Verwenden Sie IAM Identity Center-fähige Athena-Arbeitsgruppen - Amazon Athena
Überlegungen und EinschränkungenErstellen einer für IAM Identity Center aktivierten Arbeitsgruppe

Verwenden Sie IAM Identity Center-fähige Athena-Arbeitsgruppen

Weitergabe vertrauenswürdiger Identitäten ist ein AWS IAM Identity Center-Feature, mit dem Administratoren von vernetzten AWS-Services Zugriff auf Servicedaten gewähren und prüfen können. Der Zugriff auf diese Daten basiert auf Benutzerattributen wie Gruppenzuordnungen. Die Einrichtung der Weitergabe vertrauenswürdiger Identitäten erfordert die Zusammenarbeit zwischen den Administratoren von vernetzten AWS-Services und den IAM Identity Center-Administratoren. Weitere Informationen finden Sie unter Voraussetzungen und Überlegungen.

Mit IAM Identity Center können Sie die Anmeldesicherheit für die Identitäten Ihrer Belegschaft, auch Belegschaft-Benutzer genannt, verwalten. IAM Identity Center bietet einen zentralen Ort, an dem Sie Mitarbeiter anlegen oder verbinden und ihren Zugriff auf alle AWS-Konten und -Anwendungen zentral verwalten können. Mithilfe von Berechtigungen für mehrere Konten können Sie diesen Benutzern Zugriff auf zuweisen AWS-Konten. Sie können Anwendungszuweisungen verwenden, um Ihren Benutzern Zugriff auf für IAM Identity Center aktivierte Anwendungen, Cloud-Anwendungen und Security Assertion Markup Language (SAML 2.0)-Anwendungen des Kunden zuzuweisen. Weitere Informationen finden Sie unter Vertrauenswürdige Identitätsweitergabe über Anwendungen hinweg im AWS IAM Identity Center-Benutzerhandbuch.

Athena SQL-Unterstützung für die Verbreitung vertrauenswürdiger Identitäten ist sowohl in EMR Studio als auch in SageMaker Unified Studio verfügbar. Jede Plattform bietet spezifische Schnittstellen für die Verwendung von TIP mit Athena.

Wenn Sie Athena SQL in EMR Studio mit IAM Identity Center-Identitäten verwenden, haben Sie zwei Arbeitsgruppen-Optionen:

  • Reguläre Arbeitsgruppen – Keine Benutzer-/Gruppenzuweisungen erforderlich.

  • IAM Identity Center-fähige Arbeitsgruppen – Erfordert die Zuweisung von Benutzern/Gruppen über die IAM Identity Center-Konsole oder API.

Für beide Optionen können Sie Abfragen über die Athena SQL-Schnittstelle in EMR Studio mit aktiviertem IAM Identity Center ausführen.

Überlegungen und Einschränkungen

Berücksichtigen Sie bei Verwendung der Verbreitung vertrauenswürdiger Identitäten mit Amazon Athena verwenden, die folgenden Punkte:

  • Sie können die Authentifizierungsmethode für die Arbeitsgruppe nach der Erstellung der Arbeitsgruppe nicht mehr ändern.

    • Vorhandene Athena-SQL-Arbeitsgruppen können nicht zur Unterstützung von für IAM Identity Center aktivierten Arbeitsgruppen geändert werden. Bestehende Athena SQL-Arbeitsgruppen können Identität an nachgeschaltete Dienste weitergeben.

    • Arbeitsgruppen, die für IAM Identity Center aktiviert sind, können nicht geändert werden, um IAM-Berechtigungen auf Ressourcenebene oder identitätsbasierte IAM-Richtlinien zu unterstützen.

  • Um auf Arbeitsgruppen zugreifen zu können, die für die Weitergabe vertrauenswürdiger Identitäten aktiviert sind, müssen Benutzer des IAM Identity Center dem IdentityCenterApplicationArn zugewiesen werden, der von der Antwort der Athena-API-Aktion GetWorkGroup zurückgegeben wird.

  • Amazon S3 Access Grants müssen für die Verwendung der Weitergabe vertrauenswürdiger Identitäten konfiguriert sein. Weitere Informationen finden Sie unter S3-Zugriffsberechtigungen und Identitäten im Unternehmensverzeichnis im Amazon-S3-Benutzerhandbuch.

