Utilisation d'une propagation d'identité fiable avec Athena - Amazon QuickSight
PrérequisConfigurer le rôle IAM avec les autorisations requisesConfigurez votre QuickSight compte pour utiliser le rôle IAMMettez à jour la configuration de propagation d'identité avec le AWS CLICréez un jeu de données Athena dans QuickSightPrincipaux appels, considérations et limites

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'une propagation d'identité fiable avec Athena

La propagation fiable des identités permet aux AWS services d'accéder aux AWS ressources en fonction du contexte d'identité de l'utilisateur et de partager en toute sécurité l'identité de cet utilisateur avec d'autres AWS services. Ces fonctionnalités permettent de définir, d'accorder et de consigner plus facilement l'accès des utilisateurs.

Lorsque les administrateurs QuickSight configurent Athena, Amazon S3 Access Grants et AWS Lake Formation IAM Identity Center, ils peuvent désormais activer une propagation d'identité fiable entre ces services et autoriser la propagation de l'identité de l'utilisateur entre les services. Lorsqu'un utilisateur de QuickSight l'IAM Identity Center accède aux données, Athena ou Lake Formation peuvent prendre des décisions d'autorisation en utilisant les autorisations définies pour leur appartenance à un utilisateur ou à un groupe par le fournisseur d'identité de l'organisation.

La propagation fiable des identités avec Athena ne fonctionne que lorsque les autorisations sont gérées via Lake Formation. Les autorisations des utilisateurs sur les données se trouvent dans Lake Formation.

Prérequis

Avant de commencer, assurez-vous que les prérequis requis suivants sont remplis.

Important

Lorsque vous remplissez les conditions préalables suivantes, notez que votre instance IAM Identity Center, votre groupe de travail Athena, Lake Formation et Amazon S3 Access Grants doivent tous être déployés dans la même région. AWS

  • Configurez votre QuickSight compte avec IAM Identity Center. La propagation d'identités fiables n'est prise en charge que pour les QuickSight comptes intégrés à IAM Identity Center. Pour de plus amples informations, veuillez consulter Configurez votre QuickSight compte Amazon avec IAM Identity Center.

    Note

    Pour créer des sources de données Athena, vous devez être un utilisateur d'IAM Identity Center (auteur) dans un QuickSight compte qui utilise IAM Identity Center.

  • Un groupe de travail Athena activé avec IAM Identity Center. Le groupe de travail Athena que vous utilisez doit utiliser la même instance IAM Identity Center que le compte. QuickSight Pour plus d'informations sur la configuration d'un groupe de travail Athena, voir Création d'un groupe de travail Athena compatible avec IAM Identity Center. dans le guide de l'utilisateur d'Amazon Athena.

  • L'accès au compartiment de résultats des requêtes Athena est géré par Amazon S3 Access Grants. Pour plus de détails, consultez la section Gestion de l'accès avec les subventions d'accès Amazon S3 dans le guide de l'utilisateur Amazon S3. Si les résultats de votre requête sont chiffrés à l'aide d'une AWS KMS clé, le rôle IAM Amazon S3 Access Grant et le rôle de groupe de travail Athena ont tous deux besoin d'autorisations. AWS KMS

  • Les autorisations relatives aux données doivent être gérées avec Lake Formation et Lake Formation doit être configurée avec la même instance IAM Identity Center que le groupe QuickSight de travail Athena. Pour obtenir des informations sur la configuration, consultez la rubrique Integrating IAM Identity Center dans le Guide du développeur AWS Lake Formation .

  • L'administrateur du lac de données doit accorder des autorisations aux utilisateurs et aux groupes de l'IAM Identity Center dans Lake Formation. Pour plus de détails, consultez la section Octroi d'autorisations aux utilisateurs et aux groupes dans le Guide du AWS Lake Formation développeur.

  • L' QuickSight administrateur doit autoriser les connexions à Athena. Pour en savoir plus, consultez Autorisation des connexions à Amazon Athena. Notez qu'avec la propagation d'identité sécurisée, il n'est pas nécessaire d'accorder au QuickSight rôle des autorisations ou AWS KMS des autorisations relatives au compartiment Amazon S3. Vous devez synchroniser les utilisateurs et les groupes autorisés à accéder au groupe de travail d'Athena avec le compartiment Amazon S3 qui stocke les résultats des requêtes avec les autorisations Amazon S3 Access Grants afin que les utilisateurs puissent exécuter des requêtes avec succès et récupérer les résultats des requêtes dans le compartiment Amazon S3 en utilisant une propagation d'identité fiable.

