Utilizzo della propagazione affidabile delle identità con Athena - Amazon QuickSight
PrerequisitiConfigura il ruolo IAM con le autorizzazioni richiesteConfigura il tuo QuickSight account per utilizzare il ruolo IAMAggiornare la configurazione di propagazione dell'identità con AWS CLICrea un set di dati Athena in QuickSightRichiami, considerazioni e limiti chiave

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della propagazione affidabile delle identità con Athena

La propagazione affidabile delle identità consente ai AWS servizi di accedere alle AWS risorse in base al contesto dell'identità dell'utente e condivide in modo sicuro l'identità di tale utente con altri servizi. AWS Queste funzionalità consentono di definire, concedere e registrare più facilmente l'accesso degli utenti.

Quando gli amministratori configurano Athena QuickSight, Amazon S3 Access Grants AWS Lake Formation e con IAM Identity Center, ora possono abilitare la propagazione affidabile dell'identità su questi servizi e consentire la propagazione dell'identità dell'utente tra i servizi. Quando un utente di QuickSight IAM Identity Center accede ai dati, Athena o Lake Formation possono prendere decisioni di autorizzazione utilizzando le autorizzazioni definite per l'appartenenza dell'utente o del gruppo dal provider di identità dell'organizzazione.

La propagazione affidabile delle identità con Athena funziona solo quando le autorizzazioni sono gestite tramite Lake Formation. Le autorizzazioni utente per i dati risiedono in Lake Formation.

Prerequisiti

Prima di iniziare, assicurati di aver completato i seguenti prerequisiti obbligatori.

Importante

Una volta completati i seguenti prerequisiti, tieni presente che l'istanza IAM Identity Center, il gruppo di lavoro Athena, Lake Formation e Amazon S3 Access Grants devono essere tutti distribuiti nella stessa regione. AWS

  • Configura il tuo QuickSight account con IAM Identity Center. La propagazione affidabile delle identità è supportata solo per QuickSight gli account integrati con IAM Identity Center. Per ulteriori informazioni, consulta Configura il tuo QuickSight account Amazon con IAM Identity Center.

    Nota

    Per creare sorgenti dati Athena, devi essere un utente (autore) di IAM Identity Center in un QuickSight account che utilizza IAM Identity Center.

  • Un gruppo di lavoro Athena abilitato con IAM Identity Center. Il gruppo di lavoro Athena che utilizzi deve utilizzare la stessa istanza IAM Identity Center dell'account. QuickSight Per ulteriori informazioni sulla configurazione di un gruppo di lavoro Athena, consulta Creazione di un gruppo di lavoro Athena abilitato per IAM Identity Center. nella Guida per l'utente di Amazon Athena.

  • L'accesso al bucket dei risultati delle query Athena è gestito con Amazon S3 Access Grants. Per ulteriori dettagli, consulta Managing access with Amazon S3 Access Grants nella Amazon S3 User Guide. Se i risultati delle query sono crittografati con una AWS KMS chiave, il ruolo IAM di Amazon S3 Access Grant e il ruolo del gruppo di lavoro Athena necessitano entrambi delle autorizzazioni. AWS KMS

  • Le autorizzazioni ai dati devono essere gestite con Lake Formation e Lake Formation devono essere configurate con la stessa istanza IAM Identity Center del gruppo di QuickSight lavoro Athena. Per informazioni sulla configurazione, consulta la pagina Integrating IAM Identity Center nella Guida per gli sviluppatori di AWS Lake Formation .

  • L'amministratore del data lake deve concedere le autorizzazioni agli utenti e ai gruppi di IAM Identity Center in Lake Formation. Per maggiori dettagli, consulta la sezione Concessione delle autorizzazioni a utenti e gruppi nella Developer Guide.AWS Lake Formation

  • L' QuickSight amministratore deve autorizzare le connessioni ad Athena. Per informazioni dettagliate, consultare Autorizzazione delle connessioni ad Amazon Athena. Nota, con la propagazione affidabile delle identità, non è necessario assegnare al QuickSight ruolo autorizzazioni o autorizzazioni per il bucket Amazon S3. AWS KMS È necessario mantenere sincronizzati gli utenti e i gruppi che dispongono delle autorizzazioni per il gruppo di lavoro di Athena con il bucket Amazon S3 che archivia i risultati delle query con le autorizzazioni di Amazon S3 Access Grants in modo che gli utenti possano eseguire correttamente le query e recuperare i risultati delle query nel bucket Amazon S3 utilizzando una propagazione di identità affidabile.

