Weitergabe von vertrauenswürdigen Identitäten mit Amazon Athena-Treibern verwenden - Amazon Athena
Wichtige DefinitionenÜberlegungenVoraussetzungen

Weitergabe von vertrauenswürdigen Identitäten mit Amazon Athena-Treibern verwenden

Weitergabe von vertrauenswürdigen Identitäten bietet eine neue Authentifizierungsoption für Organisationen, die die Verwaltung von Datenberechtigungen zentralisieren und Anfragen auf der Grundlage ihrer IdP-Identität über Dienstgrenzen hinweg autorisieren möchten. Mit IAM Identity Center können Sie einen vorhandenen IdP für die Verwaltung von Benutzern und Gruppen konfigurieren und AWS Lake Formation vewenden um detaillierte Zugriffsberechtigungen für Katalogressourcen für diese IdP-Identitäten zu definieren. Athena unterstützt die Weitergabe von Identitäten bei der Abfrage von Daten, um den Datenzugriff durch IdP-Identitäten zu überprüfen und Ihre Organisation bei der Einhaltung gesetzlicher Vorschriften und Compliance-Anforderungen zu unterstützen.

Sie können Verbindungen zu Java Database Connectivity (JDBC)- oder Open Database Connectivity (ODBC)-Treibern mit Single Sign-On-Funktionen über IAM Identity Center herstellen. Wenn Sie über Tools wie PowerBI, Tableau oder DBeaver auf Athena zugreifen, werden Ihre Identität und Berechtigungen automatisch über IAM Identity Center an Athena weitergegeben. Das bedeutet, dass Ihre individuellen Datenzugriffsberechtigungen direkt bei der Datenabfrage durchgesetzt werden, ohne dass separate Authentifizierungsschritte oder die Verwaltung von Anmeldeinformationen erforderlich sind.

Für Administratoren zentralisiert diese Feature die Zugriffskontrolle über IAM Identity Center und Lake Formation und gewährleistet so eine konsistente Durchsetzung von Berechtigungen für alle unterstützten Analysetools, die eine Verbindung zu Athena herstellen. Stellen Sie zunächst sicher, dass Ihre Organisation IAM Identity Center als Identitätsquelle konfiguriert hat, und richten Sie die entsprechenden Datenzugriffsberechtigungen für Ihre Benutzer ein.

Themen

Wichtige Definitionen

  1. Anwendungsrolle – Rolle zum Austauschen von Token und zum Abrufen des ARN für arbeitsgruppen- und kundenverwaltete AWS IAM Identity Center-Anwendungen.

  2. Zugriffsrolle – Rolle, die mit Athena-Treibern verwendet werden soll, um Kundenworkflows mit identitätserweiterte Anmeldeinformationen auszuführen. Das bedeutet, dass diese Rolle für den Zugriff auf nachgelagerte Dienste erforderlich ist.

  3. Vom Kunden verwaltete Anwendung — Die AWS IAM Identity Center-Anwendung. Weitere Informationen finden Sie unter Vom Kunden verwaltete Anwendung.

Überlegungen

  1. Diese Feature funktioniert nur in Regionen, in denen Athena allgemein mit Weitergabe vertrauenswürdiger Identitäten verfügbar ist. Weitere Informationen zur Verfügbarkeit finden Sie unter Überlegungen und Einschränkungen.

  2. Sie können sowohl JDBC als auch ODBC entweder als eigenständige Treiber oder mit jedem BI- oder SQL-Tool mit Weitergabe vertrauenswürdiger Identitäten mithilfe dieses Authentifizierungs-Plug-ins verwenden.

Voraussetzungen

  1. Sie müssen eine AWS IAM Identity Center-Instance aktiviert haben. Weitere Informationen finden Sie unter Was Ist IAM Identity Center?.

  2. Sie müssen über einen funktionierenden externen Identitätsanbieter verfügen und die Benutzer oder Gruppen müssen im AWS IAM Identity Center vorhanden sein. Sie können Ihre Benutzer oder Gruppen automatisch entweder manuell oder mit SCIM bereitstellen. Weitere Informationen finden Sie unter Bereitstellung eines externen Identitätsanbieters in IAM Identity Center mithilfe von SCIM.

  3. Sie müssen Benutzern oder Gruppen Lake Formation Formation-Berechtigungen für Kataloge, Datenbanken und Tabellen gewähren. Weitere Informationen finden Sie unter Verwendung von Athena zum Abfragen von Daten mit Lake Formation.

  4. Sie benötigen ein funktionierendes BI-Tool oder einen SQL-Client, um Athena-Abfragen mit dem JDBC- oder ODBC-Treiber ausführen zu können.