Mengotorisasi koneksi ke Amazon Athena - Amazon Quick Suite
Menggunakan propagasi identitas tepercaya dengan Athena

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengotorisasi koneksi ke Amazon Athena

Jika Anda perlu menggunakan Amazon Quick Sight with Amazon Athena atau Amazon Athena Federated Query, Anda harus terlebih dahulu mengotorisasi koneksi ke Athena dan bucket terkait di Amazon Simple Storage Service (Amazon S3). Amazon Athena adalah layanan kueri interaktif yang memudahkan untuk menganalisis data secara langsung di Amazon S3 menggunakan SQL standar. Athena Federated Query menyediakan akses ke lebih banyak jenis data dengan menggunakan. AWS Lambda Menggunakan koneksi dari Quick Suite ke Athena, Anda dapat menulis kueri SQL untuk menginterogasi data yang disimpan dalam sumber data relasional, non-relasional, objek, dan kustom. Untuk informasi selengkapnya, lihat Menggunakan kueri federasi Athena di Panduan Pengguna Amazon Athena.

Tinjau pertimbangan berikut saat mengatur akses ke Athena dari Quick Suite:

  • Athena menyimpan hasil kueri dari Amazon Quick Sight dalam ember. Secara default, bucket ini memiliki nama yang mirip denganaws-athena-query-results-AWSREGION-AWSACCOUNTID, misalnyaaws-athena-query-results-us-east-2-111111111111. Oleh karena itu, penting untuk memastikan Amazon Quick Sight memiliki izin untuk mengakses bucket yang sedang digunakan Athena.

  • Jika file data Anda dienkripsi dengan AWS KMS kunci, berikan izin ke peran Amazon Quick Sight IAM untuk mendekripsi kunci. Cara termudah untuk melakukan ini adalah dengan menggunakan AWS CLI.

    Anda dapat menjalankan operasi KMS create-grant API untuk melakukan ini. AWS CLI 

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    Nama Sumber Daya Amazon (ARN) untuk peran Amazon Quick Suite memiliki format arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number> dan dapat diakses dari konsol IAM. Untuk menemukan ARN kunci KMS Anda, gunakan konsol S3. Buka bucket yang berisi file data Anda dan pilih tab Ikhtisar. Kuncinya terletak di dekat ID kunci KMS.

  • Untuk koneksi Amazon Athena, Amazon S3, dan Federasi Kueri Athena, Amazon Quick Suite menggunakan peran IAM berikut secara default: 

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    Jika tidak aws-quicksight-s3-consumers-role-v0 ada, maka Amazon Quick Suite menggunakan:

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • Jika Anda menetapkan kebijakan cakupan bawah untuk pengguna Anda, verifikasi bahwa kebijakan tersebut berisi izin. lambda:InvokeFunction Tanpa izin ini, pengguna Anda tidak dapat mengakses Kueri Federasi Athena. Untuk informasi selengkapnya tentang menetapkan kebijakan IAM kepada pengguna Anda di Amazon Quick Suite, lihat Menyetel akses terperinci ke AWS layanan melalui IAM. Untuk informasi selengkapnya tentang InvokeFunction izin lambda:, lihat Kunci tindakan, sumber daya, dan kondisi AWS Lambda di Panduan Pengguna IAM.

Untuk mengizinkan Amazon Quick Suite untuk terhubung ke sumber data federasi Athena atau Athena

  1. (Opsional) Jika Anda menggunakan AWS Lake Formation Athena, Anda juga perlu mengaktifkan Lake Formation. Untuk informasi selengkapnya, lihat Mengotorisasi koneksi melalui AWS Lake Formation.

  2. Buka menu profil Anda di kanan atas dan pilih Kelola QuickSight. Anda harus menjadi administrator Amazon Quick Suite untuk melakukan ini. Jika Anda tidak melihat Kelola QuickSight di menu profil, Anda tidak memiliki izin yang memadai.

  3. Pilih Keamanan & izin, Tambah atau hapus.

  4. Pilih kotak di dekat Amazon Athena, Berikutnya.

    Jika sudah diaktifkan, Anda mungkin harus mengklik dua kali. Lakukan ini bahkan jika Amazon Athena sudah diaktifkan, sehingga Anda dapat melihat pengaturannya. Tidak ada perubahan yang disimpan sampai Anda memilih Perbarui di akhir prosedur ini.

  5. Aktifkan bucket S3 yang ingin Anda akses.

  6. (Opsional) Untuk mengaktifkan kueri federasi Athena, pilih fungsi Lambda yang ingin Anda gunakan.

    catatan

    Anda hanya dapat melihat fungsi Lambda untuk katalog Athena di wilayah Amazon Quick Suite yang sama.

  7. Untuk mengonfirmasi perubahan Anda, pilih Selesai.

    Untuk membatalkan, pilih Batalkan.

