Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Usa i gruppi di lavoro Athena abilitati per IAM Identity Center

RSS
Modalità Focus
Usa i gruppi di lavoro Athena abilitati per IAM Identity Center - Amazon Athena
Considerazioni e limitazioniCreazione di un gruppo di lavoro Athena abilitato per Centro identità IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

La funzionalità di propagazione delle identità affidabile di AWS IAM Identity Center consente di utilizzare le identità della forza lavoro tra i servizi di analisi. AWS La propagazione delle identità attendibili evita di dover eseguire configurazioni di provider di identità specifici del servizio o configurazioni di ruoli IAM.

Con Centro identità IAM, è possibile gestire la sicurezza degli accessi per le identità della forza lavoro, note anche come utenti della forza lavoro. IAM Identity Center offre un posto in cui è possibile creare o connettere gli utenti della forza lavoro e gestire centralmente il loro accesso su tutti gli account e le applicazioni. AWS Per assegnare a questi utenti l'accesso agli Account AWS, puoi utilizzare le autorizzazioni multi-account. Per assegnare agli utenti l'accesso alle applicazioni abilitate a Centro identità IAM, alle applicazioni cloud e alle applicazioni Security Assertion Markup Language (SAML 2.0) dei clienti, puoi utilizzare le assegnazioni delle applicazioni. Per ulteriori informazioni, consulta la pagina Trusted identity propagation across applications nella Guida per l'utente di AWS IAM Identity Center .

Attualmente, il supporto Athena SQL per la propagazione delle identità attendibili consente di utilizzare la stessa identità per Amazon EMR Studio e l'interfaccia Athena SQL in EMR Studio. Per utilizzare le identità di Centro identità IAM con Athena SQL in EMR Studio, è necessario creare gruppi di lavoro abilitati per Centro identità IAM in Athena. Dopodiché, è possibile utilizzare la console o l'API di Centro identità IAM per assegnare utenti o gruppi di Centro identità IAM ai gruppi di lavoro Athena abilitati per Centro identità IAM. Le query provenienti da un gruppo di lavoro Athena che utilizza la propagazione delle identità attendibili devono essere eseguite dall'interfaccia Athena SQL in uno studio EMR abilitato per Centro identità IAM.

Considerazioni e limitazioni

Quando utilizzi la propagazione delle identità attendibili con Amazon Athena, considera i seguenti punti:

  • Non è possibile modificare il metodo di autenticazione per il gruppo di lavoro dopo la creazione dello stesso.

    • I gruppi di lavoro SQL Athena esistenti non possono essere modificati per supportare i gruppi di lavoro abilitati per Centro identità IAM.

    • I gruppi di lavoro abilitati per Centro identità IAM non possono essere modificati per supportare le autorizzazioni IAM a livello di risorsa o le policy IAM basate sull'identità.

  • Per accedere a gruppi di lavoro affidabili abilitati alla propagazione delle identità, gli utenti di IAM Identity Center devono essere assegnati all'IdentityCenterApplicationArnelemento restituito dalla risposta dell'azione API GetWorkGroupAthena.

  • Amazon S3 Access Grants deve essere configurato per l'utilizzo delle identità con propagazione delle identità attendibili. Per maggiori informazioni, consulta la pagina S3 Access Grants and corporate directory identities nella Guida per l'utente di Amazon S3.

  • I gruppi di lavoro Athena abilitati per Centro identità IAM richiedono che Lake Formation sia configurato per l'utilizzo delle identità di Centro identità IAM. Per informazioni sulla configurazione, consulta la pagina Integrating IAM Identity Center nella Guida per gli sviluppatori di AWS Lake Formation .

  • Per impostazione predefinita, nei gruppi di lavoro che utilizzano la propagazione delle identità attendibili le query scadono dopo 30 minuti. È possibile richiedere un aumento del timeout delle query, ma nei gruppi di lavoro con propagazione delle identità attendibili le query possono essere eseguite al massimo entro un'ora.

  • Le modifiche alle autorizzazioni di utenti o gruppi nei gruppi di lavoro con propagazione delle identità attendibili possono richiedere fino a un'ora per avere effetto.

