Autorización de las conexiones a Amazon Athena - Amazon Quick Suite
Uso de la propagación de identidad de confianza con Athena

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autorización de las conexiones a Amazon Athena

Si necesita utilizar Amazon Quick Sight con Amazon Athena o Amazon Athena Federated Query, primero debe autorizar las conexiones a Athena y a los buckets asociados en Amazon Simple Storage Service (Amazon S3). Amazon Athena es un servicio de consultas interactivo que facilita el análisis de datos directamente en Amazon S3 con SQL estándar. Athena Federated Query proporciona acceso a más tipos de datos mediante el uso de. AWS Lambda Mediante una conexión de Quick Suite a Athena, puede escribir consultas SQL para interrogar los datos almacenados en fuentes de datos relacionales, no relacionales, de objetos y personalizadas. Para obtener más información, consulte Uso de consulta federada de Amazon Athena en la Guía del usuario de Amazon Athena.

Tenga en cuenta las siguientes consideraciones al configurar el acceso a Athena desde Quick Suite:

  • Athena almacena los resultados de las consultas de Amazon Quick Sight en un depósito. De forma predeterminada, este bucket tiene un nombre similar a aws-athena-query-results-AWSREGION-AWSACCOUNTID, por ejemplo, aws-athena-query-results-us-east-2-111111111111. Por lo tanto, es importante asegurarse de que Amazon Quick Sight tenga permisos para acceder al bucket que Athena utiliza actualmente.

  • Si el archivo de datos está cifrado con una AWS KMS clave, conceda permisos al rol IAM de Amazon Quick Sight para descifrar la clave. La manera más sencilla de hacerlo es usar la AWS CLI.

    Para ello, puede ejecutar la operación de API de creación y concesión de KMS. AWS CLI 

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    El nombre de recurso de Amazon (ARN) del rol Amazon Quick Suite tiene el formato arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number> y se puede acceder a él desde la consola de IAM. Para buscar el ARN de clave de KMS, utilice la consola de S3. Vaya al bucket que contiene el archivo de datos y elija la pestaña Información general. La clave se encuentra cerca del ID de clave de KMS.

  • Para las conexiones de Amazon Athena, Amazon S3 y Athena Query Federation, Amazon Quick Suite utiliza la siguiente función de IAM de forma predeterminada: 

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    Si no aws-quicksight-s3-consumers-role-v0 está presente, Amazon Quick Suite utiliza:

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • Si ha asignado políticas restringidas a sus usuarios, compruebe que las políticas contengan el permiso lambda:InvokeFunction. Sin este permiso, sus usuarios no pueden acceder a Athena Federated Queries. Para obtener más información sobre la asignación de políticas de IAM a sus usuarios en Amazon Quick Suite, consulte Configuración del acceso granular a los AWS servicios a través de IAM. Para obtener más información sobre el InvokeFunction permiso lambda:, consulte Acciones, recursos y claves de condición de la Guía del usuario de AWS Lambda IAM.

Para autorizar a Amazon Quick Suite a conectarse a Athena o a las fuentes de datos federadas de Athena

  1. (Opcional) Si lo usas AWS Lake Formation con Athena, también necesitas activar Lake Formation. Para obtener más información, consulte Autorizar conexiones mediante. AWS Lake Formation

  2. Abre el menú de tu perfil en la parte superior derecha y selecciona Administrar QuickSight. Para ello, debe ser administrador de Amazon Quick Suite. Si no ves la opción Administrar QuickSight en el menú del perfil, significa que no tienes permisos suficientes.

  3. En Seguridad y permisos, seleccione Añadir o eliminar.

  4. Elige la casilla cerca de Amazon Athena, Siguiente.

    Si ya se ha habilitado, puede que tenga que hacer doble clic en ella. Haga esto incluso si Amazon Athena ya se ha habilitado para poder ver la configuración. No se guardará ningún cambio hasta que seleccione Actualizar al final de este procedimiento.

  5. Habilite los buckets de S3 a los que desee acceder.

  6. (Opcional) Para habilitar las consultas federadas de Athena, seleccione las funciones de Lambda que desee utilizar.

    nota

    Solo puede ver las funciones de Lambda para los catálogos de Athena en la misma región de Amazon Quick Suite.

  7. Para guardar los cambios, elija Finalizar.

    Para cancelar, elija Cancelar.

