Utilisation des groupes de travail Athena compatibles avec IAM Identity Center - Amazon Athena
Considérations et restrictionsCréation d’un groupe de travail Athena compatible avec IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des groupes de travail Athena compatibles avec IAM Identity Center

La fonction de propagation fiable des identités AWS IAM Identity Center permet d'utiliser les identités de vos employés dans tous les services AWS d'analyse. La propagation d’identité approuvée vous évite d’avoir à effectuer des configurations de fournisseur d’identité spécifiques au service ou des configurations de rôles IAM.

Avec IAM Identity Center, vous pouvez gérer la sécurité de connexion pour les identités de vos employés, également appelées utilisateurs employés. IAM Identity Center fournit un endroit unique où vous pouvez créer ou connecter les utilisateurs du personnel et gérer de manière centralisée leur accès à tous leurs AWS comptes et applications. Vous pouvez utiliser des autorisations multi-comptes pour attribuer l’accès aux Comptes AWSà ces utilisateurs. Vous pouvez utiliser les affectations d’application pour attribuer à vos utilisateurs l’accès aux applications compatibles avec IAM Identity Center, aux applications cloud et aux applications client SAML 2.0 (Security Assertion Markup Language). Pour plus d’informations, consultez la rubrique Trusted identity propagation across applications dans le Guide de l’utilisateur AWS IAM Identity Center .

Actuellement, la prise en charge d’Athena SQL pour la propagation d’identité approuvée vous permet d’utiliser la même identité pour Amazon EMR Studio et l’interface Athena SQL dans EMR Studio. Pour utiliser les identités IAM Identity Center avec Athena SQL dans EMR Studio, vous devez créer des groupes de travail compatibles avec IAM Identity Center dans Athena. Vous pouvez alors utiliser la console ou l’API IAM Identity Center pour attribuer des utilisateurs ou des groupes IAM Identity Center aux groupes de travail Athena compatibles avec IAM Identity Center. Les requêtes provenant d’un groupe de travail Athena qui utilise la propagation d’identité approuvée doivent être exécutées à partir de l’interface SQL Athena dans un EMR Studio sur lequel IAM Identity Center est activé.

Considérations et restrictions

Lorsque vous utilisez la propagation d’identité approuvée avec Amazon Athena, tenez compte des points suivants :

  • Vous ne pouvez pas modifier la méthode d’authentification du groupe de travail après sa création.

    • Vous ne pouvez pas modifier les groupes de travail Athena SQL existants pour qu’ils prennent en charge les groupes de travail compatibles avec IAM Identity Center.

    • Vous ne pouvez pas modifier les groupes de travail compatibles IAM Identity Center pour qu’ils prennent en charge les autorisations IAM au niveau des ressources ou les politiques IAM basées sur l’identité.

  • Pour accéder aux groupes de travail compatibles avec la propagation d'identités fiables, les utilisateurs d'IAM Identity Center doivent être affectés à IdentityCenterApplicationArn ce qui est renvoyé par la réponse de l'action de l'API GetWorkGroupAthena.

  • Les autorisations d’accès Amazon S3 doivent être configurées pour utiliser la propagation d’identité approuvée. Pour plus d’informations, consultez la rubrique S3 Access Grants and corporate directory identities dans le Guide de l’utilisateur Amazon S3.

  • Les groupes de travail Athena compatibles avec IAM Identity Center nécessitent que Lake Formation soit configuré pour utiliser les identités IAM Identity Center. Pour obtenir des informations sur la configuration, consultez la rubrique Integrating IAM Identity Center dans le Guide du développeur AWS Lake Formation .

  • Par défaut, les requêtes expirent au bout de 30 minutes dans les groupes de travail qui utilisent la propagation d’identité approuvée. Vous pouvez demander une augmentation du délai d’expiration des requêtes, mais le délai maximum des requêtes dans les groupes de travail utilisant la propagation d’identité approuvée est d’une heure.

  • La prise en compte des modifications des droits des utilisateurs ou des groupes dans les groupes de travail utilisant la propagation d’identité approuvée peuvent prendre jusqu’à une heure.

  • Les requêtes d’un groupe de travail Athena utilisant la propagation d’identité approuvée ne peuvent pas être exécutées directement depuis la console Athena. Elles doivent être exécutées depuis l’interface Athena dans un EMR Studio sur lequel IAM Identity Center est activé. Pour plus d’informations sur l’utilisation d’Athena dans EMR Studio, consultez la rubrique Use the Amazon Athena SQL editor in EMR Studio dans le Guide de gestion Amazon EMR.

