Verwendung vertrauenswürdiger Identitätsverbreitung mit Athena

Die Verbreitung vertrauenswürdiger Identitäten ermöglicht AWS Diensten Zugriff auf AWS Ressourcen, die auf dem Identitätskontext des Benutzers basieren, und teilt die Identität dieses Benutzers auf sichere Weise mit anderen AWS Diensten. Diese Funktionen ermöglichen es, den Benutzerzugriff einfacher zu definieren, zu gewähren und zu protokollieren.

Wenn Administratoren Athena QuickSight, Amazon S3 Access Grants und AWS Lake Formation IAM Identity Center konfigurieren, können sie jetzt die Verbreitung vertrauenswürdiger Identitäten über diese Dienste hinweg aktivieren und zulassen, dass die Identität des Benutzers dienstübergreifend weitergegeben wird. Wenn ein IAM Identity Center-Benutzer auf Daten zugreift, können Athena oder Lake Formation Autorisierungsentscheidungen anhand der vom Identitätsanbieter der Organisation für ihre Benutzer- oder Gruppenmitgliedschaft definierten Berechtigungen treffen. QuickSight

Die Verbreitung vertrauenswürdiger Identitäten mit Athena funktioniert nur, wenn die Berechtigungen über Lake Formation verwaltet werden. Benutzerberechtigungen für Daten befinden sich in Lake Formation.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden erforderlichen Voraussetzungen erfüllt haben.

Wichtig

Beachten Sie beim Erfüllen der folgenden Voraussetzungen, dass Ihre IAM Identity Center-Instance, Athena-Arbeitsgruppe, Lake Formation und Amazon S3 Access Grants alle in derselben Region bereitgestellt werden müssen. AWS

• Konfigurieren Sie Ihr QuickSight Konto mit IAM Identity Center. Die Weitergabe vertrauenswürdiger Identitäten wird nur für QuickSight Konten unterstützt, die in IAM Identity Center integriert sind. Weitere Informationen finden Sie unter Konfigurieren Sie Ihr QuickSight Amazon-Konto mit IAM Identity Center.

  Anmerkung

  Um Athena-Datenquellen zu erstellen, müssen Sie ein IAM Identity Center-Benutzer (Autor) in einem QuickSight Konto sein, das IAM Identity Center verwendet.

• Eine Athena-Arbeitsgruppe, die mit IAM Identity Center aktiviert ist. Die Athena-Arbeitsgruppe, die Sie verwenden, muss dieselbe IAM Identity Center-Instanz wie das Konto verwenden. QuickSight Weitere Informationen zur Konfiguration einer Athena-Arbeitsgruppe finden Sie unter Erstellen einer IAM Identity Center-fähigen Athena-Arbeitsgruppe. im Amazon Athena Athena-Benutzerhandbuch.

• Der Zugriff auf den Athena-Abfrageergebnis-Bucket wird mit Amazon S3 Access Grants verwaltet. Weitere Informationen finden Sie unter Verwaltung des Zugriffs mit Amazon S3 Access Grants im Amazon S3 S3-Benutzerhandbuch. Wenn Ihre Abfrageergebnisse mit einem AWS KMS Schlüssel verschlüsselt sind, benötigen sowohl die Amazon S3 Access Grant IAM-Rolle als auch die Athena-Arbeitsgruppenrolle entsprechende Berechtigungen. AWS KMS

  • Weitere Informationen finden Sie unter Amazon S3 Access Grants und Corporate Directory Identities im Amazon S3 S3-Benutzerhandbuch.

  • Die Amazon S3 Access Grant-Rolle sollte die STS:SetContext Aktion in ihrer Vertrauensrichtlinie für die Weitergabe von Identitäten enthalten. Ein Beispiel finden Sie unter Einen Standort registrieren im Amazon S3 S3-Benutzerhandbuch.

• Datenberechtigungen müssen mit Lake Formation verwaltet werden und Lake Formation muss mit derselben IAM Identity Center-Instanz wie QuickSight und der Athena-Arbeitsgruppe konfiguriert werden. Informationen zur Konfiguration finden Sie unter Integration von IAM Identity Center im AWS Lake Formation -Entwicklerhandbuch.

• Der Data Lake-Administrator muss Benutzern und Gruppen von IAM Identity Center in Lake Formation Berechtigungen gewähren. Weitere Informationen finden Sie unter Erteilen von Berechtigungen für Benutzer und Gruppen im AWS Lake Formation Entwicklerhandbuch.

• Der QuickSight Administrator muss Verbindungen zu Athena autorisieren. Details hierzu finden Sie unter Autorisieren von Verbindungen zu Amazon Athena. Beachten Sie, dass Sie bei der Weitergabe vertrauenswürdiger Identitäten der QuickSight Rolle keine Amazon S3 S3-Bucket-Berechtigungen oder AWS KMS Berechtigungen erteilen müssen. Sie müssen Ihre Benutzer und Gruppen, die über Berechtigungen für die Arbeitsgruppe in Athena verfügen, mit dem Amazon S3-Bucket synchron halten, der Abfrageergebnisse mit Amazon S3 Access Grants-Berechtigungen speichert, damit Benutzer mithilfe von Trusted Identity Propagation erfolgreich Abfragen ausführen und Abfrageergebnisse im Amazon S3 S3-Bucket abrufen können.

