］->［App clients（アプリクライアント）］->［App client ID（アプリクライアントID）］で確認できます。

ユーザープールのアプリクライアントシークレット。（オプション）

解説

［AWS Cognito］->［Manage Identity Pools（ID プールの管理）］->［select your user pool（ユーザープールを選択）］->［General settings（全般設定）］->［App clients（アプリクライアント）］->［App client secret（アプリクライアントシークレット）］で確認できます。

ID プールのID。

解説

［AWS Cognito］->［Manage Identity Pools（ID プールの管理）］->［select your identity pool（ID プールを選択）］->［Edit identity pool（ID プールの編集）］->［Identity Pool（ID プール）］で確認できます。

ID プロバイダーが提供するOAuth 2.0 アクセストークンまたはOpenID Connect ID トークン。

解説

ID プロバイダーが提供するOAuth 2.0 アクセストークンまたはOpenID Connect ID トークン。 アプリケーションは、Web ID プロバイダーでユーザーを認証することで、このトークンを取得できます。 指定しない場合、この接続プロパティの値は、 環境変数'AWS_WEB_IDENTITY_TOKEN_FILE' の値から自動的に取得されます。

Identifier of the DataZone domain to use.

解説

The AWS Region where your DataZone environment and service workgroup are provisioned.

解説

The hosting region for your Amazon Web Services. 利用可能な値は、OHIO、NORTHERNVIRGINIA、NORTHERNCALIFORNIA、OREGON、CAPETOWN、HONGKONG、TAIPEI、HYDERABAD、JAKARTA、MALAYSIA、MELBOURNE、MUMBAI、OSAKA、SEOUL、SINGAPORE、SYDNEY、THAILAND、TOKYO、CENTRAL、CALGARY、BEIJING、NINGXIA、FRANKFURT、IRELAND、LONDON、MILAN、PARIS、SPAIN、STOCKHOLM、ZURICH、TELAVIV、MEXICOCENTRAL、BAHRAIN、UAE、SAOPAULO、GOVCLOUDEAST、GOVCLOUDWEST、ISOLATEDUSEAST、ISOLATEDUSEASTB、ISOLATEDUSEASTF、ISOLATEDUSSOUTHF、ISOLATEDUSWEST、およびISOLATEDEUWEST です。

The DataZone API endpoint to be used instead of the default for the provided AWS Region.

解説

Identifier of the DataZone environment to use.

解説

The issuer URL of the IAM Identity Center instance that the DataZone domain uses.

解説

このセクションでは、本プロバイダーの接続文字列で設定可能なSSO プロパティの全リストを提供します。

SSO 経由でIDP の認証に使用するIDP ユーザー。

解説

このフィールドは、Password とともに、SSO 接続でAmazon Athena サーバーに対して認証をするために使われます。

SSO 経由でIDP ユーザーの認証に使用するパスワード。

解説

User およびPassword をSSO 接続で一緒に使用してサーバーで認証を行います。

ID プロバイダーのログインURL。

解説

ID プロバイダーのログインURL。

セミコロンで区切られたID プロバイダーへの接続に必要な追加プロパティ。

解説

セミコロンで区切られたID プロバイダーへの接続に必要な追加プロパティ。SSOProperties はAWSRoleARN およびAWSPrincipalARN と一緒に使用します。次のセクションでは、OKTA ID プロバイダーの利用サンプルを示します。

ADFS

ADFS に接続するには以下のプロパティを設定します。

• AuthScheme：ADFS。
• User：認証するADFS ユーザー。
• Password：認証するADFS ユーザーのパスワード。
• SSOLoginURL：SSO プロバイダーのログインURL。

接続文字列の例：

AuthScheme=ADFS; AWSRegion=Ireland; Database=sampledb; [email protected]; Password=CH8WerW121235647iCa6; SSOLoginURL='https://adfs.domain.com'; AWSRoleArn=arn:aws:iam::1234:role/ADFS_SSO; AWSPrincipalArn=arn:aws:iam::1234:saml-provider/ADFSProvider; S3StagingDirectory=s3://athena/staging;

ADFS 統合

ADFS 統合フローでは、現在Windows にログインしているユーザーの資格情報を使用して接続します。 ADFS 統合フローを使用するには、User およびPassword を指定せず、それ以外の設定は上記のADFS に記載された手順に従ってください。

Okta

Okta に接続するには以下のプロパティを設定します。

• AuthScheme：Okta。
• User：認証するOkta ユーザー。
• Password：認証するOkta ユーザーのパスワード。
• SSOLoginURL：SSO プロバイダーのログインURL。

Okta クライアントリクエストコンテキストをオーバーライドする信頼されたアプリケーションまたはプロキシのいずれかを使用する場合、またはMFA を設定している場合は、Okta を使用して認証するためにSSOProperties を組み合わせて使用する必要があります。必要に応じて、以下のいずれかを設定します。

• APIToken：Okta クライアントリクエストコンテキストをオーバーライドする、信頼されたアプリケーションまたはプロキシ経由でユーザーを認証する場合、これを顧客がOkta 組織で作成したAPI Token に設定します。
• MFAType：MFA フローを設定した場合、次の対応するタイプのいずれかに設定します：OktaVerify、Email、またはSMS。
• MFAPassCode：MFA フローを設定した場合は、有効なパスコードに設定します。
  これを空欄または無効な値に設定した場合、Sync App はユーザーのデバイスまたはE メールにワンタイムパスワードチャレンジを発行します。パスコードを受信後、取得したワンタイムパスワードをMFAPassCode 接続プロパティに設定する接続を再度開きます。
• MFARememberDevice：デフォルトはTrue です。Okta は、MFA が必要な場合にデバイスを記憶させることをサポートします。設定された認証ポリシーに従ってデバイスの記憶が許可されている場合、Sync App はMFA 認証の有効期間を延長するデバイストークンを送信します。MFA を記憶させない場合は、この 変数をFalse に設定してください。