  • La propagation d’identité approuvée n’est pas compatible avec les fonctionnalités Athena suivantes.

    • Clés de contexte aws:CalledVia.

    • Groupes de travail Athena pour Spark.

    • Accès fédéré à l’API Athena.

    • Accès fédéré à Athena à l’aide de Lake Formation et des pilotes JDBC et ODBC d’Athena.

  • Vous pouvez utiliser la propagation d'identité sécurisée avec Athena uniquement dans les cas suivants : Régions AWS

    • us-east-2 – USA Est (Ohio)

    • us-east-1 – USA Est (Virginie du Nord)

    • us-west-1 – USA Ouest (Californie du Nord)

    • us-west-2 – USA Ouest (Oregon)

    • af-south-1 – Afrique (Le Cap)

    • ap-east-1 – Asie-Pacifique (Hong Kong)

    • ap-southeast-3 – Asie-Pacifique (Jakarta)

    • ap-south-1 – Asie-Pacifique (Mumbai)

    • ap-northeast-3 – Asie-Pacifique (Osaka)

    • ap-northeast-2 – Asie-Pacifique (Séoul)

    • ap-southeast-1 – Asie-Pacifique (Singapour)

    • ap-southeast-2 – Asie-Pacifique (Sydney)

    • ap-northeast-1 – Asie-Pacifique (Tokyo)

    • ca-central-1 – Canada (Centre)

    • eu-central-1 – Europe (Francfort)

    • eu-west-1 – Europe (Irlande)

    • eu-west-2 – Europe (Londres)

    • eu-south-1 – Europe (Milan)

    • eu-west-3 – Europe (Paris)

    • eu-north-1 – Europe (Stockholm)

    • me-south-1 – Moyen-Orient (Bahreïn)

    • sa-east-1 – Amérique du Sud (São Paulo)

Les politiques suivantes doivent être attachées à l’utilisateur IAM de l’administrateur qui crée le groupe de travail compatible avec IAM Identity Center dans la console Athena.

  • La politique gérée AmazonAthenaFullAccess. Pour plus de détails, consultez AWS politique gérée : AmazonAthenaFullAccess.

  • La politique en ligne suivante qui autorise les actions IAM et IAM Identity Center :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:createRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles",
                "iam:PassRole",
                "identitystore:ListUsers",
                "identitystore:ListGroups",
                "identitystore:CreateUser",
                "identitystore:CreateGroup",
                "sso:ListInstances",
                "sso:CreateInstance",
                "sso:DeleteInstance",
                "sso:DescribeUser",
                "sso:DescribeGroup",
                "sso:ListTrustedTokenIssuers",
                "sso:DescribeTrustedTokenIssuer",
                "sso:ListApplicationAssignments",
                "sso:DescribeRegisteredRegions",
                "sso:GetManagedApplicationInstance",
                "sso:GetSharedSsoConfiguration",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:CreateApplication",
                "sso:DeleteApplication",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationAccessScope",
                "sso:ListDirectoryAssociations",
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment",
                "organizations:ListDelegatedAdministrators",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:CreateOrganization",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}

Création d’un groupe de travail Athena compatible avec IAM Identity Center

La procédure suivante décrit les étapes et les options associées à la création d’un groupe de travail Athena compatible avec IAM Identity Center. Pour obtenir une description des autres options de configuration disponibles pour les groupes de travail Athena, consultez Créer un groupe de travail.

Création d’un groupe de travail avec SSO activée dans la console Athena

  1. Ouvrez la console Athena à l’adresse https://console.aws.amazon.com/athena/.

  2. Dans le panneau de navigation de la console Athena, choisissez Workgroups (Groupes de travail).

  3. Sur la page Workgroups (Groupes de travail), choisissez Create workgroup (Créer un groupe de travail).

  4. Sur la page Créer un groupe de travail, pour Nom du groupe de travail, saisissez le nom du groupe de travail.

  5. Pour Moteur d’analytique, utilisez Athena SQL par défaut.

  6. Pour Authentification, choisissez IAM Identity Center.

  7. Pour Fonction du service en ce qui concerne l’accès à IAM Identity Center, choisissez une fonction du service existante ou créez-en une.

