Athena へのフェデレーションアクセスのために Lake Formation と JDBC または ODBC ドライバーを使用する
Athena JDBC および ODBC ドライバーは、Okta および Microsoft Active Directory Federation Services (AD FS) ID プロバイダーを使用する Athena での SAML 2.0 ベースのフェデレーションをサポートします。Amazon Athena をAWS Lake Formation に統合することで、企業の認証情報を使用した Athena への SAML ベースの認証が可能になります。Lake Formation と AWS Identity and Access Management (IAM) を使用すると、SAML ユーザーが利用できるデータに対して、きめ細かな列レベルのアクセスコントロールを維持できます。Athena JDBC および ODBC ドライバーでは、ツールまたはプログラムによるアクセスにフェデレーションアクセスを使用できます。
Lake Formation によって制御されているデータソースへのアクセスに Athena を使用するには、ID プロバイダー (IdP) と AWS Identity and Access Management (IAM) ロールを設定して、SAML 2.0 ベースのフェデレーションを有効にする必要があります。詳細なステップについては、「チュートリアル: Lake Formation と JDBC を使用した Okta ユーザーの Athena へのフェデレーションアクセスを設定する」を参照してください。
前提条件
フェデレーションアクセスに Amazon Athena と Lake Formation を使用するには、以下の要件を満たす必要があります。
-
Okta または Microsoft Active Directory Federation Services (AD FS) などの既存の SAML ベースの ID プロバイダーを使用して企業 ID を管理している。
-
AWS Glue Data Catalog をメタデータストアとして使用します。
-
AWS Glue Data Catalog 内のデータベース、テーブル、および列にアクセスをするためのアクセス許可を Lake Formation で定義し、管理します。詳細については、「AWS Lake Formation デベロッパーガイド」を参照してください。
-
Athena JDBC ドライバーのバージョン 2.0.14 以降、または Athena ODBC ドライバーのバージョン 1.1.3 以降を使用している。
考慮事項と制限事項
Athena JDBC または ODBC ドライバーと Lake Formation を使用して Athena へのフェデレーションアクセスを設定するときは、以下の点に留意してください。
-
現在、Athena JDBC および ODBC ドライバーは、Okta、Microsoft Active Directory Federation Services (AD FS) および、Azure AD アイデンティティプロバイダーをサポートしています。Athena JDBC ドライバーには、他の ID プロバイダーを使用するために拡張できる汎用 SAML クラスがありますが、他の ID プロバイダー (IdP) を Athena で使用できるようにするカスタム拡張のサポートは限られている場合があります。
-
JDBC ドライバーと ODBC ドライバーを使用するフェデレーションアクセスは、IAM アイデンティティセンターの信頼できる ID 伝達機能と互換性がありません。
-
現在、Athena での IdP および SAML の使用に対するサポートの設定に Athena コンソールを使用することはできません。このサポートを設定するには、サードパーティー ID プロバイダー、Lake Formation コンソールと IAM 管理コンソール、および JDBC または ODBC ドライバークライアントを使用してください。
-
Lake Formation と Athena での使用のために ID プロバイダーと SAML を設定する前に、SAML 2.0 の仕様
と、それが ID プロバイダーと連携する仕組みを理解しておく必要があります。 -
SAML プロバイダーと Athena JDBC および ODBC ドライバーはサードパーティー提供のものであるため、それらの使用に関連する問題に対する AWS によるサポートは限られている場合があります。