Verwenden Sie IAM Identity Center-fähige Athena-Arbeitsgruppen - Amazon Athena
Überlegungen und EinschränkungenErstellen einer IAM Identity Center-fähigen Athena-Arbeitsgruppe

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie IAM Identity Center-fähige Athena-Arbeitsgruppen

Die Funktion zur Verbreitung vertrauenswürdiger Identitäten von AWS IAM Identity Center ermöglicht die Verwendung der Identitäten Ihrer Belegschaft auf allen AWS Analysedienste. Die Verbreitung vertrauenswürdiger Identitäten erspart Ihnen die Durchführung dienstspezifischer Identitätsanbieter-Konfigurationen oder IAM Rollenkonfigurationen.

Mit IAM Identity Center können Sie die Anmeldesicherheit für Ihre Mitarbeiteridentitäten, auch Workforce-Benutzer genannt, verwalten. IAMIdentity Center bietet einen zentralen Ort, an dem Sie Workforce-Benutzer erstellen oder verbinden und deren Zugriff auf all ihre Mitarbeiter zentral verwalten können AWS Konten und Anwendungen. Sie können Berechtigungen für mehrere Konten verwenden, um diesen Benutzern Zugriff auf Folgendes zuzuweisen AWS-Konten. Sie können Anwendungszuweisungen verwenden, um Ihren Benutzern Zugriff auf IAM Identity Center-fähige Anwendungen, Cloud-Anwendungen und Kundenanwendungen der Security Assertion Markup Language (SAML2.0) zuzuweisen. Weitere Informationen finden Sie unter Anwendungsübergreifende Verbreitung vertrauenswürdiger Identitäten im AWS IAM Identity Center Benutzerleitfaden.

Derzeit können Sie mit der SQL Athena-Unterstützung für die Verbreitung vertrauenswürdiger Identitäten dieselbe Identität für Amazon EMR Studio und die SQL Athena-Oberfläche in EMR Studio verwenden. Um IAM Identity Center-Identitäten mit Athena SQL in EMR Studio zu verwenden, müssen Sie IAM Identity Center-fähige Arbeitsgruppen in Athena erstellen. Sie können dann die IAM Identity Center-Konsole verwenden oder API IAM Identity Center-Benutzer oder -Gruppen den IAM Identity Center-fähigen Athena-Arbeitsgruppen zuweisen. Abfragen von einer Athena-Arbeitsgruppe, die vertrauenswürdige Identitätsverbreitung verwendet, müssen über die SQL Athena-Schnittstelle in einem EMR Studio ausgeführt werden, in dem IAM Identity Center aktiviert ist.

Überlegungen und Einschränkungen

Berücksichtigen Sie bei Verwendung der Weitergabe vertrauenswürdiger Identitäten mit Amazon Athena verwenden, die folgenden Punkte:

  • Sie können die Authentifizierungsmethode für die Arbeitsgruppe nach der Erstellung der Arbeitsgruppe nicht mehr ändern.

    • Bestehende SQL Athena-Arbeitsgruppen können nicht so geändert werden, dass sie IAM Identity Center-fähige Arbeitsgruppen unterstützen.

    • IAMIdentity Center-fähige Arbeitsgruppen können nicht so geändert werden, dass sie Berechtigungen auf Ressourcenebene oder identitätsbasierte Richtlinien IAM unterstützen. IAM

  • Um auf Arbeitsgruppen zugreifen zu können, die für die Verbreitung vertrauenswürdiger Identitäten aktiviert sind, müssen IAM Identity Center-Benutzer der Gruppe zugewiesen werdenIdentityCenterApplicationArn, die durch die Antwort der GetWorkGroupAPIAthena-Aktion zurückgegeben wird.

