Autorizzazione delle connessioni ad Amazon Athena - Amazon Quick Suite
Utilizzo della propagazione affidabile delle identità con Athena

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazione delle connessioni ad Amazon Athena

Se devi usare Amazon Quick Sight con Amazon Athena o Amazon Athena Federated Query, devi prima autorizzare le connessioni ad Athena e ai bucket associati in Amazon Simple Storage Service (Amazon S3). Amazon Athena è un servizio di query interattivo che semplifica l'analisi dei dati in Amazon S3 con SQL standard. Athena Federated Query fornisce l'accesso a più tipi di dati utilizzando. AWS Lambda Utilizzando una connessione da Quick Suite ad Athena, puoi scrivere query SQL per interrogare i dati archiviati in origini dati relazionali, non relazionali, a oggetti e personalizzate. Per ulteriori informazioni, consulta la sezione Utilizzo di Athena Federated Query nella Guida per l'utente di Amazon Athena.

Esamina le seguenti considerazioni quando configuri l'accesso ad Athena da Quick Suite:

  • Athena archivia i risultati delle query di Amazon Quick Sight in un bucket. Per impostazione predefinita, questo bucket ha un nome simile a aws-athena-query-results-AWSREGION-AWSACCOUNTID, ad esempio aws-athena-query-results-us-east-2-111111111111. Pertanto, è importante assicurarsi che Amazon Quick Sight disponga delle autorizzazioni per accedere al bucket attualmente utilizzato da Athena.

  • Se il tuo file di dati è crittografato con una AWS KMS chiave, concedi le autorizzazioni al ruolo IAM di Amazon Quick Sight per decrittografare la chiave. Il modo più semplice per eseguire questa operazione è utilizzare AWS CLI.

    A tale scopo, puoi eseguire l'operazione API KMS create-grant. AWS CLI 

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    L'Amazon Resource Name (ARN) per il ruolo Amazon Quick Suite ha il formato arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number> ed è accessibile dalla console IAM. Per trovare l'ARN della chiave KMS, utilizzare la console S3. Passare al bucket contenente i file di dati e scegliere la scheda Overview (Panoramica). La chiave si trova accanto a KMS key ID (ID chiave KMS).

  • Per le connessioni Amazon Athena, Amazon S3 e Athena Query Federation, Amazon Quick Suite utilizza il seguente ruolo IAM per impostazione predefinita: 

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    Se non aws-quicksight-s3-consumers-role-v0 è presente, Amazon Quick Suite utilizza:

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • Se hai assegnato policy con ambito limitato agli utenti, verifica che le policy contengano l'autorizzazione lambda:InvokeFunction. Senza questa autorizzazione, i tuoi utenti non possono accedere a Athena Federated Queries. Per ulteriori informazioni sull'assegnazione delle policy IAM agli utenti in Amazon Quick Suite, consulta Impostazione dell'accesso granulare ai AWS servizi tramite IAM. Per ulteriori informazioni su lambda: InvokeFunction autorizzazione, consulta Azioni, risorse e chiavi di condizione AWS Lambda nella Guida per l'utente IAM.

Per autorizzare Amazon Quick Suite a connettersi a fonti di dati federate Athena o Athena

  1. (Facoltativo) Se utilizzi AWS Lake Formation con Athena, devi anche abilitare Lake Formation. Per ulteriori informazioni, consulta Autorizzazione delle connessioni tramite. AWS Lake Formation

  2. Apri il menu del tuo profilo in alto a destra e scegli Gestisci QuickSight. Per eseguire questa operazione devi essere un amministratore di Amazon Quick Suite. Se non vedi Gestisci nel QuickSight menu del profilo, significa che non disponi di autorizzazioni sufficienti.

  3. In Sicurezza e autorizzazioni, seleziona Aggiungi o rimuovi.

  4. Scegli la casella accanto ad Amazon Athena, Avanti.

    Se era già abilitato, potrebbe essere necessario fare doppio clic su di esso. Esegui questa operazione anche se Amazon Athena è già abilitato, in modo da poter visualizzare le impostazioni. Nessuna modifica viene salvata finché non scegli Aggiorna al termine di questa procedura.

  5. Abilita i bucket S3 a cui desideri accedere.

  6. (Facoltativo) Per abilitare le query federate Athena, seleziona le funzioni Lambda che desideri utilizzare.

    Nota

    Puoi visualizzare le funzioni Lambda per i cataloghi Athena solo nella stessa regione di Amazon Quick Suite.

  7. Per confermare le modifiche, scegli Fine.

    Per annullare, scegliere Cancel (Annulla).