  • Le query in un gruppo di lavoro Athena che utilizza la propagazione delle identità attendibili non possono essere eseguite direttamente dalla console Athena. Devono essere eseguite dall'interfaccia Athena in uno studio EMR con Centro identità IAM abilitato. Per ulteriori informazioni sull'utilizzo di Athena in EMR Studio, consulta la pagina Use the Amazon Athena SQL editor in EMR Studio nella Guida per la gestione di Amazon EMR.

  • La propagazione delle identità attendibili non è compatibile con le seguenti funzionalità di Athena.

    • Chiavi di contesto aws:CalledVia.

    • Athena per i gruppi di lavoro Spark.

    • Accesso federato all'API di Athena.

    • Accesso federato ad Athena utilizzando Lake Formation e i driver Athena JDBC e ODBC.

  • Puoi utilizzare la propagazione delle identità affidabili con Athena solo nei seguenti casi: Regioni AWS

    • us-east-2: Stati Uniti orientali (Ohio)

    • us-east-1: Stati Uniti orientali (Virginia settentrionale)

    • us-west-1: Stati Uniti occidentali (California settentrionale)

    • us-west-2: Stati Uniti occidentali (Oregon)

    • af-south-1: Africa (Città del Capo)

    • ap-east-1: Asia Pacifico (Hong Kong)

    • ap-southeast-3: Asia Pacifico (Giacarta)

    • ap-south-1: Asia Pacifico (Mumbai)

    • ap-northeast-3: Asia Pacifico (Osaka-Locale)

    • ap-northeast-2: Asia Pacifico (Seoul)

    • ap-southeast-1: Asia Pacifico (Singapore)

    • ap-southeast-2: Asia Pacifico (Sydney)

    • ap-northeast-1: Asia Pacifico (Tokyo)

    • ca-central-1: Canada (Centrale)

    • eu-central-1: Europa (Francoforte)

    • eu-central-2— Europa (Zurigo)

    • eu-west-1: Europa (Irlanda)

    • eu-west-2: Europa (Londra)

    • eu-south-1: Europa (Milano)

    • eu-west-3: Europa (Parigi)

    • eu-north-1: Europa (Stoccolma)

    • me-south-1: Medio Oriente (Bahrein)

    • sa-east-1: Sud America (San Paolo)

L'utente IAM dell'amministratore che crea il gruppo di lavoro abilitato per Centro identità IAM nella console Athena deve avere le seguenti policy collegate.

  • La policy gestita AmazonAthenaFullAccess. Per informazioni dettagliate, consultare AWS politica gestita: AmazonAthenaFullAccess.

  • La seguente policy inline che consente le operazioni di IAM e Centro identità IAM:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:createRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles",
                "iam:PassRole",
                "identitystore:ListUsers",
                "identitystore:ListGroups",
                "identitystore:CreateUser",
                "identitystore:CreateGroup",
                "sso:ListInstances",
                "sso:CreateInstance",
                "sso:DeleteInstance",
                "sso:DescribeUser",
                "sso:DescribeGroup",
                "sso:ListTrustedTokenIssuers",
                "sso:DescribeTrustedTokenIssuer",
                "sso:ListApplicationAssignments",
                "sso:DescribeRegisteredRegions",
                "sso:GetManagedApplicationInstance",
                "sso:GetSharedSsoConfiguration",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:CreateApplication",
                "sso:DeleteApplication",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationAccessScope",
                "sso:ListDirectoryAssociations",
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment",
                "organizations:ListDelegatedAdministrators",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:CreateOrganization",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}

L'utente IAM dell'amministratore che crea il gruppo di lavoro abilitato per Centro identità IAM nella console Athena deve avere le seguenti policy collegate.

  • La policy gestita AmazonAthenaFullAccess. Per informazioni dettagliate, consultare AWS politica gestita: AmazonAthenaFullAccess.

