本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 Athena 使用受信任的身分傳播
信任的身分傳播可讓 AWS 服務根據使用者的身分內容存取 AWS 資源,並安全地與其他 AWS 服務共用此使用者的身分。這些功能可讓使用者更輕鬆地定義、授予和記錄存取權。
當管理員 AWS Lake Formation 使用 IAM Identity Center 設定 QuickSight、Athena、Amazon S3 Access Grants 和 時,他們現在可以啟用這些服務中的受信任身分傳播,並允許使用者的身分在服務之間傳播。當 IAM Identity Center 使用者從 QuickSight 存取資料時,Athena 或 Lake Formation 可以使用組織身分提供者為其使用者或群組成員資格定義的許可進行授權決策。
只有在透過 Lake Formation 管理許可時,才能使用 Athena 進行信任的身分傳播。資料的使用者許可位於 Lake Formation 中。
先決條件
開始之前,請確定您已完成下列必要先決條件。
重要
當您完成下列先決條件時,請注意,您的 IAM Identity Center 執行個體、Athena 工作群組、Lake Formation 和 Amazon S3 Access Grants 必須全部部署在相同的 AWS 區域中。
-
使用 IAM Identity Center 設定您的 QuickSight 帳戶。信任的身分傳播僅支援與 IAM Identity Center 整合的 QuickSight 帳戶。如需詳細資訊,請參閱使用 IAM Identity Center 設定 Amazon QuickSight 帳戶。
注意
若要建立 Athena 資料來源,您必須是 QuickSight 帳戶中使用 IAM Identity Center 的 IAM Identity Center 使用者 (作者)。
-
使用 IAM Identity Center 啟用的 Athena 工作群組。您使用的 Athena 工作群組必須使用與 QuickSight 帳戶相同的 IAM Identity Center 執行個體。如需設定 Athena 工作群組的詳細資訊,請參閱《Amazon Athena 使用者指南》中的建立啟用 IAM Identity Center 的 Athena 工作群組。
-
使用 Amazon S3 Access Grants 管理對 Athena 查詢結果儲存貯體的存取。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用 Amazon S3 Access Grants 管理存取權。 Amazon S3 如果您的查詢結果使用 AWS KMS 金鑰加密,Amazon S3 Access Grant IAM 角色和 Athena 工作群組角色都需要 的許可 AWS KMS。
如需詳細資訊,請參閱《Amazon S3 使用者指南》中的 Amazon S3 存取授權和公司目錄身分。 Amazon S3
Amazon S3 Access Grant 角色應在其身分傳播的信任政策中具有
STS:SetContext動作。若要查看範例,請參閱《Amazon S3 使用者指南》中的註冊位置。
-
必須使用 Lake Formation 管理資料許可,並使用與 QuickSight 和 Athena 工作群組相同的 IAM Identity Center 執行個體來設定 Lake Formation 和 Lake Formation。如需組態資訊,請參閱《AWS Lake Formation 開發人員指南》中的整合 IAM Identity Center。
-
資料湖管理員需要將許可授予 Lake Formation 中的 IAM Identity Center 使用者和群組。如需詳細資訊,請參閱《 AWS Lake Formation 開發人員指南》中的將許可授予使用者和群組。
-
QuickSight 管理員需要授權與 Athena 的連線。如需詳細資訊,請參閱授權連線到 Amazon Athena。請注意,透過信任的身分傳播,您不需要授予 QuickSight 角色 Amazon S3 儲存貯體許可或 AWS KMS 許可。您需要讓具有 Athena 中工作群組許可的使用者和群組與使用 Amazon S3 Access Grants 許可存放查詢結果的 Amazon S3 儲存貯體保持同步,以便使用者可以使用信任的身分傳播在 Amazon S3 儲存貯體中成功執行查詢和擷取查詢結果。
設定具有必要許可的 IAM 角色
若要搭配 Athena 使用受信任的身分傳播,您的 QuickSight 帳戶必須具有存取 資源所需的許可。若要提供這些許可,您必須將 QuickSight 帳戶設定為使用具有 許可的 IAM 角色。
如果您的 QuickSight 帳戶已使用自訂 IAM 角色,您可以修改該角色。如果您沒有現有的 IAM 角色,請依照 IAM 使用者指南中的為 IAM 使用者建立角色中的指示建立角色。
您建立或修改的 IAM 角色必須包含下列信任政策和許可。
必要的信任政策
如需有關更新 IAM 角色信任政策的資訊,請參閱更新角色信任政策。
必要的 Athena 許可
如需有關更新 IAM 角色信任政策的資訊,請參閱更新角色的許可。
注意
Resource 使用*萬用字元。建議您將其更新為僅包含要與 QuickSight 搭配使用的 Athena 資源。
設定您的 QuickSight 帳戶以使用 IAM 角色
在上一個步驟中設定 IAM 角色後,您必須設定您的 QuickSight 帳戶來使用它。如需如何執行此操作的詳細資訊,請參閱 在 Amazon QuickSight 中使用現有 IAM 角色。
使用 更新身分傳播組態 AWS CLI
若要授權 QuickSight 將最終使用者身分傳播到 Athena 工作群組,請從 執行下列 update-identity-propagation-config API AWS CLI,並取代下列值:
將
us-west-2取代為您的 IAM Identity Center 執行個體所在的 AWS 區域。將
111122223333取代為 AWS 您的帳戶 ID。
aws quicksight update-identity-propagation-config \ --service ATHENA \ --regionus-west-2\ --aws-account-id111122223333
在 QuickSight 中建立 Athena 資料集
現在,在 QuickSight 中建立 Athena 資料集,該資料集使用您要連線的已啟用 IAM Identity Center 的 Athena 工作群組進行設定。如需如何建立 Athena 資料集的資訊,請參閱 使用 Amazon Athena 資料建立資料集。
關鍵標註、考量和限制
下列清單包含將受信任身分傳播與 QuickSight 和 Athena 搭配使用時的一些重要考量。
使用受信任身分傳播的 QuickSight Athena 資料來源具有針對 IAM Identity Center 最終使用者和使用者可能所屬的 IAM Identity Center 群組評估的 Lake Formation 許可。
使用使用受信任身分傳播的 Athena 資料來源時,我們建議在 Lake Formation 中進行任何微調的存取控制。不過,如果您選擇使用 QuickSight 縮小範圍政策功能,則會針對最終使用者評估縮小範圍政策。
對於使用受信任身分傳播的資料來源和資料集,會停用下列功能:SPICE 資料集、資料來源上的自訂 SQL、閾值提醒、電子郵件報告、Q 主題、案例、CSV、Excel 和 PDF 匯出、異常偵測。
如果您遇到高延遲或逾時,可能是由於大量 IAM Identity Center 群組、Athena 資料庫、資料表和 Lake Formation 規則的組合。我們建議只嘗試使用這些資源的必要數量。
