Autorisation des connexions à Amazon Athena - Amazon Quick Suite
Utilisation d’une propagation d’identité fiable avec Athena

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisation des connexions à Amazon Athena

Si vous devez utiliser Amazon Quick Sight with Amazon Athena ou Amazon Athena Federated Query, vous devez d'abord autoriser les connexions à Athena et aux compartiments associés dans Amazon Simple Storage Service (Amazon S3). Amazon Athena est un service de requête interactif qui facilite l’analyse des données dans Amazon S3 à l’aide du langage SQL standard. Athena Federated Query permet d'accéder à davantage de types de données en utilisant. AWS LambdaÀ l'aide d'une connexion entre Quick Suite et Athena, vous pouvez écrire des requêtes SQL pour interroger des données stockées dans des sources de données relationnelles, non relationnelles, d'objets et personnalisées. Pour plus d’informations, consultez la rubrique Utilisation de la requête fédérée Athena dans le Guide de l’utilisateur Amazon Athena.

Prenez en compte les points suivants lors de la configuration de l'accès à Athena depuis Quick Suite :

  • Athena stocke les résultats des requêtes d'Amazon Quick Sight dans un bucket. Par défaut, ce compartiment possède un nom similaire à aws-athena-query-results-AWSREGION-AWSACCOUNTID, par exemple aws-athena-query-results-us-east-2-111111111111. Il est donc important de s'assurer qu'Amazon Quick Sight dispose des autorisations nécessaires pour accéder au bucket qu'Athena utilise actuellement.

  • Si votre fichier de données est chiffré à l'aide d'une AWS KMS clé, autorisez le rôle Amazon Quick Sight IAM à déchiffrer la clé. Pour ce faire, le moyen le plus simple est d’utiliser l’ AWS CLI.

    AWS CLI Pour ce faire, vous pouvez exécuter l'opération d'API KMS create-grant. 

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    Le nom de ressource Amazon (ARN) pour le rôle Amazon Quick Suite est au format arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number> et est accessible depuis la console IAM. Pour trouver l’ARN de votre clé KMS, utilisez la console S3. Accédez au compartiment qui contient votre fichier de données et choisissez l’onglet Overview (Présentation). La clé est située en regard de KMS key ID (ID de clé KMS).

  • Pour les connexions Amazon Athena, Amazon S3 et Athena Query Federation, Amazon Quick Suite utilise le rôle IAM suivant par défaut : 

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    Si ce n'aws-quicksight-s3-consumers-role-v0est pas le cas, Amazon Quick Suite utilise :

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • Si vous avez attribué des politiques délimitées à vos utilisateurs, vérifiez qu’elles contiennent l’autorisation lambda:InvokeFunction. Sans cette autorisation, vos utilisateurs ne peuvent pas accéder aux requêtes fédérées Athena. Pour plus d'informations sur l'attribution de politiques IAM à vos utilisateurs dans Amazon Quick Suite, consultez Configuration d'un accès granulaire aux AWS services via IAM. Pour plus d'informations sur l'InvokeFunctionautorisation lambda :, consultez la section Actions, ressources et clés de condition AWS Lambda dans le guide de l'utilisateur IAM.

Pour autoriser Amazon Quick Suite à se connecter aux sources de données fédérées Athena ou Athena

  1. (Facultatif) Si vous utilisez AWS Lake Formation Athena, vous devez également activer Lake Formation. Pour plus d'informations, consultez la section Autorisation des connexions via AWS Lake Formation.

  2. Ouvrez le menu de votre profil en haut à droite et choisissez Gérer QuickSight. Pour cela, vous devez être un administrateur Amazon Quick Suite. Si l'option Gérer n'apparaît pas dans QuickSight le menu du profil, cela signifie que vous ne disposez pas des autorisations suffisantes.

  3. Choisissez Sécurité et autorisations, Ajouter ou supprimer.

  4. Choisissez la case à côté d’Amazon Athena, puis cliquez sur Suivant.

    Si elle était déjà activée, vous devrez peut-être double-cliquer dessus. Faites cela même si Amazon Athena est déjà activé, afin de pouvoir consulter les paramètres. Aucune modification n’est enregistrée tant que vous n’avez pas sélectionné Mettre à jour à la fin de cette procédure.

  5. Activez les compartiments S3 auxquels vous souhaitez accéder.

  6. (Facultatif) Pour activer les requêtes fédérées Athena, sélectionnez les fonctions Lambda que vous souhaitez utiliser.

    Note

    Vous ne pouvez voir les fonctions Lambda pour les catalogues Athena que dans la même région d'Amazon Quick Suite.

  7. Pour confirmer vos modifications, choisissez Terminer.

    Pour annuler, choisissez Cancel (Annuler).

