Usa i gruppi di lavoro Athena abilitati per IAM Identity Center - Amazon Athena
Considerazioni e limitazioniCreazione di un gruppo di IAM lavoro Athena abilitato per Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa i gruppi di lavoro Athena abilitati per IAM Identity Center

La funzionalità affidabile di propagazione delle identità di AWS IAM Identity Center consente di utilizzare le identità della forza lavoro in tutto il mondo AWS servizi di analisi. La propagazione affidabile delle identità evita di dover eseguire configurazioni di provider di identità o configurazioni di ruoli specifici del servizio. IAM

Con IAM Identity Center, puoi gestire la sicurezza degli accessi per le identità della tua forza lavoro, nota anche come utenti della forza lavoro. IAMIdentity Center offre un unico luogo in cui è possibile creare o connettere gli utenti della forza lavoro e gestire centralmente il loro accesso su tutti i loro AWS account e applicazioni. È possibile utilizzare le autorizzazioni per più account per assegnare a questi utenti l'accesso a Account AWS. È possibile utilizzare le assegnazioni delle applicazioni per assegnare agli utenti l'accesso alle applicazioni abilitate a IAM Identity Center, alle applicazioni cloud e alle applicazioni Security Assertion Markup Language (SAML2.0) dei clienti. Per ulteriori informazioni, consulta Propagazione affidabile dell'identità tra le applicazioni nella AWS IAM Identity Center Guida per l'utente.

Attualmente, il SQL supporto di Athena per la propagazione di identità affidabili consente di utilizzare la stessa identità per Amazon EMR Studio e l'interfaccia SQL Athena in Studio. EMR Per utilizzare le IAM identità di Identity Center con SQL Athena EMR in Studio, devi IAM creare gruppi di lavoro abilitati per Identity Center in Athena. È quindi possibile utilizzare la console IAM Identity Center o API assegnare utenti o gruppi di IAM Identity Center ai gruppi di lavoro Athena abilitati per IAM Identity Center. Le query provenienti da un gruppo di lavoro Athena che utilizza la propagazione dell'identità affidabile devono essere eseguite dall'interfaccia SQL Athena in EMR uno Studio con Identity Center abilitato. IAM

Considerazioni e limitazioni

Quando utilizzi la propagazione delle identità attendibili con Amazon Athena, considera i seguenti punti:

  • Non è possibile modificare il metodo di autenticazione per il gruppo di lavoro dopo la creazione dello stesso.

    • I gruppi di SQL lavoro Athena esistenti non possono essere modificati per supportare i gruppi di lavoro abilitati per IAM Identity Center.

    • IAMI gruppi di lavoro abilitati per Identity Center non possono essere modificati per supportare autorizzazioni a livello di risorsa o politiche basate IAM sull'identità. IAM

  • Per accedere a gruppi di lavoro affidabili abilitati alla propagazione delle IAM identità, gli utenti di Identity Center devono essere assegnati a IdentityCenterApplicationArn ciò che viene restituito dalla risposta dell'azione Athena. GetWorkGroupAPI

  • Amazon S3 Access Grants deve essere configurato per l'utilizzo delle identità con propagazione delle identità attendibili. Per maggiori informazioni, consulta la pagina S3 Access Grants and corporate directory identities nella Guida per l'utente di Amazon S3.

  • IAMI gruppi di lavoro Athena abilitati per Identity Center richiedono che Lake Formation sia configurato per utilizzare le IAM identità di Identity Center. Per informazioni sulla configurazione, consulta Integrating IAM Identity Center nel AWS Lake Formation Guida per gli sviluppatori.

  • Per impostazione predefinita, nei gruppi di lavoro che utilizzano la propagazione delle identità attendibili le query scadono dopo 30 minuti. È possibile richiedere un aumento del timeout delle query, ma nei gruppi di lavoro con propagazione delle identità attendibili le query possono essere eseguite al massimo entro un'ora.

  • Le modifiche alle autorizzazioni di utenti o gruppi nei gruppi di lavoro con propagazione delle identità attendibili possono richiedere fino a un'ora per avere effetto.

  • Le query in un gruppo di lavoro Athena che utilizza la propagazione delle identità attendibili non possono essere eseguite direttamente dalla console Athena. Devono essere eseguiti dall'interfaccia Athena in uno EMR Studio con IAM Identity Center abilitato. Per ulteriori informazioni sull'uso di Athena in EMR Studio, consulta Utilizzare l'editor Amazon SQL Athena in Studio EMR nella Amazon EMR Management Guide.

