Uso de la propagación de identidad de confianza con controladores de Amazon Athena - Amazon Athena
Definiciones claveConsideracionesRequisitos previos

Uso de la propagación de identidad de confianza con controladores de Amazon Athena

La propagación de identidad de confianza ofrece una nueva opción de autenticación para las organizaciones que desean centralizar la administración de permisos de datos y autorizar solicitudes basadas en su identidad de IdP a través de los límites de servicio. Con IAM Identity Center, es posible configurar un IdP existente para administrar usuarios y grupos, y usar AWS Lake Formation para definir permisos de control de acceso detallados en los recursos del catálogo para estas identidades de IdP. Athena admite la propagación de identidad al consultar datos para auditar el acceso realizado por las identidades del IdP, lo que ayuda a la organización a cumplir los requisitos normativos y de cumplimiento.

Ahora se puede conectar a Athena mediante controladores Java Database Connectivity (JDBC) u Open Database Connectivity (ODBC) con capacidades de inicio de sesión único mediante IAM Identity Center. Al acceder a Athena desde herramientas como Power BI, Tableau o DBeaver, la identidad y los permisos se propagan automáticamente a Athena a través de IAM Identity Center. Esto significa que los permisos individuales de acceso a los datos se aplican directamente al realizar consultas, sin necesidad de pasos de autenticación adicionales ni de administrar credenciales.

Para los administradores, esta característica centraliza el control de acceso mediante IAM Identity Center y Lake Formation, lo que garantiza una aplicación coherente de los permisos en todas las herramientas de análisis compatibles que se conectan a Athena. Para comenzar, asegúrese de que la organización tenga configurado IAM Identity Center como origen de identidad y que se hayan definido los permisos de acceso a los datos adecuados para los usuarios.

Temas

Definiciones clave

  1. Rol de aplicación: rol para intercambiar tokens, recuperar el grupo de trabajo y el ARN de la aplicación de AWS IAM Identity Center administrada por el cliente.

  2. Rol de acceso: rol para usar con los controladores de Athena a fin de ejecutar flujos de trabajo del cliente con credenciales mejoradas de identidad. Esto significa que este rol es necesario para acceder a los servicios posteriores.

  3. Aplicación administrada por el cliente: la aplicación de AWS IAM Identity Center. Para obtener más información, consulte Aplicación administrada por el cliente.

Consideraciones

  1. Esta característica solo funciona en las regiones donde Athena está disponible de forma general con propagación de identidad de confianza. Para obtener más información sobre la disponibilidad, consulte Consideraciones y limitaciones.

  2. Se pueden usar tanto JDBC como ODBC, ya sea como controladores independientes o con cualquier herramienta de BI o SQL, con propagación de identidad de confianza mediante este complemento de autenticación.

Requisitos previos

  1. Debe tener habilitada una instancia de AWS IAM Identity Center. Para obtener más información, consulte ¿Qué es IAM Identity Center?

  2. Es necesario contar con un proveedor de identidad externo en funcionamiento, y los usuarios o grupos deben estar presentes en AWS Identity Center. Puede aprovisionar los usuarios o grupos automáticamente, ya sea de forma manual o con SCIM. Para obtener más información, consulte Aprovisionamiento de un proveedor de identidad externo en IAM Identity Center mediante SCIM.

  3. Debe conceder permisos de Lake Formation a los usuarios o grupos para los catálogos, bases de datos y tablas. Para obtener más información, consulte Uso de Athena para consultar datos con Lake Formation.

  4. Es necesario contar con una herramienta de BI o un cliente SQL en funcionamiento para ejecutar consultas en Athena mediante los controladores JDBC u ODBC.