Autorisieren von Verbindungen über AWS Lake Formation

Gilt für: Enterprise Edition

Zielgruppe: Systemadministratoren

Wenn Sie Daten mit abfragen Amazon Athena, können Sie AWS Lake Formation damit vereinfachen, wie Sie Ihre Daten von Amazon QuickSight sichern und eine Verbindung zu ihnen herstellen. Lake Formation erweitert das AWS Identity and Access Management (IAM) -Berechtigungsmodell durch die Bereitstellung eines eigenen Berechtigungsmodells, das auf AWS Analyse- und Machine-Learning-Dienste angewendet wird. Dieses zentral definierte Berechtigungsmodell steuert den Datenzugriff auf granularer Ebene durch einen einfachen Mechanismus für die Erteilung und den Widerruf von Berechtigungen. Sie können Lake Formation anstelle von oder zusätzlich zu Richtlinien mit eingeschränktem Geltungsbereich mit IAM verwenden.

Wenn Sie Lake Formation einrichten, registrieren Sie Ihre Datenquellen, damit das Programm die Daten in einen neuen Data Lake in Amazon S3 verschieben kann. Lake Formation und Athena arbeiten beide nahtlos mit AWS Glue Data Catalog zusammen, so dass sie leicht zusammen verwendet werden können. Athena-Datenbanken und -Tabellen sind Metadaten-Container. Diese Container beschreiben das zugrundeliegende Schema der Daten, die DDL-Anweisungen (Data Definition Language) und den Speicherort der Daten in Amazon S3.

Das folgende Diagramm zeigt die Beziehungen der beteiligten AWS Dienste.

Nach der Konfiguration von Lake Formation können Sie Amazon verwenden, QuickSight um anhand des Namens oder über SQL-Abfragen auf Datenbanken und Tabellen zuzugreifen. Amazon QuickSight bietet einen Editor mit vollem Funktionsumfang, in dem Sie SQL-Abfragen schreiben können. Oder Sie können die Athena-Konsole AWS CLI, den oder Ihren bevorzugten Abfrage-Editor verwenden. Weitere Informationen finden Sie unter Zugriff auf Athena im Benutzerhandbuch zu Amazon Athena.

Aktivieren der Verbindung von Lake Formation

Bevor Sie diese Lösung mit Amazon verwenden, stellen Sie sicher QuickSight, dass Sie mit Athena mit Lake Formation auf Ihre Daten zugreifen können. Nachdem Sie sich vergewissert haben, dass die Verbindung über Athena funktioniert, müssen Sie nur noch überprüfen, ob Amazon eine Verbindung zu Athena herstellen QuickSight kann. Auf diese Weise müssen Sie die Verbindungsprobleme nicht bei allen drei Produkten gleichzeitig beheben. Eine einfache Möglichkeit, die Verbindung zu testen, ist die Verwendung der Athena-Abfragekonsole zur Ausführung eines einfachen SQL-Befehls, z. B. SELECT 1 FROM table.

Um Lake Formation einzurichten, muss die Person oder das Team, das daran arbeitet, Zugang zur Erstellung einer neuen IAM-Rolle und zu Lake Formation haben. Sie benötigen auch die in der folgenden Liste aufgeführten Informationen. Weitere Informationen finden Sie unter Einrichten von Lake Formation im AWS Lake Formation -Entwicklerhandbuch.

• Erfassen Sie die Amazon-Ressourcennamen (ARNs) der QuickSight Amazon-Benutzer und -Gruppen, die auf die Daten in Lake Formation zugreifen müssen. Diese Benutzer sollten QuickSight Amazon-Autoren oder -Administratoren sein.

  Um QuickSight Amazon-Benutzer- und Gruppen-ARNs zu finden

  1. Verwenden Sie den AWS CLI , um Benutzer-ARNs für QuickSight Amazon-Autoren und -Administratoren zu finden. Führen Sie dazu den folgenden list-users-Befehl in Ihrem Terminal (Linux oder Mac) oder in der Befehlszeile (Windows) aus.

     aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

     Die Antwort gibt Informationen für jeden Benutzer zurück. Im folgenden Beispiel zeigen wir den Amazon-Ressourcenname (ARN) fett gedruckt.

     RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
     Status: 200
     UserList:
     - Active: true
       Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
       Email: SaanviSarkar@example.com
       PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
       Role: ADMIN
       UserName: SaanviSarkar

     Um die Verwendung von zu vermeiden AWS CLI, können Sie die ARNs für jeden Benutzer manuell erstellen.

  2. (Optional) Verwenden Sie die AWS CLI , um ARNs für QuickSight Amazon-Gruppen zu finden, indem Sie den folgenden list-group Befehl in Ihrem Terminal (Linux oder Mac) oder an Ihrer Eingabeaufforderung (Windows) ausführen.

     aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

     Die Antwort gibt Informationen für jede Gruppe zurück. Der ARN wird im folgenden Beispiel fett gedruckt.

     GroupList:
     - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
       Description: Data Lake for CXO Balanced Scorecard
       GroupName: DataLake-Scorecard
       PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
     RequestId: c1000198-18fa-4277-a1e2-02163288caf6
     Status: 200

     Wenn Sie keine QuickSight Amazon-Gruppen haben, fügen Sie eine Gruppe hinzu, indem AWS CLI Sie den create-group Befehl ausführen. Derzeit gibt es keine Option, dies von der QuickSight Amazon-Konsole aus zu tun. Weitere Informationen finden Sie unter Gruppen in Amazon erstellen und verwalten QuickSight.

     Um die Verwendung von zu vermeiden AWS CLI, können Sie die ARNs für jede Gruppe manuell erstellen.

Verbindung von Amazon aktivieren QuickSight

Um mit Lake Formation und Athena zu arbeiten, stellen Sie sicher, dass Sie die AWS Ressourcenberechtigungen in Amazon QuickSight konfiguriert haben:

• Aktivieren Sie den Zugriff auf Amazon Athena.

• Aktivieren Sie den Zugriff auf die richtigen Buckets in Amazon S3. Normalerweise wird S3-Zugriff bei Aktivierung von Athena aktiviert. Da Sie S3-Berechtigungen jedoch außerhalb dieses Prozesses ändern können, ist es eine gute Idee, sie separat zu überprüfen.

Informationen dazu, wie Sie AWS Ressourcenberechtigungen in Amazon überprüfen oder ändern können QuickSight, finden Sie unter Zulassen der automatischen Erkennung von AWS -Ressourcen undZugreifen auf Datenquellen.