Utiliser les IAM groupes de travail Athena compatibles avec Identity Center - Amazon Athena
Considérations et restrictionsCréation d'un groupe de travail Athena compatible avec IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser les IAM groupes de travail Athena compatibles avec Identity Center

La fonctionnalité de propagation d'identité fiable de AWS IAM Identity Center permet l'utilisation de l'identité de vos employés AWS services d'analyse. La propagation fiable des identités vous évite d'avoir à effectuer des configurations de fournisseur d'identité ou de IAM rôles spécifiques au service.

Avec IAM Identity Center, vous pouvez gérer la sécurité de connexion pour les identités de vos employés, également appelés utilisateurs du personnel. IAMIdentity Center fournit un endroit unique où vous pouvez créer ou connecter les utilisateurs du personnel et gérer de manière centralisée leur accès sur tous leurs AWS comptes et applications. Vous pouvez utiliser les autorisations multi-comptes pour attribuer à ces utilisateurs l'accès à Comptes AWS. Vous pouvez utiliser les attributions d'applications pour attribuer à vos utilisateurs l'accès aux applications compatibles avec IAM Identity Center, aux applications cloud et aux applications du Security Assertion Markup Language (SAML2.0) du client. Pour plus d'informations, consultez la section Propagation d'identités fiables entre les applications dans AWS IAM Identity Center Guide de l'utilisateur

Actuellement, la prise en SQL charge par Athena de la propagation fiable des identités vous permet d'utiliser la même identité pour Amazon EMR Studio et pour l'interface Athena SQL dans Studio. EMR Pour utiliser les identités IAM Identity Center avec Athena SQL dans EMR Studio, vous devez créer des groupes de travail compatibles avec IAM Identity Center dans Athena. Vous pouvez ensuite utiliser la console IAM Identity Center ou API affecter des utilisateurs ou des groupes IAM Identity Center aux groupes de travail Athena compatibles avec IAM Identity Center. Les requêtes provenant d'un groupe de travail Athena qui utilise une propagation d'identité sécurisée doivent être exécutées à partir de l'SQLinterface Athena dans un EMR studio sur lequel Identity Center est activé. IAM

Considérations et restrictions

Lorsque vous utilisez la propagation d’identité approuvée avec Amazon Athena, tenez compte des points suivants :

  • Vous ne pouvez pas modifier la méthode d’authentification du groupe de travail après sa création.

    • Les groupes de SQL travail Athena existants ne peuvent pas être modifiés pour prendre en charge les groupes de travail compatibles avec IAM Identity Center.

    • IAMLes groupes de travail compatibles avec Identity Center ne peuvent pas être modifiés pour prendre en charge les IAM autorisations au niveau des ressources ou les politiques basées sur l'identité. IAM

  • Pour accéder aux groupes de travail compatibles avec la propagation IAM d'identités fiables, les utilisateurs d'Identity Center doivent être affectés à IdentityCenterApplicationArn ce qui est renvoyé par la réponse de l'action GetWorkGroupAPIAthena.

  • Les autorisations d’accès Amazon S3 doivent être configurées pour utiliser la propagation d’identité approuvée. Pour plus d’informations, consultez la rubrique S3 Access Grants and corporate directory identities dans le Guide de l’utilisateur Amazon S3.

  • IAMLes groupes de travail Athena compatibles avec Identity Center nécessitent que Lake Formation soit configuré pour utiliser les identités d'IAMIdentity Center. Pour plus d'informations sur la configuration, consultez la section Intégration IAM d'Identity Center dans AWS Lake Formation Guide du développeur.

  • Par défaut, les requêtes expirent au bout de 30 minutes dans les groupes de travail qui utilisent la propagation d’identité approuvée. Vous pouvez demander une augmentation du délai d’expiration des requêtes, mais le délai maximum des requêtes dans les groupes de travail utilisant la propagation d’identité approuvée est d’une heure.

  • La prise en compte des modifications des droits des utilisateurs ou des groupes dans les groupes de travail utilisant la propagation d’identité approuvée peuvent prendre jusqu’à une heure.

  • Les requêtes d’un groupe de travail Athena utilisant la propagation d’identité approuvée ne peuvent pas être exécutées directement depuis la console Athena. Ils doivent être exécutés depuis l'interface Athena dans un EMR studio sur lequel IAM Identity Center est activé. Pour plus d'informations sur l'utilisation d'Athena dans EMR Studio, consultez la section Utilisation de l'éditeur Amazon SQL Athena dans Studio EMR dans le guide de gestion Amazon EMR.

