Gunakan grup kerja Athena yang diaktifkan Pusat Identitas IAM - Amazon Athena
Pertimbangan dan batasanMembuat Pusat Identitas IAM mengaktifkan workgroup Athena

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan grup kerja Athena yang diaktifkan Pusat Identitas IAM

Fitur propagasi identitas tepercaya AWS IAM Identity Center memungkinkan identitas tenaga kerja Anda digunakan di seluruh layanan analitik. AWS Propagasi identitas tepercaya menyelamatkan Anda dari keharusan melakukan konfigurasi penyedia identitas khusus layanan atau pengaturan peran IAM.

Dengan IAM Identity Center, Anda dapat mengelola keamanan masuk untuk identitas tenaga kerja Anda, juga dikenal sebagai pengguna tenaga kerja. IAM Identity Center menyediakan satu tempat di mana Anda dapat membuat atau menghubungkan pengguna tenaga kerja dan mengelola akses mereka secara terpusat di semua AWS akun dan aplikasi mereka. Anda dapat menggunakan izin multi-akun untuk menetapkan akses pengguna ini. Akun AWS Anda dapat menggunakan penugasan aplikasi untuk menetapkan akses pengguna ke aplikasi yang diaktifkan IAM Identity Center, aplikasi cloud, dan aplikasi Customer Security Assertion Markup Language (SAMP 2.0). Untuk informasi selengkapnya, lihat Propagasi identitas tepercaya di seluruh aplikasi di Panduan AWS IAM Identity Center Pengguna.

Saat ini, dukungan Athena SQL untuk propagasi identitas tepercaya memungkinkan Anda menggunakan identitas yang sama untuk Amazon EMR Studio dan antarmuka Athena SQL di EMR Studio. Untuk menggunakan identitas Pusat Identitas IAM dengan Athena SQL di EMR Studio, Anda harus membuat grup kerja yang diaktifkan Pusat Identitas IAM di Athena. Anda kemudian dapat menggunakan konsol Pusat Identitas IAM atau API untuk menetapkan pengguna atau grup Pusat Identitas IAM ke grup kerja Athena yang diaktifkan Pusat Identitas IAM. Kueri dari workgroup Athena yang menggunakan propagasi identitas tepercaya harus dijalankan dari antarmuka Athena SQL di EMR Studio yang mengaktifkan IAM Identity Center.

Pertimbangan dan batasan

Saat Anda menggunakan propagasi identitas tepercaya dengan Amazon Athena, pertimbangkan hal-hal berikut:

  • Anda tidak dapat mengubah metode otentikasi untuk workgroup setelah workgroup dibuat.

    • Workgroup Athena SQL yang ada tidak dapat dimodifikasi untuk mendukung grup kerja yang diaktifkan IAM Identity Center.

    • Grup kerja yang diaktifkan IAM Identity Center tidak dapat dimodifikasi untuk mendukung izin IAM tingkat sumber daya atau kebijakan IAM berbasis identitas.

  • Untuk mengakses grup kerja yang diaktifkan propagasi identitas tepercaya, pengguna IAM Identity Center harus ditetapkan ke IdentityCenterApplicationArn yang dikembalikan oleh respons tindakan API Athena. GetWorkGroup

  • Hibah Akses Amazon S3 harus dikonfigurasi untuk menggunakan identitas propagasi identitas tepercaya. Untuk informasi selengkapnya, lihat Hibah Akses S3 dan identitas direktori perusahaan di Panduan Pengguna Amazon S3.

  • Kelompok kerja Athena yang mengaktifkan Pusat Identitas IAM mengharuskan Lake Formation dikonfigurasi untuk menggunakan identitas Pusat Identitas IAM. Untuk informasi konfigurasi, lihat Mengintegrasikan Pusat Identitas IAM di Panduan AWS Lake Formation Pengembang.

  • Secara default, waktu kueri habis setelah 30 menit di grup kerja yang menggunakan propagasi identitas tepercaya. Anda dapat meminta peningkatan batas waktu kueri, tetapi maksimum kueri yang dapat dijalankan di grup kerja propagasi identitas tepercaya adalah satu jam.

  • Perubahan hak pengguna atau grup dalam kelompok kerja propagasi identitas tepercaya dapat memerlukan waktu hingga satu jam untuk diterapkan.

  • Kueri di workgroup Athena yang menggunakan propagasi identitas tepercaya tidak dapat dijalankan langsung dari konsol Athena. Mereka harus dijalankan dari antarmuka Athena di EMR Studio yang mengaktifkan IAM Identity Center. Untuk informasi selengkapnya tentang penggunaan Athena di EMR Studio, lihat Menggunakan editor SQL Amazon Athena di EMR Studio di Panduan Manajemen EMR Amazon.