  8. Per salvare le modifiche alla sicurezza e alle autorizzazioni, scegli Aggiorna.

Test delle impostazioni di autorizzazione alla connessione

  1. Dalla pagina iniziale di Amazon Quick Suite, scegli Datasets, Nuovo set di dati.

  2. Scegli la scheda Athena.

  3. Segui le istruzioni sullo schermo per creare una nuova origine dati Athena utilizzando le risorse a cui devi connetterti. Scegli Convalida connessione per convalidare la connessione.

  4. Se la connessione viene convalidata, hai configurato correttamente una connessione Athena o Athena Federated Query.

    Se non disponi di autorizzazioni sufficienti per connetterti a un set di dati Athena o eseguire una query Athena, viene visualizzato un errore che ti invita a contattare un amministratore di Amazon Quick Suite. Questo errore indica che devi ricontrollare le impostazioni di autorizzazione della connessione per trovare la discrepanza.

  5. Dopo esserti connesso correttamente, tu o i tuoi autori di Amazon Quick Suite potete creare connessioni a sorgenti dati e condividerle con altri autori di Amazon Quick Suite. Gli autori possono quindi creare più set di dati dalle connessioni, da utilizzare nelle dashboard di Amazon Quick Suite.

    Per informazioni sulla risoluzione dei problemi su Athena, consulta Problemi di connettività quando si utilizza Athena con Amazon Quick Suite.

Utilizzo della propagazione affidabile delle identità con Athena

La propagazione affidabile dell'identità consente ai AWS servizi di accedere alle AWS risorse in base al contesto di identità dell'utente e condivide in modo sicuro l'identità dell'utente con altri servizi. AWS Queste funzionalità consentono di definire, concedere e registrare più facilmente l'accesso degli utenti.

Quando gli amministratori configurano Quick Suite, Athena, Amazon S3 Access Grants AWS Lake Formation e con IAM Identity Center, possono ora abilitare la propagazione affidabile dell'identità su questi servizi e consentire la propagazione dell'identità dell'utente tra i servizi. Quando un utente di IAM Identity Center accede ai dati da Quick Suite, Athena o Lake Formation possono prendere decisioni di autorizzazione utilizzando le autorizzazioni definite per l'appartenenza dell'utente o del gruppo dal provider di identità dell'organizzazione.

La propagazione affidabile delle identità con Athena funziona solo quando le autorizzazioni sono gestite tramite Lake Formation. Le autorizzazioni utente per i dati si trovano in Lake Formation.

Prerequisiti

Prima di iniziare, assicurati di aver soddisfatto i seguenti prerequisiti richiesti.

Importante

Una volta completati i seguenti prerequisiti, tieni presente che l'istanza IAM Identity Center, il gruppo di lavoro Athena, Lake Formation e Amazon S3 Access Grants devono essere tutti distribuiti nella stessa regione. AWS

  • Configura il tuo account Quick Suite con IAM Identity Center. La propagazione affidabile delle identità è supportata solo per gli account Quick Suite integrati con IAM Identity Center. Per ulteriori informazioni, consulta Configura il tuo account Amazon Quick Suite con IAM Identity Center.

    Nota

    Per creare sorgenti dati Athena, devi essere un utente IAM Identity Center (autore) in un account Quick Suite che utilizza IAM Identity Center.

  • Un gruppo di lavoro Athena abilitato con il Centro identità IAM. Il gruppo di lavoro Athena che utilizzi deve utilizzare la stessa istanza IAM Identity Center dell'account Quick Suite. Per maggiori informazioni sulla configurazione di un gruppo di lavoro Athena, consulta Creazione di un gruppo di lavoro Athena abilitato per il Centro identità IAM nella Guida per l'utente di Amazon Athena.

  • L'accesso al bucket di risultati delle query Athena viene gestito con Amazon S3 Access Grants. Per ulteriori informazioni, consulta Gestione degli accessi con Amazon S3 Access Grants nella Guida per l'utente di Amazon S3. Se i risultati delle query sono crittografati con una AWS KMS chiave, il ruolo IAM di Amazon S3 Access Grant e il ruolo del gruppo di lavoro Athena necessitano entrambi delle autorizzazioni. AWS KMS

  • Le autorizzazioni ai dati devono essere gestite con Lake Formation e Lake Formation devono essere configurate con la stessa istanza IAM Identity Center di Quick Suite e del gruppo di lavoro Athena. Per informazioni sulla configurazione, consulta la pagina Integrating IAM Identity Center nella Guida per gli sviluppatori di AWS Lake Formation .

  • L'amministratore del data lake deve concedere le autorizzazioni agli utenti e ai gruppi del Centro identità IAM in Lake Formation. Per maggiori dettagli, consulta la sezione Concessione delle autorizzazioni a utenti e gruppi nella Guida per gli sviluppatori di AWS Lake Formation .