  • Athena-Arbeitsgruppen, die für IAM Identity Center aktiviert sind, erfordern die Konfiguration von Lake Formation für die Verwendung von IAM-Identity-Center-Identitäten. Informationen zur Konfiguration finden Sie unter Integration von IAM Identity Center im AWS Lake Formation-Entwicklerhandbuch.

  • Standardmäßig läuft die Zeitüberschreitung für Abfragen in IAM Identity Center-aktivierten Arbeitsgruppen nach 30 Minuten ab. Sie können eine Erhöhung des Abfrage-Timeouts beantragen. Die maximale Ausführung einer Abfrage in Arbeitsgruppen zur Weitergabe vertrauenswürdiger Identitäten beträgt jedoch eine Stunde.

  • Es kann bis zu einer Stunde dauern, bis Änderungen der Benutzer- oder Gruppenberechtigungen in Arbeitsgruppen zur Weitergabe vertrauenswürdiger Identitäten wirksam werden.

  • Abfragen in einer Athena-Arbeitsgruppe, die die Weitergabe vertrauenswürdiger Identitäten verwendet, können nicht direkt über die Athena-Konsole ausgeführt werden. Sie müssen über die Athena-Schnittstelle in einem EMR Studio ausgeführt werden, in dem IAM Identity Center aktiviert ist. Weitere Informationen zur Verwendung von Athena in EMR Studio finden Sie unter Verwenden des Amazon-Athena-SQL-Editors in EMR Studio im Amazon-EMR-Verwaltungshandbuch.

  • Die Weitergabe von vertrauenswürdigen Identitäten ist nicht mit den folgenden Athena-Features kompatibel.

    • aws:CalledVia-Kontextschlüssel für IAM Identity Center aktivierte Arbeitsgruppen.

    • Athena für Spark-Arbeitsgruppen.

    • Verbundzugriff auf die Athena-API.

    • Verbundzugriff auf Athena mithilfe von Lake Formation und den Athena-JDBC- und ODBC-Treibern.

  • Sie können die Weitergabe vertrauenswürdiger Identitäten mit Athena nur in den folgenden AWS-Regionen nutzen:

    • us-east-2 – USA Ost (Ohio)

    • us-east-1 – USA Ost (Nord-Virginia)

    • us-west-1 – USA West (Nordkalifornien)

    • us-west-2 – USA West (Oregon)

    • af-south-1 – Afrika (Kapstadt)

    • ap-east-1 – Asien-Pazifik (Hongkong)

    • ap-southeast-3 – Asien-Pazifik (Jakarta)

    • ap-south-1 – Asien-Pazifik (Mumbai)

    • ap-northeast-3 – Asien-Pazifik (Osaka)

    • ap-northeast-2 – Asien-Pazifik (Seoul)

    • ap-southeast-1 – Asien-Pazifik (Singapur)

    • ap-southeast-2 – Asien-Pazifik (Sydney)

    • ap-northeast-1 – Asien-Pazifik (Tokio)

    • ca-central-1 – Kanada (Zentral)

    • eu-central-1 – Europa (Frankfurt)

    • eu-central-2 – Europa (Zürich)

    • eu-west-1 – Europa (Irland)

    • eu-west-2 – Europa (London)

    • eu-south-1 – Europa (Mailand)

    • eu-west-3 – Europa (Paris)

    • eu-north-1 – Europa (Stockholm)

    • me-south-1 – Naher Osten (Bahrain)

    • sa-east-1 – Südamerika (São Paulo)

Dem IAM-Benutzer des Administrators, der die für IAM Identity Center aktivierte Arbeitsgruppe in der Athena-Konsole erstellt, müssen die folgenden Richtlinien angefügt sein.

  • Die von AmazonAthenaFullAccess verwaltete Richtlinie. Details hierzu finden Sie unter AWS Verwaltete Richtlinie: AmazonAthenaFullAccess.

