Gunakan kelompok IAM kerja Athena yang diaktifkan Pusat Identitas - Amazon Athena
Pertimbangan dan batasanMembuat Pusat IAM Identitas mengaktifkan workgroup Athena

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan kelompok IAM kerja Athena yang diaktifkan Pusat Identitas

Fitur propagasi identitas tepercaya AWS IAM Identity Center memungkinkan identitas tenaga kerja Anda untuk digunakan di seluruh AWS layanan analitik. Propagasi identitas tepercaya menyelamatkan Anda dari keharusan melakukan konfigurasi penyedia identitas khusus layanan atau pengaturan peran. IAM

Dengan Pusat IAM Identitas, Anda dapat mengelola keamanan masuk untuk identitas tenaga kerja Anda, juga dikenal sebagai pengguna tenaga kerja. IAMIdentity Center menyediakan satu tempat di mana Anda dapat membuat atau menghubungkan pengguna tenaga kerja dan mengelola akses mereka secara terpusat di semua AWS akun dan aplikasi. Anda dapat menggunakan izin multi-akun untuk menetapkan akses pengguna ini Akun AWS. Anda dapat menggunakan penugasan aplikasi untuk menetapkan akses pengguna Anda ke aplikasi yang diaktifkan Pusat IAM Identitas, aplikasi cloud, dan aplikasi Bahasa Markup Pernyataan Keamanan pelanggan (2.0). SAML Untuk informasi selengkapnya, lihat Propagasi identitas tepercaya di seluruh aplikasi di AWS IAM Identity Center Panduan Pengguna.

Saat ini, SQL dukungan Athena untuk propagasi identitas tepercaya memungkinkan Anda menggunakan identitas yang sama untuk Amazon EMR Studio dan antarmuka SQL Athena di Studio. EMR Untuk menggunakan IAM identitas Pusat Identitas dengan SQL Athena EMR di Studio, Anda harus IAM membuat grup kerja yang diaktifkan Pusat Identitas di Athena. Anda kemudian dapat menggunakan konsol Pusat IAM Identitas atau API untuk menetapkan pengguna atau grup Pusat IAM Identitas ke grup kerja Athena yang diaktifkan Pusat IAM Identitas. Kueri dari workgroup Athena yang menggunakan propagasi identitas tepercaya harus dijalankan dari antarmuka SQL Athena di Studio yang mengaktifkan Pusat EMR Identitas. IAM

Pertimbangan dan batasan

Saat Anda menggunakan propagasi identitas tepercaya dengan Amazon Athena, pertimbangkan hal-hal berikut:

  • Anda tidak dapat mengubah metode otentikasi untuk workgroup setelah workgroup dibuat.

    • Kelompok kerja Athena yang ada tidak dapat dimodifikasi untuk mendukung SQL kelompok kerja yang diaktifkan Pusat IAM Identitas.

    • IAMKelompok kerja yang diaktifkan Pusat Identitas tidak dapat dimodifikasi untuk mendukung IAM izin tingkat sumber daya atau kebijakan berbasis identitas. IAM

  • Untuk mengakses grup kerja yang diaktifkan propagasi IAM identitas tepercaya, pengguna Pusat Identitas harus ditetapkan ke IdentityCenterApplicationArn yang dikembalikan oleh respons tindakan Athena. GetWorkGroupAPI

  • Hibah Akses Amazon S3 harus dikonfigurasi untuk menggunakan identitas propagasi identitas tepercaya. Untuk informasi selengkapnya, lihat Hibah Akses S3 dan identitas direktori perusahaan di Panduan Pengguna Amazon S3.

  • IAMKelompok kerja Athena yang diaktifkan Pusat Identitas mengharuskan Lake Formation dikonfigurasi untuk menggunakan IAM identitas Pusat Identitas. Untuk informasi konfigurasi, lihat Mengintegrasikan Pusat IAM Identitas di AWS Lake Formation Panduan Pengembang.

  • Secara default, waktu kueri habis setelah 30 menit di grup kerja yang menggunakan propagasi identitas tepercaya. Anda dapat meminta peningkatan batas waktu kueri, tetapi maksimum kueri yang dapat dijalankan di grup kerja propagasi identitas tepercaya adalah satu jam.

  • Perubahan hak pengguna atau grup dalam kelompok kerja propagasi identitas tepercaya dapat memerlukan waktu hingga satu jam untuk diterapkan.