  8. Untuk menyimpan perubahan keamanan dan izin, pilih Perbarui.

Untuk menguji pengaturan otorisasi koneksi

  1. Dari halaman awal Amazon Quick Suite, pilih Datasets, New Dataset.

  2. Pilih kartu Athena.

  3. Ikuti petunjuk layar untuk membuat sumber data Athena baru menggunakan sumber daya yang perlu Anda sambungkan. Pilih Validasi koneksi untuk menguji koneksi.

  4. Jika koneksi divalidasi, Anda telah berhasil mengonfigurasi sambungan Kueri Federasi Athena atau Athena.

    Jika Anda tidak memiliki izin yang cukup untuk menyambung ke kumpulan data Athena atau menjalankan kueri Athena, kesalahan akan ditampilkan mengarahkan Anda untuk menghubungi administrator Amazon Quick Suite. Kesalahan ini berarti perlu memeriksa ulang pengaturan otorisasi koneksi Anda untuk menemukan perbedaan.

  5. Setelah berhasil terhubung, Anda atau penulis Amazon Quick Suite dapat membuat koneksi sumber data dan membagikannya dengan penulis Amazon Quick Suite lainnya. Penulis kemudian dapat membuat beberapa kumpulan data dari koneksi, untuk digunakan di dasbor Amazon Quick Suite.

    Untuk informasi pemecahan masalah di Athena, lihat Masalah konektivitas saat menggunakan Athena dengan Amazon Quick Suite.

Menggunakan propagasi identitas tepercaya dengan Athena

Penyebaran identitas tepercaya memberikan AWS layanan akses ke AWS sumber daya berdasarkan konteks identitas pengguna dan membagikan identitas pengguna ini dengan aman dengan layanan lain AWS . Kemampuan ini memungkinkan akses pengguna untuk lebih mudah didefinisikan, diberikan, dan dicatat.

Saat administrator mengonfigurasi Quick Suite, Athena, Amazon S3 Access Grants, AWS Lake Formation dan dengan IAM Identity Center, mereka sekarang dapat mengaktifkan propagasi identitas tepercaya di seluruh layanan ini dan memungkinkan identitas pengguna disebarkan di seluruh layanan. Ketika data diakses dari Quick Suite oleh pengguna Pusat Identitas IAM, Athena atau Lake Formation dapat membuat keputusan otorisasi menggunakan izin yang ditentukan untuk pengguna atau keanggotaan grup mereka dari penyedia identitas organisasi.

Propagasi identitas tepercaya dengan Athena hanya berfungsi ketika izin dikelola melalui Lake Formation. Izin pengguna untuk data berada di Lake Formation.

Prasyarat

Sebelum Anda memulai, pastikan bahwa Anda telah menyelesaikan prasyarat yang diperlukan berikut.

penting

Saat Anda menyelesaikan prasyarat berikut, perhatikan bahwa instans Pusat Identitas IAM Anda, grup kerja Athena, Lake Formation, dan Amazon S3 Access Grants semuanya harus diterapkan di Wilayah yang sama. AWS

  • Konfigurasikan akun Quick Suite Anda dengan IAM Identity Center. Propagasi identitas tepercaya hanya didukung untuk akun Quick Suite yang terintegrasi dengan IAM Identity Center. Untuk informasi selengkapnya, lihat Konfigurasikan akun Amazon Quick Suite Anda dengan IAM Identity Center.

    catatan

    Untuk membuat sumber data Athena, Anda harus menjadi pengguna Pusat Identitas IAM (penulis) di akun Quick Suite yang menggunakan Pusat Identitas IAM.

  • Workgroup Athena yang diaktifkan dengan IAM Identity Center. Workgroup Athena yang Anda gunakan harus menggunakan instance IAM Identity Center yang sama dengan akun Quick Suite. Untuk informasi selengkapnya tentang mengonfigurasi workgroup Athena, lihat Membuat grup kerja Athena yang mengaktifkan Pusat Identitas IAM. di Panduan Pengguna Amazon Athena.

  • Akses ke bucket hasil kueri Athena dikelola dengan Amazon S3 Access Grants. Untuk detail selengkapnya, lihat Mengelola akses dengan Hibah Akses Amazon S3 di Panduan Pengguna Amazon S3. Jika hasil kueri Anda dienkripsi dengan AWS KMS kunci, peran IAM Amazon S3 Access Grant dan peran workgroup Athena keduanya memerlukan izin. AWS KMS

  • Izin untuk data harus dikelola dengan Lake Formation dan Lake Formation harus dikonfigurasi dengan instance IAM Identity Center yang sama seperti Quick Suite dan workgroup Athena. Untuk informasi konfigurasi, lihat Mengintegrasikan Pusat Identitas IAM di Panduan AWS Lake Formation Pengembang.

  • Administrator data lake perlu memberikan izin kepada pengguna dan grup Pusat Identitas IAM di Lake Formation. Untuk detail selengkapnya, Memberikan izin kepada pengguna dan grup di Panduan AWS Lake Formation Pengembang.

