Uso de la propagación de identidad fiable con Athena - Amazon QuickSight
Requisitos previosConfigure la función de IAM con los permisos necesariosConfigure su QuickSight cuenta para usar el rol de IAMActualice la configuración de propagación de identidad con la AWS CLICree un conjunto de datos de Athena en QuickSightIndicaciones, consideraciones y límites clave

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de la propagación de identidad fiable con Athena

La propagación de identidad fiable permite a los AWS servicios acceder a AWS los recursos en función del contexto de identidad del usuario y comparte de forma segura la identidad de este usuario con otros AWS servicios. Estas capacidades permiten definir, conceder y registrar más fácilmente el acceso de los usuarios.

Cuando los administradores QuickSight configuran Athena, Amazon S3 Access Grants y AWS Lake Formation con IAM Identity Center, ahora pueden habilitar la propagación confiable de la identidad entre estos servicios y permitir que la identidad del usuario se propague entre los servicios. Cuando un usuario del QuickSight IAM Identity Center accede a los datos, Athena o Lake Formation pueden tomar decisiones de autorización utilizando los permisos definidos para su membresía de usuario o grupo por el proveedor de identidad de la organización.

La propagación fiable de identidades con Athena solo funciona cuando los permisos se gestionan a través de Lake Formation. Los permisos de los usuarios para acceder a los datos residen en Lake Formation.

Requisitos previos

Antes de empezar, asegúrese de haber cumplido los siguientes requisitos previos obligatorios.

importante

Al cumplir los siguientes requisitos previos, tenga en cuenta que su instancia de IAM Identity Center, Athena workgroup, Lake Formation y Amazon S3 Access Grants deben implementarse en la misma región. AWS

  • Configure su QuickSight cuenta con IAM Identity Center. La propagación de identidad fiable solo se admite en las QuickSight cuentas que están integradas en el Centro de identidades de IAM. Para obtener más información, consulte Configura tu QuickSight cuenta de Amazon con IAM Identity Center.

    nota

    Para crear fuentes de datos de Athena, debe ser un usuario (autor) del Centro de identidad de IAM en una QuickSight cuenta que utilice el Centro de identidad de IAM.

  • Un grupo de trabajo de Athena que está habilitado con IAM Identity Center. El grupo de trabajo de Athena que utilice debe utilizar la misma instancia de IAM Identity Center que la cuenta. QuickSight Para obtener más información sobre la configuración de un grupo de trabajo de Athena, consulte Creación de un grupo de trabajo de Athena habilitado para IAM Identity Center. en la Guía del usuario de Amazon Athena.

  • El acceso al depósito de resultados de consultas de Athena se administra con Amazon S3 Access Grants. Para obtener más información, consulte Administrar el acceso con Amazon S3 Access Grants en la Guía del usuario de Amazon S3. Si los resultados de la consulta están cifrados con una AWS KMS clave, tanto el rol de IAM de Amazon S3 Access Grant como el rol de grupo de trabajo de Athena necesitan permisos. AWS KMS

  • Los permisos de los datos deben gestionarse con Lake Formation y Lake Formation debe configurarse con la misma instancia de IAM Identity Center que el grupo de QuickSight trabajo de Athena. Para obtener más información sobre la configuración, consulte Integración del IAM Identity Center en la Guía para desarrolladores de AWS Lake Formation .

  • El administrador del lago de datos debe conceder permisos a los usuarios y grupos del IAM Identity Center en Lake Formation. Para obtener más información, consulte la Guía para AWS Lake Formation desarrolladores sobre cómo conceder permisos a usuarios y grupos.

  • El QuickSight administrador debe autorizar las conexiones a Athena. Para obtener más información, consulte Autorización de las conexiones a Amazon Athena. Tenga en cuenta que, con la propagación de identidades confiable, no necesita conceder al QuickSight rol permisos o AWS KMS permisos de bucket de Amazon S3. Debe mantener sincronizados a los usuarios y grupos que tienen permisos para el grupo de trabajo de Athena con el bucket de Amazon S3 que almacena los resultados de las consultas con los permisos de Amazon S3 Access Grants para que los usuarios puedan ejecutar consultas correctamente y recuperar los resultados de las consultas en el bucket de Amazon S3 mediante una propagación de identidad fiable.

