Amazon Athena への接続の認可

Amazon Athena または Amazon Athena フェデレーティッドクエリで Amazon Quick Sight を使用する必要がある場合は、まず Amazon Simple Storage Service (Amazon S3) で Athena および関連するバケットへの接続を許可する必要があります。Amazon Athena はインタラクティブなクエリサービスで、Amazon S3 内のデータをスタンダード SQL を使用して直接、簡単に分析します。Athena フェデレーティッドクエリは、を使用してより多くのタイプのデータにアクセスできます AWS Lambda。Quick から Athena への接続を使用すると、SQL クエリを記述して、リレーショナルデータソース、非リレーショナルデータソース、オブジェクトデータソース、カスタムデータソースに保存されているデータを調査できます。詳細については、「Amazon Athena ユーザーガイド」の「Amazon Athena 横串検索の使用」を参照してください。

Quick から Athena へのアクセスを設定するときは、次の考慮事項を確認してください。

Athena は Amazon Quick Sight からのクエリ結果をバケットに保存します。デフォルトでは、このバケットには aws-athena-query-results-us-east-2-111111111111 のような aws-athena-query-results-AWSREGION-AWSACCOUNTID に似た名前が付いています。したがって、Amazon Quick Sight に Athena が現在使用しているバケットへのアクセス許可があることを確認することが重要です。
データファイルが AWS KMS キーで暗号化されている場合は、Amazon Quick Sight IAM ロールにキーを復号するためのアクセス許可を付与します。そのための最も簡単な方法は、 AWS CLIを使用することです。

これを行う AWS CLI には、で KMS create-grant API オペレーションを実行できます。
```
aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt
```
Amazon Quick ロールの Amazon リソースネーム (ARN) は形式でありarn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number>、IAM コンソールからアクセスできます。KMS キー ARN を見つけるには、S3 コンソールを使用します。データファイルが格納されているバケットに移動し、[Overview (概要)] タブを選択します。キーは [KMS key ID (KMS キー ID)] の近くにあります。
Amazon Athena、Amazon S3、および Athena クエリフェデレーション接続の場合、Amazon Quick はデフォルトで次の IAM ロールを使用します。
```
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0
```
が存在しない場合、Amazon Quick aws-quicksight-s3-consumers-role-v0は以下を使用します。
```
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
```
ユーザーにスコープダウンポリシーを割り当てた場合は、ポリシーにlambda:InvokeFunctionアクセス許可。この権限がないと、ユーザーは Athena フェデレーションクエリにアクセスできません。Amazon Quick で IAM ポリシーをユーザーに割り当てる方法の詳細については、「IAM を介した AWS サービスへのきめ細かなアクセスの設定」を参照してください。Lambda: InvokeFunction アクセス許可の詳細については、アクション、リソース、条件キー AWS LambdaIAM ユーザーガイドでご参照ください。

Amazon Quick が Athena または Athena フェデレーティッドデータソースに接続することを許可するには

(オプション) Athena AWS Lake Formation でを使用している場合は、Lake Formation も有効にする必要があります。詳細については、「を介した接続の承認 AWS Lake Formation」を参照してください。
右上のプロファイルメニューを開いて、[Manage QuickSight (QuickSight の管理)] を選択します。これを行うには、Amazon Quick 管理者である必要があります。表示されない場合は、プロファイルメニューのManage QuickSight (QuickSight の管理) へアクセスするのに十分なアクセス許可がありません。
[Security & Permissions (セキュリティとアクセス許可)] で、[Add or remove (追加または削除)] を選択します。
Amazon Athena の近くのボックスで、[Next (次へ)] を選択します。

既に有効になっている場合は、ダブルクリックする必要があります。Amazon Athena がすでに有効になっている場合でもこれを実行し、設定を表示できるようにしてください。この手順の最後にある [Update (更新)] を選択するまで、変更は保存されません。
アクセスする S3 バケットを有効にします。
(オプション) Athena 横串検索を有効にするには、使用する Lambda 関数を選択します。

注記
Athena カタログの Lambda 関数は、Amazon Quick の同じリージョンでのみ表示できます。
[Finish (完了)] を選択し、変更を保存します。

