Usando a propagação de identidade confiável com o Athena - Amazon QuickSight
Pré-requisitosConfigurar a função do IAM com as permissões necessáriasConfigure sua QuickSight conta para usar a função do IAMAtualize a configuração de propagação de identidade com o AWS CLICrie um conjunto de dados Athena no QuickSightPrincipais textos explicativos, considerações e limites

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando a propagação de identidade confiável com o Athena

A propagação de identidade confiável fornece aos AWS serviços acesso a AWS recursos com base no contexto de identidade do usuário e compartilha com segurança a identidade desse usuário com outros serviços. AWS Esses recursos permitem que o acesso dso usuários seja mais facilmente definido, concedido e registrado em log.

Quando os administradores configuram o Athena QuickSight, o Amazon S3 Access Grants AWS Lake Formation e o IAM Identity Center, agora eles podem habilitar a propagação confiável da identidade nesses serviços e permitir que a identidade do usuário seja propagada entre os serviços. Quando os dados são acessados QuickSight por um usuário do IAM Identity Center, o Athena ou o Lake Formation podem tomar decisões de autorização usando as permissões definidas para sua associação de usuário ou grupo pelo provedor de identidade da organização.

A propagação de identidade confiável com o Athena só funciona quando as permissões são gerenciadas por meio do Lake Formation. As permissões do usuário para os dados residem em Lake Formation.

Pré-requisitos

Antes de começar, verifique se os seguintes pré-requisitos obrigatórios foram preenchidos.

Importante

Ao preencher os pré-requisitos a seguir, observe que sua instância do IAM Identity Center, o grupo de trabalho do Athena, o Lake Formation e os Amazon S3 Access Grants devem ser todos implantados na mesma região. AWS

  • Configure sua QuickSight conta com o IAM Identity Center. A propagação de identidade confiável só é compatível com QuickSight contas integradas ao IAM Identity Center. Para obter mais informações, consulte Configure sua QuickSight conta da Amazon com o IAM Identity Center.

    nota

    Para criar fontes de dados do Athena, você deve ser um usuário (autor) do IAM Identity Center em uma QuickSight conta que usa o IAM Identity Center.

  • Um grupo de trabalho do Athena habilitado com o IAM Identity Center. O grupo de trabalho do Athena que você usa deve estar usando a mesma instância do IAM Identity Center da conta. QuickSight Para obter mais informações sobre como configurar um grupo de trabalho do Athena, consulte Como criar um grupo de trabalho do Athena habilitado para o IAM Identity Center. no Guia do usuário do Amazon Athena.

  • O acesso ao bucket de resultados de consulta do Athena é gerenciado com o Amazon S3 Access Grants. Para obter mais detalhes, consulte Gerenciando o acesso com as concessões de acesso do Amazon S3 no Guia do usuário do Amazon S3. Se os resultados da sua consulta forem criptografados com uma AWS KMS chave, a função Amazon S3 Access Grant IAM e a função de grupo de trabalho Athena precisam de permissões para. AWS KMS

  • As permissões para os dados devem ser gerenciadas com o Lake Formation e o Lake Formation deve ser configurado com a mesma QuickSight instância do IAM Identity Center do grupo de trabalho do Athena. Para obter informações sobre a configuração, consulte Integrating IAM Identity Center no Guia do desenvolvedor do AWS Lake Formation .

  • O administrador do data lake precisa conceder permissões aos usuários e grupos do IAM Identity Center no Lake Formation. Para obter mais detalhes, consulte Conceder permissões a usuários e grupos no Guia do AWS Lake Formation desenvolvedor.

  • O QuickSight administrador precisa autorizar conexões com o Athena. Para obter detalhes, consulte Autorizar conexões com o Amazon Athena. Observe que, com a propagação de identidade confiável, você não precisa conceder à QuickSight função permissões ou permissões AWS KMS de bucket do Amazon S3. Você precisa manter seus usuários e grupos que têm permissões para o grupo de trabalho no Athena sincronizados com o bucket do Amazon S3 que armazena os resultados das consultas com as permissões do Amazon S3 Access Grants para que os usuários possam executar consultas e recuperar resultados de consultas com sucesso no bucket do Amazon S3 usando propagação de identidade confiável.

