Föderierten Zugriff auf Athena aktivieren API - Amazon Athena
Bevor Sie beginnenVerstehen Sie den AuthentifizierungsprozessVerfahren: Aktivieren Sie den SAML basierten Verbundzugriff auf Athena API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Föderierten Zugriff auf Athena aktivieren API

In diesem Abschnitt wird der Verbundzugriff beschrieben, der es einem Benutzer oder einer Client-Anwendung in Ihrer Organisation ermöglicht, Amazon Athena API Athena-Operationen aufzurufen. In diesem Fall verfügen die Benutzer Ihrer Organisation nicht über direkten Zugriff auf Athena. Stattdessen verwalten Sie Benutzeranmeldeinformationen außerhalb von AWS im Microsoft Active Directory. Active Directory unterstützt SAML2.0 (Security Assertion Markup Language 2.0).

Um Benutzer in diesem Szenario zu authentifizieren, verwenden Sie den JDBC ODBC Oder-Treiber mit SAML 2.2.0-Unterstützung, um auf Active Directory Federation Services (ADFS) 3.0 zuzugreifen und einer Client-Anwendung das Aufrufen von API Athena-Vorgängen zu ermöglichen.

Weitere Informationen zur 2.0-Unterstützung finden Sie SAML unter AWS, siehe About SAML 2.0 Federation im IAMBenutzerhandbuch.

Anmerkung

Der Verbundzugriff auf Athena API wird für einen bestimmten Typ von Identitätsanbieter (IdP) unterstützt, den Active Directory Federation Service (ADFS3.0), der Teil von Windows Server ist. Der Verbundzugriff ist nicht mit der Funktion zur Verbreitung vertrauenswürdiger IAM Identitäten in Identity Center kompatibel. Der Zugriff erfolgt über die Versionen JDBC oder ODBC Treiber, die SAML 2.0 unterstützen. Weitere Informationen finden Sie unter Connect zu Amazon Athena her mit JDBC und Connect zu Amazon Athena her mit ODBC.

Bevor Sie beginnen

Stellen Sie vor Beginn sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Installieren und konfigurieren Sie ADFS 3.0 in Ihrer Organisation als Ihren IdP.

  • Installieren und konfigurieren Sie die neuesten verfügbaren Versionen von JDBC oder ODBC Treibern auf Clients, die für den Zugriff auf Athena verwendet werden. Der Treiber muss Unterstützung für Verbundzugriff bieten, der mit SAML 2.0 kompatibel ist. Weitere Informationen finden Sie unter Connect zu Amazon Athena her mit JDBC und Connect zu Amazon Athena her mit ODBC.

Verstehen Sie den Authentifizierungsprozess

Das folgende Diagramm veranschaulicht den Authentifizierungsprozess für den Verbundzugriff auf API Athena.

Diagramm des föderierten Zugangs zur API Athena.

  1. Ein Benutzer in Ihrer Organisation verwendet eine Client-Anwendung mit dem ODBC Treiber JDBC oder, um die Authentifizierung vom IdP Ihrer Organisation anzufordern. Der IdP ist ADFS 3.0.

  2. Der Identitätsanbieter authentifiziert den Benutzer anhand von Active Directory, dem Identitätsspeicher Ihrer Organisation.

  3. Der IdP erstellt eine SAML Assertion mit Informationen über den Benutzer und sendet die Assertion über den Treiber oder an die Client-Anwendung. JDBC ODBC

  4. Der Treiber oder ruft den JDBC ODBC AWS Security Token Service AssumeRoleWithSAMLAPIOperation, der die folgenden Parameter übergeben werden:

    • Der ARN des SAML Anbieters

    • Die ARN der Rolle, die übernommen werden soll

    • Die SAML Behauptung des IdP

    Weitere Informationen finden Sie AssumeRoleWithSAMLunter AWS Security Token Service APIReferenz.

  5. Die API Antwort auf die Client-Anwendung über den ODBC Treiber JDBC oder enthält temporäre Sicherheitsanmeldedaten.

  6. Die Client-Anwendung verwendet die temporären Sicherheitsanmeldedaten, um API Athena-Operationen aufzurufen, sodass Ihre Benutzer auf API Athena-Operationen zugreifen können.

Verfahren: Aktivieren Sie den SAML basierten Verbundzugriff auf Athena API

Dieses Verfahren schafft Vertrauen zwischen dem IdP Ihrer Organisation und Ihrem AWS Konto, um den SAML basierten Verbundzugriff auf den Amazon Athena API Athena-Betrieb zu ermöglichen.

Um den föderierten Zugriff auf die API Athena zu aktivieren:

  1. Registrieren Sie sich in Ihrer Organisation AWS als Service Provider (SP) in Ihrem IdP. Dieser Prozess wird als Vertrauensstellung der vertrauenden Seite bezeichnet. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Konfiguration Ihres SAML 2.0-IdP mit Vertrauensstellung durch vertrauende Parteien. Führen Sie als Teil dieser Aufgabe die folgenden Schritte aus:

    1. Das SAML Metadaten-Beispieldokument finden Sie hierURL:https://signin.aws.amazon.com/static/saml-metadata.xml.

    2. Generieren Sie im IdP (ADFS) Ihrer Organisation eine entsprechende XML Metadatendatei, die Ihren IdP als Identitätsanbieter beschreibt für AWS. Ihre Metadatendatei muss den Namen des Ausstellers, das Erstellungsdatum, das Ablaufdatum und die folgenden Schlüssel enthalten AWS verwendet, um Authentifizierungsantworten (Assertionen) von Ihrer Organisation zu validieren.