  • La propagation d’identité approuvée n’est pas compatible avec les fonctionnalités Athena suivantes.

    • Clés de contexte aws:CalledVia.

    • Groupes de travail Athena pour Spark.

    • Accès fédéré à l'AthénaAPI.

    • Accès fédéré à Athéna à l'aide de Lake Formation, de l'Athéna JDBC et des conducteurs. ODBC

  • Vous ne pouvez utiliser la propagation d'identité sécurisée avec Athena que dans les cas suivants Régions AWS:

    • us-east-2 – USA Est (Ohio)

    • us-east-1 – USA Est (Virginie du Nord)

    • us-west-1 – USA Ouest (Californie du Nord)

    • us-west-2 – USA Ouest (Oregon)

    • af-south-1 – Afrique (Le Cap)

    • ap-east-1 – Asie-Pacifique (Hong Kong)

    • ap-southeast-3 – Asie-Pacifique (Jakarta)

    • ap-south-1 – Asie-Pacifique (Mumbai)

    • ap-northeast-3 – Asie-Pacifique (Osaka)

    • ap-northeast-2 – Asie-Pacifique (Séoul)

    • ap-southeast-1 – Asie-Pacifique (Singapour)

    • ap-southeast-2 – Asie-Pacifique (Sydney)

    • ap-northeast-1 – Asie-Pacifique (Tokyo)

    • ca-central-1 – Canada (Centre)

    • eu-central-1 – Europe (Francfort)

    • eu-west-1 – Europe (Irlande)

    • eu-west-2 – Europe (Londres)

    • eu-south-1 – Europe (Milan)

    • eu-west-3 – Europe (Paris)

    • eu-north-1 – Europe (Stockholm)

    • me-south-1 – Moyen-Orient (Bahreïn)

    • sa-east-1 – Amérique du Sud (São Paulo)

L'IAMutilisateur de l'administrateur qui crée le groupe de travail activé par IAM Identity Center dans la console Athena doit disposer des politiques suivantes.

  • La politique gérée AmazonAthenaFullAccess. Pour plus de détails, consultez AWS politique gérée : AmazonAthenaFullAccess.

  • La politique en ligne suivante qui autorise les actions IAM d'IAMIdentity Center :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:createRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles",
                "iam:PassRole",
                "identitystore:ListUsers",
                "identitystore:ListGroups",
                "identitystore:CreateUser",
                "identitystore:CreateGroup",
                "sso:ListInstances",
                "sso:CreateInstance",
                "sso:DeleteInstance",
                "sso:DescribeUser",
                "sso:DescribeGroup",
                "sso:ListTrustedTokenIssuers",
                "sso:DescribeTrustedTokenIssuer",
                "sso:ListApplicationAssignments",
                "sso:DescribeRegisteredRegions",
                "sso:GetManagedApplicationInstance",
                "sso:GetSharedSsoConfiguration",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:CreateApplication",
                "sso:DeleteApplication",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationAccessScope",
                "sso:ListDirectoryAssociations",
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment",
                "organizations:ListDelegatedAdministrators",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:CreateOrganization",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}

Création d'un groupe de travail Athena compatible avec IAM Identity Center

La procédure suivante décrit les étapes et les options associées à la création d'un groupe de travail Athena compatible avec IAM Identity Center. Pour obtenir une description des autres options de configuration disponibles pour les groupes de travail Athena, consultez Créer un groupe de travail.

Pour créer un groupe de travail SSO activé dans la console Athena

  1. Ouvrez la console à l'adresse https://console.aws.amazon.com/athena/.

  2. Dans le panneau de navigation de la console Athena, choisissez Workgroups (Groupes de travail).

  3. Sur la page Workgroups (Groupes de travail), choisissez Create workgroup (Créer un groupe de travail).

  4. Sur la page Créer un groupe de travail, pour Nom du groupe de travail, saisissez le nom du groupe de travail.

  5. Pour le moteur d'analyse, utilisez la valeur par défaut d'Athena SQL.

  6. Pour Authentification, choisissez IAMIdentity Center.

  7. Pour le rôle de service pour IAM l'accès à Identity Center, choisissez un rôle de service existant ou créez-en un nouveau.