接続文字列の例：

AuthScheme=Okta; AWSRegion=Ireland; Database=sampledb; [email protected]; Password=CH8WerW121235647iCa6; SSOLoginURL='https://cdata-us.okta.com/home/amazon_aws/0oa35m8arsAL5f5NrE6NdA356/272'; SSOProperties='ApiToken=01230GGG2ceAnm_tPAf4MhiMELXZ0L0N1pAYrO1VR-hGQSf;'; AWSRoleArn=arn:aws:iam::1234:role/Okta_SSO; AWSPrincipalARN=arn:aws:iam::1234:saml-provider/OktaProvider; S3StagingDirectory=s3://athena/staging;

SAML 応答を処理してサービスの資格情報と交換するために使用するURL。

解説

CData Sync App はここで指定されたURL を使用してSAML 応答を処理し、サービスの資格情報と交換します。 取得した資格情報はSSO 接続時の最後の情報であり、Amazon Athena との通信に使用されます。

このセクションでは、本プロバイダーの接続文字列で設定可能なOAuth プロパティの全リストを提供します。

カスタムOAuth アプリケーションに割り当てられたクライアントID（コンシューマーキーとも呼ばれます）を指定します。このID は、認証時にOAuth 認可サーバーにアプリケーションを識別させるために必要です。

解説

このプロパティは2つのケースで必要となります：

• カスタムOAuth アプリケーションを使用する場合。たとえば、Web ベースの認証フロー、サービスベースの認証、またはアプリケーションの登録が必要な証明書ベースのフローなどが該当します。
• ドライバーが埋め込みOAuth 資格情報を提供しない場合。

（ドライバーが埋め込みOAuth 資格情報を提供する場合、この値はすでにSync App によって設定されており、手動で入力する必要がないことがあります。）

OAuthClientId は、認証付きの接続を構成する際に、OAuthClientSecret やOAuthSettingsLocation などの他のOAuth 関連プロパティと一緒に使用されるのが一般的です。

OAuthClientId は、ユーザーがOAuth 経由で認証を行う前に設定する必要がある、主要な接続パラメータの1つです。 この値は、通常、ID プロバイダーのアプリケーション登録設定で確認できます。 Client ID、Application ID、Consumer Key などとラベル付けされた項目を探してください。

クライアントID は、クライアントシークレットのような機密情報とは見なされませんが、アプリケーションの識別情報の一部であるため、慎重に取り扱う必要があります。公開リポジトリや共有設定ファイルでこの値を露出させないようにしてください。

接続設定時にこのプロパティを使用する方法の詳細については、接続の確立 を参照してください。

カスタムOAuth アプリケーションに割り当てられたクライアントシークレットを指定します。この機密情報は、OAuth 認可サーバーに対してアプリケーションを認証するために使用されます。（カスタムOAuth アプリケーションのみ）

解説

このプロパティ（アプリケーションシークレットまたはコンシューマシークレットとも呼ばれます）は、安全なクライアント認証を必要とするすべてのフローでカスタムOAuth アプリケーションを使用する場合に必要です。たとえば、Web ベースのOAuth、サービスベースの接続、証明書ベースの認可フローなどが該当します。 組み込みOAuth アプリケーションを使用する場合は必要ありません。

クライアントシークレットは、OAuth フローのトークン交換ステップで使用されます。このステップでは、ドライバーが認可サーバーにアクセストークンを要求します。 この値が欠落しているか正しくない場合、認証はinvalid_client またはunauthorized_client エラーで失敗します。

OAuthClientSecret は、ユーザーがOAuth 経由で認証を行う前に設定する必要がある、主要な接続パラメータの1つです。この値は、OAuth アプリケーションを登録する際にID プロバイダーから取得できます。

Notes：

• この値は安全に保管し、公開リポジトリやスクリプト、安全でない環境では決して公開しないようにしてください。
• クライアントシークレットは、一定期間が経過すると有効期限が切れる場合もあります。 アクセスを中断させないために、有効期限を常に監視し、必要に応じてシークレットをローテーションするようにしてください。

接続設定時にこのプロパティを使用する方法の詳細については、接続の確立 を参照してください。

このセクションでは、本プロバイダーの接続文字列で設定可能なSSL プロパティの全リストを提供します。

TLS/SSL を使用して接続する際に、サーバーが受け入れ可能な証明書を指定します。

解説

TLS/SSL 接続を使用している場合は、このプロパティを使用して、サーバーが受け入れるTLS/SSL 証明書を指定できます。このプロパティに値を指定すると、マシンによって信頼されていない他の証明書はすべて拒否されます。

このプロパティは、次のフォームを取ります：

Note：'*' を使用してすべての証明書を受け入れるように指定することも可能ですが、セキュリティ上の懸念があるため推奨されません。

このセクションでは、本プロバイダーの接続文字列で設定可能なFirewall プロパティの全リストを提供します。

provider がプロキシベースのファイアウォールを介してトラフィックをトンネリングするために使用するプロトコルを指定します。

解説

プロキシベースのファイアウォール（またはプロキシファイアウォール）は、ユーザーのリクエストとそれがアクセスするリソースの間に介在するネットワークセキュリティデバイスです。 プロキシは認証済みのユーザーのリクエストを受け取り、ファイアウォールを通過して適切なサーバーにリクエストを送信します。

