Autorizar las conexiones mediante AWS Lake Formation

Se aplica a: Enterprise Edition

Público al que va dirigido: administradores de sistemas

Si está consultando datos Amazon Athena, puede utilizarlos AWS Lake Formation para simplificar la forma en que protege sus datos y se conecta a ellos desde Amazon QuickSight. Lake Formation se suma al modelo de permisos AWS Identity and Access Management (IAM) al proporcionar su propio modelo de permisos que se aplica a los servicios de AWS análisis y aprendizaje automático. Este modelo de permisos definido de forma centralizada controla el acceso a los datos de forma pormenorizada mediante un sencillo mecanismo de concesión y revocación. Puede usar Lake Formation en lugar de, o además de, usar políticas con alcance limitado con IAM.

Cuando configura Lake Formation, registra sus orígenes de datos para que pueda mover los datos a un nuevo lago de datos en Amazon S3. Tanto Lake Formation como Athena funcionan a la perfección con AWS Glue Data Catalog, lo que facilita su uso conjunto. Las bases de datos y tablas de Athena son contenedores de metadatos. Estos contenedores describen el esquema subyacente de los datos, las instrucciones del lenguaje de definición de datos (DDL) y la ubicación de los datos en Amazon S3.

El siguiente diagrama muestra las relaciones de los AWS servicios involucrados.

Una vez configurada Lake Formation, puede usar Amazon QuickSight para acceder a bases de datos y tablas por nombre o mediante consultas SQL. Amazon QuickSight proporciona un editor con todas las funciones en el que puede escribir consultas SQL. O puede usar la consola Athena AWS CLI, el o su editor de consultas favorito. Para obtener más información, consulte Acceso a Athena en la Guía del usuario de Amazon Athena.

Permitir la conexión desde Lake Formation

Antes de empezar a utilizar esta solución con Amazon QuickSight, asegúrate de que puedes acceder a tus datos con Athena with Lake Formation. Tras comprobar que la conexión funciona a través de Athena, solo tienes que comprobar que Amazon QuickSight puede conectarse a Athena. De este modo, no tendrá que solucionar los problemas de conexión entre los tres productos a la vez. Una forma sencilla de probar la conexión es utilizar la consola de consultas de Athena para ejecutar un comando SQL sencillo, por ejemplo, SELECT 1 FROM table.

Para configurar Lake Formation, la persona o el equipo que trabaja en él necesita acceder para crear un nuevo rol de IAM y a Lake Formation. También necesita la información que se muestra en la siguiente lista. Para obtener más información, consulte Configuración de Lake Formation en la Guía para desarrolladores de AWS Lake Formation .

• Recopile los nombres de recursos de Amazon (ARN) de los QuickSight usuarios y grupos de Amazon que necesitan acceder a los datos de Lake Formation. Estos usuarios deben ser QuickSight autores o administradores de Amazon.

  Para encontrar los ARN QuickSight de usuarios y grupos de Amazon

  1. AWS CLI Utilícela para buscar los ARN de los usuarios de QuickSight los autores y administradores de Amazon. Para ello, ejecute el siguiente comando list-users en su terminal (Linux o Mac) o en la línea de comandos (Windows).

     aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

     La respuesta devuelve información de cada usuario. En el siguiente ejemplo, se muestra el nombre de recurso de Amazon (ARN) en negrita.

     RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
     Status: 200
     UserList:
     - Active: true
       Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
       Email: SaanviSarkar@example.com
       PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
       Role: ADMIN
       UserName: SaanviSarkar

     Para evitar el uso de AWS CLI, puede crear los ARN para cada usuario de forma manual.

  2. (Opcional) Utilice AWS CLI para buscar los ARN de los QuickSight grupos de Amazon ejecutando el siguiente list-group comando en su terminal (Linux o Mac) o en la línea de comandos (Windows).

     aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

     La respuesta devuelve información de cada grupo. En el siguiente ejemplo, el ARN aparece en negrita.

     GroupList:
     - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
       Description: Data Lake for CXO Balanced Scorecard
       GroupName: DataLake-Scorecard
       PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
     RequestId: c1000198-18fa-4277-a1e2-02163288caf6
     Status: 200

     Si no tienes ningún QuickSight grupo de Amazon, añade un grupo mediante el comando AWS CLI para ejecutar el create-group comando. Actualmente, no hay ninguna opción para hacerlo desde la QuickSight consola de Amazon. Para obtener más información, consulte Creación y gestión de grupos en Amazon QuickSight.

     Para evitar el uso de AWS CLI, puede crear los ARN de cada grupo de forma manual.

Habilitar la conexión desde Amazon QuickSight

Para trabajar con Lake Formation y Athena, asegúrate de tener configurados los permisos de AWS recursos en Amazon: QuickSight

• Habilite el acceso a Amazon Athena.

• Habilite el acceso a los buckets correctos en Amazon S3. Normalmente, el acceso a S3 se habilita al activar Athena. Sin embargo, como puede cambiar permisos de S3 fuera de ese proceso, es recomendable verificarlos por separado.

Para obtener información sobre cómo verificar o cambiar los permisos de AWS recursos en Amazon QuickSight, consulte Permitir la detección automática de recursos de AWS yAcceso a orígenes de datos.