  • L'amministratore di Quick Suite deve autorizzare le connessioni ad Athena. Per informazioni dettagliate, vedi Autorizzazione delle connessioni ad Amazon Athena. Tieni presente che, con la propagazione affidabile delle identità, non è necessario assegnare al ruolo di Quick Suite le autorizzazioni o le autorizzazioni del bucket Amazon S3. AWS KMS È necessario mantenere sincronizzati gli utenti e i gruppi che dispongono delle autorizzazioni per il gruppo di lavoro in Athena con il bucket Amazon S3 che archivia i risultati delle query con le autorizzazioni di Amazon S3 Access Grants in modo che gli utenti possano eseguire correttamente le query e recuperare i risultati delle query nel bucket Amazon S3 utilizzando una propagazione affidabile delle identità.

Configurare il ruolo IAM con le autorizzazioni richieste

Per utilizzare la propagazione delle identità affidabili con Athena, il tuo account Quick Suite deve disporre delle autorizzazioni necessarie per accedere alle tue risorse. Per fornire tali autorizzazioni, devi configurare il tuo account Quick Suite per utilizzare un ruolo IAM con le autorizzazioni.

Se il tuo account Quick Suite utilizza già un ruolo IAM personalizzato, puoi modificarlo. Se non disponi di un ruolo IAM esistente, creane uno seguendo le istruzioni in Creare un ruolo per un utente IAM nella Guida per l'utente IAM.

Il ruolo IAM che crei o modifichi deve contenere la policy di attendibilità e le autorizzazioni riportate di seguito.

Policy di attendibilità richiesta

Per informazioni sull'aggiornamento della policy di attendibilità di un ruolo IAM, consulta Aggiornare una policy di attendibilità del ruolo.

Autorizzazioni Athena richieste

Per informazioni sull'aggiornamento della policy di attendibilità di un ruolo IAM, consulta Aggiornare le autorizzazioni per un ruolo.

Nota

La Resource utilizza il carattere jolly *. Ti consigliamo di aggiornarlo per includere solo le risorse Athena che desideri utilizzare con Quick Suite.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Configura il tuo account Quick Suite per utilizzare il ruolo IAM

Dopo aver configurato il ruolo IAM nel passaggio precedente, devi configurare il tuo account Quick Suite per utilizzarlo. Per informazioni su come completare questa attività, consulta Utilizzo dei ruoli IAM esistenti in Quick Suite.

Aggiorna la configurazione di propagazione delle identità con AWS CLI

Per autorizzare Quick Suite a propagare le identità degli utenti finali ai gruppi di lavoro Athena, esegui la seguente update-identity-propagation-config API da, sostituendo i seguenti valori: AWS CLI

  • Sostituisci us-west-2 con la AWS regione in cui si trova l'istanza di IAM Identity Center.

  • Sostituisci 111122223333 con il tuo ID account AWS .

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Crea un set di dati Athena in Quick Suite

Ora, crea un set di dati Athena in Quick Suite configurato con il gruppo di lavoro Athena abilitato a IAM Identity Center a cui desideri connetterti. Per informazioni su come creare un set di dati Athena, consulta Creazione di un set di dati utilizzando i dati di Amazon Athena.

Richieste, considerazioni e limiti delle chiavi

L'elenco seguente contiene alcune considerazioni importanti sull'utilizzo della propagazione delle identità affidabili con Quick Suite e Athena.

  • Le fonti di dati Quick Suite Athena che utilizzano la propagazione affidabile delle identità dispongono delle autorizzazioni Lake Formation valutate rispetto all'utente finale di IAM Identity Center e ai gruppi IAM Identity Center a cui l'utente potrebbe appartenere.

  • Quando si utilizzano origini dati Athena che utilizzano la propagazione affidabile delle identità, consigliamo di eseguire qualsiasi controllo degli accessi ottimizzato in Lake Formation. Tuttavia, se scegli di utilizzare la funzionalità scope down policy di Quick Suite, le policy di scope down verranno valutate rispetto all'utente finale.

  • Le seguenti funzionalità sono disabilitate per le origini dati e i set di dati che utilizzano una propagazione affidabile delle identità: set di dati SPICE, SQL personalizzato sulle origini dati, avvisi di soglia, report e-mail, argomenti Q, storie, scenari, esportazioni in CSV, Excel e PDF, rilevamento delle anomalie.

  • Se si verificano latenze o timeout elevati, ciò può essere dovuto a una combinazione di un numero elevato di gruppi del Centro identità IAM, database Athena, tabelle e regole di Lake Formation. Ti consigliamo di provare a utilizzare solo il numero necessario di tali risorse.