Amazon Athena ドライバーで信頼できる ID の伝播を使用する - Amazon Athena
主な定義考慮事項前提条件

Amazon Athena ドライバーで信頼できる ID の伝播を使用する

信頼できる ID の伝播では、データのアクセス許可管理を一元化し、サービス境界をまたいで IdP ID に基づいてリクエストを承認したいと考えている組織に適した新しい認証オプションを提供します。IAM Identity Center を使用すると、ユーザーとグループを管理し、AWS Lake Formation を使用してこれらの IdP ID のカタログリソースに対するきめ細かなアクセスコントロール許可を定義するように既存の IdP を設定できます。Athena は、データをクエリして IdP ID によるデータアクセスを監査する際に ID の伝播をサポートしているため、組織が規制要件とコンプライアンス要件を満たすのに役立ちます。

IAM Identity Center を通じて、シングルサインオン機能を備えた Java Database Connectivity (JDBC) または Open Database Connectivity (ODBC) ドライバーを使用して Athena に接続できるようになりました。PowerBI、Tableau、DBeaver などのツールから Athena にアクセスすると、ID とアクセス許可が IAM Identity Center を介して Athena に自動的に伝播されます。つまり、個別の認証ステップや認証情報管理を必要とせずに、データのクエリ時に個々のデータアクセス許可が直接適用されます。

管理者にとって、この機能は IAM Identity Center と Lake Formation を通じてアクセスコントロールを一元化し、サポートされているあらゆる分析ツールが Athena に接続する際に一貫したアクセス許可を適用できます。開始するには、組織で ID ソースとして IAM Identity Center を設定していて、ユーザーに適したデータアクセス許可を設定していることを確認します。

トピック

主な定義

  1. [アプリケーションロール] – トークンの交換、ワークグループとカスタマーマネージド AWS IAM Identity Center アプリケーション ARN の取得を行うロール。

  2. [アクセスロール] – ID 拡張認証情報を使用してカスタマーワークフローを実行するために Athena ドライバーで使用するロール。つまり、このロールはダウンストリームサービスにアクセスするために必要です。

  3. [カスタマーマネージドアプリケーション] – AWS IAM Identity Center アプリケーション。詳細については、「カスタマーマネージドアプリケーション」を参照してください。

考慮事項

  1. この機能は、信頼できる ID の伝播で Athena が一般提供されているリージョンでのみ使用できます。提供状況の詳細については、「考慮事項と誓約事項」を参照してください。

  2. JDBC と ODBC の両方をスタンドアロンドライバーとして使用するか、またはこの認証プラグインを使用して信頼できる ID の伝播に対応した任意の BI ツールまたは SQL ツールと一緒に使用できます。

前提条件

  1. AWS IAM Identity Center インスタンスが有効になっている必要があります。詳細については、「IAM Identity Center とは」を参照してください。

  2. 動作する外部 ID プロバイダーが必要であり、ユーザーまたはグループが AWS IAM Identity Center に存在する必要があります。ユーザーやグループを自動または手動で、あるいは SCIM を使用してプロビジョニングすることができます。詳細については、「SCIM を使用して外部 ID プロバイダーを IAM Identity Center にプロビジョニングする」を参照してください。

  3. カタログ、データベース、およびテーブルに対する Lake Formation アクセス許可をユーザーまたはグループに付与する必要があります。詳細については、「Athena を使用して Lake Formation に登録されたデータをクエリする」を参照してください。

  4. JDBC または ODBC ドライバーを使用して Athena クエリを実行するには、動作する BI ツールまたは SQL クライアントが必要です。