  • La propagazione delle identità attendibili non è compatibile con le seguenti funzionalità di Athena.

    • Chiavi di contesto aws:CalledVia.

    • Athena per i gruppi di lavoro Spark.

    • Accesso federato all'AthenaAPI.

    • Accesso federato ad Athena tramite Lake Formation e Athena JDBC e autisti. ODBC

  • Puoi utilizzare la propagazione delle identità affidabili con Athena solo nei seguenti casi: Regioni AWS:

    • us-east-2: Stati Uniti orientali (Ohio)

    • us-east-1: Stati Uniti orientali (Virginia settentrionale)

    • us-west-1: Stati Uniti occidentali (California settentrionale)

    • us-west-2: Stati Uniti occidentali (Oregon)

    • af-south-1: Africa (Città del Capo)

    • ap-east-1: Asia Pacifico (Hong Kong)

    • ap-southeast-3: Asia Pacifico (Giacarta)

    • ap-south-1: Asia Pacifico (Mumbai)

    • ap-northeast-3: Asia Pacifico (Osaka-Locale)

    • ap-northeast-2: Asia Pacifico (Seoul)

    • ap-southeast-1: Asia Pacifico (Singapore)

    • ap-southeast-2: Asia Pacifico (Sydney)

    • ap-northeast-1: Asia Pacifico (Tokyo)

    • ca-central-1: Canada (Centrale)

    • eu-central-1: Europa (Francoforte)

    • eu-west-1: Europa (Irlanda)

    • eu-west-2: Europa (Londra)

    • eu-south-1: Europa (Milano)

    • eu-west-3: Europa (Parigi)

    • eu-north-1: Europa (Stoccolma)

    • me-south-1: Medio Oriente (Bahrein)

    • sa-east-1: Sud America (San Paolo)

L'IAMutente dell'amministratore che crea il gruppo di lavoro abilitato per IAM Identity Center nella console Athena deve avere le seguenti politiche allegate.

  • La policy gestita AmazonAthenaFullAccess. Per informazioni dettagliate, consultare AWS politica gestita: AmazonAthenaFullAccess.

  • La seguente politica in linea che consente le azioni IAM dell'Identity IAM Center:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:createRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles",
                "iam:PassRole",
                "identitystore:ListUsers",
                "identitystore:ListGroups",
                "identitystore:CreateUser",
                "identitystore:CreateGroup",
                "sso:ListInstances",
                "sso:CreateInstance",
                "sso:DeleteInstance",
                "sso:DescribeUser",
                "sso:DescribeGroup",
                "sso:ListTrustedTokenIssuers",
                "sso:DescribeTrustedTokenIssuer",
                "sso:ListApplicationAssignments",
                "sso:DescribeRegisteredRegions",
                "sso:GetManagedApplicationInstance",
                "sso:GetSharedSsoConfiguration",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:CreateApplication",
                "sso:DeleteApplication",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationAccessScope",
                "sso:ListDirectoryAssociations",
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment",
                "organizations:ListDelegatedAdministrators",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:CreateOrganization",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}

Creazione di un gruppo di IAM lavoro Athena abilitato per Identity Center

La procedura seguente mostra i passaggi e le opzioni relative alla creazione di un gruppo di lavoro Athena abilitato per IAM Identity Center. Per una descrizione delle altre opzioni di configurazione disponibili per i gruppi di lavoro Athena, consulta la pagina Creare un gruppo di lavoro.

Per creare un gruppo di lavoro SSO abilitato nella console Athena

  1. Apri la console Athena all'indirizzo https://console.aws.amazon.com/athena/.

  2. Nel pannello di navigazione della console Athena, scegli Workgroups (Gruppi di lavoro).

  3. Nella pagina Gruppi di lavoro scegli Crea gruppo di lavoro.

  4. Nella pagina Crea gruppo di lavoro, in Nome gruppo di lavoro, inserisci un nome per il gruppo di lavoro.

  5. Per il motore Analytics, usa l'impostazione predefinita Athena SQL.

  6. Per l'autenticazione, scegli IAMIdentity Center.

  7. Per Ruolo di servizio per l'accesso a IAM Identity Center, scegli un ruolo di servizio esistente o creane uno nuovo.

    Athena richiede le autorizzazioni per accedere a IAM Identity Center per te. A tale scopo, Athena ha bisogno di un ruolo di servizio. Un ruolo di servizio è un IAM ruolo che gestisci e che autorizza un AWS servizio per accedere ad altri AWS servizi per tuo conto. Per ulteriori informazioni, vedere Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'IAMutente.