プロキシは、リクエストを送信したユーザーに代わってデータバケットを評価し転送するため、ユーザーはサーバーに直接接続することなく、プロキシのみに接続します。

Note：デフォルトでは、Sync App はシステムプロキシに接続します。この動作を無効化し、次のプロキシタイプのいずれかに接続するには、ProxyAutoDetect をfalse に設定します。

次の表は、サポートされている各プロトコルのポート番号情報です。

HTTP プロキシへの接続には、ProxyServer およびProxyPort ポートを使ってください。HTTP プロキシへの認証には、ProxyAuthScheme、ProxyUser、およびProxyPassword を使ってください。

ファイアウォールを通過し、ユーザーのクエリをネットワークリソースに中継するために使用されるプロキシのIP アドレス、DNS 名、またはホスト名を識別します。

解説

プロキシベースのファイアウォール（またはプロキシファイアウォール）は、ユーザーのリクエストとそれがアクセスするリソースの間に介在するネットワークセキュリティデバイスです。 プロキシは認証済みのユーザーのリクエストを受け取り、ファイアウォールを通過して適切なサーバーにリクエストを送信します。

プロキシは、リクエストを送信したユーザーに代わってデータバケットを評価し転送するため、ユーザーはサーバーに直接接続することなく、プロキシのみに接続します。

プロキシベースのファイアウォールで使用するTCP ポートを指定します。

解説

プロキシベースのファイアウォール（またはプロキシファイアウォール）は、ユーザーのリクエストとそれがアクセスするリソースの間に介在するネットワークセキュリティデバイスです。 プロキシは認証済みのユーザーのリクエストを受け取り、ファイアウォールを通過して適切なサーバーにリクエストを送信します。

プロキシは、リクエストを送信したユーザーに代わってデータバケットを評価し転送するため、ユーザーはサーバーに直接接続することなく、プロキシのみに接続します。

プロキシベースのファイアウォールに認証するアカウントのユーザーID を識別します。

解説

プロキシベースのファイアウォール（またはプロキシファイアウォール）は、ユーザーのリクエストとそれがアクセスするリソースの間に介在するネットワークセキュリティデバイスです。 プロキシは認証済みのユーザーのリクエストを受け取り、ファイアウォールを通過して適切なサーバーにリクエストを送信します。

プロキシは、リクエストを送信したユーザーに代わってデータバケットを評価し転送するため、ユーザーはサーバーに直接接続することなく、プロキシのみに接続します。

プロキシベースのファイアウォールで認証するユーザーアカウントのパスワードを指定します。

解説

プロキシベースのファイアウォール（またはプロキシファイアウォール）は、ユーザーのリクエストとそれがアクセスするリソースの間に介在するネットワークセキュリティデバイスです。 プロキシは認証済みのユーザーのリクエストを受け取り、ファイアウォールを通過して適切なサーバーにリクエストを送信します。

プロキシは、リクエストを送信したユーザーに代わってデータバケットを評価し転送するため、ユーザーはサーバーに直接接続することなく、プロキシのみに接続します。

このセクションでは、本プロバイダーの接続文字列で設定可能なProxy プロパティの全リストを提供します。

provider が、手動で指定されたプロキシサーバーを使用するのではなく、既存のプロキシサーバー構成についてシステムプロキシ設定をチェックするかどうかを指定します。

解説

この接続プロパティをTrue に設定すると、Sync App は既存のプロキシサーバー構成についてシステムプロキシ設定をチェックします（プロキシサーバーの詳細を手動で入力する必要はありません）。

この接続プロパティは他のプロキシ設定より優先されます。特定のプロキシサーバーに接続するためにSync App を構成する場合は、ProxyAutoDetect をFalse に設定します。

HTTP プロキシへの接続には、ProxyServer を参照してください。SOCKS やトンネリングなどの他のプロキシには、FirewallType を参照してください。

HTTP トラフィックをルートするプロキシサーバーのホストネームもしくはIP アドレスを指定します。

解説

ProxyAutoDetect がFalse に設定されている場合、Sync App はこの接続プロパティで指定されたプロキシサーバーを通じてのみHTTP トラフィックをルーティングします。

ProxyAutoDetect がTrue（デフォルト）に設定されている場合、Sync App は代わりにシステムプロキシ設定で指定されたプロキシサーバーを介してHTTP トラフィックをルーティングします。

クライアントとの間でHTTP トラフィックをルーティングするために予約された、指定されたプロキシサーバーのTCP ポートを指定します。

解説

ProxyAutoDetect がFalse に設定されている場合、Sync App はこの接続プロパティで指定されたProxyServer ポートを通じてのみHTTP トラフィックをルーティングします。

ProxyAutoDetect がTrue（デフォルト）に設定されている場合、Sync App は代わりにシステムプロキシ設定で指定されたプロキシサーバーポートを介してHTTP トラフィックをルーティングします。

その他のプロキシタイプについては、FirewallType を参照してください。

ProxyServer 接続プロパティで指定されたプロキシサーバーに対して認証する際にprovider が使用する認証方法を指定します。

解説

サポートされる認証の種類：

• BASIC：Sync App はHTTP Basic 認証を行います。
• DIGEST：Sync App はHTTP ダイジェスト認証を行います。
• NTLM：Sync App はNTLM トークンを取得します。
• NEGOTIATE： Sync App は認証において有効なプロトコルに応じて、NTLM もしくはKerberos トークンを取得します。
• NONE：ProxyServer が認証を必要としないことを示します。