  2. Erstellen Sie in der IAM Konsole eine SAML Identitätsanbieter-Entität. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Creating SAML Identity Providers. Tun Sie im Rahmen dieses Schritts Folgendes:

    1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

    2. Laden Sie das vom IdP (ADFS) in Schritt 1 dieses Verfahrens erstellte SAML Metadatendokument hoch.

  3. Erstellen Sie in der IAM Konsole eine oder mehrere IAM Rollen für Ihren IdP. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation). Tun Sie im Rahmen dieses Schritts Folgendes:

    • Führen Sie in der Berechtigungsrichtlinie der Rolle die Aktionen auf, die Benutzer aus Ihrer Organisation ausführen dürfen AWS.

    • Legen Sie in der Vertrauensrichtlinie der Rolle die SAML Anbieterentität, die Sie in Schritt 2 dieses Verfahrens erstellt haben, als Principal fest.

    Dadurch entsteht eine Vertrauensbeziehung zwischen Ihrer Organisation und AWS.

  4. Definieren Sie im IdP (ADFS) Ihrer Organisation Assertionen, die Benutzer oder Gruppen in Ihrer Organisation den IAM Rollen zuordnen. Die Zuordnung von Benutzern und Gruppen zu den IAM Rollen wird auch als Anspruchsregel bezeichnet. Beachten Sie, dass verschiedene Benutzer und Gruppen in Ihrer Organisation möglicherweise unterschiedlichen IAM Rollen zugeordnet werden.

    Informationen zur Konfiguration der Zuordnung finden Sie im ADFS Blogbeitrag: Enabling Federation to AWS mit Windows Active DirectoryADFS, und SAML 2.0.

  5. Installieren und konfigurieren Sie den JDBC ODBC OR-Treiber mit SAML 2.0-Unterstützung. Weitere Informationen finden Sie unter Connect zu Amazon Athena her mit JDBC und Connect zu Amazon Athena her mit ODBC.

  6. Geben Sie die Verbindungszeichenfolge zwischen Ihrer Anwendung und dem ODBC Treiber JDBC oder an. Informationen zu der Verbindungszeichenfolge, die Ihre Anwendung verwenden sollte, finden Sie im Thema „Verwenden des Active Directory Federation Services (ADFS) Credentials Provider“ im JDBCTreiberinstallations- und Konfigurationshandbuch oder in einem ähnlichen Thema im ODBCTreiberinstallations- und Konfigurationshandbuch, das als PDF Downloads unter den Connect zu Amazon Athena her mit ODBC Themen Connect zu Amazon Athena her mit JDBC und verfügbar ist.

    Die allgemeine Zusammenfassung der Konfiguration der Verbindungszeichenfolge für die Treiber ist wie folgt:

    1. Geben Sie im Feld com.simba.athena.iamsupport.plugin.AdfsCredentialsProvider anAwsCredentialsProviderClass configuration, dass Sie die SAML 2.0-basierte Authentifizierung über ADFS IdP verwenden möchten.

    2. Geben Sie für idp_host den Hostnamen des ADFS IdP-Servers an.

    3. Geben Sie für idp_port die Portnummer an, auf der der ADFS IdP die SAML Assertion-Anfrage abhört.

    4. Geben Sie für UID und PWD die AD-Domain-Benutzeranmeldeinformationen an. Wenn Sie den Treiber auf Windows verwenden und UID und PWD nicht angegeben sind, versucht der Treiber, die Anmeldeinformationen des Benutzers abzurufen, der an dem Windows-Computer angemeldet ist.

    5. Optional können Sie für ssl_insecure den Wert true festlegen. In diesem Fall überprüft der Treiber nicht die Echtheit des SSL Zertifikats für den ADFS IdP-Server. Die Einstellung auf true ist erforderlich, wenn das SSL Zertifikat des ADFS IdP nicht so konfiguriert wurde, dass es vom Treiber als vertrauenswürdig eingestuft wird.

    6. Um die Zuordnung eines Active Directory-Domänenbenutzers oder einer Gruppe zu einer oder mehreren IAM Rollen zu ermöglichen (wie in Schritt 4 dieses Verfahrens beschrieben), geben Sie in der preferred_role ODBC Verbindung JDBC oder die IAM Rolle (ARN) an, die für die Treiberverbindung übernommen werden soll. Die Angabe der preferred_role ist optional, aber nützlich, wenn die Rolle nicht die erste in der Anspruchsregel aufgeführte Rolle ist.

    Aufgrund dieses Verfahrens werden die folgenden Aktionen ausgeführt:

    1. Der ODBC Treiber JDBC oder ruft den AWS STS AssumeRoleWithSAMLAPI, und übergibt ihm die Assertions, wie in Schritt 4 des Architekturdiagramms dargestellt.

    2. AWS stellt sicher, dass die Anfrage zur Übernahme der Rolle von dem IdP stammt, auf den in der SAML Anbieterentität verwiesen wird.

    3. Wenn die Anfrage erfolgreich ist, AWS STS AssumeRoleWithSAMLAPIOperation gibt einen Satz temporärer Sicherheitsanmeldeinformationen zurück, die Ihre Client-Anwendung verwendet, um signierte Anfragen an Athena zu stellen.

      Ihre Anwendung verfügt nun über Informationen zum aktuellen Benutzer und kann programmgesteuert auf Athena zugreifen.