Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazione delle connessioni tramite AWS Lake Formation
Si applica a: Enterprise Edition |
Destinatari: amministratori di sistema |
Se stai interrogando dati con Amazon Athena, puoi usare AWS Lake Formation per semplificare il modo in cui proteggi e ti connetti ai tuoi dati da Amazon QuickSight. Lake Formation si aggiunge al AWS Identity and Access Management (IAM) modello di autorizzazioni fornendo un proprio modello di autorizzazioni che viene applicato a AWS servizi di analisi e apprendimento automatico. Questo modello di autorizzazioni definito centralmente controlla l'accesso ai dati a livello granulare attraverso un semplice meccanismo di concessione e revoca. Puoi utilizzare Lake Formation anziché, o in aggiunta a, utilizzare politiche mirate con. IAM
Quando configuri Lake Formation, registri le tue origini dati per consentirgli di spostare i dati in un nuovo data lake in Amazon S3. Lake Formation e Athena funzionano entrambi perfettamente con AWS Glue Data Catalog, rendendoli facili da usare insieme. I database e le tabelle Athena sono container di metadati. Questi contenitori descrivono lo schema sottostante dei dati, le istruzioni del linguaggio di definizione dei dati (DDL) e la posizione dei dati in Amazon S3.
Il diagramma seguente mostra le relazioni tra AWS servizi coinvolti.
Dopo aver configurato Lake Formation, puoi utilizzare Amazon QuickSight per accedere a database e tabelle per nome o tramite SQL query. Amazon QuickSight offre un editor completo in cui è possibile scrivere SQL query. Oppure puoi usare la console Athena, la AWS CLI o il tuo editor di query preferito. Per ulteriori informazioni, consulta Accesso ad Athena nella Guida per l'utente di Amazon Athena.
Abilitazione della connessione da Lake Formation
Prima di iniziare a utilizzare questa soluzione con Amazon QuickSight, assicurati di poter accedere ai tuoi dati utilizzando Athena with Lake Formation. Dopo aver verificato che la connessione funzioni tramite Athena, devi solo verificare che Amazon sia in QuickSight grado di connettersi ad Athena. In questo modo non sarà necessario risolvere i problemi di connessione con tutti e tre i prodotti contemporaneamente. Un modo semplice per testare la connessione consiste nell'utilizzare la console di interrogazione AthenaSELECT 1 FROM table
Per creare Lake Formation, la persona o il team che ci lavora deve accedere per creare un nuovo IAM ruolo e a Lake Formation. Ha inoltre bisogno delle informazioni riportate nell'elenco seguente. Per ulteriori informazioni, consulta Configurazione della formazione lacustre nel AWS Lake Formation Guida per gli sviluppatori.
-
Raccogli gli Amazon Resource Names (ARNs) degli QuickSight utenti e dei gruppi Amazon che devono accedere ai dati in Lake Formation. Questi utenti devono essere QuickSight autori o amministratori di Amazon.
Per trovare QuickSight utenti e gruppi Amazon ARNs
-
Usa il AWS CLI per trovare utenti ARNs per QuickSight autori e amministratori di Amazon. A tale scopo, esegui il comando
list-users
nel tuo terminale (Linux o Mac) o nel prompt dei comandi (Windows).aws quicksight list-users --aws-account-id
111122223333
--namespace default --regionus-east-1
La risposta restituisce informazioni per ogni utente. Nell'esempio seguente mostriamo Amazon Resource Name (ARN) in grassetto.
RequestId:
a27a4cef-4716-48c8-8d34-7d3196e76468
Status: 200 UserList: - Active:true
Arn: arn:aws:quicksight:us-east-1
:111122223333
:user/default/SaanviSarkar
Email:SaanviSarkar@example.com
PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
Role:ADMIN
UserName:SaanviSarkar
Per evitare di usare il AWS CLI, è possibile creare manualmente il file ARNs per ogni utente.
-
(Facoltativo) Utilizzate il AWS CLI ARNsper cercare QuickSight gruppi Amazon eseguendo il seguente
list-group
comando nel tuo terminale (Linux o Mac) o al prompt dei comandi (Windows).aws quicksight list-groups --aws-account-id
111122223333
--namespace default --region us-east-1La risposta restituisce informazioni per ogni gruppo. ARNViene visualizzato in grassetto nell'esempio seguente.
GroupList: - Arn: arn:aws:quicksight:us-east-1:
111122223333
:group/default/DataLake-Scorecard
Description:Data Lake for CXO Balanced Scorecard
GroupName:DataLake-Scorecard
PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
RequestId:c1000198-18fa-4277-a1e2-02163288caf6
Status: 200Se non disponi di alcun QuickSight gruppo Amazon, aggiungi un gruppo utilizzando il AWS CLI per eseguire il
create-group
comando. Al momento non è possibile eseguire questa operazione dalla QuickSight console Amazon. Per ulteriori informazioni, consulta Creazione e gestione di gruppi in Amazon QuickSight.Per evitare di utilizzare il AWS CLI, è possibile creare manualmente il file ARNs per ogni gruppo.
-
Attivazione della connessione da Amazon QuickSight
Per lavorare con Lake Formation e Athena, assicurati di avere AWS autorizzazioni per le risorse configurate in Amazon QuickSight:
-
Abilita l'accesso ad Amazon Athena.
-
Abilita l'accesso ai bucket corretti in Amazon S3. Di solito l'accesso S3 è abilitato quando abiliti Athena. Tuttavia, poiché puoi modificare le autorizzazioni S3 al di fuori di tale processo, è consigliabile verificarle separatamente.
Per informazioni su come verificare o modificare AWS autorizzazioni per le risorse in Amazon QuickSight, vedi Consentire l'individuazione automatica di AWS risorse eAccesso alle origini dati.