# JWT 可信身份传播凭证提供者
JWT 可信身份传播

通过此身份验证类型，您可以使用从外部身份提供者处获得的 JSON Web 令牌（JWT）作为连接参数，在 Athena 进行身份验证。您可以使用此插件，通过可信身份传播，实现对企业身份的支持。

使用可信身份传播，可以向 IAM 角色添加身份上下文，以识别请求访问 Amazon 资源的用户身份。有关启用和使用可信身份传播的信息，请参阅 [What is trusted identity propagation?](https://docs.amazonaws.cn/singlesignon/latest/userguide/trustedidentitypropagation.html)。

## 身份验证类型



****  

| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | 
| --- | --- | --- | --- | 
| AuthenticationType | 必需 | IAM Credentials | AuthenticationType=JWT\$1TIP; | 

## JWT Web 身份令牌


从外部联合身份提供者处获得的 JWT 令牌。此令牌将用于向 Athena 进行身份验证。令牌缓存默认为启用，以允许在驱动程序连接之间使用相同的 Identity Center 访问令牌。建议在“测试连接”时提供新的 JWT 令牌，因为交换的令牌仅在驱动程序实例处于活动状态期间才存在。


****  

| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | 
| --- | --- | --- | --- | 
| web\$1identity\$1token | 必需 | none | web\$1identity\$1token=eyJhbGc...<remainder of token>; | 

## 工作组 ARN


Amazon Athena 工作组的 Amazon 资源名称（ARN）。有关工作组的更多信息，请参阅 [WorkGroup](https://docs.amazonaws.cn/athena/latest/APIReference/API_WorkGroup.html)。


****  

| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | 
| --- | --- | --- | --- | 
| WorkGroupArn | 必需 | none | WorkgroupArn=arn:aws:athena:us-west-2:111122223333:workgroup/primary | 

## JWT 应用程序角色 ARN


要代入的角色的 ARN。此角色用于 JWT 交换、通过工作组标签获取 IAM Identity Center 客户管理的应用程序 ARN，以及获取访问角色 ARN。有关代入角色的信息，请参阅 [AssumeRole](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html)。


****  

| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | 
| --- | --- | --- | --- | 
| ApplicationRoleArn | 必需 | none | ApplicationRoleArn=arn:aws:iam::111122223333:role/applicationRole; | 

## 角色会话名称


会话的名称。它可以是任意名称，但通常，人们会填写与使用自身应用程序的用户关联的名称或标识符。这样，您的应用程序使用的临时安全凭证会与该用户相关联。


****  

| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | 
| --- | --- | --- | --- | 
| role\$1session\$1name | 必需 | none | role\$1session\$1name=familiarname; | 

## 会话持续时间


角色会话的持续时间（以秒为单位）。有关会话持续时间的更多信息，请参阅 [AssumeRole](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html)。


****  

| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | 
| --- | --- | --- | --- | 
| duration | 可选 | 3600 | duration=900; | 

## JWT 访问角色 ARN


要代入的角色的 ARN。这是 Athena 代表您进行调用时代入的角色。有关代入角色的信息，请参阅 [AssumeRole](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html)。


****  

| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | 
| --- | --- | --- | --- | 
| AccessRoleArn | 可选 | none | AccessRoleArn=arn:aws:iam::111122223333:role/accessRole; | 

## IAM Identity Center 客户管理的应用程序 ARN


IAM Identity Center 客户管理的 IDC 应用程序 ARN。有关客户管理的应用程序的更多信息，请参阅 [Customer Managed Applications](https://docs.amazonaws.cn/singlesignon/latest/userguide/customermanagedapps.html)。


****  

| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | 
| --- | --- | --- | --- | 
| CustomerIdcApplicationArn | 可选 | none | CustomerIdcApplicationArn=arn:aws:sso::111122223333:application/ssoins-111122223333/apl-111122223333 | 

## 启用文件缓存


启用临时凭证缓存。使用此连接参数，您可在多个进程之间缓存和重复使用临时凭证。当您使用 Microsoft Power BI 等 BI 工具时，使用此选项可以减少使用的 Web 身份令牌数量。默认情况下，驱动程序会使用 Windows 中的 `%USERPROFILE%`，以及 `HOME` 路径写入文件缓存。为了获得更好的体验，请确保提供对这两个环境变量中路径的读取和写入权限。

**注意**  
从 v2.1.0.0 开始，缓存的凭证以纯文本 JSON 格式存储在 `user-profile/.athena-odbc/` 目录中，文件权限仅限于拥有用户，这与 Amazon CLI 保护本地存储凭证的方式一致。


****  

| **连接字符串名称** | **参数类型** | **默认值** | **连接字符串示例** | 
| --- | --- | --- | --- | 
| JwtTipFileCache | 可选 | 0 | JwtTipFileCache=1; |