キャンセルするには、[Cancel (キャンセル)] を選択します。
セキュリティおよびアクセス許可の変更を保存するには、[Update (更新)] を選択します。

接続認可設定をテストするには

Amazon クイックスタートページから、データセット、新しいデータセットを選択します。
Athena カードを選択する。
画面のプロンプトに従って、接続する必要のあるリソースを使用して新しい Athena データソースを作成します。[Validate connection (接続を検証)] を選択して、接続を検証します。
接続が検証されると、Athena または Athena 横串検索の接続が設定されます。

Athena データセットに接続したり、Athena クエリを実行したりするのに十分なアクセス許可がない場合、Amazon Quick 管理者に連絡するように指示するエラーが表示されます。このエラーは、不一致を見つけるために接続認可設定を再確認する必要があることを意味します。
正常に接続できたら、ユーザーまたは Amazon Quick 作成者はデータソース接続を作成し、他の Amazon Quick 作成者と共有できます。その後、作成者は接続から複数のデータセットを作成し、Amazon Quick ダッシュボードで使用できます。

Athena のトラブルシューティング情報については、「Amazon Quick で Athena を使用する際の接続の問題」を参照してください。

信頼できる ID の伝播で Data API を使用する

信頼できる ID 伝達は、ユーザーの ID コンテキストに基づいて AWS リソースへのアクセスを AWS サービスに許可し、このユーザーの ID を他の AWS サービスと安全に共有します。これらの機能により、ユーザーアクセスをより簡単に定義、付与、記録できます。

管理者が Quick、Athena、Amazon S3 Access Grants、および IAM Identity Center AWS Lake Formation を設定すると、これらのサービス間で信頼できる ID の伝播を有効にし、ユーザーの ID をサービス間で伝播できるようになりました。IAM Identity Center ユーザーが Quick からデータにアクセスすると、Athena または Lake Formation は、組織の ID プロバイダーからのユーザーまたはグループのメンバーシップに定義されたアクセス許可を使用して、承認を決定できます。

Athena による信頼できる ID の伝播は、アクセス許可が Lake Formation を通じて管理されている場合にのみ機能します。データレジデンシーへのユーザーアクセス許可は Lake Formation にあります。

前提条件

開始する前に、次の前提条件を満たしていることを確認してください。

重要

次の前提条件を完了すると、IAM Identity Center インスタンス、Athena ワークグループ、Lake Formation、Amazon S3 Access Grants がすべて同じ AWS リージョンにデプロイされる必要があることに注意してください。

IAM アイデンティティセンターでクイックアカウントを設定します。信頼できる ID の伝播は、IAM アイデンティティセンターと統合されたクイックアカウントでのみサポートされます。詳細については、「IAM Identity Center で Amazon Quick アカウントを設定する」を参照してください。

注記
Athena データソースを作成するには、IAM Identity Center を使用するクイックアカウントの IAM Identity Center ユーザー (作成者) である必要があります。
IAM アイデンティティセンターが有効な Athena ワークグループ使用する Athena ワークグループは、クイックアカウントと同じ IAM Identity Center インスタンスを使用している必要があります。Athena ワークグループの設定の詳細については、「Amazon Athena ユーザーガイド」の「IAM アイデンティティセンターが有効な Athena ワークグループの作成」を参照してください。
Athena クエリ結果バケットへのアクセスは、Amazon S3 Access Grants で管理されます。詳細については、「Amazon S3 ユーザーガイド」の「Amazon S3 Access Grants でのアクセス管理」を参照してください。クエリ結果が AWS KMS キーで暗号化されている場合、Amazon S3 Access Grant IAM ロールと Athena ワークグループロールの両方にアクセス許可が必要です AWS KMS。
- 詳細については、「Amazon S3 ユーザーガイド」の「Amazon S3 Access Grants と社内ディレクトリのアイデンティティ」を参照してください。
- Amazon S3 Access Grant ロールには、ID 伝播の信頼ポリシーに STS:SetContext アクションが必要です。例については、「Amazon S3 ユーザーガイド」の「ロケーションを登録する」を参照してください。
データへのアクセス許可は Lake Formation で管理し、Lake Formation は Quick および Athena ワークグループと同じ IAM Identity Center インスタンスで設定する必要があります。設定情報については、「AWS Lake Formation デベロッパーガイドガイド」の「Integrating IAM Identity Center」を参照してください。
データレイク管理者は、Lake Formation の IAM アイデンティティセンターユーザーとグループにアクセス許可を付与する必要があります。詳細については、「AWS Lake Formation デベロッパーガイド」の「Granting permissions to users and groups」を参照してください。
クイック管理者は、Athena への接続を承認する必要があります。詳細については、「Amazon Athena への接続の認可」を参照してください。信頼できる ID 伝達では、クイックロール Amazon S3 バケットのアクセス許可や AWS KMS アクセス許可を付与する必要はありません。Athena のワークグループへのアクセス許可を持つユーザーとグループを Amazon S3 Access Grants のアクセス許可を持つクエリ結果を保存する Amazon S3 バケットと同期させる必要があります。これにより、ユーザーは信頼できる ID を使用して Amazon S3 バケットでクエリを正常に実行し、クエリ結果を取得できます。