    Athena a besoin d’autorisations pour accéder à IAM Identity Center en votre nom. Pour ce faire, Athena doit avoir une fonction du service. Un rôle de service est un rôle IAM que vous gérez et qui autorise un AWS service à accéder à d'autres AWS services en votre nom. Pour plus d'informations, consultez la section Création d'un rôle pour déléguer des autorisations à un AWS service dans le Guide de l'utilisateur IAM.

  8. Développez Configuration des résultats de requêtes, puis saisissez ou choisissez un chemin Amazon S3 pour Emplacement du résultat de la requête.

  9. (Facultatif) Choisissez Chiffrer les résultats de requête.

  10. (Facultatif) Choisissez Créer un préfixe S3 basé sur l’identité utilisateur.

    Lorsque vous créez un groupe de travail compatible avec IAM Identity Center, l’option Activer les autorisations d’accès S3 est sélectionnée par défaut. Vous pouvez utiliser les autorisations d’accès Amazon S3 pour contrôler l’accès aux emplacements des résultats de requête Athena (préfixes) dans Amazon S3. Pour plus d’informations sur les autorisations d’accès Amazon S3, consultez Managing access with S3 Access Grants.

    Dans les groupes de travail Athena qui utilisent l’authentification IAM Identity Center, vous pouvez activer la création d’emplacements de résultats de requête basés sur l’identité et gouvernés par les autorisations d’accès Amazon S3. Ces préfixes Amazon S3 basés sur l’identité utilisateur permettent aux utilisateurs d’un groupe de travail Athena d’isoler les résultats de leurs requêtes des autres utilisateurs du même groupe de travail.

    Lorsque vous activez l’option de préfixe utilisateur, Athena ajoute l’ID utilisateur en tant que préfixe de chemin Amazon S3 à l’emplacement de sortie des résultats de requête pour le groupe de travail (par exemple, s3://DOC-EXAMPLE-BUCKET/${user_id}). Pour utiliser cette fonctionnalité, vous devez configurer les autorisations d’accès pour autoriser uniquement l’utilisateur à accéder à l’emplacement portant le préfixe user_id. Pour un exemple de politique de rôle de localisation Amazon S3 Access Grants qui restreint l'accès aux résultats des requêtes Athena, consultez. Exemple de politique de rôle

    Note

    Lorsque l’option de préfixe S3 de l’identité utilisateur est sélectionnée, l’option de remplacement des paramètres côté client est automatiquement activée pour le groupe de travail, comme décrit à l’étape suivante. L’option de remplacement des paramètres côté client est requise pour la fonctionnalité de préfixe de l’identité utilisateur.

  11. Développez Paramètres, puis vérifiez que l’option Remplacer les paramètres côté client est sélectionnée.

    Lorsque vous sélectionnez l’option Remplacer les paramètres côté client, les paramètres du groupe de travail sont appliqués au niveau du groupe de travail pour tous les clients du groupe de travail. Pour plus d’informations, consultez Les paramètres du groupe de travail remplacent les paramètres côté client.

  12. (Facultatif) Définissez tous les autres paramètres de configuration dont vous avez besoin, comme décrit dans Créer un groupe de travail.

  13. Choisissez Créer un groupe de travail.

  14. Utilisez la section Groupes de travail de la console Athena pour attribuer des utilisateurs ou des groupes de votre répertoire IAM Identity Center à votre groupe de travail Athena compatible avec IAM Identity Center.

L'exemple suivant montre une politique relative à l'attachement d'un rôle à un emplacement Amazon S3 Access Grant qui restreint l'accès aux résultats des requêtes Athena. 

{
    "Statement": [{
        "Action": ["s3:*"],
        "Condition": {
            "ArnNotEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringNotEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Deny",
        "Resource": "*",
        "Sid": "ExplicitDenyS3"
    }, {
        "Action": ["kms:*"],
        "Effect": "Deny",
        "NotResource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "ExplictDenyKMS"
    }, {
        "Action": ["s3:ListMultipartUploadParts", "s3:GetObject"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelReadPermissions"
    }, {
        "Action": ["s3:PutObject", "s3:AbortMultipartUpload"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelWritePermissions"
    }, {
        "Action": "s3:ListBucket",
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            },
            "StringLikeIfExists": {
                "s3:prefix": ["${identitystore:UserId}", "${identitystore:UserId}/*"]
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION",
        "Sid": "BucketLevelReadPermissions"
    }, {
        "Action": ["kms:GenerateDataKey", "kms:Decrypt"],
        "Effect": "Allow",
        "Resource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "KMSPermissions"
    }],
    "Version": "2012-10-17"
}