将 Lake Formation 和 JDBC 或 ODBC 驱动程序用于对 Athena 进行联合访问
Athena JDBC 和 ODBC 驱动程序使用 Okta 和 Microsoft Active Directory 联合访问服务 (AD FS) 身份提供程序支持对 Athena 进行基于 SAML 2.0 的联合访问。通过将 Amazon Athena 与 AWS Lake Formation 整合,您可以使用公司凭证对 Athena 启用基于 SAML 的身份验证。借助 Lake Formation 和 AWS Identity and Access Management (IAM),您可以保持对 SAML 用户可用数据的精细列级访问控制。使用 Athena JDBC 和 ODBC 驱动程序,联合访问可用于工具或编程访问。
要使用 Athena 来访问由 Lake Formation 控制的数据源,您需要通过配置身份提供程序 (IdP) 和 AWS Identity and Access Management (IAM) 角色来启用基于 SAML 2.0 的联合访问。有关详细步骤,请参阅教程:使用 Lake Formation 和 JDBC 配置 Okta 用户对 Athena 的联合访问。
先决条件
要使用 Amazon Athena 和 Lake Formation 进行联合访问,您必须满足以下要求:
-
使用现有基于 SAML 的身份提供程序(例如 Okta 或 Microsoft Active Directory Federation Services (AD FS))管理您的公司身份。
-
您可以将 AWS Glue Data Catalog 用作元数据存储。
-
在 Lake Formation 中定义和管理权限以访问 AWS Glue Data Catalog 中的数据库、表和列。有关更多信息,请参见AWS Lake Formation 开发人员指南。
-
您可以使用版本 2.0.14 或更高版本的 Athena JDBC 驱动程序或版本 1.1.3 或更高版本的 Athena ODBC 驱动程序。
注意事项和限制
使用 Athena JDBC 或 ODBC 驱动程序和 Lake Formation 配置对 Athena 的联合访问时,请记住以下几点:
-
目前,Athena JDBC 驱动程序和 ODBC 驱动程序支持 Okta、Microsoft Active Directory Federation Services(AD FS)和 Azure AD 身份提供商。尽管 Athena JDBC 驱动程序具有可扩展为使用其他身份提供程序的通用 SAML 类,但对允许其他身份提供程序 (IdPs) 与 Athena 一起使用的自定义扩展的支持可能会受到限制。
-
使用 JDBC 和 ODBC 驱动程序的联合访问与 IAM Identity Center 可信身份传播功能不兼容。
-
目前,您无法使用 Athena 控制台配置对 IdP 和 SAML 与 Athena 一起使用的支持。要配置此支持,请使用第三方身份提供程序、Lake Formation 和 IAM 管理控制台以及 JDBC 或 ODBC 驱动程序客户端。
-
您应该了解 SAML 2.0 规范
以及它如何与身份提供程序相互合作,然后才嗯呢该配置您的身份提供程序和 SAML 用于 Lake Formation 和 Athena。 -
SAML 提供商和 Athena JDBC 和 ODBC 驱动程序由第三方提供,因此通过 AWS 对与其使用有关问题的支持可能是有限的。