  • Die folgende Inline-Richtlinie, die IAM- und IAM-Identity-Center-Aktionen zulässt:

    JSON
    { "Version":"2012-10-17",		 	 	  "Statement": [ { "Action": [ "iam:createRole",
    "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "identitystore:ListUsers",
    "identitystore:ListGroups", "identitystore:CreateUser", "identitystore:CreateGroup",
    "sso:ListInstances", "sso:CreateInstance", "sso:DeleteInstance", "sso:ListTrustedTokenIssuers",
    "sso:DescribeTrustedTokenIssuer", "sso:ListApplicationAssignments",
    "sso:DescribeRegisteredRegions", "sso:GetManagedApplicationInstance",
    "sso:GetSharedSsoConfiguration", "sso:PutApplicationAssignmentConfiguration",
    "sso:CreateApplication", "sso:DeleteApplication", "sso:PutApplicationGrant",
    "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationAccessScope",
    "sso:ListDirectoryAssociations", "sso:CreateApplicationAssignment",
    "sso:DeleteApplicationAssignment", "organizations:ListDelegatedAdministrators",
    "organizations:DescribeAccount", "organizations:DescribeOrganization",
    "organizations:CreateOrganization", "sso-directory:SearchUsers", "sso-directory:SearchGroups",
    "sso-directory:CreateUser" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [
    "iam:PassRole" ], "Effect": "Allow", "Resource": [
        "arn:aws:iam::111122223333:role/service-role/AWSAthenaSQLRole-*"
    ] } ] }

Erstellen einer für IAM Identity Center aktivierten Arbeitsgruppe

Das folgende Verfahren zeigt die Schritte und Optionen zum Erstellen einer für IAM Identity Center aktivierten Athena-Arbeitsgruppe. Eine Beschreibung der anderen für Athena-Arbeitsgruppen verfügbaren Konfigurationsoptionen finden Sie unter Erstellen von Arbeitsgruppen.

So erstellen Sie eine SSO-fähige Arbeitsgruppe in der Athena-Konsole

  1. Öffnen Sie die Athena-Konsole unter https://console.aws.amazon.com/athena/.

  2. Wählen Sie im Navigationsbereich der Athena-Konsole Workgroups (Arbeitsgruppen) aus.

  3. Wählen Sie auf der Seite Workgroups (Arbeitsgruppen) die Option Create workgroup (Arbeitsgruppe erstellen) aus.

  4. Geben Sie auf der Seite Arbeitsgruppe erstellen unter Arbeitsgruppenname einen Namen für die Arbeitsgruppe ein.

  5. Verwenden Sie für die Analytics-Engine die Standardeinstellung von Athena SQL.

  6. Wählen Sie für Authentifizierung die Option IAM Identity Center aus.

  7. Wählen Sie für Servicerolle für Zugriff auf das IAM Identity Center eine vorhandene Servicerolle aus oder erstellen Sie eine neue.

    Athena benötigt Berechtigungen, um für Sie auf IAM Identity Center zugreifen zu können. Hierzu ist eine Servicerolle für Athena erforderlich. Eine Servicerolle ist eine von Ihnen verwaltete IAM-Rolle, die einen AWS-Service autorisiert, in Ihrem Namen auf andere AWS-Services zuzugreifen. Um Verbundkataloge abzufragen oder UDF auszuführen, aktualisieren Sie die Servicerolle mit den entsprechenden Lambda-Berechtigungen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.

  8. Erweitern Sie die Konfiguration des Abfrageergebnisses und geben Sie dann einen Amazon-S3-Pfad für Speicherort des Abfrageergebnisses ein oder wählen Sie ihn aus.

  9. (Optional) Wählen Sie Abfrageergebnisse verschlüsseln aus. Standardmäßig wird SSE-S3 unterstützt. Um SSE-KMS und CSE-KMS mit dem Speicherort von Abfrageergebnissen zu verwenden, gewähren Sie der Servicerolle für IAM Identity Center von Amazon S3 Access Grants Berechtigungen. Weitere Informationen finden Sie unter Beispiel für Rollenrichtlinien.

  10. (Optional) Wählen Sie S3-Präfix basierend auf Benutzeridentität erstellen aus.

    Wenn Sie eine für IAM Identity Center aktivierte Arbeitsgruppe erstellen, ist standardmäßig die Option S3-Zugriffsgewährungen aktivieren ausgewählt. Sie können Amazon S3 Access Grants verwenden, um den Zugriff auf die Speicherorte (Präfixe) der Athena-Abfrageergebnisse in Amazon S3 zu steuern. Weitere Informationen zu Amazon S3 Access Grants finden Sie unter Verwalten des Zugriffs mit Amazon S3 Access Grants.