  • Perbanyakan identitas tepercaya tidak kompatibel dengan fitur Athena berikut.

    • aws:CalledViakunci konteks.

    • Athena untuk kelompok kerja Spark.

    • Akses federasi ke Athena API.

    • Akses federasi ke Athena menggunakan Lake Formation dan Athena JDBC dan ODBC driver.

  • Anda dapat menggunakan propagasi identitas tepercaya dengan Athena hanya dalam hal berikut: Wilayah AWS

    • us-east-2— AS Timur (Ohio)

    • us-east-1- AS Timur (Virginia N.)

    • us-west-1— AS Barat (California N.)

    • us-west-2— AS Barat (Oregon)

    • af-south-1— Afrika (Cape Town)

    • ap-east-1— Asia Pasifik (Hong Kong)

    • ap-southeast-3— Asia Pasifik (Jakarta)

    • ap-south-1— Asia Pasifik (Mumbai)

    • ap-northeast-3— Asia Pasifik (Osaka)

    • ap-northeast-2- Asia Pasifik (Seoul)

    • ap-southeast-1— Asia Pasifik (Singapura)

    • ap-southeast-2— Asia Pasifik (Sydney)

    • ap-northeast-1— Asia Pasifik (Tokyo)

    • ca-central-1— Kanada (Tengah)

    • eu-central-1— Eropa (Frankfurt)

    • eu-central-2— Eropa (Zurich)

    • eu-west-1— Eropa (Irlandia)

    • eu-west-2— Eropa (London)

    • eu-south-1— Eropa (Milan)

    • eu-west-3- Eropa (Paris)

    • eu-north-1— Eropa (Stockholm)

    • me-south-1Timur Tengah (Bahrain)

    • sa-east-1— Amerika Selatan (São Paulo)

Pengguna IAM dari admin yang membuat grup kerja yang diaktifkan Pusat Identitas IAM di konsol Athena harus memiliki kebijakan berikut yang dilampirkan.

  • Kebijakan yang AmazonAthenaFullAccess dikelola. Untuk detailnya, lihat AWS kebijakan terkelola: AmazonAthenaFullAccess.

  • Kebijakan inline berikut yang memungkinkan tindakan IAM dan IAM Identity Center:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:createRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles",
                "iam:PassRole",
                "identitystore:ListUsers",
                "identitystore:ListGroups",
                "identitystore:CreateUser",
                "identitystore:CreateGroup",
                "sso:ListInstances",
                "sso:CreateInstance",
                "sso:DeleteInstance",
                "sso:DescribeUser",
                "sso:DescribeGroup",
                "sso:ListTrustedTokenIssuers",
                "sso:DescribeTrustedTokenIssuer",
                "sso:ListApplicationAssignments",
                "sso:DescribeRegisteredRegions",
                "sso:GetManagedApplicationInstance",
                "sso:GetSharedSsoConfiguration",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:CreateApplication",
                "sso:DeleteApplication",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationAccessScope",
                "sso:ListDirectoryAssociations",
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment",
                "organizations:ListDelegatedAdministrators",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:CreateOrganization",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}

Membuat Pusat Identitas IAM mengaktifkan workgroup Athena

Prosedur berikut menunjukkan langkah-langkah dan opsi yang terkait dengan membuat grup kerja Athena yang diaktifkan Pusat Identitas IAM. Untuk deskripsi opsi konfigurasi lain yang tersedia untuk kelompok kerja Athena, lihat. Buat grup kerja

Untuk membuat workgroup berkemampuan SSO di konsol Athena

  1. Buka konsol Athena di https://console.aws.amazon.com/athena/.

  2. Di panel navigasi konsol Athena, pilih Workgroups.

  3. Pada Grup Kerja, pilih Buat grup kerja.

  4. Pada halaman Buat workgroup, untuk nama Workgroup, masukkan nama untuk workgroup.

  5. Untuk mesin Analytics, gunakan default Athena SQL.

  6. Untuk Autentikasi, pilih Pusat Identitas IAM.

  7. Untuk peran Layanan untuk akses Pusat Identitas IAM, pilih peran layanan yang ada, atau buat yang baru.

    Athena memerlukan izin untuk mengakses Pusat Identitas IAM untuk Anda. Peran layanan diperlukan bagi Athena untuk melakukan ini. Peran layanan adalah peran IAM yang Anda kelola yang mengizinkan AWS layanan untuk mengakses AWS layanan lain atas nama Anda. Untuk menanyakan katalog gabungan atau menjalankan UDF, perbarui peran layanan dengan izin Lambda yang sesuai. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan Pengguna IAM.