NONE 以外のすべての値については、ProxyUser およびProxyPassword 接続プロパティも設定する必要があります。

SOCKS 5 認証のような他の認証タイプを使用するには、FirewallType を参照してください。

ProxyServer 接続プロパティで指定されたプロキシサーバーに登録されているユーザーアカウントのユーザー名を提供します。

解説

ProxyUser および ProxyPassword 接続プロパティは、ProxyServer で指定されたHTTP プロキシに対して接続よび認証するために使用されます。

ProxyAuthScheme で利用可能な認証タイプを1つ選択した後、このプロパティを以下のように設定します。

Note：Sync App は、ProxyAutoDetect がFalse に設定されている場合にのみ、このユーザー名を使用します。 ProxyAutoDetect がTrue（デフォルト）に設定されている場合、Sync App は代わりにシステムのプロキシ設定で指定されているユーザー名を使用します。

ProxyUser 接続プロパティで指定されたユーザーのパスワードを指定します。

解説

ProxyUser および ProxyPassword 接続プロパティは、ProxyServer で指定されたHTTP プロキシに対して接続よび認証するために使用されます。

ProxyAuthScheme で利用可能な認証タイプを1つ選択した後、このプロパティを以下のように設定します。

SOCKS 5 認証もしくは、トンネリングは、FirewallType を参照してください。

Note：Sync App は、ProxyAutoDetect がFalse に設定されている場合にのみ、このパスワードを使用します。 ProxyAutoDetect がTrue（デフォルト）に設定されている場合、Sync App は代わりにシステムのプロキシ設定で指定されているパスワードを使用します。

ProxyServer 接続プロパティで指定されたプロキシサーバーに接続する際に使用するSSL タイプを指定します。

解説

このプロパティは、ProxyServer で指定されたHTTP プロキシへの接続にSSL を使用するかどうかを決定します。この接続プロパティには、以下の値を設定できます。

ProxyServer 接続プロパティで設定されたプロキシサーバー経由での接続が免除される宛先ホスト名またはIP のセミコロン区切りのリストを指定します。

解説

ProxyServer は、このプロパティで定義されたアドレスを除くすべてのアドレスに使用されます。セミコロンを使用してエントリを区切ります。

Note：Sync App はデフォルトでシステムプロキシ設定を使用するため、それ以上の設定は必要ありません。 この接続にプロキシ例外を明示的に設定する場合は、ProxyAutoDetect をFalse に設定します。

このセクションでは、本プロバイダーの接続文字列で設定可能なLogging プロパティの全リストを提供します。

ログファイルに含めるコアモジュールを指定します。セミコロンで区切られたモジュール名のリストを使用します。デフォルトでは、すべてのモジュールがログに記録されます。

解説

Sync App は、実行する各操作の詳細を Logfile 接続プロパティで指定されたログファイルに書き込みます。

ログに記録される各操作は、モジュールと呼ばれるカテゴリに分類されます。各モジュールには対応する短いコードがあり、個々の Sync App の操作がどのモジュールに属するかを示すラベルとして使用されます。

この接続プロパティにモジュールコードをセミコロン区切りのリストで設定すると、指定したモジュールに属する操作のみがログファイルに書き込まれます。この設定は今後のログ記録にのみ適用され、既存のログファイルの内容には影響しません。例: INFO;EXEC;SSL;META;

デフォルトでは、すべてのモジュールの操作がログに含まれます。

モジュールを明示的に除外するには、先頭に「-」を付けます。例: -HTTP

サブモジュールにフィルターを適用するには、<モジュール名>.<サブモジュール名> の構文で指定します。たとえば、次の値を設定すると、Sync App は HTTP モジュールに属するアクションのみをログに記録し、さらに HTTP モジュールの Res サブモジュールに属するアクションを除外します: HTTP;-HTTP.Res

Verbosity 接続プロパティによるログファイルのフィルタリングは、この接続プロパティによるフィルタリングよりも優先されます。そのため、Verbosity 接続プロパティで指定したレベルよりも高い詳細レベルの操作は、この接続プロパティで指定したモジュールに属していても、ログファイルには出力されません。

使用可能なモジュールとサブモジュールは次のとおりです。

このセクションでは、本プロバイダーの接続文字列で設定可能なSchema プロパティの全リストを提供します。

テーブル、ビュー、およびストアドプロシージャを定義するスキーマファイルを格納するディレクトリの場所を指定します。サービスの要件に応じて、これは絶対パスまたは相対パスのいずれかで表されます。

解説

Location プロパティは、定義をカスタマイズしたり（例えば、カラム名を変更する、カラムを無視するなど）、新しいテーブル、ビュー、またはストアドプロシージャでデータモデルを拡張する場合にのみ必要です。

指定しない場合、デフォルトの場所は%APPDATA%\\CData\\AmazonAthena Data Provider\\Schema となり、%APPDATA%はユーザーのコンフィギュレーションディレクトリに設定されます：

レポートされるスキーマを利用可能なすべてのスキーマのサブセットに制限するオプション設定。例えば、 BrowsableSchemas=SchemaA,SchemaB,SchemaC です。

解説

利用可能なデータベーススキーマをすべてリストすると余分な時間がかかり、パフォーマンスが低下します。 接続文字列にスキーマのリストを指定することで、時間を節約しパフォーマンスを向上させることができます。

