Menggunakan propagasi identitas tepercaya dengan Athena - Amazon QuickSight
PrasyaratKonfigurasikan peran IAM dengan izin yang diperlukanKonfigurasikan QuickSight akun Anda untuk menggunakan peran IAMPerbarui konfigurasi propogasi identitas dengan AWS CLIBuat kumpulan data Athena di QuickSightKeterangan kunci, pertimbangan, dan batasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan propagasi identitas tepercaya dengan Athena

Penyebaran identitas tepercaya memberikan AWS layanan akses ke AWS sumber daya berdasarkan konteks identitas pengguna dan membagikan identitas pengguna ini dengan aman dengan layanan lain AWS . Kemampuan ini memungkinkan akses pengguna untuk lebih mudah didefinisikan, diberikan, dan dicatat.

Saat administrator mengonfigurasi QuickSight, Athena, Hibah Akses Amazon S3, AWS Lake Formation dan dengan Pusat Identitas IAM, mereka sekarang dapat mengaktifkan propagasi identitas tepercaya di seluruh layanan ini dan memungkinkan identitas pengguna disebarkan di seluruh layanan. Ketika data diakses QuickSight oleh pengguna Pusat Identitas IAM, Athena atau Lake Formation dapat membuat keputusan otorisasi menggunakan izin yang ditentukan untuk pengguna atau keanggotaan grup mereka dari penyedia identitas organisasi.

Propagasi identitas tepercaya dengan Athena hanya berfungsi ketika izin dikelola melalui Lake Formation. Izin pengguna untuk data berada di Lake Formation.

Prasyarat

Sebelum Anda memulai, pastikan bahwa Anda telah menyelesaikan prasyarat yang diperlukan berikut.

penting

Saat Anda menyelesaikan prasyarat berikut, perhatikan bahwa instans Pusat Identitas IAM Anda, grup kerja Athena, Lake Formation, dan Amazon S3 Access Grants semuanya harus diterapkan di Wilayah yang sama. AWS

  • Konfigurasikan QuickSight akun Anda dengan IAM Identity Center. Propagasi identitas tepercaya hanya didukung untuk QuickSight akun yang terintegrasi dengan IAM Identity Center. Untuk informasi selengkapnya, lihat Konfigurasikan QuickSight akun Amazon Anda dengan IAM Identity Center.

    catatan

    Untuk membuat sumber data Athena, Anda harus menjadi pengguna Pusat Identitas IAM (penulis) di QuickSight akun yang menggunakan Pusat Identitas IAM.

  • Workgroup Athena yang diaktifkan dengan IAM Identity Center. Workgroup Athena yang Anda gunakan harus menggunakan instans Pusat Identitas IAM yang sama dengan akun. QuickSight Untuk informasi selengkapnya tentang mengonfigurasi workgroup Athena, lihat Membuat grup kerja Athena yang mengaktifkan Pusat Identitas IAM. di Panduan Pengguna Amazon Athena.

  • Akses ke bucket hasil kueri Athena dikelola dengan Amazon S3 Access Grants. Untuk detail selengkapnya, lihat Mengelola akses dengan Hibah Akses Amazon S3 di Panduan Pengguna Amazon S3. Jika hasil kueri Anda dienkripsi dengan AWS KMS kunci, peran IAM Amazon S3 Access Grant dan peran workgroup Athena keduanya memerlukan izin. AWS KMS

  • Izin untuk data harus dikelola dengan Lake Formation dan Lake Formation harus dikonfigurasi dengan instans Pusat Identitas IAM yang sama dengan QuickSight dan workgroup Athena. Untuk informasi konfigurasi, lihat Mengintegrasikan Pusat Identitas IAM di Panduan AWS Lake Formation Pengembang.

  • Administrator data lake perlu memberikan izin kepada pengguna dan grup Pusat Identitas IAM di Lake Formation. Untuk detail selengkapnya, Memberikan izin kepada pengguna dan grup di Panduan AWS Lake Formation Pengembang.

  • QuickSight Administrator perlu mengotorisasi koneksi ke Athena. Lihat perinciannya di Mengotorisasi koneksi ke Amazon Athena. Catatan, dengan propagasi identitas tepercaya, Anda tidak perlu memberikan izin atau izin AWS KMS bucket Amazon S3 QuickSight peran. Anda harus menjaga agar pengguna dan grup yang memiliki izin ke grup kerja di Athena tetap sinkron dengan bucket Amazon S3 yang menyimpan hasil kueri dengan izin Amazon S3 Access Grants sehingga pengguna dapat berhasil menjalankan kueri dan mengambil hasil kueri di bucket Amazon S3 menggunakan propagasi identitas tepercaya.