  • Administrator Quick Suite perlu mengotorisasi koneksi ke Athena. Lihat perinciannya di Mengotorisasi koneksi ke Amazon Athena. Catatan, dengan propagasi identitas tepercaya, Anda tidak perlu memberikan izin atau izin AWS KMS bucket Amazon S3 peran Quick Suite. Anda harus menjaga agar pengguna dan grup yang memiliki izin ke grup kerja di Athena tetap sinkron dengan bucket Amazon S3 yang menyimpan hasil kueri dengan izin Amazon S3 Access Grants sehingga pengguna dapat berhasil menjalankan kueri dan mengambil hasil kueri di bucket Amazon S3 menggunakan propagasi identitas tepercaya.

Konfigurasikan peran IAM dengan izin yang diperlukan

Untuk menggunakan propagasi identitas tepercaya dengan Athena, akun Quick Suite Anda harus memiliki izin yang diperlukan untuk mengakses sumber daya Anda. Untuk memberikan izin tersebut, Anda harus mengonfigurasi akun Quick Suite Anda untuk menggunakan peran IAM dengan izin.

Jika akun Quick Suite Anda sudah menggunakan peran IAM kustom, Anda dapat memodifikasinya. Jika Anda tidak memiliki peran IAM yang ada, buat peran dengan mengikuti petunjuk di Buat peran untuk pengguna IAM di Panduan Pengguna IAM.

Peran IAM yang Anda buat atau ubah harus berisi kebijakan kepercayaan dan izin berikut.

Kebijakan kepercayaan yang diperlukan

Untuk informasi tentang memperbarui kebijakan kepercayaan peran IAM, lihat Memperbarui kebijakan kepercayaan peran.

Izin Athena yang diperlukan

Untuk informasi tentang memperbarui kebijakan kepercayaan peran IAM, lihat Memperbarui izin untuk peran.

catatan

ResourceMenggunakan * wildcard. Kami menyarankan Anda memperbaruinya untuk menyertakan hanya sumber daya Athena yang ingin Anda gunakan dengan Quick Suite.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Konfigurasikan akun Quick Suite Anda untuk menggunakan peran IAM

Setelah mengonfigurasi peran IAM pada langkah sebelumnya, Anda harus mengonfigurasi akun Quick Suite Anda untuk menggunakannya. Untuk informasi tentang cara melakukannya, lihatMenggunakan peran IAM yang ada di Quick Suite.

Perbarui konfigurasi propogasi identitas dengan AWS CLI

Untuk mengotorisasi Quick Suite untuk menyebarkan identitas pengguna akhir ke workgroup Athena, jalankan update-identity-propagation-config API berikut dari, menggantikan nilai berikut: AWS CLI

  • Ganti us-west-2 dengan AWS Wilayah tempat instans Pusat Identitas IAM Anda berada.

  • Ganti 111122223333 dengan ID akun AWS Anda.

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Buat kumpulan data Athena di Quick Suite

Sekarang, buat kumpulan data Athena di Quick Suite yang dikonfigurasi dengan grup kerja Athena yang diaktifkan Pusat Identitas IAM yang ingin Anda sambungkan. Untuk informasi tentang cara membuat kumpulan data Athena, lihat. Membuat kumpulan data menggunakan data Amazon Athena

Keterangan kunci, pertimbangan, dan batasan

Daftar berikut berisi beberapa pertimbangan penting saat menggunakan propagasi identitas tepercaya dengan Quick Suite dan Athena.

  • Sumber data Quick Suite Athena yang menggunakan propagasi identitas tepercaya memiliki izin Lake Formation yang dievaluasi terhadap pengguna akhir Pusat Identitas IAM dan grup Pusat Identitas IAM yang mungkin dimiliki pengguna.

  • Saat menggunakan sumber data Athena yang menggunakan propagasi identitas tepercaya, kami merekomendasikan kontrol akses yang disetel dengan baik dilakukan di Lake Formation. Namun, jika Anda memilih untuk menggunakan fitur kebijakan cakupan bawah Quick Suite, kebijakan cakupan bawah akan dievaluasi terhadap pengguna akhir.

  • Fitur berikut dinonaktifkan untuk sumber data dan kumpulan data yang menggunakan propagasi identitas tepercaya: Kumpulan data SPICE, SQL khusus pada sumber data, peringatan ambang batas, laporan email, Topik Q, cerita, skenario, CSV, Excel, dan ekspor PDF, deteksi anomali.

  • Jika Anda mengalami latensi atau batas waktu yang tinggi, itu mungkin karena kombinasi jumlah grup Pusat Identitas IAM yang tinggi, database Athena, tabel, dan aturan Lake Formation. Kami merekomendasikan mencoba hanya menggunakan jumlah sumber daya yang diperlukan.