ADO.NET Provider for Amazon S3

Build 21.0.7930

接続の確立

Connecting to Amazon S3

Specify the following to connect to data:

  • CustomURL: Specify the base S3 service URL if it has a different URL from 'amazonaws.com'. Make sure to specify the full URL. For example: 'http://127.0.0.1:9000'.
  • AWSRegion: Set this to the region where your Amazon S3 data is hosted.

Authenticating to Amazon S3

There are several authentication methods available for connecting to Amazon S3 including: authenticating with Root Credentials, Temporary Credentials, as an AWS Role (from an EC2 Instance or by specifying the root credentials), using SSO and using a Credential File.

アクセスキーの取得

IAM ユーザーの資格情報を取得するには、以下の手順に従ってください。

  1. IAM コンソールにサインインします。
  2. ナビゲーションペインで[ユーザー]を選択します。
  3. ユーザーのアクセスキーを作成または管理するには、ユーザーを選択してから[セキュリティ認証情報]タブを選択します。

AWS ルートアカウントの資格情報を取得するには、以下の手順に従ってください。

  1. ルートアカウントの資格情報を使用してAWS 管理コンソールにサインインします。
  2. アカウント名または番号を選択し、表示されたメニューで[My Security Credentials]を選択します。
  3. [Continue to Security Credentials]をクリックし、[Access Keys]セクションを展開して、ルートアカウントのアクセスキーを管理または作成します。

Root 資格情報による認証

アカウントのルート資格情報で認証するには、次を設定します。

  • AuthSchemeAwsRootKeys に設定。
  • AWSAccessKey:AWS ルートアカウントに紐づいているアクセスキー。
  • AWSSecretKey:AWS ルートアカウントに紐づいているシークレットキー。

Note: この認証スキームの使用は、簡単なテスト以外ではAmazon では推奨されていません。アカウントのルート資格情報はユーザーの完全な権限を持つため、これが最も安全性の低い認証方法になります。

一時的認証情報による認証

一時的認証情報で認証するには、次を設定します。

  • AuthSchemeTemporaryCredentials に設定。
  • AWSAccessKey:ロールを担うIAM ユーザーのアクセスキー。
  • AWSSecretKey:ロールを担うIAM ユーザーのシークレットキー。
  • AWSSessionToken:AWS のセッショントークン。これは一時的認証情報とともに提供されます。詳しくは、this link を参照してください。

本製品 は、一時的認証情報の有効期間中、長期的な認証情報(IAM ユーザー認証情報など)によって提供されるものと同じ権限を使用してリソースをリクエストできるようになりました。

認証にIAM ロールも使用している場合は、さらに以下を指定する必要があります。

  • AWSRoleARN:認証したいロールのRole ARN を指定。これにより、本製品 は指定されたロールの資格情報を 取得しようと試みます。
  • AWSExternalId:別のアカウントでロールを引き受ける場合にのみ必要です。

EC2 インスタンスからの認証

EC2 インスタンスから本製品 を使用していて、そのインスタンスにIAM ロールが割り当てられている場合は、 認証にIAM ロールを使用できます。これを行うには、次のプロパティを設定して認証します。

  • AuthSchemeAwsEC2Roles に設定。
AWSAccessKey およびAWSSecretKey は指定しないでください。本製品 は自動的にIAM ロールの認証情報を取得し、それらを使って認証します。

認証にIAM ロールも使用している場合は、さらに以下を指定する必要があります。

  • AWSRoleARN:認証したいロールのRole ARN を指定。これにより、本製品 は指定されたロールの資格情報を 取得しようと試みます。
  • AWSExternalId:別のアカウントでロールを引き受ける場合にのみ必要です。

AWS ロールとして認証

多くの場合、認証にはAWS ルートユーザーのダイレクトなセキュリティ認証情報ではなく、IAM ロールを使用することをお勧めします。

AWS ロールとして認証するには、次を設定します。

  • AuthSchemeAwsIAMRoles に設定。
  • AWSRoleARN:認証したいロールのRole ARN を指定。これにより、本製品 は指定されたロールの資格情報を 取得しようと試みます。
  • AWSExternalId: Only if required when you assume a role in another account.
  • AWSAccessKey:ロールを担うIAM ユーザーのアクセスキー。
  • AWSSecretKey:ロールを担うIAM ユーザーのシークレットキー。

Note: AWS ルートユーザーのAWSAccessKey およびAWSSecretKey を指定する場合、ロールは使用できません。

ADFS 認証

AuthSchemeADFS に設定します。次の接続プロパティを設定する必要があります。

  • User:ADFS ユーザーに設定。
  • Password:ユーザーのADFS パスワードに設定。
  • SSOLoginUrl:SSO プロバイダーが使用するログインURL に設定。
以下は接続文字列の例です。
AuthScheme=ADFS; AWSRegion=Ireland; User=user@cdata.com; Password=CH8WerW121235647iCa6; SSOLoginUrl='https://adfs.domain.com'; AWSRoleArn=arn:aws:iam::1234:role/ADFS_SSO; AWSPrincipalArn=arn:aws:iam::1234:saml-provider/ADFSProvider;