Konfigurasikan peran IAM dengan izin yang diperlukan

Untuk menggunakan propagasi identitas tepercaya dengan Athena, akun QuickSight Anda harus memiliki izin yang diperlukan untuk mengakses sumber daya Anda. Untuk memberikan izin tersebut, Anda harus mengonfigurasi QuickSight akun Anda untuk menggunakan peran IAM dengan izin.

Jika QuickSight akun Anda sudah menggunakan peran IAM khusus, Anda dapat memodifikasinya. Jika Anda tidak memiliki peran IAM yang ada, buat peran dengan mengikuti petunjuk di Buat peran untuk pengguna IAM di Panduan Pengguna IAM.

Peran IAM yang Anda buat atau ubah harus berisi kebijakan kepercayaan dan izin berikut.

Kebijakan kepercayaan yang diperlukan

Untuk informasi tentang memperbarui kebijakan kepercayaan peran IAM, lihat Memperbarui kebijakan kepercayaan peran.

JSON
{ 
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QuickSightandAthenaTrust",
            "Effect": "Allow",
            "Principal": {
                "Service": "quicksight.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Resource": "*"
        }
    ]
}

Izin Athena yang diperlukan

Untuk informasi tentang memperbarui kebijakan kepercayaan peran IAM, lihat Memperbarui izin untuk peran.

catatan

ResourceMenggunakan * wildcard. Kami menyarankan Anda memperbaruinya untuk menyertakan hanya sumber daya Athena yang ingin Anda gunakan. QuickSight

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Konfigurasikan QuickSight akun Anda untuk menggunakan peran IAM

Setelah mengonfigurasi peran IAM pada langkah sebelumnya, Anda harus mengonfigurasi QuickSight akun Anda untuk menggunakannya. Untuk informasi tentang cara melakukannya, lihatMenggunakan peran IAM yang ada di Amazon QuickSight.

Perbarui konfigurasi propogasi identitas dengan AWS CLI

QuickSight Untuk mengizinkan menyebarkan identitas pengguna akhir ke workgroup Athena, jalankan update-identity-propagation-config API berikut dari, menggantikan nilai berikut: AWS CLI

  • Ganti us-west-2 dengan AWS Wilayah tempat instans Pusat Identitas IAM Anda berada.

  • Ganti 111122223333 dengan ID AWS akun Anda.

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Buat kumpulan data Athena di QuickSight

Sekarang, buat kumpulan data Athena yang QuickSight dikonfigurasi dengan grup kerja Athena yang diaktifkan Pusat Identitas IAM yang ingin Anda sambungkan. Untuk informasi tentang cara membuat kumpulan data Athena, lihat. Membuat kumpulan data menggunakan data Amazon Athena

Keterangan kunci, pertimbangan, dan batasan

Daftar berikut berisi beberapa pertimbangan penting saat menggunakan propagasi identitas tepercaya dengan dan QuickSight Athena.

  • QuickSight Sumber data Athena yang menggunakan propagasi identitas tepercaya memiliki izin Lake Formation yang dievaluasi terhadap pengguna akhir Pusat Identitas IAM dan grup Pusat Identitas IAM yang mungkin dimiliki pengguna.

  • Saat menggunakan sumber data Athena yang menggunakan propagasi identitas tepercaya, kami merekomendasikan kontrol akses yang disetel dengan baik dilakukan di Lake Formation. Namun, Jika Anda memilih untuk menggunakan fitur QuickSight kebijakan cakupan bawah, kebijakan cakupan bawah akan dievaluasi terhadap pengguna akhir.

  • Fitur berikut dinonaktifkan untuk sumber data dan kumpulan data yang menggunakan propagasi identitas tepercaya: Kumpulan data SPICE, SQL khusus pada sumber data, peringatan ambang batas, laporan email, Topik Q, cerita, skenario, CSV, Excel, dan ekspor PDF, deteksi anomali.

  • Jika Anda mengalami latensi atau batas waktu yang tinggi, itu mungkin karena kombinasi jumlah grup Pusat Identitas IAM yang tinggi, database Athena, tabel, dan aturan Lake Formation. Kami merekomendasikan mencoba hanya menggunakan jumlah sumber daya yang diperlukan.