Configure la función de IAM con los permisos necesarios

Para utilizar la propagación de identidad fiable con Athena, tu QuickSight cuenta debe tener los permisos necesarios para acceder a tus recursos. Para proporcionar esos permisos, debe configurar su QuickSight cuenta para que utilice un rol de IAM con los permisos.

Si su QuickSight cuenta ya utiliza un rol de IAM personalizado, puede modificarlo. Si no tiene un rol de IAM existente, cree uno siguiendo las instrucciones de la Guía del usuario de IAM para crear un rol para un usuario de IAM.

El rol de IAM que cree o modifique debe contener la siguiente política de confianza y permisos.

Política de confianza obligatoria

Para obtener información sobre la actualización de la política de confianza de un rol de IAM, consulte Actualizar la política de confianza de un rol.

JSON
{ 
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QuickSightandAthenaTrust",
            "Effect": "Allow",
            "Principal": {
                "Service": "quicksight.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Resource": "*"
        }
    ]
}

Permisos de Athena necesarios

Para obtener información sobre la actualización de la política de confianza de un rol de IAM, consulte Actualizar los permisos de un rol.

nota

ResourceUtiliza el * comodín. Le recomendamos que la actualice para incluir solo los recursos de Athena con los que desee utilizarlos. QuickSight

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Configure su QuickSight cuenta para usar el rol de IAM

Tras configurar el rol de IAM en el paso anterior, debe configurar su QuickSight cuenta para usarlo. Para obtener información sobre cómo hacerlo, consulteUso de las funciones de IAM existentes en Amazon QuickSight.

Actualice la configuración de propagación de identidad con la AWS CLI

QuickSight Para autorizar la propagación de las identidades de los usuarios finales a los grupos de trabajo de Athena, ejecute la update-identity-propagation-config siguiente API desde el, sustituyendo AWS CLI los siguientes valores:

  • us-west-2Sustitúyala por la AWS región en la que se encuentra tu instancia de IAM Identity Center.

  • 111122223333Sustitúyala por tu ID AWS de cuenta.

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Cree un conjunto de datos de Athena en QuickSight

Ahora, cree un conjunto de datos de Athena QuickSight configurado con el grupo de trabajo Athena habilitado para IAM Identity Center al que desee conectarse. Para obtener información sobre cómo crear un conjunto de datos de Athena, consulte. Creación de un conjunto de datos utilizando datos de Amazon Athena

Indicaciones, consideraciones y límites clave

La siguiente lista contiene algunas consideraciones importantes a la hora de utilizar la propagación de identidades de confianza con QuickSight Athena.

  • QuickSight Las fuentes de datos de Athena que utilizan una propagación de identidad confiable comparan los permisos de Lake Formation con el usuario final del IAM Identity Center y los grupos del IAM Identity Center a los que podría pertenecer el usuario.

  • Al utilizar fuentes de datos de Athena que utilicen una propagación de identidad fiable, recomendamos realizar cualquier control de acceso ajustado en Lake Formation. Sin embargo, si opta por utilizar QuickSight la función de política de reducción de alcance, las políticas de reducción de alcance se evaluarán en función del usuario final.

  • Las siguientes funciones están deshabilitadas para las fuentes de datos y los conjuntos de datos que utilizan una propagación de identidades fiable: conjuntos de datos SPICE, SQL personalizado en las fuentes de datos, alertas de umbral, informes por correo electrónico, temas de preguntas, historias, escenarios, exportaciones a CSV, Excel y PDF, detección de anomalías.

  • Si experimenta una latencia o tiempos de espera altos, puede deberse a una combinación de un gran número de grupos de IAM Identity Center, bases de datos de Athena, tablas y reglas de Lake Formation. Le recomendamos que intente utilizar solo la cantidad necesaria de esos recursos.