    Athena a besoin d'autorisations pour accéder à IAM Identity Center pour vous. Pour ce faire, Athena doit avoir une fonction du service. Un rôle de service est un IAM rôle que vous gérez et qui autorise un AWS service pour accéder à d'autres AWS des services en votre nom. Pour plus d'informations, voir Création d'un rôle pour déléguer des autorisations à un AWS service dans le guide de IAM l'utilisateur.

  8. Développez Configuration des résultats de requêtes, puis saisissez ou choisissez un chemin Amazon S3 pour Emplacement du résultat de la requête.

  9. (Facultatif) Choisissez Chiffrer les résultats de requête.

  10. (Facultatif) Choisissez Créer un préfixe S3 basé sur l’identité utilisateur.

    Lorsque vous créez un groupe de travail compatible avec IAM Identity Center, l'option Activer les autorisations d'accès S3 est sélectionnée par défaut. Vous pouvez utiliser les autorisations d’accès Amazon S3 pour contrôler l’accès aux emplacements des résultats de requête Athena (préfixes) dans Amazon S3. Pour plus d’informations sur les autorisations d’accès Amazon S3, consultez Managing access with S3 Access Grants.

    Dans les groupes de travail Athena qui utilisent l'authentification IAM Identity Center, vous pouvez activer la création d'emplacements de résultats de requêtes basés sur l'identité et régis par Amazon S3 Access Grants. Ces préfixes Amazon S3 basés sur l’identité utilisateur permettent aux utilisateurs d’un groupe de travail Athena d’isoler les résultats de leurs requêtes des autres utilisateurs du même groupe de travail.

    Lorsque vous activez l’option de préfixe utilisateur, Athena ajoute l’ID utilisateur en tant que préfixe de chemin Amazon S3 à l’emplacement de sortie des résultats de requête pour le groupe de travail (par exemple, s3://amzn-s3-demo-bucket/${user_id}). Pour utiliser cette fonctionnalité, vous devez configurer les autorisations d’accès pour autoriser uniquement l’utilisateur à accéder à l’emplacement portant le préfixe user_id. Pour un exemple de politique de rôle de localisation Amazon S3 Access Grants qui restreint l'accès aux résultats des requêtes Athena, consultez. Exemple de politique de rôle

    Note

    Lorsque l’option de préfixe S3 de l’identité utilisateur est sélectionnée, l’option de remplacement des paramètres côté client est automatiquement activée pour le groupe de travail, comme décrit à l’étape suivante. L’option de remplacement des paramètres côté client est requise pour la fonctionnalité de préfixe de l’identité utilisateur.

  11. Développez Paramètres, puis vérifiez que l’option Remplacer les paramètres côté client est sélectionnée.

    Lorsque vous sélectionnez l’option Remplacer les paramètres côté client, les paramètres du groupe de travail sont appliqués au niveau du groupe de travail pour tous les clients du groupe de travail. Pour de plus amples informations, veuillez consulter Remplacer les paramètres côté client.

  12. (Facultatif) Définissez tous les autres paramètres de configuration dont vous avez besoin, comme décrit dans Créer un groupe de travail.

  13. Choisissez Créer un groupe de travail.

  14. Utilisez la section Groupes de travail de la console Athena pour attribuer des utilisateurs ou des groupes de IAM votre répertoire Identity Center à votre groupe de travail Athena compatible avec Identity Center. IAM

L'exemple suivant montre une politique relative à l'attachement d'un rôle à un emplacement Amazon S3 Access Grant qui restreint l'accès aux résultats des requêtes Athena. 

{
    "Statement": [{
        "Action": ["s3:*"],
        "Condition": {
            "ArnNotEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringNotEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Deny",
        "Resource": "*",
        "Sid": "ExplicitDenyS3"
    }, {
        "Action": ["kms:*"],
        "Effect": "Deny",
        "NotResource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "ExplictDenyKMS"
    }, {
        "Action": ["s3:ListMultipartUploadParts", "s3:GetObject"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelReadPermissions"
    }, {
        "Action": ["s3:PutObject", "s3:AbortMultipartUpload"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelWritePermissions"
    }, {
        "Action": "s3:ListBucket",
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            },
            "StringLikeIfExists": {
                "s3:prefix": ["${identitystore:UserId}", "${identitystore:UserId}/*"]
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION",
        "Sid": "BucketLevelReadPermissions"
    }, {
        "Action": ["kms:GenerateDataKey", "kms:Decrypt"],
        "Effect": "Allow",
        "Resource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "KMSPermissions"
    }],
    "Version": "2012-10-17"
}