レポートされるテーブルを利用可能なすべてのテーブルのサブセットに制限するオプション設定。例えば、 Tables=TableA,TableB,TableC です。

解説

データベースによっては、利用可能なすべてのテーブルをリストするのに時間がかかり、パフォーマンスが低下する場合があります。 接続文字列にテーブルのリストを指定することで、時間を節約しパフォーマンスを向上させることができます。

利用可能なテーブルがたくさんあり、すでに作業したいテーブルが決まっている場合、このプロパティを使用して対象のテーブルのみに表示を制限することができます。これを行うには、カンマ区切りのリストで使用したいテーブルを指定します。各テーブルは、角かっこ、二重引用符、またはバッククオートを使用してエスケープされた特殊文字列を含む有効なSQL 識別子である必要があります。 例えば、Tables=TableA,[TableB/WithSlash],WithCatalog.WithSchema.`TableC With Space` です。

Note：複数のスキーマまたはカタログを持つデータソースに接続する場合は、表示する各テーブルを完全修飾名で指定する必要があります。これにより、複数のカタログやスキーマに存在するテーブルが混同されることを防ぎます。

レポートされたビューを使用可能なテーブルのサブセットに制限するオプション設定。例えば、 Views=ViewA,ViewB,ViewC です。

解説

データベースによっては、利用可能なすべてのビューをリストするのに時間がかかり、パフォーマンスが低下する場合があります。 接続文字列にビューのリストを指定することで、時間を節約しパフォーマンスを向上させることができます。

利用可能なビューがたくさんあり、すでに作業したいビューが決まっている場合、このプロパティを使用して対象のビューのみに表示を制限することができます。これを行うには、カンマ区切りのリストで使用したいビューを指定します。各ビューは、角かっこ、二重引用符、またはバッククオートを使用してエスケープされた特殊文字列を含む有効なSQL 識別子である必要があります。 例えば、Views=ViewA,[ViewB/WithSlash],WithCatalog.WithSchema.`ViewC With Space` です。

Note：複数のスキーマまたはカタログを持つデータソースに接続する場合は、確認する各ビューを完全修飾名で指定する必要があります。これにより、複数のカタログやスキーマに存在するビューが混同されることを防ぎます。

By default, arrays are returned as strings of JSON. The FlattenArrays property can be used to flatten the elements of arrays into columns of their own. Set FlattenArrays to the number of elements you want to return from arrays.

解説

By default, arrays are returned as strings of JSON. The FlattenArrays property can be used to flatten the elements of arrays into columns of their own. This is only recommended for arrays that are expected to be short.

Set FlattenArrays to the number of elements you want to return from arrays. The specified elements are returned as columns. The zero-based index is concatenated to the column name. Other elements are ignored.

For example, you can return an arbitrary number of elements from an array of strings:

["FLOW-MATIC","LISP","COBOL"]

Setting FlattenArrays to -1 will flatten all the elements of arrays.

Set FlattenObjects to true to flatten object properties into columns of their own. Otherwise, objects nested in arrays are returned as strings of JSON.

解説

Set FlattenObjects to true to flatten object properties into columns of their own. Otherwise, objects nested in arrays are returned as strings of JSON. To generate the column name, the Sync App concatenates the property name onto the object name with a dot.

For example, you can flatten the nested objects below at connection time:

[
     { "grade": "A", "score": 2 },
     { "grade": "A", "score": 6 },
     { "grade": "A", "score": 10 },
     { "grade": "A", "score": 9 },
     { "grade": "B", "score": 14 }
]

このセクションでは、本プロバイダーの接続文字列で設定可能なMiscellaneous プロパティの全リストを提供します。

The absolute path to the certificate file or the certificate content in PEM format encoded in base64.

解説

The absolute path to the certificate file or the certificate file content in PEM format encoded in base64, depending on the value of AWSCertificateType.

The password for the certificate if applicable, otherwise leave blank.

解説

The password for the certificate if applicable, otherwise leave blank.

The type of AWSCertificate .

解説

This property can take one of the following values:

The absolute path to the private key file or the private key content in PEM format encoded in base64.

解説

The absolute path to the private key file or the private key file content in PEM format encoded in base64, depending on the value of AWSPrivateKeyType.

The password for the private key if it is encrypted, otherwise leave blank.

解説

The password for the private key if it is encrypted, otherwise leave blank.

The type of AWSPrivateKey .

解説

This property can take one of the following values:

Profile to pull policies from.

解説

Profile to pull policies from.

Duration, in seconds, for the resulting session.

解説

Duration, in seconds, for the resulting session. Default: 3600 seconds.

Trust anchor to use for authentication.

解説

Trust anchor to use for authentication.

Amazon Athena produces cache files with every query, in the folder specified in S3StagingDirectory . CleanQueryResults specifies whether these files should be deleted once the connection is closed.

解説

Amazon Athena stores the results of every query you execute as a CSV file in S3StagingDirectory. These CSV files can quickly rack up a lot of space in Amazon S3.

You can use CleanQueryResults, enabled by default, to clean these files for every query executed. Note that this behavior will add a minor performance hit when you disconnect the last connection in a process.

See Also

See データアクセスのファインチューニング for more information on configuring Athena's query caching.

A boolean indicating if FIPS URLs should be enabled.

解説

FIPS or Federal Information Processing Standard are seperate endpoints in Amazon that may be required for certain government organizations. Set EnableFIPSMode to true to switch to using these endpoints. See more information here: https://aws.amazon.com/compliance/fips/.

