Autorisieren von Verbindungen zu Amazon Athena - Amazon Quick Suite
Verwenden der Weitergabe vertrauenswürdiger Identitäten mit Athena

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisieren von Verbindungen zu Amazon Athena

Wenn Sie Amazon Quick Sight mit Amazon Athena oder Amazon Athena Federated Query verwenden müssen, müssen Sie zunächst Verbindungen zu Athena und den zugehörigen Buckets in Amazon Simple Storage Service (Amazon S3) autorisieren. Amazon Athena ist ein interaktiver Abfrageservice, der die Analyse von Daten in Amazon S3 mit Standard-SQL erleichtert. Athena Federated Query bietet Zugriff auf mehr Datentypen mithilfe von. AWS Lambda Mithilfe einer Verbindung von Quick Suite zu Athena können Sie SQL-Abfragen schreiben, um Daten abzufragen, die in relationalen, nicht-relationalen, Objekt- und benutzerdefinierten Datenquellen gespeichert sind. Weitere Informationen finden Sie unter Verwenden der Athena-Verbundabfrage im Benutzerhandbuch von Amazon Athena.

Beachten Sie die folgenden Überlegungen, wenn Sie den Zugriff auf Athena von Quick Suite aus einrichten:

  • Athena speichert Abfrageergebnisse von Amazon Quick Sight in einem Bucket. Standardmäßig hat dieser Bucket einen ähnlichen Namen wie aws-athena-query-results-AWSREGION-AWSACCOUNTID, z. B. aws-athena-query-results-us-east-2-111111111111. Daher ist es wichtig sicherzustellen, dass Amazon Quick Sight über Berechtigungen für den Zugriff auf den Bucket verfügt, den Athena derzeit verwendet.

  • Wenn Ihre Datendatei mit einem AWS KMS Schlüssel verschlüsselt ist, gewähren Sie der Amazon Quick Sight IAM-Rolle Berechtigungen zum Entschlüsseln des Schlüssels. Am einfachsten lässt sich das über die AWS CLI durchführen.

    Zu diesem Zweck können Sie den KMS create-grant API-Vorgang in AWS CLI ausführen. 

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    Der Amazon-Ressourcenname (ARN) für die Amazon Quick Suite-Rolle hat das Format arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number> und kann von der IAM-Konsole aus aufgerufen werden. Um den ARN Ihres KMS-Schlüssels zu ermitteln, verwenden Sie die S3-Konsole. Navigieren Sie zum Bucket mit der Datendatei und öffnen Sie die Registerkarte Overview (Übersicht). Der Schlüssel befindet sich in der Nähe von KMS key ID (KMS-Schlüssel-ID).

  • Für Amazon Athena-, Amazon S3- und Athena Query Federation-Verbindungen verwendet Amazon Quick Suite standardmäßig die folgende IAM-Rolle: 

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    Wenn das nicht vorhanden aws-quicksight-s3-consumers-role-v0 ist, verwendet Amazon Quick Suite:

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • Wenn Sie Ihren Benutzern Richtlinien mit eingeschränktem Umfang zugewiesen haben, überprüfen Sie, ob die Richtlinien die Berechtigung lambda:InvokeFunction enthalten. Ohne diese Berechtigung können Ihre Benutzer nicht auf Amazon-Athena-Verbundabfragen zugreifen. Weitere Informationen zum Zuweisen von IAM-Richtlinien zu Ihren Benutzern in Amazon Quick Suite finden Sie unter Granularzugriff auf AWS Dienste über IAM einrichten. Weitere Informationen zur lambda: InvokeFunction -Berechtigung finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Lambda im IAM-Benutzerhandbuch.

Um Amazon Quick Suite zu autorisieren, eine Verbindung zu Verbunddatenquellen von Athena oder Athena herzustellen

  1. (Optional) Wenn Sie es AWS Lake Formation mit Athena verwenden, müssen Sie auch Lake Formation aktivieren. Weitere Informationen finden Sie unter Autorisieren von Verbindungen durch. AWS Lake Formation

  2. Öffnen Sie Ihr Profilmenü oben rechts und wählen Sie Verwalten QuickSight. Sie müssen ein Amazon Quick Suite-Administrator sein, um dies zu tun. Wenn im Profilmenü die Option Verwalten nicht QuickSight angezeigt wird, verfügen Sie nicht über ausreichende Berechtigungen.