    In Athena-Arbeitsgruppen, die die IAM Identity Center-Authentifizierung verwenden, können Sie die Erstellung von identitätsbasierten Abfrageergebnisorten aktivieren, die durch Amazon S3 Access Grants geregelt werden. Mit diesen auf der Benutzeridentität basierenden Amazon-S3-Präfixen können Benutzer in einer Athena-Arbeitsgruppe ihre Abfrageergebnisse von anderen Benutzern in derselben Arbeitsgruppe isoliert halten.

    Wenn Sie die Option Benutzerpräfix ermöglichen, fügt Athena die Benutzer-ID als Amazon-S3-Pfadpräfix an den Standort der Abfrageergebnisse für die Arbeitsgruppe an (z. B. )., s3://amzn-s3-demo-bucket/${user_id}). Um dieses Feature nutzen zu können, müssen Sie Zugriffsberechtigungen so konfigurieren, dass sie nur dem Benutzer Berechtigungen für den Standort gewähren, der das user_id-Präfix hat. Ein Beispiel für eine Amazon S3 Access Grants Rollenrichtlinie, die den Zugriff auf Athena-Abfrageergebnisse einschränkt, finden Sie unter Beispiel-Rollenrichtlinie.

    Anmerkung

    Durch die Auswahl der S3-Präfixoption für die Benutzeridentität wird automatisch die Option Clientseitige Einstellungen überschreiben für die Arbeitsgruppe aktiviert, wie im nächsten Schritt beschrieben. Die Option Clientseitige Einstellungen außer Kraft setzen ist eine Voraussetzung für das Feature „Benutzeridentitätspräfix“.

  11. Erweitern Sie Einstellungen und bestätigen Sie dann, dass Clientseitige Einstellungen überschreiben ausgewählt ist.

    Wenn Sie Clientseitige Einstellungen überschreiben auswählen, werden Arbeitsgruppeneinstellungen auf Arbeitsgruppenebene für alle Clients in der Arbeitsgruppe erzwungen. Weitere Informationen finden Sie unter Override client-side settings (Clientseitige Einstellungen überschreiben).

  12. (Optional) Nehmen Sie alle erforderlichen Konfigurationseinstellungen vor, wie unter Erstellen von Arbeitsgruppen beschrieben.

  13. Wählen Sie Create workgroup (Arbeitsgruppe erstellen) aus.

  14. Verwenden Sie den Abschnitt Arbeitsgruppen der Athena-Konsole, um Benutzer oder Gruppen aus Ihrem IAM Identity Center-Verzeichnis Ihrer IAM Identity Center-fähigen Athena-Arbeitsgruppe zuzuweisen.

Das folgende Beispiel zeigt eine Richtlinie für eine Rolle, die an einen Amazon S3 Access Grant-Standort angehängt werden soll, der den Zugriff auf Athena-Abfrageergebnisse einschränkt.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:*"
            ],
            "Condition": {
                "ArnNotEquals": {
                    "s3:AccessGrantsInstanceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
                },
                "StringNotEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            },
            "Effect": "Deny",
            "Resource": "*",
            "Sid": "ExplicitDenyS3"
        },
        {
            "Action": [
                "kms:*"
            ],
            "Effect": "Deny",
            "NotResource": "arn:aws:kms:us-east-1:111122223333:key/${keyid}",
            "Sid": "ExplictDenyKMS"
        },
        {
            "Action": [
                "s3:ListMultipartUploadParts",
                "s3:GetObject"
            ],
            "Condition": {
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            },
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
            "Sid": "ObjectLevelReadPermissions"
        },
        {
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload"
            ],
            "Condition": {
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
                },
                "StringEquals": {
                "aws:ResourceAccount": "111122223333"
                }
            },
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
            "Sid": "ObjectLevelWritePermissions"
        },
        {
            "Action": "s3:ListBucket",
            "Condition": {
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                },
                "StringLikeIfExists": {
                    "s3:prefix": [
                        "${identitystore:UserId}",
                        "${identitystore:UserId}/*"
                    ]
                }
            },
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION",
            "Sid": "BucketLevelReadPermissions"
        },
        {
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/${keyid}",
            "Sid": "KMSPermissions"
        }
    ]
}