  8. Para guardar los cambios en la seguridad y los permisos, seleccione Actualizar.

Comprobación de la configuración de autorización de conexión

  1. En la página de inicio de Amazon Quick Suite, elija Conjuntos de datos, Nuevo conjunto de datos.

  2. Elija la tarjeta de Athena.

  3. Siga las instrucciones de la pantalla para crear un nuevo origen de datos de Athena con los recursos a los que necesita conectarse. Elija Validar conexión para probar la conexión.

  4. Si la conexión se valida, ha configurado correctamente una conexión a Athena o Athena Federated Query.

    Si no tiene permisos suficientes para conectarse a un conjunto de datos de Athena o ejecutar una consulta de Athena, aparece un error que le indica que contacte con un administrador de Amazon Quick Suite. Este error significa que tienes que volver a comprobar la configuración de autorización de conexión para encontrar la discrepancia.

  5. Una vez que se haya conectado correctamente, usted o sus autores de Amazon Quick Suite pueden crear conexiones de fuentes de datos y compartirlas con otros autores de Amazon Quick Suite. A continuación, los autores pueden crear varios conjuntos de datos a partir de las conexiones para usarlos en los paneles de Amazon Quick Suite.

    Para obtener información sobre la solución de problemas de Athena, consulte Problemas de conectividad al utilizar Athena con Amazon Quick Suite.

Uso de la propagación de identidad de confianza con Athena

La propagación confiable de la identidad permite a los AWS servicios acceder a AWS los recursos en función del contexto de identidad del usuario y comparte de forma segura la identidad de este usuario con otros AWS servicios. Estas capacidades permiten definir, conceder y registrar más fácilmente el acceso de los usuarios.

Cuando los administradores configuran Quick Suite, Athena, Amazon S3 Access Grants y AWS Lake Formation con IAM Identity Center, ahora pueden habilitar la propagación confiable de la identidad entre estos servicios y permitir que la identidad del usuario se propague entre los servicios. Cuando un usuario del IAM Identity Center accede a los datos desde Quick Suite, Athena o Lake Formation pueden tomar decisiones de autorización utilizando los permisos definidos para su membresía de usuario o grupo por el proveedor de identidad de la organización.

La propagación de identidad de confianza con Athena solo funciona cuando los permisos se administran a través de Lake Formation. Los permisos de usuario para los datos residen en Lake Formation.

Requisitos previos

Antes de comenzar, asegúrese de que haya completado los siguientes requisitos previos necesarios.

importante

Al cumplir los siguientes requisitos previos, tenga en cuenta que su instancia de IAM Identity Center, Athena workgroup, Lake Formation y Amazon S3 Access Grants deben implementarse en la misma región. AWS

  • Configure su cuenta de Quick Suite con IAM Identity Center. La propagación de identidad fiable solo es compatible con las cuentas de Quick Suite integradas en el IAM Identity Center. Para obtener más información, consulte Configure su cuenta de Amazon Quick Suite con IAM Identity Center.

    nota

    Para crear fuentes de datos de Athena, debe ser un usuario (autor) del Centro de identidad de IAM en una cuenta de Quick Suite que utilice el Centro de identidad de IAM.

  • Un grupo de trabajo de Athena activado con IAM Identity Center. El grupo de trabajo de Athena que utilice debe utilizar la misma instancia de IAM Identity Center que la cuenta de Quick Suite. Para obtener más información sobre cómo configurar un grupo de trabajo de Athena, consulte Creación de un grupo de trabajo de Athena habilitado para IAM Identity Center en la Guía del usuario de Amazon Athena.

  • El acceso al bucket de resultados de consulta de Athena se administra con Concesiones de acceso a Amazon S3. Para obtener más información, consulte Administración del acceso con Concesiones de acceso a Amazon S3 en la Guía del usuario de Amazon S3. Si los resultados de la consulta están cifrados con una AWS KMS clave, tanto el rol de IAM de Amazon S3 Access Grant como el rol de grupo de trabajo de Athena necesitan permisos. AWS KMS

  • Los permisos de los datos deben gestionarse con Lake Formation y Lake Formation debe configurarse con la misma instancia de IAM Identity Center que Quick Suite y el grupo de trabajo de Athena. Para obtener más información sobre la configuración, consulte Integración del IAM Identity Center en la Guía para desarrolladores de AWS Lake Formation .

  • El administrador del lago de datos necesita conceder permisos a los usuarios y grupos de IAM Identity Center en Lake Formation. Para obtener más información, consulte Granting permissions to users and groups en la Guía para desarrolladores de AWS Lake Formation .

