Athena での信頼できる ID 伝達の使用 - Amazon QuickSight
前提条件必要なアクセス許可を持つ IAM ロールを設定するIAM ロールを使用するように QuickSight アカウントを設定するで ID 伝達設定を更新する AWS CLIQuickSight で Athena データセットを作成する主なコールアウト、考慮事項、制限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Athena での信頼できる ID 伝達の使用

信頼できる ID 伝達は、ユーザーの ID コンテキストに基づいて AWS リソースへのアクセスを AWS サービスに許可し、このユーザーの ID を他の AWS サービスと安全に共有します。これらの機能により、ユーザーアクセスをより簡単に定義、付与、記録できます。

管理者が QuickSight、Athena、Amazon S3 Access Grants、および IAM Identity Center を設定する AWS Lake Formation と、これらのサービス間で信頼できる ID の伝播を有効にし、ユーザーの ID をサービス間で伝播できるようになりました。IAM Identity Center ユーザーが QuickSight からデータにアクセスすると、Athena または Lake Formation は、組織の ID プロバイダーからのユーザーまたはグループのメンバーシップに定義されたアクセス許可を使用して、承認を決定できます。

Athena による信頼できる ID の伝達は、アクセス許可が Lake Formation を通じて管理されている場合にのみ機能します。データへのユーザーアクセス許可は Lake Formation にあります。

前提条件

開始する前に、以下の必須の前提条件が完了していることを確認してください。

重要

次の前提条件を完了すると、IAM Identity Center インスタンス、Athena ワークグループ、Lake Formation、Amazon S3 Access Grants がすべて同じ AWS リージョンにデプロイされる必要があることに注意してください。

  • IAM Identity Center を使用して QuickSight アカウントを設定します。信頼できる ID の伝達は、IAM アイデンティティセンターと統合されている QuickSight アカウントでのみサポートされます。詳細については、「IAM アイデンティティセンターで Amazon QuickSight アカウントを設定する」を参照してください。

    注記

    Athena データソースを作成するには、IAM Identity Center を使用する QuickSight アカウントの IAM Identity Center ユーザー (作成者) である必要があります。

  • IAM Identity Center で有効になっている Athena ワークグループ。使用する Athena ワークグループは、QuickSight アカウントと同じ IAM Identity Center インスタンスを使用している必要があります。Athena ワークグループの設定の詳細については、「Amazon Athena ユーザーガイド」の「Creating an IAM Identity Center enabled Athena workgroup」を参照してください。 Amazon Athena

  • Athena クエリ結果バケットへのアクセスは、Amazon S3 Access Grants で管理されます。詳細については、Amazon S3 ユーザーガイド」の「Amazon S3 Access Grants によるアクセスの管理」を参照してください。 Amazon S3 クエリ結果が AWS KMS キーで暗号化されている場合、Amazon S3 Access Grant IAM ロールと Athena ワークグループロールの両方に アクセス許可が必要です AWS KMS。

  • データへのアクセス許可は Lake Formation で管理する必要があり、Lake Formation は QuickSight および Athena ワークグループと同じ IAM アイデンティティセンターインスタンスで設定する必要があります。設定情報については、「AWS Lake Formation デベロッパーガイドガイド」の「Integrating IAM Identity Center」を参照してください。

  • データレイク管理者は、Lake Formation の IAM Identity Center ユーザーとグループにアクセス許可を付与する必要があります。詳細については、「 デベロッパーガイド」の「ユーザーとグループにアクセス許可を付与する」を参照してください。 AWS Lake Formation

  • QuickSight 管理者は、Athena への接続を承認する必要があります。詳細については、「Amazon Athena への接続の認可」を参照してください。信頼できる ID の伝播では、QuickSight ロールに Amazon S3 バケット AWS KMS のアクセス許可を付与する必要はありません。Athena のワークグループへのアクセス許可を持つユーザーとグループをAmazon S3 Access Grants アクセス許可を持つクエリ結果を保存する Amazon S3 バケットと同期させておく必要があります。これにより、ユーザーは信頼できる ID 伝達を使用して Amazon S3 バケットでクエリを正常に実行し、クエリ結果を取得できます。

必要なアクセス許可を持つ IAM ロールを設定する

Athena で信頼できる ID 伝達を使用するには、QuickSight アカウントに リソースにアクセスするために必要なアクセス許可が必要です。これらのアクセス許可を付与するには、アクセス許可を持つ IAM ロールを使用するように QuickSight アカウントを設定する必要があります。

QuickSight アカウントが既にカスタム IAM ロールを使用している場合は、そのロールを変更できます。既存の IAM ロールがない場合は、「IAM ユーザーガイド」の「IAM ユーザーのロールを作成する」の手順に従って作成します。

作成または変更する IAM ロールには、次の信頼ポリシーとアクセス許可が含まれている必要があります。

必要な信頼ポリシー

IAM ロールの信頼ポリシーの更新については、「ロールの信頼ポリシーの更新」を参照してください。

JSON
{ 
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QuickSightandAthenaTrust",
            "Effect": "Allow",
            "Principal": {
                "Service": "quicksight.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}

必要な Athena アクセス許可

IAM ロールの信頼ポリシーの更新については、「ロールのアクセス許可の更新」を参照してください。

注記

*ワイルドカードResourceを使用します。QuickSight で使用する Athena リソースのみを含めるように更新することをお勧めします。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

IAM ロールを使用するように QuickSight アカウントを設定する

前のステップで IAM ロールを設定したら、それを使用するように QuickSight アカウントを設定する必要があります。その方法については、「」を参照してくださいAmazon QuickSight での既存の IAM ロールの使用

で ID 伝達設定を更新する AWS CLI

QuickSight がエンドユーザー ID を Athena ワークグループに伝達することを許可するには、 から次の update-identity-propagation-config API を実行し AWS CLI、次の値を置き換えます。

  • us-west-2 を、IAM Identity Center インスタンスがある AWS リージョンに置き換えます。

  • 111122223333 を AWS アカウント ID に置き換えます。

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

QuickSight で Athena データセットを作成する

次に、接続する IAM Identity Center が有効な Athena ワークグループで設定された Athena データセットを QuickSight に作成します。Athena データセットを作成する方法については、「」を参照してくださいAmazon Athena データを使用したデータセットの作成

主なコールアウト、考慮事項、制限

次のリストには、QuickSight と Athena で信頼できる ID 伝達を使用する際の重要な考慮事項が含まれています。

  • 信頼できる ID 伝達を使用する QuickSight Athena データソースには、IAM Identity Center エンドユーザーおよびユーザーが属する可能性のある IAM Identity Center グループに対して評価される Lake Formation アクセス許可があります。

  • 信頼できる ID 伝達を使用する Athena データソースを使用する場合は、Lake Formation で微調整されたアクセスコントロールを実行することをお勧めします。ただし、QuickSight のスコープダウンポリシー機能を使用する場合、スコープダウンポリシーはエンドユーザーに対して評価されます。

  • 信頼できる ID 伝達を使用するデータソースとデータセットでは、次の機能が無効になっています。SPICE データセット、データソースのカスタム SQL、しきい値アラート、E メールレポート、Q トピック、ストーリー、シナリオ、CSV、Excel、PDF エクスポート、異常検出。

  • レイテンシーやタイムアウトが高い場合は、IAM Identity Center グループ、Athena データベース、テーブル、Lake Formation ルールの数が多いことが原因である可能性があります。必要な数のリソースのみを使用することをお勧めします。