Utilisation de la propagation d’identité de confiance avec les pilotes Amazon Athena
La propagation d’identité de confiance fournit une nouvelle option d’authentification aux organisations qui souhaitent centraliser la gestion des autorisations de données et autoriser les demandes en fonction de l’identité de leur fournisseur d’identité (IdP) au-delà des limites des services. Grâce à IAM Identity Center, vous pouvez configurer un IdP existant pour gérer les utilisateurs et les groupes et utiliser AWS Lake Formation afin de définir des autorisations de contrôle d’accès précis sur les ressources du catalogue pour les identités de ces IdP. Athena prend en charge la propagation d’identité lors de l’interrogation des données afin d’auditer l’accès aux données par les identités des IdP, le but étant d’aider votre organisation à répondre à ses exigences réglementaires et de conformité.
Vous pouvez désormais vous connecter à Athena à l’aide des pilotes Java Database Connectivity (JDBC) ou Open Database Connectivity (ODBC) et de leurs fonctions d’authentification unique via IAM Identity Center. Lorsque vous accédez à Athena à partir d’outils tels que PowerBI, Tableau ou DBeaver, votre identité et vos autorisations sont automatiquement propagées sur Athena via IAM Identity Center. Cela signifie que vos autorisations individuelles d’accès aux données sont appliquées directement lorsque vous interrogez des données, sans nécessiter d’étapes d’authentification distinctes ou la gestion des informations d’identification.
Pour les personnes agissant en tant qu’administrateurs, cette fonctionnalité centralise le contrôle d’accès via IAM Identity Center et Lake Formation, garantissant ainsi une application cohérente des autorisations dans tous les outils d’analyse pris en charge qui se connectent à Athena. Pour commencer, assurez-vous que votre organisation a configuré IAM Identity Center en tant que source d’identité pour vous, et configurez les autorisations d’accès aux données appropriées pour vos utilisateurs.
Rubriques
Définitions clés
-
Rôle d’application – Rôle permettant d’échanger des jetons et de récupérer le groupe de travail et l’ARN de l’application AWS IAM Identity Center gérée par le client.
-
Rôle d’accès – Rôle à utiliser avec les pilotes Athena pour exécuter des flux de travail client à l’aide d’informations d’identification améliorées par l’identité. Cela signifie que ce rôle est nécessaire pour accéder à des services en aval.
-
Application gérée par le client – Application AWS IAM Identity Center. Pour plus d’informations, consultez Customer Managed Application.
Considérations
-
Cette fonctionnalité ne fonctionne que pour les régions dans lesquelles Athena est globalement disponible avec la fonction de propagation d’identité de confiance. Pour plus d’informations sur la disponibilité, consultez Considerations and Limitations.
-
Vous pouvez utiliser JDBC et ODBC en tant que pilotes autonomes ou avec n’importe quel outil d’informatique décisionnelle ou SQL avec fonction de propagation d’identité de confiance qui utilise ce plug-in d’authentification.
Prérequis
-
Une instance AWS IAM Identity Center doit être activée. Pour plus d’informations, consultez What is IAM Identity Center? afin d’en savoir plus.
-
Vous devez disposer d’un fournisseur d’identité externe fonctionnel, et les utilisateurs ou groupes doivent être présents dans AWS IAM Identity Center. Vous pouvez configurer vos utilisateurs ou groupes automatiquement, manuellement ou à l’aide de SCIM. Pour plus d’informations, consultez Provisioning an external identity provider into IAM Identity Center using SCIM.
-
Vous devez accorder des autorisations Lake Formation aux utilisateurs ou aux groupes pour les catalogues, les bases de données et les tables. Pour plus d’informations, consultez Use Athena to query data with Lake Formation.
-
Vous devez disposer d’un outil d’informatique décisionnelle ou d’un client SQL fonctionnel afin d’exécuter des requêtes Athena à l’aide du pilote JDBC ou ODBC.