  • La seguente policy inline che consente le operazioni di IAM e Centro identità IAM:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:createRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "iam:ListRoles",
                "iam:PassRole",
                "identitystore:ListUsers",
                "identitystore:ListGroups",
                "identitystore:CreateUser",
                "identitystore:CreateGroup",
                "sso:ListInstances",
                "sso:CreateInstance",
                "sso:DeleteInstance",
                "sso:DescribeUser",
                "sso:DescribeGroup",
                "sso:ListTrustedTokenIssuers",
                "sso:DescribeTrustedTokenIssuer",
                "sso:ListApplicationAssignments",
                "sso:DescribeRegisteredRegions",
                "sso:GetManagedApplicationInstance",
                "sso:GetSharedSsoConfiguration",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:CreateApplication",
                "sso:DeleteApplication",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationAccessScope",
                "sso:ListDirectoryAssociations",
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment",
                "organizations:ListDelegatedAdministrators",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:CreateOrganization",
                "sso-directory:SearchUsers",
                "sso-directory:SearchGroups",
                "sso-directory:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}

Creazione di un gruppo di lavoro Athena abilitato per Centro identità IAM

La procedura seguente mostra i passaggi e le opzioni relative alla creazione di un gruppo di lavoro Athena abilitato per Centro identità IAM. Per una descrizione delle altre opzioni di configurazione disponibili per i gruppi di lavoro Athena, consulta la pagina Creare un gruppo di lavoro.

Creazione di un gruppo di lavoro abilitato per il SSO nella console Athena

  1. Apri la console Athena all'indirizzo https://console.aws.amazon.com/athena/.

  2. Nel pannello di navigazione della console Athena, scegli Workgroups (Gruppi di lavoro).

  3. Nella pagina Gruppi di lavoro scegli Crea gruppo di lavoro.

  4. Nella pagina Crea gruppo di lavoro, in Nome gruppo di lavoro, inserisci un nome per il gruppo di lavoro.

  5. Per Motore di analisi, utilizza l'impostazione predefinita Athena SQL.

  6. Per Autenticazione, scegli Centro identità IAM.

  7. Per Ruolo di servizio per l'accesso a Centro identità IAM, scegli un ruolo di servizio esistente o creane uno nuovo.

    Athena richiede le autorizzazioni per accedere a Centro identità IAM per tuo conto. A tale scopo, Athena ha bisogno di un ruolo di servizio. Un ruolo di servizio è un ruolo IAM che gestisci e che autorizza un AWS servizio ad accedere ad altri AWS servizi per tuo conto. Per interrogare i cataloghi federati o eseguire UDF, aggiorna il ruolo del servizio con le autorizzazioni Lambda corrispondenti. Per ulteriori informazioni, consulta Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'utente IAM.

  8. Espandi Configurazione dei risultati delle query, quindi inserisci o scegli un percorso Amazon S3 per Posizione del risultato delle query.

  9. (Facoltativo) Seleziona Crittografa i risultati delle query. Per impostazione predefinita, SSE-S3 è supportato. Per utilizzare SSE-KMS e CSE-KMS con la posizione dei risultati delle query, fornisci le concessioni al ruolo Service for IAM Identity Center da Amazon S3 Access Grants. Per ulteriori informazioni, consulta Sample role policy.

  10. (Facoltativo) Seleziona Crea prefisso S3 basato sull'identità utente.

    Quando crei un gruppo di lavoro abilitato per Centro identità IAM, l'opzione Abilita S3 Access Grants è selezionata per impostazione predefinita. Puoi utilizzare Amazon S3 Access Grants per controllare l'accesso alle posizioni (prefissi) dei risultati delle query Athena in Amazon S3. Per maggiori informazioni su Amazon S3 Access Grants, consulta la pagina Managing access with Amazon S3 Access Grants.

    Nei gruppi di lavoro Athena che utilizzano l'autenticazione Centro identità IAM, puoi abilitare la creazione di posizioni dei risultati delle query basate sull'identità che sono regolate da Amazon S3 Access Grants. Questi prefissi Amazon S3 basati sull'identità utente consentono agli utenti di un gruppo di lavoro Athena di mantenere i risultati delle query isolati dagli altri utenti del medesimo gruppo di lavoro.