  • Kueri di workgroup Athena yang menggunakan propagasi identitas tepercaya tidak dapat dijalankan langsung dari konsol Athena. Mereka harus dijalankan dari antarmuka Athena di EMR Studio yang mengaktifkan Pusat IAM Identitas. Untuk informasi selengkapnya tentang menggunakan Athena di EMR Studio, lihat Menggunakan editor Amazon SQL Athena di Studio EMR dalam Panduan Manajemen Amazon EMR.

  • Perbanyakan identitas tepercaya tidak kompatibel dengan fitur Athena berikut.

    • aws:CalledViakunci konteks.

    • Athena untuk kelompok kerja Spark.

    • Akses federasi ke AthenaAPI.

    • Akses federasi ke Athena menggunakan Lake Formation dan Athena JDBC dan pengemudi. ODBC

  • Anda dapat menggunakan propagasi identitas tepercaya dengan Athena hanya dalam hal berikut Wilayah AWS:

    • us-east-2— AS Timur (Ohio)

    • us-east-1- AS Timur (Virginia N.)

    • us-west-1— AS Barat (California N.)

    • us-west-2— AS Barat (Oregon)

    • af-south-1— Afrika (Cape Town)

    • ap-east-1— Asia Pasifik (Hong Kong)

    • ap-southeast-3— Asia Pasifik (Jakarta)

    • ap-south-1— Asia Pasifik (Mumbai)

    • ap-northeast-3— Asia Pasifik (Osaka)

    • ap-northeast-2- Asia Pasifik (Seoul)

    • ap-southeast-1— Asia Pasifik (Singapura)

    • ap-southeast-2— Asia Pasifik (Sydney)

    • ap-northeast-1— Asia Pasifik (Tokyo)

    • ca-central-1— Kanada (Tengah)

    • eu-central-1— Eropa (Frankfurt)

    • eu-west-1— Eropa (Irlandia)

    • eu-west-2— Eropa (London)

    • eu-south-1— Eropa (Milan)

    • eu-west-3- Eropa (Paris)

    • eu-north-1— Eropa (Stockholm)

    • me-south-1Timur Tengah (Bahrain)

    • sa-east-1— Amerika Selatan (São Paulo)

IAMPengguna admin yang membuat grup kerja yang diaktifkan Pusat IAM Identitas di konsol Athena harus memiliki kebijakan berikut yang dilampirkan.

  • Kebijakan yang AmazonAthenaFullAccess dikelola. Untuk detailnya, lihat AWS kebijakan terkelola: AmazonAthenaFullAccess.

  • Kebijakan inline berikut yang memungkinkan IAM dan tindakan Pusat IAM Identitas:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:createRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles",
                "iam:PassRole",
                "identitystore:ListUsers",
                "identitystore:ListGroups",
                "identitystore:CreateUser",
                "identitystore:CreateGroup",
                "sso:ListInstances",
                "sso:CreateInstance",
                "sso:DeleteInstance",
                "sso:DescribeUser",
                "sso:DescribeGroup",
                "sso:ListTrustedTokenIssuers",
                "sso:DescribeTrustedTokenIssuer",
                "sso:ListApplicationAssignments",
                "sso:DescribeRegisteredRegions",
                "sso:GetManagedApplicationInstance",
                "sso:GetSharedSsoConfiguration",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:CreateApplication",
                "sso:DeleteApplication",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationAccessScope",
                "sso:ListDirectoryAssociations",
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment",
                "organizations:ListDelegatedAdministrators",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:CreateOrganization",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}

Membuat Pusat IAM Identitas mengaktifkan workgroup Athena

Prosedur berikut menunjukkan langkah-langkah dan opsi yang terkait dengan membuat grup kerja Athena yang diaktifkan Pusat IAM Identitas. Untuk deskripsi opsi konfigurasi lain yang tersedia untuk kelompok kerja Athena, lihat. Buat grup kerja

Untuk membuat workgroup yang SSO diaktifkan di konsol Athena

  1. Buka konsol Athena di https://console.aws.amazon.com/athena/.

  2. Di panel navigasi konsol Athena, pilih Workgroups.

  3. Pada Grup Kerja, pilih Buat grup kerja.

  4. Pada halaman Buat workgroup, untuk nama Workgroup, masukkan nama untuk workgroup.

  5. Untuk mesin Analytics, gunakan default Athena SQL.

  6. Untuk Otentikasi, pilih Pusat IAM Identitas.

  7. Untuk peran Layanan untuk akses Pusat IAM Identitas, pilih peran layanan yang ada, atau buat yang baru.

    Athena memerlukan izin untuk mengakses Pusat IAM Identitas untuk Anda. Peran layanan diperlukan bagi Athena untuk melakukan ini. Peran layanan adalah IAM peran yang Anda kelola yang mengotorisasi AWS layanan untuk mengakses lainnya AWS layanan atas nama Anda. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke AWS Layanan dalam Panduan IAM Pengguna.