If set to true, the provider will query for the types of individual tables.

解説

If set to true, the Sync App will either query Athena or Glue for the types of individual tables. MetadataDiscoveryMethod toggles the service which will be used to retrieve the types.

The maximum column size.

解説

Some tools restrain the largest size of a column or the total size of all the columns selected. You can set the MaximumColumnSize to overcome these schema-based restrictions. The Sync App will not report any column to be larger than the MaximumColumnSize.

Set a MaximumColumnSize of zero to eliminate limits on column size, as shown in the following example:

集計やGROUP BY を含まないクエリで返される最大行数を指定します。

解説

このプロパティのデフォルト値である-1 は、クエリに明示的にLIMIT 句が含まれていない限り、行の制限が適用されないことを意味します。 （クエリにLIMIT 句が含まれている場合、クエリで指定された値がMaxRows 設定よりも優先されます。）

MaxRows を0より大きい整数に設定することで、クエリがデフォルトで過度に大きな結果セットを返さないようにします。

このプロパティは、非常に大きなデータセットを返す可能性のあるクエリを実行する際に、パフォーマンスを最適化し、過剰なリソース消費を防ぐのに役立ちます。

API to use to retrieve the metadata for Amazon Athena.

解説

API to use to retrieve the metadata for Amazon Athena.

特定の問題に対処するため、特殊なシナリオ向けの高度な接続プロパティを指定します。このプロパティは、サポートチームの指示がある場合にのみ使用してください。

解説

このプロパティにより、シニアユーザーはサポートチームのアドバイスに基づいて、特定の状況に対応する隠しプロパティを設定できます。 これらの設定は通常のユースケースには必要ありませんが、特定の要件に対応したり、追加の機能を提供したりすることができます。 複数のプロパティを定義するには、セミコロンで区切られたリストを使用します。

Note：特定のシナリオや問題に対処するためにサポートチームから助言があった場合にのみ、これらのプロパティを設定することを強く推奨します。

統合およびフォーマット

The number of results to return per page of data retrieved from Amazon Athena.

解説

This property determines the number of results to return per page of data retrieved from Amazon Athena. See データアクセスのファインチューニング for more information on settings this property to avoid request throttling. When using ResultFetcher=GetQueryResults, the default and maximum allowed value is 1000.

This determines the polling interval in milliseconds to check whether the result is ready to be retrieved.

解説

This property determines how long to wait between checking whether or not the query's results are ready. Very large resultsets or complex queries may take longer to process, and a low polling interval may result in many unnecessary requests being made to check the query status.

テーブルカラムとして公開する擬似カラムを、'TableName=ColumnName;TableName=ColumnName' の形式の文字列で指定します。

解説

このプロパティを使用すると、Sync App がテーブルカラムとして公開する擬似カラムを定義できます。

個々の擬似カラムを指定するには、以下の形式を使用します。

Table1=Column1;Table1=Column2;Table2=Column3

すべてのテーブルのすべての擬似カラムを含めるには、次を使用してください：

*=*

Indicates whether to read the empty values as empty or as null.

解説

Indicates whether to read the empty values as empty or as null.

Modifies the usage of query results stored in S3StagingDirectory . Cached queries will not be scanned again by Amazon Athena until the amount of seconds specified in QueryTolerance has passed.

解説

Modifies the usage of query results stored in S3StagingDirectory. Cached queries will not be scanned again by Amazon Athena until the amount of seconds specified in QueryTolerance has passed. The casing of the queries must match exactly to trigger the behavior, which is explained below:

このオプションは、クエリをAmazon Athena サーバーにas-is で渡します。

解説

これが設定されていると、クエリはAmazon Athena に直接渡されます。

The timeout in seconds for requests issued by the provider to download large result sets.

解説

If the QueryTimeout property is set to 0, operations will not time out; instead, they will run until they complete successfully or encounter an error condition. This property is distinct from Timeout which applies to individual HTTP operations while QueryTimeout applies to execution time of the operation as a whole.

If QueryTimeout expires and the request has not finished being processed, the Sync App raises an error condition.

Specifies the amount of time in seconds queries cache for if QueryCachingLevel is not set to None.

解説

Specifies the amount of time in seconds queries will cache for if QueryCachingLevel is not set to None. Values lower than 1 are not accepted.

The fetcher that will be used to download query results.

解説

This property determines how query results are fetched. If set to S3, query results are downloaded directly from Amazon S3. If set to GetQueryResults, query results are fetched utilizing the Athena APIs. If set to GetQueryResultsStream, results are fetched utilizing the Athena Stream API.

Whether or not to expose the _S3Path column for the Amazon Athena tables.

解説

The _S3Path column refers to the Amazon Athena's $path column, which returns the path of the source Amazon S3 file for each row in the output.