    Quando abiliti l'opzione del prefisso utente, Athena aggiunge l'ID utente come prefisso del percorso Amazon S3 alla posizione di output dei risultati della query per il gruppo di lavoro (ad esempio, s3://amzn-s3-demo-bucket/${user_id}). Per utilizzare questa funzionalità, devi configurare Access Grants in modo da concedere soltanto all'utente l'autorizzazione alla posizione che ha il prefisso user_id. Per un esempio di politica del ruolo di localizzazione di Amazon S3 Access Grants che limita l'accesso ai risultati delle query Athena, consulta. Esempio di politica relativa ai ruoli

    Nota

    La selezione dell'opzione del prefisso S3 dell'identità utente abilita automaticamente l'opzione di sovrascrittura delle impostazioni lato client per il gruppo di lavoro, come descritto nel passaggio successivo. L'opzione di sovrascrittura delle impostazioni lato client è un requisito per la funzionalità del prefisso dell'identità utente.

  11. Espandi Impostazioni, quindi verifica che sia selezionata l'opzione Sovrascrivi le impostazioni lato client.

    Quando si seleziona Sovrascrivi le impostazioni lato client, le impostazioni del gruppo di lavoro vengono applicate a livello di gruppo di lavoro per tutti i client nel gruppo stesso. Per ulteriori informazioni, consulta Override client-side settings (Ignora impostazioni lato client).

  12. (Facoltativo) Effettua tutte le altre impostazioni di configurazione necessarie come descritto in Creare un gruppo di lavoro.

  13. Selezionare Create workgroup (Crea gruppo di lavoro).

  14. Utilizza la sezione Workgroups della console Athena per assegnare utenti o gruppi dalla tua directory IAM Identity Center al tuo gruppo di lavoro Athena abilitato per IAM Identity Center.

L'esempio seguente mostra una policy per un ruolo da associare a una posizione Amazon S3 Access Grant che limita l'accesso ai risultati delle query Athena. 

{
    "Statement": [{
        "Action": ["s3:*"],
        "Condition": {
            "ArnNotEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringNotEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Deny",
        "Resource": "*",
        "Sid": "ExplicitDenyS3"
    }, {
        "Action": ["kms:*"],
        "Effect": "Deny",
        "NotResource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "ExplictDenyKMS"
    }, {
        "Action": ["s3:ListMultipartUploadParts", "s3:GetObject"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelReadPermissions"
    }, {
        "Action": ["s3:PutObject", "s3:AbortMultipartUpload"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelWritePermissions"
    }, {
        "Action": "s3:ListBucket",
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            },
            "StringLikeIfExists": {
                "s3:prefix": ["${identitystore:UserId}", "${identitystore:UserId}/*"]
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION",
        "Sid": "BucketLevelReadPermissions"
    }, {
        "Action": ["kms:GenerateDataKey", "kms:Decrypt"],
        "Effect": "Allow",
        "Resource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "KMSPermissions"
    }],
    "Version": "2012-10-17"
}

L'esempio seguente mostra una policy per un ruolo da associare a una posizione Amazon S3 Access Grant che limita l'accesso ai risultati delle query Athena. 

{
    "Statement": [{
        "Action": ["s3:*"],
        "Condition": {
            "ArnNotEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringNotEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Deny",
        "Resource": "*",
        "Sid": "ExplicitDenyS3"
    }, {
        "Action": ["kms:*"],
        "Effect": "Deny",
        "NotResource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "ExplictDenyKMS"
    }, {
        "Action": ["s3:ListMultipartUploadParts", "s3:GetObject"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelReadPermissions"
    }, {
        "Action": ["s3:PutObject", "s3:AbortMultipartUpload"],
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
        "Sid": "ObjectLevelWritePermissions"
    }, {
        "Action": "s3:ListBucket",
        "Condition": {
            "ArnEquals": {
                "s3:AccessGrantsInstanceArn": "arn:aws:s3:${region}:${account}:access-grants/default"
            },
            "StringEquals": {
                "aws:ResourceAccount": "${account}"
            },
            "StringLikeIfExists": {
                "s3:prefix": ["${identitystore:UserId}", "${identitystore:UserId}/*"]
            }
        },
        "Effect": "Allow",
        "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION",
        "Sid": "BucketLevelReadPermissions"
    }, {
        "Action": ["kms:GenerateDataKey", "kms:Decrypt"],
        "Effect": "Allow",
        "Resource": "arn:aws:kms:${region}:${account}:key/${keyid}",
        "Sid": "KMSPermissions"
    }],
    "Version": "2012-10-17"
}

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.