Autorisieren von Verbindungen über AWS Lake Formation

Gilt für: Enterprise Edition

Zielgruppe: Systemadministratoren

Wenn Sie Daten mit abfragen, können Sie AWS Lake Formation damit vereinfachen Amazon Athena, wie Sie Ihre Daten von Amazon Quick Sight sichern und eine Verbindung zu ihnen herstellen. Lake Formation erweitert das AWS Identity and Access Management (IAM) -Berechtigungsmodell durch die Bereitstellung eines eigenen Berechtigungsmodells, das auf AWS Analyse- und Machine-Learning-Dienste angewendet wird. Dieses zentral definierte Berechtigungsmodell steuert den Datenzugriff auf granularer Ebene durch einen einfachen Mechanismus für die Erteilung und den Widerruf von Berechtigungen. Sie können Lake Formation anstelle von oder zusätzlich zu Richtlinien mit eingeschränktem Geltungsbereich mit IAM verwenden.

Wenn Sie Lake Formation einrichten, registrieren Sie Ihre Datenquellen, damit das Programm die Daten in einen neuen Data Lake in Amazon S3 verschieben kann. Lake Formation und Athena arbeiten beide nahtlos mit AWS Glue Data Catalog zusammen, so dass sie leicht zusammen verwendet werden können. Athena-Datenbanken und -Tabellen sind Metadaten-Container. Diese Container beschreiben das zugrundeliegende Schema der Daten, die DDL-Anweisungen (Data Definition Language) und den Speicherort der Daten in Amazon S3.

Das folgende Diagramm zeigt die Beziehungen der beteiligten AWS Dienste.

Nach der Konfiguration von Lake Formation können Sie Amazon Quick verwenden, um anhand des Namens oder über SQL-Abfragen auf Datenbanken und Tabellen zuzugreifen. Amazon Quick bietet einen Editor mit vollem Funktionsumfang, in dem Sie SQL-Abfragen schreiben können. Oder Sie können die Athena-Konsole AWS CLI, den oder Ihren bevorzugten Abfrage-Editor verwenden. Weitere Informationen finden Sie unter Zugriff auf Athena im Benutzerhandbuch zu Amazon Athena.

Verwenden Sie die folgenden Themen, um eine Lake Formation-Verbindung über Lake Formation oder Amazon Quick zu konfigurieren.

Aktivieren der Verbindung von Lake Formation

Bevor Sie diese Lösung mit Quick verwenden, stellen Sie sicher, dass Sie mit Athena mit Lake Formation auf Ihre Daten zugreifen können. Nachdem Sie sich vergewissert haben, dass die Verbindung über Athena funktioniert, müssen Sie nur noch überprüfen, ob Amazon Quick eine Verbindung zu Athena herstellen kann. Auf diese Weise müssen Sie die Verbindungsprobleme nicht bei allen drei Produkten gleichzeitig beheben. Eine einfache Möglichkeit, die Verbindung zu testen, ist die Verwendung der Athena-Abfragekonsole zur Ausführung eines einfachen SQL-Befehls, z. B. SELECT 1 FROM table.

Um Lake Formation einzurichten, muss die Person oder das Team, das daran arbeitet, Zugang zur Erstellung einer neuen IAM-Rolle und zu Lake Formation haben. Sie benötigen auch die in der folgenden Liste aufgeführten Informationen. Weitere Informationen finden Sie unter Einrichten von Lake Formation im AWS Lake Formation -Entwicklerhandbuch.

• Erfassen Sie die Amazon-Ressourcennamen (ARNs) der Quick-Benutzer und -Gruppen, die auf die Daten in Lake Formation zugreifen müssen. Diese Benutzer sollten Amazon Quick-Autoren oder -Administratoren sein.

  Um Amazon Quick-Benutzer und Gruppen zu finden ARNs

  1. Verwenden Sie den AWS CLI , um Benutzer ARNs für Amazon Quick-Autoren und -Administratoren zu finden. Führen Sie dazu den folgenden list-users-Befehl in Ihrem Terminal (Linux oder Mac) oder in der Befehlszeile (Windows) aus.

     aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

     Die Antwort gibt Informationen für jeden Benutzer zurück. Im folgenden Beispiel zeigen wir den Amazon-Ressourcenname (ARN) fett gedruckt.

     RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
     Status: 200
     UserList:
     - Active: true
       Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
       Email: SaanviSarkar@example.com
       PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
       Role: ADMIN
       UserName: SaanviSarkar

     Um die Verwendung von zu vermeiden AWS CLI, können Sie das ARNs für jeden Benutzer manuell erstellen.

  2. (Optional) Verwenden Sie die AWS CLI , um nach Amazon Quick-Gruppen zu ARNs suchen, indem Sie den folgenden list-group Befehl in Ihrem Terminal (Linux oder Mac) oder an Ihrer Eingabeaufforderung (Windows) ausführen.

     aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

     Die Antwort gibt Informationen für jede Gruppe zurück. Der ARN wird im folgenden Beispiel fett gedruckt.

     GroupList:
     - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
       Description: Data Lake for CXO Balanced Scorecard
       GroupName: DataLake-Scorecard
       PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
     RequestId: c1000198-18fa-4277-a1e2-02163288caf6
     Status: 200

     Wenn Sie keine Amazon Quick-Gruppen haben, fügen Sie eine Gruppe hinzu, indem AWS CLI Sie den create-group Befehl ausführen. Derzeit gibt es keine Option, dies von der Amazon Quick-Konsole aus zu tun. Weitere Informationen finden Sie unter Gruppen in Amazon Quick erstellen und verwalten.

     Um die Verwendung von zu vermeiden AWS CLI, können Sie das ARNs für jede Gruppe manuell erstellen.

Verbindung von Amazon Quick aktivieren

Um mit Lake Formation und Athena zu arbeiten, stellen Sie sicher, dass Sie die AWS Ressourcenberechtigungen in Amazon Quick konfiguriert haben:

• Aktivieren Sie den Zugriff auf Amazon Athena.

• Aktivieren Sie den Zugriff auf die richtigen Buckets in Amazon S3. Normalerweise wird S3-Zugriff bei Aktivierung von Athena aktiviert. Da Sie S3-Berechtigungen jedoch außerhalb dieses Prozesses ändern können, ist es eine gute Idee, sie separat zu überprüfen.

Informationen zum Überprüfen oder Ändern von AWS Ressourcenberechtigungen in Quick finden Sie unter Automatische Erkennung von AWS Ressourcen zulassen und Zugreifen auf Datenquellen.