Autoriser les connexions via AWS Lake Formation

S'applique à : édition Enterprise

Public cible : administrateurs système

Si vous interrogez des données auprès d'Amazon Amazon Athena, vous pouvez l'utiliser AWS Lake Formation pour simplifier la façon dont vous sécurisez et vous connectez à vos données depuis Amazon QuickSight. Lake Formation complète le modèle d'autorisations AWS Identity and Access Management (IAM) en fournissant son propre modèle d'autorisations qui est appliqué aux services d' AWS analyse et d'apprentissage automatique. Ce modèle d'autorisations défini de manière centralisée contrôle l'accès aux données à un niveau granulaire par le biais d'un mécanisme simple d'octroi et de révocation. Vous avez la possibilité d'utiliser Lake Formation à la place ou en complément de l'utilisation de politiques délimitées à IAM.

Lorsque vous configurez Lake Formation, vous enregistrez vos sources de données pour lui permettre de déplacer les données vers un nouveau lac de données dans Amazon S3. Lake Formation et Athena fonctionnent parfaitement avec AWS Glue Data Catalog, ce qui permet de les utiliser ensemble en toute simplicité. Les bases de données et les tables Athena sont des conteneurs de métadonnées. Ces conteneurs décrivent le schéma sous-jacent des données, les instructions du langage de définition des données (DDL) et l'emplacement des données dans Amazon S3.

Le schéma suivant montre les relations entre les AWS services concernés.

Une fois Lake Formation configuré, vous pouvez utiliser Amazon pour accéder QuickSight aux bases de données et aux tables par leur nom ou par le biais de requêtes SQL. Amazon QuickSight fournit un éditeur complet dans lequel vous pouvez écrire des requêtes SQL. Vous pouvez également utiliser la console Athena, l' AWS CLIéditeur de requêtes ou votre éditeur de requêtes préféré. Pour plus d'informations, consultez la rubrique Accès à Athena dans le Guide de l'utilisateur Amazon Athena.

Activation de la connexion à partir de Lake Formation

Avant de commencer à utiliser cette solution avec Amazon QuickSight, assurez-vous de pouvoir accéder à vos données à l'aide d'Athena with Lake Formation. Après avoir vérifié que la connexion fonctionne via Athena, vous devez uniquement vérifier qu'Amazon QuickSight peut se connecter à Athena. Cela signifie que vous n'avez pas à résoudre les problèmes de connexion entre les trois produits en même temps. Un moyen simple de tester la connexion consiste à utiliser la console de requête Athena pour exécuter une simple commande SQL, par exemple SELECT 1 FROM table.

Pour configurer Lake Formation, la personne ou l'équipe qui y travaille doit avoir accès pour créer un nouveau rôle IAM et accéder à Lake Formation. Elle a également besoin des informations affichées dans la liste ci-dessous. Pour plus d'informations, consultez la rubrique Configuration de Lake Formation dans le Guide du développeur AWS Lake Formation .

• Collectez les Amazon Resource Names (ARN) des QuickSight utilisateurs et des groupes Amazon qui ont besoin d'accéder aux données de Lake Formation. Ces utilisateurs doivent être des QuickSight auteurs ou des administrateurs Amazon.

  Pour trouver les ARN des QuickSight utilisateurs et des groupes Amazon

  1. Utilisez le AWS CLI pour trouver les ARN des utilisateurs pour les QuickSight auteurs et les administrateurs Amazon. Pour ce faire, exécutez la commande list-users suivante sur votre terminal (Linux ou Mac) ou dans l'invite de commande (Windows).

     aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

     La réponse renvoie des informations pour chaque utilisateur. Dans l'exemple ci-dessous, l'Amazon Resource Name (ARN) est indiqué en gras.

     RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
     Status: 200
     UserList:
     - Active: true
       Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
       Email: SaanviSarkar@example.com
       PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
       Role: ADMIN
       UserName: SaanviSarkar

     Pour éviter d'utiliser le AWS CLI, vous pouvez créer manuellement les ARN pour chaque utilisateur.

  2. (Facultatif) Utilisez le AWS CLI pour rechercher des ARN pour les QuickSight groupes Amazon en exécutant la list-group commande suivante sur votre terminal (Linux ou Mac) ou sur votre invite de commande (Windows).

     aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

     La réponse renvoie des informations pour chaque groupe. Dans l'exemple ci-dessous, l'ARN est indiqué en gras.

     GroupList:
     - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
       Description: Data Lake for CXO Balanced Scorecard
       GroupName: DataLake-Scorecard
       PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
     RequestId: c1000198-18fa-4277-a1e2-02163288caf6
     Status: 200

     Si vous n'avez aucun QuickSight groupe Amazon, ajoutez-en un en utilisant AWS CLI pour exécuter la create-group commande. Il n'existe actuellement aucune option permettant de le faire depuis la QuickSight console Amazon. Pour plus d’informations, consultez Création et gestion de groupes sur Amazon QuickSight.

     Pour éviter d'utiliser le AWS CLI, vous pouvez créer les ARN pour chaque groupe manuellement.

Activation de la connexion depuis Amazon QuickSight

Pour travailler avec Lake Formation et Athena, assurez-vous que les autorisations relatives aux AWS ressources sont configurées dans Amazon : QuickSight

• Activez l'accès à Amazon Athena.

• Activez l'accès aux compartiments appropriés dans Amazon S3. Généralement, l'accès à S3 est activé lorsque vous activez Athena. Toutefois, comme vous avez la possibilité de modifier les autorisations S3 en dehors de ce processus, il est conseillé de les vérifier séparément.

Pour plus d'informations sur la façon de vérifier ou de modifier les autorisations relatives aux AWS ressources sur Amazon QuickSight, consultez Autorisation de la découverte automatique des ressources  AWS etAccès aux sources de données.