Configurar a função do IAM com as permissões necessárias

Para usar a propagação de identidade confiável com o Athena, QuickSight sua conta deve ter as permissões necessárias para acessar seus recursos. Para fornecer essas permissões, você deve configurar sua QuickSight conta para usar uma função do IAM com as permissões.

Se sua QuickSight conta já estiver usando uma função personalizada do IAM, você pode modificá-la. Se você não tiver uma função do IAM existente, crie uma seguindo as instruções em Criar uma função para um usuário do IAM no Guia do usuário do IAM.

A função do IAM que você cria ou modifica deve conter as seguintes políticas de confiança e permissões.

Política de confiança necessária

Para obter informações sobre como atualizar a política de confiança de uma função do IAM, consulte Atualizar uma política de confiança da função.

JSON
{ 
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QuickSightandAthenaTrust",
            "Effect": "Allow",
            "Principal": {
                "Service": "quicksight.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Resource": "*"
        }
    ]
}

Permissões necessárias do Athena

Para obter informações sobre como atualizar a política de confiança de uma função do IAM, consulte Atualizar permissões para uma função.

nota

O Resource usa o * curinga. Recomendamos que você o atualize para incluir somente os recursos do Athena com os quais deseja usar. QuickSight

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Configure sua QuickSight conta para usar a função do IAM

Depois de configurar a função do IAM na etapa anterior, você deve configurar sua QuickSight conta para usá-la. Para obter informações sobre como fazer isso, consulteUsando funções existentes do IAM na Amazon QuickSight.

Atualize a configuração de propagação de identidade com o AWS CLI

Para autorizar QuickSight a propagação de identidades de usuários finais para grupos de trabalho do Athena, execute a seguinte update-identity-propagation-config API a partir do, substituindo os seguintes valores: AWS CLI

  • us-west-2Substitua pela AWS região em que sua instância do IAM Identity Center está.

  • 111122223333Substitua pelo ID AWS da sua conta.

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Crie um conjunto de dados Athena no QuickSight

Agora, crie um conjunto de dados do Athena QuickSight configurado com o grupo de trabalho do Athena habilitado para o IAM Identity Center ao qual você deseja se conectar. Para obter informações sobre como criar um conjunto de dados do Athena, consulte. Como criar um conjunto de dados usando dados do Amazon Athena

Principais textos explicativos, considerações e limites

A lista a seguir contém algumas considerações importantes ao usar a propagação de identidade confiável com e QuickSight Athena.

  • QuickSight As fontes de dados do Athena que usam propagação de identidade confiável têm as permissões do Lake Formation avaliadas em relação ao usuário final do IAM Identity Center e aos grupos do IAM Identity Center aos quais o usuário pode pertencer.

  • Ao usar fontes de dados do Athena que usam propagação de identidade confiável, recomendamos que qualquer controle de acesso ajustado seja feito no Lake Formation. No entanto, se você optar por usar o recurso QuickSight de política de redução de escopo, as políticas de redução de escopo serão avaliadas em relação ao usuário final.

  • Os seguintes recursos estão desativados para fontes de dados e conjuntos de dados que usam propagação de identidade confiável: conjuntos de dados SPICE, SQL personalizado em fontes de dados, alertas de limite, relatórios por e-mail, Q Topics, histórias, cenários, exportações de CSV, Excel e PDF, detecção de anomalias.

  • Se você tiver alta latência ou tempos limite, pode ser devido a uma combinação de um grande número de grupos do IAM Identity Center, bancos de dados, tabelas e regras do Lake Formation do Athena. Recomendamos tentar usar somente o número necessário desses recursos.