Gruppi di lavoro Athena abilitati per Centro identità IAM - Amazon Athena
Considerazioni e limitazioniCreazione di un gruppo di lavoro Athena abilitato per Centro identità IAM

Gruppi di lavoro Athena abilitati per Centro identità IAM

La propagazione affidabile delle identità è una funzionalità AWS IAM Identity Center che gli amministratori dei Servizi AWS connessi possono utilizzare per concedere e controllare l'accesso ai dati dei servizi. L'accesso a questi dati si basa su attributi utente come le associazioni di gruppo. La configurazione di una propagazione affidabile delle identità richiede la collaborazione tra gli amministratori dei Servizi AWS connessi e gli amministratori del Centro identità IAM. Per ulteriori informazioni, consulta Prerequisiti e considerazioni.

Con Centro identità IAM, è possibile gestire la sicurezza degli accessi per le identità della forza lavoro, note anche come utenti della forza lavoro. Centro identità IAM offre un posto in cui è possibile creare o connettere gli utenti della forza lavoro e gestire centralmente il loro accesso su tutti gli account e tutte le applicazioni AWS che utilizzano. Per assegnare a questi utenti l'accesso agli , puoi utilizzare le autorizzazioni multi-account Account AWS. Per assegnare agli utenti l'accesso alle applicazioni abilitate a Centro identità IAM, alle applicazioni cloud e alle applicazioni Security Assertion Markup Language (SAML 2.0) dei clienti, puoi utilizzare le assegnazioni delle applicazioni. Per ulteriori informazioni, consulta la pagina Trusted identity propagation across applications nella Guida per l'utente di AWS IAM Identity Center.

Il supporto SQL di Athena per la propagazione attendibile delle identità è disponibile sia in EMR Studio che in SageMaker Unified Studio. Ogni piattaforma fornisce interfacce specifiche per l'utilizzo di TIP con Athena.

Quando si utilizza Athena SQL in EMR Studio con identità IAM Identity Center, sono disponibili due opzioni per i gruppi di lavoro:

  • Regular WorkGroups: non sono necessarie assegnazioni di utenti/gruppi.

  • Gruppi dilavoro compatibili con IAM Identity Center: richiede l'assegnazione di utenti/gruppi tramite la console o l'API IAM Identity Center.

Per entrambe le opzioni, puoi eseguire query utilizzando l'interfaccia SQL Athena in EMR Studio con IAM Identity Center abilitato.

Considerazioni e limitazioni

Quando utilizzi la propagazione delle identità attendibili con Amazon Athena, considera i seguenti punti:

  • Non è possibile modificare il metodo di autenticazione per il gruppo di lavoro dopo la creazione dello stesso.

    • I gruppi di lavoro SQL Athena esistenti non possono essere modificati per supportare i gruppi di lavoro abilitati per Centro identità IAM. I gruppi di lavoro SQL Athena esistenti possono propagare l'identità ai servizi downstream.

    • I gruppi di lavoro abilitati per Centro identità IAM non possono essere modificati per supportare le autorizzazioni IAM a livello di risorsa o le policy IAM basate sull'identità.

  • Per accedere a gruppi di lavoro abilitati alla propagazione delle identità attendibili, gli utenti di Centro identità IAM devono essere assegnati all'IdentityCenterApplicationArn che viene restituito dalla risposta dell'operazione dell'API di Athena GetWorkGroup.

  • Amazon S3 Access Grants deve essere configurato per l'utilizzo delle identità con propagazione delle identità attendibili. Per maggiori informazioni, consulta la pagina S3 Access Grants and corporate directory identities nella Guida per l'utente di Amazon S3.

  • I gruppi di lavoro Athena abilitati per Centro identità IAM richiedono che Lake Formation sia configurato per l'utilizzo delle identità di Centro identità IAM. Per informazioni sulla configurazione, consulta la pagina Integrating IAM Identity Center nella Guida per gli sviluppatori di AWS Lake Formation.

  • Per impostazione predefinita, nei gruppi di lavoro abilitati per IAM Identity Center le query scadono dopo 30 minuti. È possibile richiedere un aumento del timeout delle query, ma nei gruppi di lavoro con propagazione delle identità attendibili le query possono essere eseguite al massimo entro un'ora.

  • Le modifiche alle autorizzazioni di utenti o gruppi nei gruppi di lavoro con propagazione delle identità attendibili possono richiedere fino a un'ora per avere effetto.

  • Le query in un gruppo di lavoro Athena che utilizza la propagazione delle identità attendibili non possono essere eseguite direttamente dalla console Athena. Devono essere eseguite dall'interfaccia Athena in uno studio EMR con Centro identità IAM abilitato. Per ulteriori informazioni sull'utilizzo di Athena in EMR Studio, consulta la pagina Use the Amazon Athena SQL editor in EMR Studio nella Guida per la gestione di Amazon EMR.

  • La propagazione delle identità attendibili non è compatibile con le seguenti funzionalità di Athena.

    • Chiavi di contesto aws:CalledVia per gruppi di lavoro abilitati per Centro identità IAM.