  • El administrador de Quick Suite debe autorizar las conexiones a Athena. Para obtener más información, consulte Autorización de las conexiones a Amazon Athena. Tenga en cuenta que, con la propagación de identidades confiable, no necesita conceder permisos o AWS KMS permisos al rol de Quick Suite en el bucket de Amazon S3. Debe mantener sincronizados a los usuarios y grupos que tienen permisos para el grupo de trabajo de Athena con el bucket de Amazon S3 que almacena los resultados de las consultas con los permisos de Concesiones de acceso a Amazon S3. De esta forma, los usuarios pueden ejecutar consultas correctamente y recuperar los resultados de las consultas en el bucket de Amazon S3 mediante una propagación de identidad de confianza.

Configuración del rol de IAM con los permisos necesarios

Para utilizar la propagación de identidad fiable con Athena, su cuenta de Quick Suite debe tener los permisos necesarios para acceder a sus recursos. Para proporcionar esos permisos, debe configurar su cuenta de Quick Suite para usar un rol de IAM con los permisos.

Si su cuenta de Quick Suite ya utiliza un rol de IAM personalizado, puede modificarlo. Si no tiene ningún rol de IAM existente, cree uno según las instrucciones de Crear un rol para un usuario de IAM en la Guía del usuario de IAM.

El rol de IAM que cree o modifique debe contener la siguiente política de confianza y permisos.

Política de confianza necesaria

Para obtener información sobre cómo actualizar la política de confianza de un rol de IAM, consulte Actualizar una política de confianza de rol.

Permisos de Athena necesarios

Para obtener información sobre cómo actualizar la política de confianza de un rol de IAM, consulte Actualización de los permisos de un rol.

nota

El Resource utiliza el comodín *. Le recomendamos que lo actualice para incluir solo los recursos de Athena que desee utilizar con Quick Suite.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Configure su cuenta de Quick Suite para usar el rol de IAM

Tras configurar la función de IAM en el paso anterior, debe configurar su cuenta de Quick Suite para utilizarla. Para obtener información acerca de cómo hacerlo, consulte Uso de las funciones de IAM existentes en Quick Suite.

Actualice la configuración de propagación de identidad con el AWS CLI

Para autorizar a Quick Suite a propagar las identidades de los usuarios finales a los grupos de trabajo de Athena, ejecute la update-identity-propagation-config siguiente API desde el, sustituyendo AWS CLI los siguientes valores:

  • us-west-2Sustitúyala por la AWS región en la que se encuentra tu instancia de IAM Identity Center.

  • Reemplace 111122223333 por su ID de cuenta de AWS .

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Cree un conjunto de datos de Athena en Quick Suite

Ahora, cree un conjunto de datos de Athena en Quick Suite configurado con el grupo de trabajo Athena habilitado para IAM Identity Center al que desee conectarse. Para obtener información acerca de cómo crear un conjunto de datos de Athena, consulte Creación de un conjunto de datos utilizando datos de Amazon Athena.

Avisos, aspectos que tener en cuenta y límites clave

La siguiente lista contiene algunas consideraciones importantes a la hora de utilizar la propagación de identidades fiable con Quick Suite y Athena.

  • Las fuentes de datos de Quick Suite Athena que utilizan una propagación de identidad confiable comparan los permisos de Lake Formation con el usuario final del IAM Identity Center y los grupos del IAM Identity Center a los que podría pertenecer el usuario.

  • Al utilizar orígenes de datos de Athena que utilizan una propagación de identidad confiable, recomendamos llevar a cabo cualquier control de acceso afinado en Lake Formation. Sin embargo, si opta por utilizar la función de política de reducción de alcance de Quick Suite, las políticas de reducción de alcance se evaluarán en función del usuario final.

  • Las siguientes características están desactivadas para los orígenes de datos y los conjuntos de datos que utilizan una propagación de identidad de confianza: conjuntos de datos de SPICE, SQL personalizado en las orígenes de datos, alertas de umbral, informes por correo electrónico, temas de Q, historias, escenarios, exportaciones a CSV, Excel y PDF, detección de anomalías.

  • Si experimenta una latencia o tiempos de espera altos, puede deberse a una combinación de un gran número de grupos de IAM Identity Center, bases de datos de Athena, tablas y reglas de Lake Formation. Le recomendamos que intente utilizar solo la cantidad necesaria de esos recursos.