  3. Wählen Sie Sicherheit & Berechtigungen, Hinzufügen oder Entfernen aus.

  4. Wählen Sie das Feld neben Amazon Athena, Weiter.

    Wenn es bereits aktiviert war, müssen Sie möglicherweise darauf doppelklicken. Tun Sie dies auch dann, wenn Amazon Athena bereits aktiviert ist, damit Sie die Einstellungen einsehen können. Es werden keine Änderungen gespeichert, bis Sie am Ende dieses Vorgangs auf Aktualisieren klicken.

  5. Aktivieren Sie die S3-Buckets, auf die Sie zugreifen möchten.

  6. (Optional) Um Athena-Verbundabfragen zu aktivieren, wählen Sie die Lambda-Funktionen aus, die Sie verwenden möchten.

    Anmerkung

    Sie können Lambda-Funktionen für die Athena-Kataloge nur in derselben Region von Amazon Quick Suite sehen.

  7. Wählen Sie Fertigstellen, um Ihre Änderungen zu speichern.

    Wenn Sie den Vorgang abbrechen möchten, klicken Sie auf Cancel (Abbrechen).

  8. Um die Änderungen an Sicherheit und Berechtigungen zu speichern, wählen Sie Aktualisieren.

So testen Sie die Einstellungen für die Verbindungsautorisierung

  1. Wählen Sie auf der Startseite der Amazon Quick Suite Datensätze, Neuer Datensatz aus.

  2. Wählen Sie die Athene-Karte aus.

  3. Folgen Sie den Bildschirmanweisungen, um eine neue Athena-Datenquelle mit den Ressourcen zu erstellen, mit denen Sie eine Verbindung herstellen möchten. Wählen Sie zum Testen der Verbindung die Option Verbindung validieren aus.

  4. Wenn die Verbindung validiert wird, haben Sie erfolgreich eine Athena- oder Athena-Verbundabfrage-Verbindung konfiguriert.

    Wenn Sie nicht über ausreichende Berechtigungen verfügen, um eine Verbindung zu einem Athena-Datensatz herzustellen oder eine Athena-Abfrage auszuführen, wird eine Fehlermeldung angezeigt, in der Sie aufgefordert werden, einen Amazon Quick Suite-Administrator zu kontaktieren. Dieser Fehler bedeutet, dass Sie Ihre Verbindungsautorisierungseinstellungen erneut überprüfen müssen, um die Diskrepanz zu finden.

  5. Nachdem Sie erfolgreich eine Verbindung hergestellt haben, können Sie oder Ihre Amazon Quick Suite-Autoren Datenquellenverbindungen erstellen und diese mit anderen Amazon Quick Suite-Autoren teilen. Die Autoren können dann aus den Verbindungen mehrere Datensätze erstellen, um sie in Amazon Quick Suite-Dashboards zu verwenden.

    Informationen zur Fehlerbehebung bei Athena finden Sie unter Verbindungsprobleme bei der Verwendung von Athena mit Amazon Quick Suite.

Verwenden der Weitergabe vertrauenswürdiger Identitäten mit Athena

Die Verbreitung vertrauenswürdiger Identitäten gewährt AWS Diensten Zugriff auf AWS Ressourcen, die auf dem Identitätskontext des Benutzers basieren, und teilt die Identität dieses Benutzers auf sichere Weise mit anderen AWS Diensten. Diese Funktionen ermöglichen es, den Benutzerzugriff einfacher zu definieren, zu gewähren und zu protokollieren.

Wenn Administratoren Quick Suite, Athena, Amazon S3 Access Grants und AWS Lake Formation mit IAM Identity Center konfigurieren, können sie jetzt die Verbreitung vertrauenswürdiger Identitäten über diese Dienste hinweg aktivieren und zulassen, dass die Identität des Benutzers dienstübergreifend weitergegeben wird. Wenn ein IAM Identity Center-Benutzer von Quick Suite aus auf Daten zugreift, können Athena oder Lake Formation Autorisierungsentscheidungen anhand der für ihre Benutzer- oder Gruppenmitgliedschaft vom Identitätsanbieter der Organisation definierten Berechtigungen treffen.