ADFS 統合

ADFS 統合フローでは、現在ログインしているWindows ユーザーの資格情報で接続します。 ADFS 統合フローを使用するには、User およびPassword を指定せず、それ以外の設定は上記のADFS ガイドと同じステップを実行してください。

Okta 認証

AuthSchemeOkta に設定します。Okta への接続には、次の接続プロパティを使用します。

  • User:Okta ユーザーに設定。
  • Password:ユーザーのOkta パスワードに設定。
  • SSOLoginUrl:SSO プロバイダーが使用するログインURL に設定。
次のSSOProperties がOkta への認証に必要です。
  • APIToken(オプション):顧客がOkta org から作成したAPI Token に設定。Okta クライアントリクエストコンテキストを上書きする、信頼されたアプリケーションまたはプロキシ経由でユーザーを認証する場合に使用してください。

次は接続文字列の例です。

AuthScheme=Okta; AWSRegion=Ireland; User=user@cdata.com; Password=CH8WerW121235647iCa6; SSOLoginUrl='https://cdata-us.okta.com/home/amazon_aws/0oa35m8arsAL5f5NrE6NdA356/272'; SSOProperties='ApiToken=01230GGG2ceAnm_tPAf4MhiMELXZ0L0N1pAYrO1VR-hGQSf;'; AWSRoleArn=arn:aws:iam::1234:role/Okta_SSO; AWSPrincipalARN=arn:aws:iam::1234:saml-provider/OktaProvider;

PingFederate 認証

AuthSchemePingFederate に設定します。次の接続プロパティを設定する必要があります。

  • User:PingFederate ユーザーに設定。
  • Password:ユーザーのPingFederate パスワードに設定。
  • SSOLoginUrl:SSO プロバイダーが使用するログインURL に設定。
  • SSOExchangeUrl: The 'Partner Service Identifier' URI configured in your PingFederate server instance under: SP Connections > SP Connection > WS-Trust > Protocol Settings. This should uniquely identify a PingFederate SP Connection, so it is a good idea to set it to your 'AWS SSO ACS URL'. You can find it under AWS SSO > Settings > Click on 'View Details' next to the Authentication field.
次のSSOProperties がPingFederate への認証に必要です。
  • AuthScheme(オプション):IdP エンドポイントに使われる認可スキーム。IdP にはNone またはBasic が使用可能です。
追加で次のSSOProperties を使って、SSOLoginUrl 用の相互SSL 認証(WS-Trust STS エンドポイント)の設定が可能です。
  • SSLClientCert
  • SSLClientCertType
  • SSLClientCertSubject
  • SSLClientCertPassword
以下は接続文字列の例です。
authScheme=pingfederate;SSOLoginUrl=https://mycustomserver.com:9033/idp/sts.wst;SSOExchangeUrl=https://us-east-1.signin.aws.amazon.com/platform/saml/acs/764ef411-xxxxxx;user=admin;password=PassValue;AWSPrincipalARN=arn:aws:iam::215338515180:saml-provider/pingFederate;AWSRoleArn=arn:aws:iam::215338515180:role/SSOTest2;

MFA 認証

多要素認証を必要とするユーザーおよびロールには、以下を指定して認証してください。

  • AuthSchemeAwsMFA に設定。
  • CredentialsLocation:MFA クレデンシャルが保存される設定ファイルの場所。詳しくは、接続文字列オプションのCredentials File Location のページを参照してください。
  • MFASerialNumber:MFA デバイスが使用されている場合は、そのシリアル番号。
  • MFAToken:MFA デバイスから利用できる一時トークン。
(すでにEC2 インスタンスなどで接続されているのではなく)AWS に接続している場合は、追加で以下を指定する必要があります。
  • AWSAccessKey:MFA が発行されるIAM ユーザーのアクセスキー。
  • AWSSecretKey:MFA が発行されるIAM ユーザーのシークレットキー。
認証にIAM ロールも使用している場合は、さらに以下を指定する必要があります。
  • AWSRoleARN:認証したいロールのRole ARN を指定。これにより、本製品 はMFA を使用して指定されたロールの資格情報を 取得しようと試みます。
  • AWSExternalId: Only if required when you assume a role in another account.
これにより、本製品 は一時的な認証資格情報を取得するために、リクエストでMFA 認証情報を送信します。

一時的な認証情報の有効期間(デフォルトは3600秒)は、TemporaryTokenDuration プロパティを介して制御できます。

クレデンシャルファイルによる認証

認証にはクレデンシャルファイルを使用することができます。AccessKey/SecretKey 認証、一時クレデンシャル、ロール認証、またはMFA に関連するすべての設定が使用されます。 これを行うには、次のプロパティを設定して認証します。

  • AuthSchemeAwsCredentialsFileに設定。
  • AWSCredentialsFile:クレデンシャルファイルの場所を設定。
  • AWSCredentialsFileProfile:オプションで、指定したクレデンシャルファイルから使用するプロファイルの名前を設定。指定しない場合は、default という名前のプロファイルが使用されます。
詳しくは、this link を参照してください。

Copyright (c) 2021 CData Software, Inc. - All rights reserved.
Build 21.0.7930