Configurer le rôle IAM avec les autorisations requises

Pour utiliser la propagation d'identité sécurisée avec Athena, votre QuickSight compte doit disposer des autorisations requises pour accéder à vos ressources. Pour fournir ces autorisations, vous devez configurer votre QuickSight compte de manière à utiliser un rôle IAM doté de ces autorisations.

Si votre QuickSight compte utilise déjà un rôle IAM personnalisé, vous pouvez le modifier. Si vous ne possédez pas de rôle IAM existant, créez-en un en suivant les instructions de la section Créer un rôle pour un utilisateur IAM dans le Guide de l'utilisateur IAM.

Le rôle IAM que vous créez ou modifiez doit contenir la politique de confiance et les autorisations suivantes.

Politique de confiance requise

Pour plus d'informations sur la mise à jour de la politique de confiance d'un rôle IAM, voir Mettre à jour la politique de confiance d'un rôle.

JSON
{ 
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QuickSightandAthenaTrust",
            "Effect": "Allow",
            "Principal": {
                "Service": "quicksight.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Resource": "*"
        }
    ]
}

Autorisations Athena requises

Pour plus d'informations sur la mise à jour de la politique de confiance d'un rôle IAM, voir Mettre à jour les autorisations pour un rôle.

Note

ResourceUtilise le * joker. Nous vous recommandons de le mettre à jour afin d'inclure uniquement les ressources Athena que vous souhaitez utiliser. QuickSight

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Configurez votre QuickSight compte pour utiliser le rôle IAM

Après avoir configuré le rôle IAM à l'étape précédente, vous devez configurer votre QuickSight compte pour l'utiliser. Pour plus d'informations sur la procédure à suivre, consultezUtilisation des rôles IAM existants dans Amazon QuickSight.

Mettez à jour la configuration de propagation d'identité avec le AWS CLI

QuickSight Pour autoriser la propagation des identités des utilisateurs finaux vers les groupes de travail Athena, exécutez l'API update-identity-propagation-config suivante depuis le, en remplaçant AWS CLI les valeurs suivantes :

  • Remplacez us-west-2 par la AWS région dans laquelle se trouve votre instance IAM Identity Center.

  • Remplacez 111122223333 par votre identifiant de AWS compte.

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Créez un jeu de données Athena dans QuickSight

À présent, créez un jeu de données Athena QuickSight configuré avec le groupe de travail Athena activé par IAM Identity Center auquel vous souhaitez vous connecter. Pour plus d'informations sur la création d'un jeu de données Athena, consultez. Créer un jeu de données à l'aide des données Amazon Athena

Principaux appels, considérations et limites

La liste suivante contient quelques points importants à prendre en compte lors de l'utilisation de la propagation d'identité sécurisée avec QuickSight et Athena.

  • QuickSight Les sources de données Athena qui utilisent une propagation d'identité sécurisée disposent des autorisations Lake Formation évaluées par rapport à l'utilisateur final IAM Identity Center et aux groupes IAM Identity Center auxquels l'utilisateur peut appartenir.

  • Lorsque vous utilisez des sources de données Athena qui utilisent une propagation d'identité fiable, nous recommandons que tout contrôle d'accès affiné soit effectué dans Lake Formation. Toutefois, si vous choisissez d'utiliser QuickSight la fonctionnalité de politique de réduction de la portée, les politiques de réduction de la portée seront évaluées par rapport à l'utilisateur final.

  • Les fonctionnalités suivantes sont désactivées pour les sources de données et les ensembles de données qui utilisent la propagation d'identité sécurisée : jeux de données SPICE, code SQL personnalisé sur les sources de données, alertes de seuil, rapports par e-mail, sujets Q, articles, scénarios, exportations CSV, Excel et PDF, détection des anomalies.

  • Si vous rencontrez une latence ou des délais d'attente élevés, cela peut être dû à la combinaison d'un nombre élevé de groupes IAM Identity Center, de bases de données Athena, de tables et de règles de Lake Formation. Nous vous recommandons d'essayer de n'utiliser que le nombre nécessaire de ces ressources.