    • Athena per i gruppi di lavoro Spark.

    • Accesso federato all'API di Athena.

    • Accesso federato ad Athena utilizzando Lake Formation e i driver Athena JDBC e ODBC.

  • La propagazione delle identità attendibili con Athena può essere utilizzata solo nelle Regioni AWS seguenti:

    • us-east-2: Stati Uniti orientali (Ohio)

    • us-east-1: Stati Uniti orientali (Virginia settentrionale)

    • us-west-1: Stati Uniti occidentali (California settentrionale)

    • us-west-2: Stati Uniti occidentali (Oregon)

    • af-south-1: Africa (Città del Capo)

    • ap-east-1: Asia Pacifico (Hong Kong)

    • ap-southeast-3: Asia Pacifico (Giacarta)

    • ap-south-1: Asia Pacifico (Mumbai)

    • ap-northeast-3: Asia Pacifico (Osaka-Locale)

    • ap-northeast-2: Asia Pacifico (Seoul)

    • ap-southeast-1: Asia Pacifico (Singapore)

    • ap-southeast-2: Asia Pacifico (Sydney)

    • ap-northeast-1: Asia Pacifico (Tokyo)

    • ca-central-1: Canada (Centrale)

    • eu-central-1: Europa (Francoforte)

    • eu-central-2 Europa (Zurigo)

    • eu-west-1: Europa (Irlanda)

    • eu-west-2: Europa (Londra)

    • eu-south-1: Europa (Milano)

    • eu-west-3: Europa (Parigi)

    • eu-north-1: Europa (Stoccolma)

    • me-south-1: Medio Oriente (Bahrein)

    • sa-east-1: Sud America (San Paolo)

L'utente IAM dell'amministratore che crea il gruppo di lavoro abilitato per Centro identità IAM nella console Athena deve avere le seguenti policy collegate.

  • La policy gestita AmazonAthenaFullAccess. Per informazioni dettagliate, vedi AWSPolicy gestita da : AmazonAthenaFullAccess.

  • La seguente policy inline che consente le operazioni di IAM e Centro identità IAM:

    JSON
    { "Version":"2012-10-17",		 	 	  "Statement": [ { "Action": [ "iam:createRole",
    "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:ListRoles", "identitystore:ListUsers",
    "identitystore:ListGroups", "identitystore:CreateUser", "identitystore:CreateGroup",
    "sso:ListInstances", "sso:CreateInstance", "sso:DeleteInstance", "sso:ListTrustedTokenIssuers",
    "sso:DescribeTrustedTokenIssuer", "sso:ListApplicationAssignments",
    "sso:DescribeRegisteredRegions", "sso:GetManagedApplicationInstance",
    "sso:GetSharedSsoConfiguration", "sso:PutApplicationAssignmentConfiguration",
    "sso:CreateApplication", "sso:DeleteApplication", "sso:PutApplicationGrant",
    "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationAccessScope",
    "sso:ListDirectoryAssociations", "sso:CreateApplicationAssignment",
    "sso:DeleteApplicationAssignment", "organizations:ListDelegatedAdministrators",
    "organizations:DescribeAccount", "organizations:DescribeOrganization",
    "organizations:CreateOrganization", "sso-directory:SearchUsers", "sso-directory:SearchGroups",
    "sso-directory:CreateUser" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [
    "iam:PassRole" ], "Effect": "Allow", "Resource": [
        "arn:aws:iam::111122223333:role/service-role/AWSAthenaSQLRole-*"
    ] } ] }

Creazione di un gruppo di lavoro Athena abilitato per Centro identità IAM

La procedura seguente mostra i passaggi e le opzioni relative alla creazione di un gruppo di lavoro Athena abilitato per Centro identità IAM. Per una descrizione delle altre opzioni di configurazione disponibili per i gruppi di lavoro Athena, consulta la pagina Creare un gruppo di lavoro.

Creazione di un gruppo di lavoro abilitato per il SSO nella console Athena

  1. Aprire la console Athena all'indirizzo https://console.aws.amazon.com/athena/.

  2. Nel pannello di navigazione della console Athena, scegli Workgroups (Gruppi di lavoro).

  3. Nella pagina Gruppi di lavoro scegli Crea gruppo di lavoro.

  4. Nella pagina Crea gruppo di lavoro, in Nome gruppo di lavoro, inserisci un nome per il gruppo di lavoro.

  5. Per Motore di analisi, utilizza l'impostazione predefinita Athena SQL.

  6. Per Autenticazione, scegli Centro identità IAM.

  7. Per Ruolo di servizio per l'accesso a Centro identità IAM, scegli un ruolo di servizio esistente o creane uno nuovo.

    Athena richiede le autorizzazioni per accedere a Centro identità IAM per tuo conto. A tale scopo, Athena ha bisogno di un ruolo di servizio. Un ruolo di servizio è un ruolo IAM che autorizza un servizio AWS ad accedere ad altri servizi AWS per tuo conto. Per interrogare i cataloghi federati o eseguire UDF, aggiornare il ruolo di servizio con le autorizzazioni Lambda corrispondenti. Per ulteriori informazioni, consultare Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS nella Guida per l'utente di IAM.