  • Amazon-S3-Zugriffsberechtigungen müssen für die Verwendung der Weitergabe vertrauenswürdiger Identitäten konfiguriert sein. Weitere Informationen finden Sie unter S3-Zugriffsberechtigungen und Identitäten im Unternehmensverzeichnis im Amazon-S3-Benutzerhandbuch.

  • IAMFür Identity Center-fähige Athena-Arbeitsgruppen muss Lake Formation für die Verwendung von IAM Identity Center-Identitäten konfiguriert sein. Informationen zur Konfiguration finden Sie unter Integration von IAM Identity Center im AWS Lake Formation Leitfaden für Entwickler.

  • In Arbeitsgruppen, die die Weitergabe vertrauenswürdiger Identitäten verwenden, kommt es bei Abfragen standardmäßig nach 30 Minuten zu einer Zeitüberschreitung. Sie können eine Erhöhung des Abfrage-Timeouts beantragen. Die maximale Ausführung einer Abfrage in Arbeitsgruppen zur Weitergabe vertrauenswürdiger Identitäten beträgt jedoch eine Stunde.

  • Es kann bis zu einer Stunde dauern, bis Änderungen der Benutzer- oder Gruppenberechtigungen in Arbeitsgruppen zur Weitergabe vertrauenswürdiger Identitäten wirksam werden.

  • Abfragen in einer Athena-Arbeitsgruppe, die die Weitergabe vertrauenswürdiger Identitäten verwendet, können nicht direkt über die Athena-Konsole ausgeführt werden. Sie müssen über die Athena-Oberfläche in einem EMR Studio ausgeführt werden, in dem IAM Identity Center aktiviert ist. Weitere Informationen zur Verwendung von Athena in EMR Studio finden Sie unter Verwenden des Amazon Athena SQL Athena-Editors in EMR Studio im Amazon EMR Management Guide.

  • Die Weitergabe von vertrauenswürdigen Identitäten ist nicht mit den folgenden Athena-Features kompatibel.

    • aws:CalledVia-Kontextschlüssel.

    • Athena für Spark-Arbeitsgruppen.

    • Föderierter Zugang zur API Athena.

    • Föderierter Zugang zu Athena mit Lake Formation und Athena und TreibernJDBC. ODBC

  • Sie können die Verbreitung vertrauenswürdiger Identitäten mit Athena nur in den folgenden Fällen verwenden AWS-Regionen:

    • us-east-2 – USA Ost (Ohio)

    • us-east-1 – USA Ost (Nord-Virginia)

    • us-west-1 – USA West (Nordkalifornien)

    • us-west-2 – USA West (Oregon)

    • af-south-1 – Afrika (Kapstadt)

    • ap-east-1 – Asien-Pazifik (Hongkong)

    • ap-southeast-3 – Asien-Pazifik (Jakarta)

    • ap-south-1 – Asien-Pazifik (Mumbai)

    • ap-northeast-3 – Asien-Pazifik (Osaka)

    • ap-northeast-2 – Asien-Pazifik (Seoul)

    • ap-southeast-1 – Asien-Pazifik (Singapur)

    • ap-southeast-2 – Asien-Pazifik (Sydney)

    • ap-northeast-1 – Asien-Pazifik (Tokio)

    • ca-central-1 – Kanada (Zentral)

    • eu-central-1 – Europa (Frankfurt)

    • eu-west-1 – Europa (Irland)

    • eu-west-2 – Europa (London)

    • eu-south-1 – Europa (Mailand)

    • eu-west-3 – Europa (Paris)

    • eu-north-1 – Europa (Stockholm)

    • me-south-1 – Naher Osten (Bahrain)

    • sa-east-1 – Südamerika (São Paulo)

Dem IAM Benutzer des Administrators, der die IAM Identity Center-fähige Arbeitsgruppe in der Athena-Konsole erstellt, müssen die folgenden Richtlinien beigefügt sein.

  • Die von AmazonAthenaFullAccess verwaltete Richtlinie. Details hierzu finden Sie unter AWS verwaltete Richtlinie: AmazonAthenaFullAccess.