  8. Pour enregistrer les modifications apportées à la sécurité et aux autorisations, choisissez Mettre à jour.

Test des paramètres d’autorisation de connexion

  1. Sur la page de démarrage d'Amazon Quick Suite, choisissez Datasets, New dataset.

  2. Choisissez la carte Athena.

  3. Suivez les invites de l’écran pour créer une nouvelle source de données Athena en utilisant les ressources auxquelles vous devez vous connecter. Choisissez Valider la connexion pour tester la connexion.

  4. Si la connexion est validée, cela signifie que vous avez réussi à configurer une connexion Athena ou une connexion de requête fédérée Athena.

    Si vous ne disposez pas des autorisations suffisantes pour vous connecter à un ensemble de données Athena ou exécuter une requête Athena, un message d'erreur s'affiche vous demandant de contacter un administrateur Amazon Quick Suite. Cette erreur signifie que vous devez revérifier vos paramètres d'autorisation de connexion pour détecter la différence.

  5. Une fois la connexion établie, vous ou les auteurs de votre Amazon Quick Suite pouvez créer des connexions aux sources de données et les partager avec d'autres auteurs Amazon Quick Suite. Les auteurs peuvent ensuite créer plusieurs ensembles de données à partir des connexions, à utiliser dans les tableaux de bord Amazon Quick Suite.

    Pour obtenir des informations sur le dépannage d'Athena, consultez la section Problèmes de connectivité lors de l'utilisation d'Athena avec Amazon Quick Suite.

Utilisation d’une propagation d’identité fiable avec Athena

La propagation fiable des identités permet aux AWS services d'accéder aux AWS ressources en fonction du contexte d'identité de l'utilisateur et de partager en toute sécurité l'identité de cet utilisateur avec d'autres AWS services. Ces fonctionnalités permettent de définir, d’accorder et de consigner plus facilement l’accès des utilisateurs.

Lorsque les administrateurs configurent Quick Suite, Athena, Amazon S3 Access Grants et AWS Lake Formation avec IAM Identity Center, ils peuvent désormais activer la propagation fiable de l'identité entre ces services et autoriser la propagation de l'identité de l'utilisateur entre les services. Lorsqu'un utilisateur d'IAM Identity Center accède aux données depuis Quick Suite, Athena ou Lake Formation peuvent prendre des décisions d'autorisation en utilisant les autorisations définies pour leur appartenance à un utilisateur ou à un groupe par le fournisseur d'identité de l'organisation.

La propagation fiable des identités avec Athena ne fonctionne que lorsque les autorisations sont gérées via Lake Formation. Les autorisations des utilisateurs sur les données se trouvent dans Lake Formation.

Prérequis

Avant de démarrer, assurez-vous de répondre aux conditions préalables suivantes.

Important

Lorsque vous remplissez les conditions préalables suivantes, notez que votre instance IAM Identity Center, votre groupe de travail Athena, Lake Formation et Amazon S3 Access Grants doivent tous être déployés dans la même région. AWS

  • Configurez votre compte Quick Suite avec IAM Identity Center. La propagation d'identité fiable n'est prise en charge que pour les comptes Quick Suite intégrés à IAM Identity Center. Pour de plus amples informations, veuillez consulter Configurez votre compte Amazon Quick Suite avec IAM Identity Center.

    Note

    Pour créer des sources de données Athena, vous devez être un utilisateur d'IAM Identity Center (auteur) dans un compte Quick Suite qui utilise IAM Identity Center.

  • Un groupe de travail Athena compatible avec IAM Identity Center. Le groupe de travail Athena que vous utilisez doit utiliser la même instance IAM Identity Center que le compte Quick Suite. Pour de plus amples informations sur la configuration d’un groupe de travail Athena, consultez Création d’un groupe de travail Athena compatible avec IAM Identity Center dans le guide de l’utilisateur d’Amazon Athena.

  • L’accès au compartiment de résultats de requête Athena est géré avec les autorisations d’accès Amazon S3. Pour plus d’informations, voir la rubrique Gestion des accès avec autorisations d’accès Amazon S3 du Guide de l’utilisateur Amazon S3. Si les résultats de votre requête sont chiffrés à l'aide d'une AWS KMS clé, le rôle IAM Amazon S3 Access Grant et le rôle de groupe de travail Athena ont tous deux besoin d'autorisations. AWS KMS

    • Pour plus d’informations, consultez la rubrique S3 Access Grants and corporate directory identities dans le Guide de l’utilisateur Amazon S3.

    • Le rôle autorisations d’accès Amazon S3 doit avoir cette action STS:SetContext dans sa politique de confiance pour la propagation des identités. Pour un exemple, consultez Enregistrer un emplacement dans le Guide de l’utilisateur Amazon S3.

  • Les autorisations relatives aux données doivent être gérées avec Lake Formation et Lake Formation doit être configurée avec la même instance IAM Identity Center que Quick Suite et le groupe de travail Athena. Pour obtenir des informations sur la configuration, consultez la rubrique Integrating IAM Identity Center dans le Guide du développeur AWS Lake Formation .