Konfigurieren Sie die IAM-Rolle mit den erforderlichen Berechtigungen

Um Trusted Identity Propagation mit Athena verwenden zu können, muss Ihr QuickSight Konto über die erforderlichen Berechtigungen für den Zugriff auf Ihre Ressourcen verfügen. Um diese Berechtigungen bereitzustellen, müssen Sie Ihr QuickSight Konto so konfigurieren, dass es eine IAM-Rolle mit den entsprechenden Berechtigungen verwendet.

Wenn Ihr QuickSight Konto bereits eine benutzerdefinierte IAM-Rolle verwendet, können Sie diese ändern. Wenn Sie noch keine IAM-Rolle haben, erstellen Sie eine, indem Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch folgen.

Die IAM-Rolle, die Sie erstellen oder ändern, muss die folgenden Vertrauensrichtlinien und Berechtigungen enthalten.

Erforderliche Vertrauensrichtlinie

Informationen zum Aktualisieren der Vertrauensrichtlinie einer IAM-Rolle finden Sie unter Aktualisieren einer Rollenvertrauensrichtlinie.

JSON

{ 
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QuickSightandAthenaTrust",
            "Effect": "Allow",
            "Principal": {
                "Service": "quicksight.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Resource": "*"
        }
    ]
}

Erforderliche Athena-Berechtigungen

Informationen zum Aktualisieren der Vertrauensrichtlinie einer IAM-Rolle finden Sie unter Berechtigungen für eine Rolle aktualisieren.

Anmerkung

Der Resource verwendet den * Platzhalter. Wir empfehlen Ihnen, es so zu aktualisieren, dass es nur die Athena-Ressourcen enthält, mit QuickSight denen Sie es verwenden möchten.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Konfigurieren Sie Ihr QuickSight Konto für die Verwendung der IAM-Rolle

Nachdem Sie die IAM-Rolle im vorherigen Schritt konfiguriert haben, müssen Sie Ihr QuickSight Konto für die Verwendung konfigurieren. Informationen dazu finden Sie unterVerwenden vorhandener IAM-Rollen in Amazon QuickSight.

Aktualisieren Sie die Konfiguration für die Identitätsverbreitung mit dem AWS CLI

Um die Weitergabe von Endbenutzeridentitäten QuickSight an Athena-Arbeitsgruppen zu autorisieren, führen Sie die folgende update-identity-propagation-config API von aus aus aus aus und ersetzen Sie dabei die AWS CLI folgenden Werte:

• Ersetzen Sie es us-west-2 durch die AWS Region, in der sich Ihre IAM Identity Center-Instanz befindet.

• Ersetzen Sie es 111122223333 durch Ihre AWS Konto-ID.

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Erstellen Sie einen Athena-Datensatz in QuickSight

Erstellen Sie nun einen Athena-Datensatz, der mit der für IAM Identity Center aktivierten Athena-Arbeitsgruppe QuickSight konfiguriert ist, zu der Sie eine Verbindung herstellen möchten. Hinweise zum Erstellen eines Athena-Datensatzes finden Sie unterErstellen eines Datensatzes mit Amazon-Athena-Daten.

Wichtige Hinweise, Überlegungen und Grenzen

Die folgende Liste enthält einige wichtige Überlegungen bei der Verwendung von Trusted Identity Propagation mit QuickSight und Athena.

• QuickSight Athena-Datenquellen, die vertrauenswürdige Identitätsverbreitung verwenden, verfügen über Lake Formation Formation-Berechtigungen, die anhand des IAM Identity Center-Endbenutzers und der IAM Identity Center-Gruppen, denen der Benutzer möglicherweise angehört, bewertet wurden.

• Bei der Verwendung von Athena-Datenquellen, die Trusted Identity Propagation verwenden, empfehlen wir, dass jede fein abgestimmte Zugriffskontrolle in Lake Formation durchgeführt wird. Wenn Sie sich jedoch für die Verwendung QuickSight der Scope Down-Policy-Funktion entscheiden, werden die Richtlinien für den Anwendungsbereich anhand des Endbenutzers bewertet.

• Die folgenden Funktionen sind für Datenquellen und Datensätze deaktiviert, die die Weitergabe vertrauenswürdiger Identitäten verwenden: SPICE-Datensätze, Benutzerdefiniertes SQL für Datenquellen, Schwellenwertwarnungen, E-Mail-Berichte, Q-Themen, Storys, Szenarien, CSV-, Excel- und PDF-Exporte, Anomalieerkennung.

• Wenn Sie hohe Latenzen oder Timeouts feststellen, kann dies an einer Kombination aus einer hohen Anzahl von IAM Identity Center-Gruppen, Athena-Datenbanken, -Tabellen und Lake Formation Formation-Regeln liegen. Wir empfehlen, nur die erforderliche Anzahl dieser Ressourcen zu verwenden.