The Sync App will expose the _S3Path column for each table, only if this connection property is set to TRUE.

provider がタイムアウトエラーを返すまでにサーバーからの応答を待機する最大時間を秒単位で指定します。

解説

タイムアウトは、クエリや操作全体ではなくサーバーとの個々の通信に適用されます。 例えば、各ページング呼び出しがタイムアウト制限内に完了する場合、クエリは60秒を超えて実行を続けることができます。

タイムアウトはデフォルトで60秒に設定されています。タイムアウトを無効にするには、このプロパティを0に設定します。

タイムアウトを無効にすると、操作が成功するか、サーバー側のタイムアウト、ネットワークの中断、またはサーバーのリソース制限などの他の条件で失敗するまで無期限に実行されます。

Note： このプロパティは慎重に使用してください。長時間実行される操作がパフォーマンスを低下させたり、応答しなくなる可能性があるためです。

カスタムビューを定義するJSON 構成ファイルへのファイルパスを指定します。provider は、このファイルで指定されたビューを自動的に検出して使用します。

解説

UserDefinedViews を使用すると、UserDefinedViews.json というJSON 形式の構成ファイルを通じてカスタムビューを定義および管理できます。 これらのビューはSync App によって自動的に認識され、標準のデータベースビューのようにカスタムSQL クエリを実行できるようになります。 JSON ファイルは、各ビューをルート要素として定義し、その子要素として"query" を持ちます。この"query" にはビューのSQL クエリが含まれています。

次に例を示します。

{
	"MyView": {
		"query": "SELECT * FROM [AwsDataCatalog].[sampledb].Customers WHERE MyColumn = 'value'"
	},
	"MyView2": {
		"query": "SELECT * FROM MyTable WHERE Id IN (1,2,3)"
	}
}

このプロパティを使用して、1つのファイルに複数のビューを定義し、ファイルパスを指定できます。 次に例を示します。

UserDefinedViews=C:\Path\To\UserDefinedViews.json

詳しくは、ユーザー定義ビュー を参照してください。

Work group of the executed queries.

解説

Work group of the executed queries.

LZMA from 7Zip LZMA SDK

LZMA SDK is placed in the public domain.

Anyone is free to copy, modify, publish, use, compile, sell, or distribute the original LZMA SDK code, either in source code form or as a compiled binary, for any purpose, commercial or non-commercial, and by any means.

LZMA2 from XZ SDK

Version 1.9 and older are in the public domain.

Xamarin.Forms

Xamarin SDK

The MIT License (MIT)

Copyright (c) .NET Foundation Contributors

All rights reserved.

Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions:

The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software.

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

NSIS 3.10

Copyright (C) 1999-2025 Contributors THE ACCOMPANYING PROGRAM IS PROVIDED UNDER THE TERMS OF THIS COMMON PUBLIC LICENSE ("AGREEMENT"). ANY USE, REPRODUCTION OR DISTRIBUTION OF THE PROGRAM CONSTITUTES RECIPIENT'S ACCEPTANCE OF THIS AGREEMENT.

1. DEFINITIONS

"Contribution" means:

a) in the case of the initial Contributor, the initial code and documentation distributed under this Agreement, and b) in the case of each subsequent Contributor:

i) changes to the Program, and

ii) additions to the Program;

where such changes and/or additions to the Program originate from and are distributed by that particular Contributor. A Contribution 'originates' from a Contributor if it was added to the Program by such Contributor itself or anyone acting on such Contributor's behalf. Contributions do not include additions to the Program which: (i) are separate modules of software distributed in conjunction with the Program under their own license agreement, and (ii) are not derivative works of the Program.

"Contributor" means any person or entity that distributes the Program.

"Licensed Patents " mean patent claims licensable by a Contributor which are necessarily infringed by the use or sale of its Contribution alone or when combined with the Program.

"Program" means the Contributions distributed in accordance with this Agreement.

"Recipient" means anyone who receives the Program under this Agreement, including all Contributors.

2. GRANT OF RIGHTS

a) Subject to the terms of this Agreement, each Contributor hereby grants Recipient a non-exclusive, worldwide, royalty-free copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, distribute and sublicense the Contribution of such Contributor, if any, and such derivative works, in source code and object code form.

b) Subject to the terms of this Agreement, each Contributor hereby grants Recipient a non-exclusive, worldwide, royalty-free patent license under Licensed Patents to make, use, sell, offer to sell, import and otherwise transfer the Contribution of such Contributor, if any, in source code and object code form. This patent license shall apply to the combination of the Contribution and the Program if, at the time the Contribution is added by the Contributor, such addition of the Contribution causes such combination to be covered by the Licensed Patents. The patent license shall not apply to any other combinations which include the Contribution. No hardware per se is licensed hereunder.

c) Recipient understands that although each Contributor grants the licenses to its Contributions set forth herein, no assurances are provided by any Contributor that the Program does not infringe the patent or other intellectual property rights of any other entity. Each Contributor disclaims any liability to Recipient for claims brought by any other entity based on infringement of intellectual property rights or otherwise. As a condition to exercising the rights and licenses granted hereunder, each Recipient hereby assumes sole responsibility to secure any other intellectual property rights needed, if any. For example, if a third party patent license is required to allow Recipient to distribute the Program, it is Recipient's responsibility to acquire that license before distributing the Program.

d) Each Contributor represents that to its knowledge it has sufficient copyright rights in its Contribution, if any, to grant the copyright license set forth in this Agreement.

3. REQUIREMENTS

A Contributor may choose to distribute the Program in object code form under its own license agreement, provided that:

a) it complies with the terms and conditions of this Agreement; and

b) its license agreement:

i) effectively disclaims on behalf of all Contributors all warranties and conditions, express and implied, including warranties or conditions of title and non-infringement, and implied warranties or conditions of merchantability and fitness for a particular purpose;

ii) effectively excludes on behalf of all Contributors all liability for damages, including direct, indirect, special, incidental and consequential damages, such as lost profits;

iii) states that any provisions which differ from this Agreement are offered by that Contributor alone and not by any other party; and

iv) states that source code for the Program is available from such Contributor, and informs licensees how to obtain it in a reasonable manner on or through a medium customarily used for software exchange.