  • Die folgende Inline-Richtlinie, die IAM Identity Center-Aktionen zulässtIAM:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:createRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles",
                "iam:PassRole",
                "identitystore:ListUsers",
                "identitystore:ListGroups",
                "identitystore:CreateUser",
                "identitystore:CreateGroup",
                "sso:ListInstances",
                "sso:CreateInstance",
                "sso:DeleteInstance",
                "sso:DescribeUser",
                "sso:DescribeGroup",
                "sso:ListTrustedTokenIssuers",
                "sso:DescribeTrustedTokenIssuer",
                "sso:ListApplicationAssignments",
                "sso:DescribeRegisteredRegions",
                "sso:GetManagedApplicationInstance",
                "sso:GetSharedSsoConfiguration",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:CreateApplication",
                "sso:DeleteApplication",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationAccessScope",
                "sso:ListDirectoryAssociations",
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment",
                "organizations:ListDelegatedAdministrators",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:CreateOrganization",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}

Erstellen einer IAM Identity Center-fähigen Athena-Arbeitsgruppe

Das folgende Verfahren zeigt die Schritte und Optionen im Zusammenhang mit der Erstellung einer IAM Identity Center-fähigen Athena-Arbeitsgruppe. Eine Beschreibung der anderen für Athena-Arbeitsgruppen verfügbaren Konfigurationsoptionen finden Sie unter Erstellen von Arbeitsgruppen.

Um eine SSO aktivierte Arbeitsgruppe in der Athena-Konsole zu erstellen

  1. Öffnen Sie die Athena-Konsole unter https://console.aws.amazon.com/athena/.

  2. Wählen Sie im Navigationsbereich der Athena-Konsole Workgroups (Arbeitsgruppen) aus.

  3. Wählen Sie auf der Seite Workgroups (Arbeitsgruppen) die Option Create workgroup (Arbeitsgruppe erstellen) aus.

  4. Geben Sie auf der Seite Arbeitsgruppe erstellen unter Arbeitsgruppenname einen Namen für die Arbeitsgruppe ein.

  5. Verwenden Sie für die Analytics-Engine den SQLAthena-Standard.

  6. Wählen Sie für Authentifizierung IAM Identity Center aus.

  7. Wählen Sie für die Servicerolle für den Zugriff auf IAM Identity Center eine bestehende Servicerolle aus, oder erstellen Sie eine neue.

    Athena benötigt Berechtigungen, um für Sie auf IAM Identity Center zugreifen zu können. Hierzu ist eine Servicerolle für Athena erforderlich. Eine Servicerolle ist eine IAM Rolle, die Sie verwalten und die autorisiert AWS Dienst für den Zugriff auf andere AWS Dienstleistungen in Ihrem Namen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an AWS Service im IAMBenutzerhandbuch.

  8. Erweitern Sie die Konfiguration des Abfrageergebnisses und geben Sie dann einen Amazon-S3-Pfad für Speicherort des Abfrageergebnisses ein oder wählen Sie ihn aus.

  9. (Optional) Wählen Sie Abfrageergebnisse verschlüsseln aus.

  10. (Optional) Wählen Sie S3-Präfix basierend auf Benutzeridentität erstellen aus.

    Wenn Sie eine IAM Identity Center-fähige Arbeitsgruppe erstellen, ist die Option S3-Zugriffsberechtigungen aktivieren standardmäßig ausgewählt. Sie können Amazon-S3-Zugriffsberechtigungen verwenden, um den Zugriff auf Speicherorte (Präfixe) der Athena-Abfrageergebnisse in Amazon S3 zu steuern. Weitere Informationen zu Amazon-S3-Zugriffsberechtigungen finden Sie unter Verwalten des Zugriffs mit Amazon-S3-Zugriffsberechtigungen.

