Autorizar conexiones a través de AWS Lake Formation - Amazon Quick Suite
Permitir la conexión desde Lake FormationHabilitar la conexión desde Amazon Quick Suite

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autorizar conexiones a través de AWS Lake Formation

 Se aplica a: Enterprise Edition 
   Público al que va dirigido: administradores de sistemas 

Si está consultando datos Amazon Athena, puede utilizarlos AWS Lake Formation para simplificar la forma en que protege sus datos y se conecta a ellos desde Amazon Quick Sight. Lake Formation se suma al modelo de permisos AWS Identity and Access Management (IAM) al proporcionar su propio modelo de permisos que se aplica a los servicios de AWS análisis y aprendizaje automático. Este modelo de permisos definido de forma centralizada controla el acceso a los datos de forma pormenorizada mediante un sencillo mecanismo de concesión y revocación. Puede usar Lake Formation en lugar de, o además de, usar políticas con alcance limitado con IAM.

Cuando configura Lake Formation, registra sus orígenes de datos para que pueda mover los datos a un nuevo lago de datos en Amazon S3. Tanto Lake Formation como Athena funcionan a la perfección con AWS Glue Data Catalog, lo que facilita su uso conjunto. Las bases de datos y tablas de Athena son contenedores de metadatos. Estos contenedores describen el esquema subyacente de los datos, las instrucciones del lenguaje de definición de datos (DDL) y la ubicación de los datos en Amazon S3.

El siguiente diagrama muestra las relaciones de los AWS servicios involucrados.

Después de configurar Lake Formation, puede usar Amazon Quick Suite para acceder a bases de datos y tablas por su nombre o mediante consultas SQL. Amazon Quick Suite proporciona un editor con todas las funciones en el que puede escribir consultas SQL. O puede usar la consola Athena AWS CLI, el o su editor de consultas favorito. Para obtener más información, consulte Acceso a Athena en la Guía del usuario de Amazon Athena.

Utilice los temas siguientes para configurar una conexión de Lake Formation a través de Lake Formation o Amazon Quick Suite.

Permitir la conexión desde Lake Formation

Antes de empezar a utilizar esta solución con Quick Suite, asegúrese de que puede acceder a sus datos con Athena with Lake Formation. Tras comprobar que la conexión funciona a través de Athena, solo tiene que comprobar que Amazon Quick Suite se puede conectar a Athena. De este modo, no tendrá que solucionar los problemas de conexión entre los tres productos a la vez. Una forma sencilla de probar la conexión es utilizar la consola de consultas de Athena para ejecutar un comando SQL sencillo, por ejemplo, SELECT 1 FROM table.

Para configurar Lake Formation, la persona o el equipo que trabaja en él necesita acceder para crear un nuevo rol de IAM y a Lake Formation. También necesita la información que se muestra en la siguiente lista. Para obtener más información, consulte Configuración de Lake Formation en la Guía para desarrolladores de AWS Lake Formation .

  • Recopile los nombres de los recursos de Amazon (ARNs) de los usuarios y grupos de Quick Suite que necesitan acceder a los datos de Lake Formation. Estos usuarios deben ser autores o administradores de Amazon Quick Suite.

    Para encontrar un usuario y un grupo de Amazon Quick Suite ARNs

    1. Utilice AWS CLI para buscar usuarios ARNs para los autores y administradores de Amazon Quick Suite. Para ello, ejecute el siguiente comando list-users en su terminal (Linux o Mac) o en la línea de comandos (Windows).

      aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

      La respuesta devuelve información de cada usuario. En el siguiente ejemplo, se muestra el nombre de recurso de Amazon (ARN) en negrita. 

      RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
Status: 200
UserList:
- Active: true
  Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
  Email: SaanviSarkar@example.com
  PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
  Role: ADMIN
  UserName: SaanviSarkar

      Para evitar usar el AWS CLI, puede crear el ARNs para cada usuario manualmente.

    2. (Opcional) Utilice AWS CLI ARNs para buscar grupos de Amazon Quick Suite ejecutando el siguiente list-group comando en su terminal (Linux o Mac) o en la línea de comandos (Windows).

      aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

      La respuesta devuelve información de cada grupo. En el siguiente ejemplo, el ARN aparece en negrita. 

      GroupList:
- Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
  Description: Data Lake for CXO Balanced Scorecard
  GroupName: DataLake-Scorecard
  PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
RequestId: c1000198-18fa-4277-a1e2-02163288caf6
Status: 200

      Si no tiene ningún grupo de Amazon Quick Suite, añada un grupo mediante el comando AWS CLI para ejecutar el create-group comando. Actualmente, no hay ninguna opción para hacerlo desde la consola de Amazon Quick Suite. Para obtener más información, consulte Creación y administración de grupos en Amazon Quick Suite.

      Para evitar el uso de AWS CLI, puede crear el ARNs para cada grupo manualmente.

Habilitar la conexión desde Amazon Quick Suite

Para trabajar con Lake Formation y Athena, asegúrese de tener configurados los permisos de AWS recursos en Amazon Quick Suite:

  • Habilite el acceso a Amazon Athena.

  • Habilite el acceso a los buckets correctos en Amazon S3. Normalmente, el acceso a S3 se habilita al activar Athena. Sin embargo, como puede cambiar permisos de S3 fuera de ese proceso, es recomendable verificarlos por separado.

Para obtener información sobre cómo verificar o cambiar los permisos de los AWS recursos en Quick Suite, consulte Permitir la detección automática de AWS recursos y Acceder a las fuentes de datos.