When the Program is made available in source code form:

a) it must be made available under this Agreement; and

b) a copy of this Agreement must be included with each copy of the Program.

Contributors may not remove or alter any copyright notices contained within the Program.

Each Contributor must identify itself as the originator of its Contribution, if any, in a manner that reasonably allows subsequent Recipients to identify the originator of the Contribution.

4. COMMERCIAL DISTRIBUTION

Commercial distributors of software may accept certain responsibilities with respect to end users, business partners and the like. While this license is intended to facilitate the commercial use of the Program, the Contributor who includes the Program in a commercial product offering should do so in a manner which does not create potential liability for other Contributors. Therefore, if a Contributor includes the Program in a commercial product offering, such Contributor ("Commercial Contributor") hereby agrees to defend and indemnify every other Contributor ("Indemnified Contributor") against any losses, damages and costs (collectively "Losses") arising from claims, lawsuits and other legal actions brought by a third party against the Indemnified Contributor to the extent caused by the acts or omissions of such Commercial Contributor in connection with its distribution of the Program in a commercial product offering. The obligations in this section do not apply to any claims or Losses relating to any actual or alleged intellectual property infringement. In order to qualify, an Indemnified Contributor must: a) promptly notify the Commercial Contributor in writing of such claim, and b) allow the Commercial Contributor to control, and cooperate with the Commercial Contributor in, the defense and any related settlement negotiations. The Indemnified Contributor may participate in any such claim at its own expense.

For example, a Contributor might include the Program in a commercial product offering, Product X. That Contributor is then a Commercial Contributor. If that Commercial Contributor then makes performance claims, or offers warranties related to Product X, those performance claims and warranties are such Commercial Contributor's responsibility alone. Under this section, the Commercial Contributor would have to defend claims against the other Contributors related to those performance claims and warranties, and if a court requires any other Contributor to pay any damages as a result, the Commercial Contributor must pay those damages.

5. NO WARRANTY

EXCEPT AS EXPRESSLY SET FORTH IN THIS AGREEMENT, THE PROGRAM IS PROVIDED ON AN "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, EITHER EXPRESS OR IMPLIED INCLUDING, WITHOUT LIMITATION, ANY WARRANTIES OR CONDITIONS OF TITLE, NON-INFRINGEMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Each Recipient is solely responsible for determining the appropriateness of using and distributing the Program and assumes all risks associated with its exercise of rights under this Agreement, including but not limited to the risks and costs of program errors, compliance with applicable laws, damage to or loss of data, programs or equipment, and unavailability or interruption of operations.

6. DISCLAIMER OF LIABILITY

EXCEPT AS EXPRESSLY SET FORTH IN THIS AGREEMENT, NEITHER RECIPIENT NOR ANY CONTRIBUTORS SHALL HAVE ANY LIABILITY FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING WITHOUT LIMITATION LOST PROFITS), HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OR DISTRIBUTION OF THE PROGRAM OR THE EXERCISE OF ANY RIGHTS GRANTED HEREUNDER, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

7. GENERAL

If any provision of this Agreement is invalid or unenforceable under applicable law, it shall not affect the validity or enforceability of the remainder of the terms of this Agreement, and without further action by the parties hereto, such provision shall be reformed to the minimum extent necessary to make such provision valid and enforceable.

If Recipient institutes patent litigation against a Contributor with respect to a patent applicable to software (including a cross-claim or counterclaim in a lawsuit), then any patent licenses granted by that Contributor to such Recipient under this Agreement shall terminate as of the date such litigation is filed. In addition, if Recipient institutes patent litigation against any entity (including a cross-claim or counterclaim in a lawsuit) alleging that the Program itself (excluding combinations of the Program with other software or hardware) infringes such Recipient's patent(s), then such Recipient's rights granted under Section 2(b) shall terminate as of the date such litigation is filed.

All Recipient's rights under this Agreement shall terminate if it fails to comply with any of the material terms or conditions of this Agreement and does not cure such failure in a reasonable period of time after becoming aware of such noncompliance. If all Recipient's rights under this Agreement terminate, Recipient agrees to cease use and distribution of the Program as soon as reasonably practicable. However, Recipient's obligations under this Agreement and any licenses granted by Recipient relating to the Program shall continue and survive.

Everyone is permitted to copy and distribute copies of this Agreement, but in order to avoid inconsistency the Agreement is copyrighted and may only be modified in the following manner. The Agreement Steward reserves the right to publish new versions (including revisions) of this Agreement from time to time. No one other than the Agreement Steward has the right to modify this Agreement. IBM is the initial Agreement Steward. IBM may assign the responsibility to serve as the Agreement Steward to a suitable separate entity. Each new version of the Agreement will be given a distinguishing version number. The Program (including Contributions) may always be distributed subject to the version of the Agreement under which it was received. In addition, after a new version of the Agreement is published, Contributor may elect to distribute the Program (including its Contributions) under the new version. Except as expressly stated in Sections 2(a) and 2(b) above, Recipient receives no rights or licenses to the intellectual property of any Contributor under this Agreement, whether expressly, by implication, estoppel or otherwise. All rights in the Program not expressly granted under this Agreement are reserved.

This Agreement is governed by the laws of the State of New York and the intellectual property laws of the United States of America. No party to this Agreement will bring a legal action under this Agreement more than one year after the cause of action arose. Each party waives its rights to a jury trial in any resulting litigation.