本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Lake Formation 和 Athena JDBC 和 ODBC 驅動程式對 Athena 進行聯合存取
Athena JDBC 和 ODBC 驅動程式支援使用 Okta 和 Microsoft Active Directory 聯合服務 (AD FS) 身分提供者,實現以 SAML 2.0 為基礎的 Athena 聯合。透過整合 Amazon Athena AWS Lake Formation,您可以透過企業登入資料向 Athena 啟用基於 SAML 的身份驗證。使用 Lake Formation 和 AWS Identity and Access Management (IAM),您可以對 SAML 使用者可用的資料維護精細的欄層級存取控制。透過 Athena JDBC 和 ODBC 驅動程式,聯合存取可用於工具或程式設計存取。
若要使用 Athena 存取由 Lake Formation 控制的資料來源,您需要透過設定身分提供者 (IdP) 和 AWS Identity and Access Management (IAM) 角色來啟用以 SAML 2.0 為基礎的聯合。如需詳細步驟,請參閱教學課程:使用 Lake Formation 和 JDBC 設定 Okta 使用者對 Athena 的聯合存取。
必要條件
若要使用 Amazon Athena 和 Lake Formation 進行聯合存取,您必須符合以下需求:
-
您使用現有以 SAML 為基礎的身分提供者來管理您的公司身分,例如 Okta 或 Microsoft Active Directory 聯合服務 (AD FS)。
-
您可以使用 AWS Glue Data Catalog 做為中繼資料存放區。
-
您在 Lake Formation 中定義和管理許可,以存取 AWS Glue Data Catalog中的資料庫、資料表和資料欄。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》https://docs.aws.amazon.com/lake-formation/latest/dg/。
-
您使用 2.0.14 版或更新版本的 Athena JDBC 驅動程式,或 1.1.3 版或更新版本的 Athena ODBC 驅動程式。
考量與限制
使用 Athena JDBC 或 ODBC 驅動程式和 Lake Formation 來設定對 Athena 的聯合存取時,請記住下列幾點:
-
目前,Athena JDBC 驅動程式和 ODBC 驅動程式支援 Okta、Microsoft Active Directory 聯合服務 (AD FS) 和 Azure AD 身分提供者。雖然 Athena JDBC 驅動程式具有可擴充至使用其他身分識別提供者的一般 SAML 類別,但是對於啟用其他身分識別提供者 (IdPs) 與 Athena 搭配使用的自訂擴充功能的支援可能會受到限制。
-
使用 JDBC 和 ODBC 驅動程式的聯合存取與 IAM Identity Center 信任身分傳播功能不相容。
-
目前,您無法使用 Athena 主控台來設定 IdP 和 SAML 與 Athena 搭配使用時的支援。若要設定此支援,請使用第三方身分提供者、Lake Formation 和 IAM 管理主控台,以及 JDBC 或 ODBC 驅動程式用戶端。
-
在設定身分提供者和 SAML 以與 Lake Formation 和 Athena 搭配使用之前,您應先了解 SAML 2.0 規格
以及其如何與您的身分提供者搭配使用。 -
SAML 提供者以及 Athena JDBC 和 ODBC 驅動程式由第三方提供,因此透過與其使用相關問題 AWS 的支援可能會受到限制。