  • L’administrateur du lac de données doit accorder des autorisations aux utilisateurs et aux groupes de l’IAM Identity Center dans Lake Formation. Pour plus de détails, consultez la section Octroi d’autorisations aux utilisateurs et aux groupes dans le AWS Lake Formation Guide du développeur.

  • L'administrateur de Quick Suite doit autoriser les connexions à Athena. Pour en savoir plus, consultez Autorisation des connexions à Amazon Athena. Notez qu'avec une propagation d'identité fiable, il n'est pas nécessaire d'accorder au rôle Quick Suite des autorisations ou AWS KMS des autorisations sur le bucket Amazon S3. Vous devez synchroniser les utilisateurs et les groupes autorisés à accéder au groupe de travail d’Athena avec le compartiment Amazon S3 qui stocke les résultats des requêtes avec les autorisations d’accès Amazon S3 afin que les utilisateurs puissent exécuter des requêtes avec succès et récupérer les résultats des requêtes dans le compartiment Amazon S3 en utilisant une propagation d’identité fiable.

Configurer le rôle IAM avec les autorisations requises

Pour utiliser la propagation d'identité sécurisée avec Athena, votre compte Quick Suite doit disposer des autorisations requises pour accéder à vos ressources. Pour fournir ces autorisations, vous devez configurer votre compte Quick Suite pour utiliser un rôle IAM doté des autorisations.

Si votre compte Quick Suite utilise déjà un rôle IAM personnalisé, vous pouvez le modifier. Si vous ne possédez pas de rôle IAM existant, créez-en un en suivant les instructions de la section Créer un rôle pour un utilisateur IAM dans le Guide de l’utilisateur IAM.

Le rôle IAM que vous créez ou modifiez doit contenir la politique de confiance et les autorisations suivantes.

Politique d’approbation requise

Pour de plus amples informations sur la mise à jour de la politique d’approbation d’un rôle IAM, consultez Mise à jour d’une politique d’approbation de rôle.

Autorisations Athena requises

Pour plus d’informations sur la mise à jour de la politique de confiance d’un rôle IAM, voir Mettre à jour les autorisations pour un rôle.

Note

Resource utilise le * joker. Nous vous recommandons de le mettre à jour pour inclure uniquement les ressources Athena que vous souhaitez utiliser avec Quick Suite.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Configurez votre compte Quick Suite pour utiliser le rôle IAM

Après avoir configuré le rôle IAM à l'étape précédente, vous devez configurer votre compte Quick Suite pour l'utiliser. Pour plus d’informations sur la procédure à utiliser, consultez Utilisation des rôles IAM existants dans Quick Suite.

Mettez à jour la configuration de propagation d'identité avec le AWS CLI

Pour autoriser Quick Suite à propager les identités des utilisateurs finaux aux groupes de travail Athena, exécutez l'API update-identity-propagation-config suivante depuis le, en remplaçant AWS CLI les valeurs suivantes :

  • Remplacez us-west-2 par la AWS région dans laquelle se trouve votre instance IAM Identity Center.

  • Remplacez 111122223333 par votre ID de compte AWS .

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Création d'un jeu de données Athena dans Quick Suite

À présent, créez un jeu de données Athena dans Quick Suite configuré avec le groupe de travail Athena compatible avec IAM Identity Center auquel vous souhaitez vous connecter. Pour plus d’informations sur la façon de créer une base de données Athena, consultez Créer un jeu de données à l’aide des données Amazon Athena.

Principaux appels, considérations et limites

La liste suivante contient quelques points importants à prendre en compte lors de l'utilisation de la propagation d'identité sécurisée avec Quick Suite et Athena.

  • Les sources de données Quick Suite Athena qui utilisent une propagation d'identité fiable disposent des autorisations Lake Formation évaluées par rapport à l'utilisateur final IAM Identity Center et aux groupes IAM Identity Center auxquels l'utilisateur peut appartenir.

  • Lorsque vous utilisez des sources de données Athena qui utilisent une propagation d’identité fiable, nous recommandons que tout contrôle d’accès optimisé soit effectué dans Lake Formation. Toutefois, si vous choisissez d'utiliser la fonctionnalité de politique de réduction de la portée de Quick Suite, les politiques de réduction de la portée seront évaluées par rapport à l'utilisateur final.

  • Les fonctionnalités suivantes sont désactivées pour les sources de données et les jeux de données qui utilisent la propagation d’identité sécurisée : jeux de données SPICE, code SQL personnalisé sur les sources de données, alertes de seuil, rapports par e-mail, sujets Q, articles, scénarios, exportations CSV, Excel et PDF, détection des anomalies.

  • Si vous rencontrez une latence ou des délais d’attente élevés, cela peut être dû à la combinaison d’un nombre élevé de groupes IAM Identity Center, de bases de données Athena, de tables et de règles de Lake Formation. Nous vous recommandons d’essayer de n’utiliser que le nombre nécessaire de ces ressources.