Usare la propagazione attendibile delle identità tramite i driver Amazon Athena - Amazon Athena
Definizioni principaliConsiderazioniPrerequisiti

Usare la propagazione attendibile delle identità tramite i driver Amazon Athena

La propagazione attendibile delle identità offre una nuova opzione di autenticazione per le organizzazioni che desiderano centralizzare la gestione delle autorizzazioni dei dati e autorizzare le richieste in base alla propria identità IdP attraverso i confini del servizio. Con IAM Identity Center, è possibile configurare un IdP esistente per gestire utenti e gruppi e utilizzare AWS Lake Formation per definire autorizzazioni di controllo degli accessi granulari sulle risorse del catalogo per queste identità IdP. Athena supporta la propagazione delle identità durante l'esecuzione di query sui dati per verificare l'accesso agli stessi da parte delle identità IdP per aiutare l'organizzazione a soddisfare i requisiti normativi e di conformità.

Ora è possibile connettersi ad Athena utilizzando i driver Java Database Connectivity (JDBC) o Open Database Connectivity (ODBC) con funzionalità Single Sign-on tramite IAM Identity Center. Quando si accede ad Athena da strumenti come PowerBI, Tableau o DBeaver, la propria identità e le proprie autorizzazioni si propagano automaticamente ad Athena tramite IAM Identity Center. Ciò significa che le autorizzazioni individuali di accesso ai dati vengono applicate direttamente durante l'esecuzione di query sui dati, senza richiedere passaggi di autenticazione o gestione delle credenziali separati.

Per gli amministratori, questa funzionalità centralizza il controllo degli accessi tramite IAM Identity Center e Lake Formation, garantendo un'applicazione coerente delle autorizzazioni su tutti gli strumenti di analisi supportati che si collegano ad Athena. Per iniziare, assicurarsi che la propria organizzazione abbia configurato IAM Identity Center come origine identità e che abbia configurato le autorizzazioni appropriate di accesso ai dati per gli utenti.

Argomenti

Definizioni principali

  1. Ruolo dell'applicazione: ruolo per lo scambio di token, il recupero dell'ARN dell'applicazione IAM Identity Center AWS gestita dal gruppo di lavoro e dal cliente.

  2. Ruolo di accesso: ruolo da utilizzare con i driver Athena per l'esecuzione dei flussi di lavoro dei clienti con credenziali Identity Enhanced. Ciò significa che questo ruolo è necessario per accedere ai servizi downstream.

  3. Applicazione gestita dal cliente: l'applicazioneAWS IAM Identity Center. Per ulteriori informazioni, consultare Applicazione gestita dal cliente.

Considerazioni

  1. Questa funzionalità è disponibile solo per le regioni in cui Athena è generalmente disponibile con la propagazione attendibile delle identità. Per ulteriori informazioni sulla disponibilità, consultare Considerazioni e limitazioni.

  2. È possibile utilizzare sia JDBC che ODBC come driver autonomi o con qualsiasi strumento di BI o SQL con propagazione attendibile dell'identità utilizzando questo plug-in di autenticazione.

Prerequisiti

  1. È necessario avere un'istanza di IAM Identity Center AWS abilitata. Per ulteriori informazioni, consultare What is IAM Identity Center?.

  2. È necessario disporre di un provider di identità esterno funzionante e gli utenti o i gruppi devono essere presenti in IAM Identity Center AWS. È possibile effettuare il provisioning dei propri utenti o gruppi automaticamente, manualmente o con SCIM. Per ulteriori informazioni, consultare Provisioning di un provider di identità esterno in IAM Identity Center utilizzando SCIM.

  3. È necessario concedere le autorizzazioni Lake Formation a utenti o gruppi per cataloghi, database e tabelle. Per ulteriori informazioni, consultare Utilizzare Athena per eseguire query con Lake Formation.

  4. È necessario disporre di uno strumento di BI o di un client SQL funzionante per eseguire le query Athena utilizzando il driver JDBC o ODBC.