  8. Perluas konfigurasi hasil Kueri, lalu masukkan atau pilih jalur Amazon S3 untuk Lokasi hasil kueri.

  9. (Opsional) Pilih Enkripsi hasil kueri.

  10. (Opsional) Pilih Buat awalan S3 berbasis identitas pengguna.

    Saat Anda membuat grup kerja yang diaktifkan Pusat IAM Identitas, opsi Aktifkan Hibah Akses S3 dipilih secara default. Anda dapat menggunakan Amazon S3 Access Grants untuk mengontrol akses ke lokasi hasil kueri Athena (awalan) di Amazon S3. Untuk informasi selengkapnya tentang Hibah Akses Amazon S3, lihat Mengelola akses dengan Hibah Akses Amazon S3.

    Di grup kerja Athena yang menggunakan autentikasi Pusat IAM Identitas, Anda dapat mengaktifkan pembuatan lokasi hasil kueri berbasis identitas yang diatur oleh Amazon S3 Access Grants. Awalan Amazon S3 berbasis identitas pengguna ini memungkinkan pengguna di workgroup Athena menjaga hasil kueri mereka terisolasi dari pengguna lain di workgroup yang sama.

    Saat Anda mengaktifkan opsi awalan pengguna, Athena menambahkan ID pengguna sebagai awalan jalur Amazon S3 ke lokasi keluaran hasil kueri untuk grup kerja (misalnya,). s3://amzn-s3-demo-bucket/${user_id} Untuk menggunakan fitur ini, Anda harus mengkonfigurasi Access Grants untuk mengizinkan hanya izin pengguna ke lokasi yang memiliki user_id awalan. Untuk contoh kebijakan peran lokasi Amazon S3 Access Grants yang membatasi akses ke hasil kueri Athena, lihat. Contoh kebijakan peran

    catatan

    Memilih opsi awalan identitas pengguna S3 secara otomatis memungkinkan opsi penggantian pengaturan sisi klien untuk grup kerja, seperti yang dijelaskan pada langkah berikutnya. Opsi override setelan sisi klien adalah persyaratan untuk fitur awalan identitas pengguna.

  11. Perluas Pengaturan, lalu konfirmasikan bahwa Override pengaturan sisi klien dipilih.

    Saat Anda memilih Ganti setelan sisi klien, pengaturan workgroup diberlakukan di tingkat workgroup untuk semua klien di workgroup. Untuk informasi selengkapnya, lihat Ganti pengaturan sisi klien.

  12. (Opsional) Buat pengaturan konfigurasi lain yang Anda perlukan seperti yang dijelaskan dalamBuat grup kerja.

  13. Pilih Buat grup kerja.

  14. Gunakan bagian Workgroups pada konsol Athena untuk menetapkan pengguna atau grup dari IAM direktori Pusat Identitas ke grup kerja Athena yang diaktifkan Pusat IAM Identitas.

Contoh berikut menunjukkan kebijakan untuk peran yang akan dilampirkan ke lokasi Amazon S3 Access Grant yang membatasi akses ke hasil kueri Athena. 

{
    "Statement": [{
        "Action": ["s3:*"],
        "Condition": {
            "ArnNotEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringNotEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Deny",
        "Resource": "*",
        "Sid": "ExplicitDenyS3"
    }, {
        "Action": ["kms:*"],
        "Effect": "Deny",
        "NotResource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "ExplictDenyKMS"
    }, {
        "Action": ["s3:ListMultipartUploadParts", "s3:GetObject"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelReadPermissions"
    }, {
        "Action": ["s3:PutObject", "s3:AbortMultipartUpload"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelWritePermissions"
    }, {
        "Action": "s3:ListBucket",
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            },
            "StringLikeIfExists": {
                "s3:prefix": ["${identitystore:UserId}", "${identitystore:UserId}/*"]
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION",
        "Sid": "BucketLevelReadPermissions"
    }, {
        "Action": ["kms:GenerateDataKey", "kms:Decrypt"],
        "Effect": "Allow",
        "Resource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "KMSPermissions"
    }],
    "Version": "2012-10-17"
}