必要なアクセス許可を持つ IAM ロールを設定する

Athena で信頼できる ID 伝達を使用するには、クイックアカウントにリソースにアクセスするために必要なアクセス許可が必要です。これらのアクセス許可を付与するには、アクセス許可を持つ IAM ロールを使用するようにクイックアカウントを設定する必要があります。

クイックアカウントで既にカスタム IAM ロールを使用している場合は、そのロールを変更できます。既存の IAM ロールがない場合は、「IAM ユーザーガイド」の「IAM ユーザーのロールを作成する」の手順に従って作成してください。

作成または変更する IAM ロールには、次の信頼ポリシーとアクセス許可が含まれている必要があります。

必要な信頼ポリシー

IAM ロールの信頼ポリシーの更新については、「ロール信頼ポリシーを更新する」を参照してください。

必要な Athena のアクセス許可

IAM ロールの信頼ポリシーの更新については、「ロールに対するアクセス許可を更新する」を参照してください。

注記

Resource は * ワイルドカードを使用します。Quick で使用する Athena リソースのみを含めるように更新することをお勧めします。

IAM ロールを使用するようにクイックアカウントを設定する

前のステップで IAM ロールを設定したら、それを使用するようにクイックアカウントを設定する必要があります。それを行う方法については、「Quick での既存の IAM ロールの使用」を参照してください。

で ID 伝達設定を更新する AWS CLI

Quick がエンドユーザー ID を Athena ワークグループに伝達することを許可するには、から次の update-identity-propagation-config API を実行し AWS CLI、次の値を置き換えます。

us-west-2 を IAM Identity Center インスタンスがある AWS リージョンに置き換えます。
111122223333 を自分の AWS アカウント ID に置き換えます。


aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Quick で Athena データセットを作成する

次に、接続する IAM Identity Center が有効な Athena ワークグループで設定された Quick で Athena データセットを作成します。Athena データセットの作成方法の詳細については、「Amazon Athena データを使用したデータセットの作成」を参照してください。

主なコールアウト、考慮事項、制限

次のリストには、Quick と Athena で信頼できる ID 伝達を使用する場合の重要な考慮事項が含まれています。

信頼できる ID 伝達を使用するクイック Athena データソースには、IAM Identity Center エンドユーザーおよびユーザーが属する可能性のある IAM Identity Center グループに対して評価される Lake Formation アクセス許可があります。
信頼できる ID 伝播を使用する Athena データソースを使用する場合は、Lake Formation で微調整されたアクセスコントロールを実行することをお勧めします。ただし、Quick のスコープダウンポリシー機能を使用する場合、スコープダウンポリシーはエンドユーザーに対して評価されます。
信頼できる ID 伝播を使用するデータソースとデータセットでは、SPICE データセット、データソースのカスタム SQL、しきい値アラート、E メールレポート、Q トピック、ストーリー、シナリオ、CSV、Excel、PDF エクスポート、異常検出の機能が無効になっています。
レイテンシーやタイムアウトが高い場合は、多数の IAM アイデンティティセンターグループ、Athena データベース、テーブル、Lake Formation ルールの組み合わせが原因である可能性があります。必要な数のリソースのみを使用することをお勧めします。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

OpenSearch

データアクセス統合