  8. Espandi Configurazione dei risultati delle query, quindi inserisci o scegli un percorso Amazon S3 per Posizione del risultato delle query.

  9. (Facoltativo) Seleziona Crittografa i risultati delle query.

  10. (Facoltativo) Seleziona Crea prefisso S3 basato sull'identità utente.

    Quando crei un gruppo di lavoro abilitato per IAM Identity Center, l'opzione Enable S3 Access Grants è selezionata per impostazione predefinita. Puoi utilizzare Amazon S3 Access Grants per controllare l'accesso alle posizioni (prefissi) dei risultati delle query Athena in Amazon S3. Per maggiori informazioni su Amazon S3 Access Grants, consulta la pagina Managing access with Amazon S3 Access Grants.

    Nei gruppi di lavoro Athena che utilizzano l'autenticazione IAM Identity Center, puoi abilitare la creazione di posizioni dei risultati delle query basate sull'identità che sono regolate da Amazon S3 Access Grants. Questi prefissi Amazon S3 basati sull'identità utente consentono agli utenti di un gruppo di lavoro Athena di mantenere i risultati delle query isolati dagli altri utenti del medesimo gruppo di lavoro.

    Quando abiliti l'opzione del prefisso utente, Athena aggiunge l'ID utente come prefisso del percorso Amazon S3 alla posizione di output dei risultati della query per il gruppo di lavoro (ad esempio, s3://amzn-s3-demo-bucket/${user_id}). Per utilizzare questa funzionalità, devi configurare Access Grants in modo da concedere soltanto all'utente l'autorizzazione alla posizione che ha il prefisso user_id. Per un esempio di politica del ruolo di localizzazione di Amazon S3 Access Grants che limita l'accesso ai risultati delle query Athena, consulta. Esempio di politica relativa ai ruoli

    Nota

    La selezione dell'opzione del prefisso S3 dell'identità utente abilita automaticamente l'opzione di sovrascrittura delle impostazioni lato client per il gruppo di lavoro, come descritto nel passaggio successivo. L'opzione di sovrascrittura delle impostazioni lato client è un requisito per la funzionalità del prefisso dell'identità utente.

  11. Espandi Impostazioni, quindi verifica che sia selezionata l'opzione Sovrascrivi le impostazioni lato client.

    Quando si seleziona Sovrascrivi le impostazioni lato client, le impostazioni del gruppo di lavoro vengono applicate a livello di gruppo di lavoro per tutti i client nel gruppo stesso. Per ulteriori informazioni, consulta Override client-side settings (Ignora impostazioni lato client).

  12. (Facoltativo) Effettua tutte le altre impostazioni di configurazione necessarie come descritto in Creare un gruppo di lavoro.

  13. Selezionare Create workgroup (Crea gruppo di lavoro).

  14. Utilizza la sezione Workgroups della console Athena per assegnare utenti o gruppi dalla IAM directory Identity Center al gruppo di lavoro Athena abilitato per IAM Identity Center.

L'esempio seguente mostra una policy per un ruolo da associare a una posizione Amazon S3 Access Grant che limita l'accesso ai risultati delle query Athena. 

{
    "Statement": [{
        "Action": ["s3:*"],
        "Condition": {
            "ArnNotEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringNotEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Deny",
        "Resource": "*",
        "Sid": "ExplicitDenyS3"
    }, {
        "Action": ["kms:*"],
        "Effect": "Deny",
        "NotResource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "ExplictDenyKMS"
    }, {
        "Action": ["s3:ListMultipartUploadParts", "s3:GetObject"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelReadPermissions"
    }, {
        "Action": ["s3:PutObject", "s3:AbortMultipartUpload"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelWritePermissions"
    }, {
        "Action": "s3:ListBucket",
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            },
            "StringLikeIfExists": {
                "s3:prefix": ["${identitystore:UserId}", "${identitystore:UserId}/*"]
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION",
        "Sid": "BucketLevelReadPermissions"
    }, {
        "Action": ["kms:GenerateDataKey", "kms:Decrypt"],
        "Effect": "Allow",
        "Resource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "KMSPermissions"
    }],
    "Version": "2012-10-17"
}