Die Weitergabe vertrauenswürdiger Identitäten mit Athena funktioniert nur, wenn die Berechtigungen über Lake Formation verwaltet werden. Benutzerberechtigungen für Daten befinden sich in Lake Formation.

Voraussetzungen

Bevor Sie beginnen, stellen Sie bitte sicher, dass Sie alle erforderlichen Voraussetzungen erfüllen.

Wichtig

Beachten Sie beim Erfüllen der folgenden Voraussetzungen, dass Ihre IAM Identity Center-Instance, Athena-Arbeitsgruppe, Lake Formation und Amazon S3 Access Grants alle in derselben Region bereitgestellt werden müssen. AWS

  • Konfigurieren Sie Ihr Quick Suite-Konto mit IAM Identity Center. Die Weitergabe vertrauenswürdiger Identitäten wird nur für Quick Suite-Konten unterstützt, die in IAM Identity Center integriert sind. Weitere Informationen finden Sie unter Konfigurieren Sie Ihr Amazon Quick Suite-Konto mit IAM Identity Center.

    Anmerkung

    Um Athena-Datenquellen zu erstellen, müssen Sie ein IAM Identity Center-Benutzer (Autor) in einem Quick Suite-Konto sein, das IAM Identity Center verwendet.

  • Eine für IAM Identity Center aktivierte Athena-Arbeitsgruppe. Die Athena-Arbeitsgruppe, die Sie verwenden, muss dieselbe IAM Identity Center-Instanz wie das Quick Suite-Konto verwenden. Weitere Informationen zur Konfiguration einer Athena-Arbeitsgruppe finden Sie unter Erstellen einer für IAM Identity Center aktivierten Athena-Arbeitsgruppe im Amazon Athena-Benutzerhandbuch.

  • Der Zugriff auf den Athena-Abfrageergebnis-Bucket wird mit Amazon S3 Access Grants verwaltet. Weitere Informationen finden Sie unter Verwalten des Zugriffs mit Amazon S3 Access Grants im Amazon S3-Benutzerhandbuch. Wenn Ihre Abfrageergebnisse mit einem AWS KMS Schlüssel verschlüsselt sind, benötigen sowohl die Amazon S3 Access Grant IAM-Rolle als auch die Athena-Arbeitsgruppenrolle entsprechende Berechtigungen. AWS KMS

  • Datenberechtigungen müssen mit Lake Formation verwaltet werden und Lake Formation muss mit derselben IAM Identity Center-Instanz wie Quick Suite und die Athena-Arbeitsgruppe konfiguriert werden. Informationen zur Konfiguration finden Sie unter Integration von IAM Identity Center im AWS Lake Formation -Entwicklerhandbuch.

  • Der Data Lake-Administrator muss Benutzern und Gruppen von IAM Identity Center in Lake Formation Berechtigungen gewähren. Weitere Informationen finden Sie unter Gewähren von Berechtigungen für Benutzer und Gruppen im AWS Lake Formation -Entwicklerhandbuch.

  • Der Quick Suite-Administrator muss Verbindungen zu Athena autorisieren. Details hierzu finden Sie unter Autorisieren von Verbindungen zu Amazon Athena. Beachten Sie, dass Sie bei der Weitergabe vertrauenswürdiger Identitäten der Quick Suite-Rolle keine Amazon S3 S3-Bucket-Berechtigungen oder AWS KMS Berechtigungen erteilen müssen. Sie müssen Ihre Benutzer und Gruppen, die über Berechtigungen für die Arbeitsgruppe in Athena verfügen, mit dem Amazon S3-Bucket synchron halten, der Abfrageergebnisse mit Amazon S3 Access Grants-Berechtigungen speichert, damit Benutzer mithilfe der Weitergabe vertrauenswürdiger Identitäten erfolgreich Abfragen ausführen und Abfrageergebnisse im Amazon S3-Bucket abrufen können.

Konfigurieren der IAM-Rolle mit den erforderlichen Berechtigungen

Um Trusted Identity Propagation mit Athena verwenden zu können, muss Ihr Quick Suite-Konto über die erforderlichen Berechtigungen für den Zugriff auf Ihre Ressourcen verfügen. Um diese Berechtigungen bereitzustellen, müssen Sie Ihr Quick Suite-Konto so konfigurieren, dass es eine IAM-Rolle mit den entsprechenden Berechtigungen verwendet.