    In Athena-Arbeitsgruppen, die die IAM Identity Center-Authentifizierung verwenden, können Sie die Erstellung von identitätsbasierten Speicherorten für Abfrageergebnisse aktivieren, die von Amazon S3 Access Grants verwaltet werden. Mit diesen auf der Benutzeridentität basierenden Amazon-S3-Präfixen können Benutzer in einer Athena-Arbeitsgruppe ihre Abfrageergebnisse von anderen Benutzern in derselben Arbeitsgruppe isoliert halten.

    Wenn Sie die Option Benutzerpräfix ermöglichen, fügt Athena die Benutzer-ID als Amazon-S3-Pfadpräfix an den Standort der Abfrageergebnisse für die Arbeitsgruppe an (z. B. s3://amzn-s3-demo-bucket/${user_id}). Um dieses Feature nutzen zu können, müssen Sie Zugriffsberechtigungen so konfigurieren, dass sie nur dem Benutzer Berechtigungen für den Standort gewähren, der das user_id-Präfix hat. Ein Beispiel für eine Standortrollenrichtlinie von Amazon S3 Access Grants, die den Zugriff auf Athena-Abfrageergebnisse einschränkt, finden Sie unter. Beispiel für eine Rollenrichtlinie

    Anmerkung

    Durch die Auswahl der S3-Präfixoption für die Benutzeridentität wird automatisch die Option Clientseitige Einstellungen überschreiben für die Arbeitsgruppe aktiviert, wie im nächsten Schritt beschrieben. Die Option Clientseitige Einstellungen außer Kraft setzen ist eine Voraussetzung für das Feature „Benutzeridentitätspräfix“.

  11. Erweitern Sie Einstellungen und bestätigen Sie dann, dass Clientseitige Einstellungen überschreiben ausgewählt ist.

    Wenn Sie Clientseitige Einstellungen überschreiben auswählen, werden Arbeitsgruppeneinstellungen auf Arbeitsgruppenebene für alle Clients in der Arbeitsgruppe erzwungen. Weitere Informationen finden Sie unter Override client-side settings (Clientseitige Einstellungen überschreiben).

  12. (Optional) Nehmen Sie alle erforderlichen Konfigurationseinstellungen vor, wie unter Erstellen von Arbeitsgruppen beschrieben.

  13. Wählen Sie Create workgroup (Arbeitsgruppe erstellen) aus.

  14. Verwenden Sie den Bereich Arbeitsgruppen der Athena-Konsole, um Benutzer oder Gruppen aus Ihrem IAM Identity Center-Verzeichnis Ihrer Identity Center-fähigen Athena-Arbeitsgruppe zuzuweisen. IAM

Das folgende Beispiel zeigt eine Richtlinie für eine Rolle, die an einen Amazon S3 Access Grant-Standort angehängt werden soll, der den Zugriff auf Athena-Abfrageergebnisse einschränkt. 

{
    "Statement": [{
        "Action": ["s3:*"],
        "Condition": {
            "ArnNotEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringNotEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Deny",
        "Resource": "*",
        "Sid": "ExplicitDenyS3"
    }, {
        "Action": ["kms:*"],
        "Effect": "Deny",
        "NotResource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "ExplictDenyKMS"
    }, {
        "Action": ["s3:ListMultipartUploadParts", "s3:GetObject"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelReadPermissions"
    }, {
        "Action": ["s3:PutObject", "s3:AbortMultipartUpload"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelWritePermissions"
    }, {
        "Action": "s3:ListBucket",
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            },
            "StringLikeIfExists": {
                "s3:prefix": ["${identitystore:UserId}", "${identitystore:UserId}/*"]
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION",
        "Sid": "BucketLevelReadPermissions"
    }, {
        "Action": ["kms:GenerateDataKey", "kms:Decrypt"],
        "Effect": "Allow",
        "Resource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "KMSPermissions"
    }],
    "Version": "2012-10-17"
}