本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Amazon Athena 進行信任的身分傳播
<a name="tip-usecase-ate"></a>

啟用受信任身分傳播的步驟取決於您的使用者是否與 AWS 受管應用程式或客戶受管應用程式互動。下圖顯示用戶端應用程式 - AWS 受管或外部的受信任身分傳播組態 AWS ，這些應用程式使用 Amazon Athena 透過 AWS Lake Formation 和 Amazon S3 提供的存取控制來查詢 Amazon S3 資料Access Grants。

**注意**  
使用 Amazon Athena 的信任身分傳播需要使用 Trino。
不支援透過 ODBC 和 JDBC 驅動程式連接到 Amazon Athena 的 Apache Spark 和 SQL 用戶端。

![使用 Athena、Amazon EMR、Lake Formation 和 IAM Identity Center 的受信任身分傳播圖表](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/ate-tip-diagram.png)


**AWS 受管應用程式**

下列 AWS 受管用戶端面向應用程式支援 Athena 的受信任身分傳播：
+ Amazon EMR Studio

**若要啟用信任的身分傳播，請遵循下列步驟：**
+ [將 Amazon EMR 設定為 Studio](setting-up-tip-emr.md) Athena 面向用戶端的應用程式。啟用受信任身分傳播時，需要 EMR Studio 中的查詢編輯器才能執行 Athena 查詢。
+ [設定 Athena 工作群組](setting-up-tip-ate.md)。
+ [設定 AWS Lake Formation](tip-tutorial-lf.md) 以根據 IAM Identity Center 中的使用者或群組啟用 AWS Glue 資料表的精細存取控制。
+ [設定 Amazon S3 Access Grants](tip-tutorial-s3.md) 以啟用對 S3 中基礎資料位置的暫時存取。

**注意**  
Lake Formation 和 Amazon S3 Access Grants 都需要對 Amazon S3 中的 Athena 查詢結果 AWS Glue Data Catalog 進行存取控制Amazon S3。

**客戶受管應用程式**  
若要為*自訂開發應用程式*的使用者啟用受信任身分傳播，請參閱 *AWS 安全部落格*中的[使用受信任身分傳播以 AWS 服務 程式設計方式存取 ](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/)。