Configura il ruolo IAM con le autorizzazioni richieste

Per utilizzare la propagazione delle identità affidabili con Athena, QuickSight il tuo account deve disporre delle autorizzazioni necessarie per accedere alle tue risorse. Per fornire tali autorizzazioni, devi configurare il tuo QuickSight account in modo che utilizzi un ruolo IAM con le autorizzazioni.

Se il tuo QuickSight account utilizza già un ruolo IAM personalizzato, puoi modificarlo. Se non disponi di un ruolo IAM esistente, creane uno seguendo le istruzioni in Creare un ruolo per un utente IAM nella Guida per l'utente IAM.

Il ruolo IAM che crei o modifichi deve contenere la politica di fiducia e le autorizzazioni seguenti.

Policy di fiducia richiesta

Per informazioni sull'aggiornamento della policy di fiducia di un ruolo IAM, consulta Update a role trust policy.

JSON
{ 
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QuickSightandAthenaTrust",
            "Effect": "Allow",
            "Principal": {
                "Service": "quicksight.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Resource": "*"
        }
    ]
}

Autorizzazioni Athena richieste

Per informazioni sull'aggiornamento della policy di fiducia di un ruolo IAM, consulta Aggiornare le autorizzazioni per un ruolo.

Nota

ResourceUtilizza il carattere * jolly. Ti consigliamo di aggiornarlo per includere solo le risorse Athena con cui desideri utilizzarlo. QuickSight

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Configura il tuo QuickSight account per utilizzare il ruolo IAM

Dopo aver configurato il ruolo IAM nel passaggio precedente, devi configurare il tuo QuickSight account per utilizzarlo. Per informazioni su come eseguire questa operazione, consultaUtilizzo dei ruoli IAM esistenti in Amazon QuickSight.

Aggiornare la configurazione di propagazione dell'identità con AWS CLI

Per QuickSight autorizzare la propagazione delle identità degli utenti finali ai gruppi di lavoro Athena, esegui la seguente update-identity-propagation-config API da, sostituendo i seguenti valori: AWS CLI

  • Sostituisci us-west-2 con la AWS regione in cui si trova l'istanza di IAM Identity Center.

  • 111122223333Sostituiscilo con l'ID AWS del tuo account.

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Crea un set di dati Athena in QuickSight

Ora, crea un set di dati Athena QuickSight configurato con il gruppo di lavoro Athena abilitato a IAM Identity Center a cui desideri connetterti. Per informazioni su come creare un set di dati Athena, vedere. Creazione di un set di dati utilizzando i dati di Amazon Athena

Richiami, considerazioni e limiti chiave

L'elenco seguente contiene alcune considerazioni importanti sull'utilizzo della propagazione di identità affidabili con e QuickSight Athena.

  • QuickSight Le fonti di dati Athena che utilizzano la propagazione affidabile delle identità dispongono delle autorizzazioni Lake Formation valutate rispetto all'utente finale di IAM Identity Center e ai gruppi IAM Identity Center a cui l'utente potrebbe appartenere.

  • Quando si utilizzano fonti di dati Athena che utilizzano una propagazione affidabile delle identità, consigliamo di eseguire qualsiasi controllo degli accessi ottimizzato in Lake Formation. Tuttavia, se scegli di utilizzare la funzionalità Scope Down Policy QuickSight di Scope Down, le policy di scope down verranno valutate rispetto all'utente finale.

  • Le seguenti funzionalità sono disattivate per le fonti di dati e i set di dati che utilizzano una propagazione affidabile delle identità: set di dati SPICE, SQL personalizzato sulle origini dati, avvisi di soglia, report e-mail, argomenti Q, storie, scenari, esportazioni in formato CSV, Excel e PDF, rilevamento delle anomalie.

  • Se si verificano latenze o timeout elevati, ciò può essere dovuto a una combinazione di un numero elevato di gruppi IAM Identity Center, database Athena, tabelle e regole di Lake Formation. Ti consigliamo di provare a utilizzare solo il numero necessario di tali risorse.