  8. Espandi Configurazione dei risultati delle query, quindi inserisci o scegli un percorso Amazon S3 per Posizione del risultato delle query.

  9. (Facoltativo) Seleziona Crittografa i risultati delle query. Per impostazione predefinita, è supportato SSE-S3. Per utilizzare SSE-KMS e CSE-KMS con la posizione dei risultati delle query, fornisci le concessioni al Ruolo di servizio for IAM Identity Center da Amazon S3 Access Grants. Per ulteriori informazioni, vedi la policy del ruolo in .

  10. (Facoltativo) Seleziona Crea prefisso S3 basato sull'identità utente.

    Quando crei un gruppo di lavoro abilitato per Centro identità IAM, l'opzione Abilita S3 Access Grants è selezionata per impostazione predefinita. Puoi utilizzare Amazon S3 Access Grants per controllare l'accesso alle posizioni (prefissi) dei risultati delle query Athena in Amazon S3. Per maggiori informazioni su Amazon S3 Access Grants, consulta la pagina Managing access with Amazon S3 Access Grants.

    Nei gruppi di lavoro Athena che utilizzano l'autenticazione Centro identità IAM, puoi abilitare la creazione di posizioni dei risultati delle query basate sull'identità che sono regolate da Amazon S3 Access Grants. Questi prefissi Amazon S3 basati sull'identità utente consentono agli utenti di un gruppo di lavoro Athena di mantenere i risultati delle query isolati dagli altri utenti del medesimo gruppo di lavoro.

    Quando abiliti l'opzione del prefisso utente, Athena aggiunge l'ID utente come prefisso del percorso Amazon S3 alla posizione di output dei risultati della query per il gruppo di lavoro (ad esempio, s3://amzn-s3-demo-bucket/${user_id}). Per utilizzare questa funzionalità, devi configurare Access Grants in modo da concedere soltanto all'utente l'autorizzazione alla posizione che ha il prefisso user_id. Per un esempio di policy del ruolo di posizione di Amazon S3 Access Grants che limita l'accesso ai risultati delle query Athena, consultare eliminare la policy del ruolo.

    Nota

    La selezione dell'opzione del prefisso S3 dell'identità utente abilita automaticamente l'opzione di sovrascrittura delle impostazioni lato client per il gruppo di lavoro, come descritto nel passaggio successivo. L'opzione di sovrascrittura delle impostazioni lato client è un requisito per la funzionalità del prefisso dell'identità utente.

  11. Espandi Impostazioni, quindi verifica che sia selezionata l'opzione Sovrascrivi le impostazioni lato client.

    Quando si seleziona Sovrascrivi le impostazioni lato client, le impostazioni del gruppo di lavoro vengono applicate a livello di gruppo di lavoro per tutti i client nel gruppo stesso. Per ulteriori informazioni, consulta Override client-side settings (Ignora impostazioni lato client).

  12. (Facoltativo) Effettua tutte le altre impostazioni di configurazione necessarie come descritto in Creare un gruppo di lavoro.

  13. Selezionare Create workgroup (Crea gruppo di lavoro).

  14. Utilizza la sezione Workgroups della console Athena per assegnare utenti o gruppi dalla propria directory IAM Identity Center al proprio gruppo di lavoro Athena abilitato per IAM Identity Center.

L'esempio seguente mostra una policy per un ruolo da associare a una posizione Amazon S3 Access Grants che limita l'accesso ai risultati delle query Athena.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:*"
            ],
            "Condition": {
                "ArnNotEquals": {
                    "s3:AccessGrantsInstanceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
                },
                "StringNotEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            },
            "Effect": "Deny",
            "Resource": "*",
            "Sid": "ExplicitDenyS3"
        },
        {
            "Action": [
                "kms:*"
            ],
            "Effect": "Deny",
            "NotResource": "arn:aws:kms:us-east-1:111122223333:key/${keyid}",
            "Sid": "ExplictDenyKMS"
        },
        {
            "Action": [
                "s3:ListMultipartUploadParts",
                "s3:GetObject"
            ],
            "Condition": {
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            },
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
            "Sid": "ObjectLevelReadPermissions"
        },
        {
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload"
            ],
            "Condition": {
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
                },
                "StringEquals": {
                "aws:ResourceAccount": "111122223333"
                }
            },
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION/${identitystore:UserId}/*",
            "Sid": "ObjectLevelWritePermissions"
        },
        {
            "Action": "s3:ListBucket",
            "Condition": {
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                },
                "StringLikeIfExists": {
                    "s3:prefix": [
                        "${identitystore:UserId}",
                        "${identitystore:UserId}/*"
                    ]
                }
            },
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::ATHENA-QUERY-RESULT-LOCATION",
            "Sid": "BucketLevelReadPermissions"
        },
        {
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/${keyid}",
            "Sid": "KMSPermissions"
        }
    ]
}