Wenn Ihr Quick Suite-Konto bereits eine benutzerdefinierte IAM-Rolle verwendet, können Sie diese ändern. Wenn Sie noch keine IAM-Rolle haben, erstellen Sie eine, indem Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch folgen.

Die IAM-Rolle, die Sie erstellen oder ändern, muss die folgenden Vertrauensrichtlinien und Berechtigungen enthalten.

Erforderliche Vertrauensrichtlinie

Informationen zum Aktualisieren der Vertrauensrichtlinie einer IAM-Rolle finden Sie unter Aktualisieren einer Vertrauensrichtlinie für Rollen.

Erforderliche Athena-Berechtigungen

Informationen zum Aktualisieren der Vertrauensrichtlinie einer IAM-Rolle finden Sie unter Aktualisieren von Berechtigungen für eine Rolle.

Anmerkung

Die Resource verwendet den *-Platzhalter. Wir empfehlen Ihnen, es so zu aktualisieren, dass es nur die Athena-Ressourcen enthält, die Sie mit Quick Suite verwenden möchten.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Konfigurieren Sie Ihr Quick Suite-Konto für die Verwendung der IAM-Rolle

Nachdem Sie die IAM-Rolle im vorherigen Schritt konfiguriert haben, müssen Sie Ihr Quick Suite-Konto für die Verwendung konfigurieren. Weitere Informationen über die entsprechende Vorgehensweise finden Sie unter Verwenden vorhandener IAM-Rollen in Quick Suite.

Aktualisieren Sie die Konfiguration für die Identitätsverbreitung mit dem AWS CLI

Um Quick Suite zu autorisieren, Endbenutzeridentitäten an Athena-Arbeitsgruppen weiterzugeben, führen Sie die folgende update-identity-propagation-config API von aus aus aus aus und ersetzen Sie dabei die AWS CLI folgenden Werte:

  • us-west-2Ersetzen Sie durch die AWS Region, in der sich Ihre IAM Identity Center-Instanz befindet.

  • Ersetzen Sie 111122223333 durch Ihre AWS -Konto-ID.

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Erstellen Sie einen Athena-Datensatz in Quick Suite

Erstellen Sie nun einen Athena-Datensatz in Quick Suite, der mit der für IAM Identity Center aktivierten Athena-Arbeitsgruppe konfiguriert ist, zu der Sie eine Verbindung herstellen möchten. Informationen zum Erstellen eines Athena-Datensatzes finden Sie unter Erstellen eines Datensatzes mit Amazon-Athena-Daten.

Wichtige Hinweise, Überlegungen und Grenzen

Die folgende Liste enthält einige wichtige Überlegungen bei der Verwendung von Trusted Identity Propagation mit Quick Suite und Athena.

  • Bei Quick Suite Athena-Datenquellen, die Trusted Identity Propagation verwenden, wurden Lake Formation Formation-Berechtigungen anhand des IAM Identity Center-Endbenutzers und der IAM Identity Center-Gruppen, denen der Benutzer möglicherweise angehört, bewertet.

  • Bei der Verwendung von Athena-Datenquellen, die die Weitergabe vertrauenswürdiger Identitäten verwenden, empfehlen wir, dass jede fein abgestimmte Zugriffskontrolle in Lake Formation durchgeführt wird. Wenn Sie sich jedoch für die Quick Suite-Funktion zur Einschränkung des Gültigkeitsbereichs entscheiden, werden die Richtlinien für den Anwendungsbereich anhand des Endbenutzers bewertet.

  • Die folgenden Features sind für Datenquellen und Datensätze deaktiviert, die die Weitergabe vertrauenswürdiger Identitäten verwenden: SPICE-Datensätze, benutzerdefiniertes SQL für Datenquellen, Schwellenwertwarnungen, E-Mail-Berichte, Q-Themen, Storys, Szenarien, CSV-, Excel- und PDF-Exporte, Anomalieerkennung.

  • Wenn Sie hohe Latenzen oder Timeouts feststellen, kann dies an einer Kombination aus einer hohen Anzahl von IAM Identity Center-Gruppen, Athena-Datenbanken, -Tabellen und Lake Formation-Regeln liegen. Wir empfehlen, nur die erforderliche Anzahl dieser Ressourcen zu verwenden.