  8. Perluas konfigurasi hasil Kueri, lalu masukkan atau pilih jalur Amazon S3 untuk Lokasi hasil kueri.

  9. (Opsional) Pilih Enkripsi hasil kueri. Secara default, SSE-S3 didukung. Untuk menggunakan SSE-KMS dan CSE-KMS dengan lokasi hasil kueri, berikan hibah ke peran Layanan untuk Pusat Identitas IAM dari Amazon S3 Access Grants. Untuk informasi selengkapnya, lihat Contoh kebijakan peran.

  10. (Opsional) Pilih Buat awalan S3 berbasis identitas pengguna.

    Saat Anda membuat grup kerja yang diaktifkan Pusat Identitas IAM, opsi Aktifkan Hibah Akses S3 dipilih secara default. Anda dapat menggunakan Amazon S3 Access Grants untuk mengontrol akses ke lokasi hasil kueri Athena (awalan) di Amazon S3. Untuk informasi selengkapnya tentang Hibah Akses Amazon S3, lihat Mengelola akses dengan Hibah Akses Amazon S3.

    Di grup kerja Athena yang menggunakan autentikasi Pusat Identitas IAM, Anda dapat mengaktifkan pembuatan lokasi hasil kueri berbasis identitas yang diatur oleh Hibah Akses Amazon S3. Awalan Amazon S3 berbasis identitas pengguna ini memungkinkan pengguna di workgroup Athena menjaga hasil kueri mereka terisolasi dari pengguna lain di workgroup yang sama.

    Saat Anda mengaktifkan opsi awalan pengguna, Athena menambahkan ID pengguna sebagai awalan jalur Amazon S3 ke lokasi keluaran hasil kueri untuk grup kerja (misalnya,). s3://amzn-s3-demo-bucket/${user_id} Untuk menggunakan fitur ini, Anda harus mengkonfigurasi Access Grants untuk mengizinkan hanya izin pengguna ke lokasi yang memiliki user_id awalan. Untuk contoh kebijakan peran lokasi Amazon S3 Access Grants yang membatasi akses ke hasil kueri Athena, lihat. Contoh kebijakan peran

    catatan

    Memilih opsi awalan identitas pengguna S3 secara otomatis memungkinkan opsi penggantian pengaturan sisi klien untuk grup kerja, seperti yang dijelaskan pada langkah berikutnya. Opsi override setelan sisi klien adalah persyaratan untuk fitur awalan identitas pengguna.

  11. Perluas Pengaturan, lalu konfirmasikan bahwa Override pengaturan sisi klien dipilih.

    Saat Anda memilih Ganti setelan sisi klien, pengaturan workgroup diberlakukan di tingkat workgroup untuk semua klien di workgroup. Untuk informasi selengkapnya, lihat Ganti pengaturan sisi klien.

  12. (Opsional) Buat pengaturan konfigurasi lain yang Anda perlukan seperti yang dijelaskan dalamBuat grup kerja.

  13. Pilih Buat grup kerja.

  14. Gunakan bagian Workgroups pada konsol Athena untuk menetapkan pengguna atau grup dari direktori Pusat Identitas IAM Anda ke grup kerja Athena yang diaktifkan Pusat Identitas IAM Anda.

Contoh berikut menunjukkan kebijakan untuk peran yang akan dilampirkan ke lokasi Amazon S3 Access Grant yang membatasi akses ke hasil kueri Athena. 

{
    "Statement": [{
        "Action": ["s3:*"],
        "Condition": {
            "ArnNotEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringNotEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Deny",
        "Resource": "*",
        "Sid": "ExplicitDenyS3"
    }, {
        "Action": ["kms:*"],
        "Effect": "Deny",
        "NotResource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "ExplictDenyKMS"
    }, {
        "Action": ["s3:ListMultipartUploadParts", "s3:GetObject"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelReadPermissions"
    }, {
        "Action": ["s3:PutObject", "s3:AbortMultipartUpload"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelWritePermissions"
    }, {
        "Action": "s3:ListBucket",
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            },
            "StringLikeIfExists": {
                "s3:prefix": ["${identitystore:UserId}", "${identitystore:UserId}/*"]
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION",
        "Sid": "BucketLevelReadPermissions"
    }, {
        "Action": ["kms:GenerateDataKey", "kms:Decrypt"],
        "Effect": "Allow",
        "Resource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "KMSPermissions"
    }],
    "Version": "2012-10-17"
}