Amazon Athena への接続の認可 - Amazon Quick Suite
信頼できる ID の伝播で Data API を使用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Athena への接続の認可

Amazon Athena または Amazon Athena フェデレーティッドクエリで Amazon Quick Sight を使用する必要がある場合は、まず Amazon Simple Storage Service (Amazon S3) で Athena および関連するバケットへの接続を承認する必要があります。Amazon Athena はインタラクティブなクエリサービスで、Amazon S3 内のデータをスタンダード SQL を使用して直接、簡単に分析します。Athena フェデレーティッドクエリは、 を使用してより多くのタイプのデータにアクセスできます AWS Lambda。Quick Suite から Athena への接続を使用すると、SQL クエリを記述して、リレーショナルデータソース、非リレーショナルデータソース、オブジェクトデータソース、カスタムデータソースに保存されているデータを調査できます。詳細については、「Amazon Athena ユーザーガイド」の「Amazon Athena 横串検索の使用」を参照してください。

Quick Suite から Athena へのアクセスを設定するときは、次の考慮事項を確認してください。

  • Athena は Amazon Quick Sight のクエリ結果をバケットに保存します。デフォルトでは、このバケットには aws-athena-query-results-us-east-2-111111111111 のような aws-athena-query-results-AWSREGION-AWSACCOUNTID に似た名前が付いています。したがって、Amazon Quick Sight に Athena が現在使用しているバケットへのアクセス許可があることを確認することが重要です。

  • データファイルが AWS KMS キーで暗号化されている場合は、Amazon Quick Sight IAM ロールにキーを復号するためのアクセス許可を付与します。そのための最も簡単な方法は、 AWS CLIを使用することです。

    これを行う AWS CLI には、 で KMS create-grant API オペレーションを実行できます。

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    Amazon Quick Suite ロールの Amazon リソースネーム (ARN) は 形式arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number>であり、IAM コンソールからアクセスできます。KMS キー ARN を見つけるには、S3 コンソールを使用します。データファイルが格納されているバケットに移動し、[Overview (概要)] タブを選択します。キーは [KMS key ID (KMS キー ID)] の近くにあります。

  • Amazon Athena、Amazon S3、および Athena クエリフェデレーション接続の場合、Amazon Quick Suite はデフォルトで次の IAM ロールを使用します。

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    が存在しない場合、Amazon Quick Suite aws-quicksight-s3-consumers-role-v0は以下を使用します。

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • ユーザーにスコープダウンポリシーを割り当てた場合は、ポリシーにlambda:InvokeFunctionアクセス許可。この権限がないと、ユーザーは Athena フェデレーションクエリにアクセスできません。Amazon Quick Suite のユーザーに IAM ポリシーを割り当てる方法の詳細については、「IAM を介した AWS サービスへのきめ細かなアクセスの設定」を参照してください。Lambda: InvokeFunction アクセス許可の詳細については、アクション、リソース、条件キー AWS LambdaIAM ユーザーガイドでご参照ください。

Amazon Quick Suite が Athena または Athena フェデレーティッドデータソースに接続することを許可するには

  1. (オプション) Athena AWS Lake Formation で を使用している場合は、Lake Formation も有効にする必要があります。詳細については、「 を介した接続の承認 AWS Lake Formation」を参照してください。

  2. 右上のプロファイルメニュー を開いて、[Manage QuickSight (QuickSight の管理)] を選択します。これを行うには、Amazon Quick Suite 管理者である必要があります。表示されない場合は、プロファイルメニューのManage QuickSight (QuickSight の管理) へアクセスするのに十分なアクセス許可がありません。

  3. [Security & Permissions (セキュリティとアクセス許可)] で、[Add or remove (追加または削除)] を選択します。

  4. Amazon Athena の近くのボックスで、[Next (次へ)] を選択します。

    既に有効になっている場合は、ダブルクリックする必要があります。Amazon Athena がすでに有効になっている場合でもこれを実行し、設定を表示できるようにしてください。この手順の最後にある [Update (更新)] を選択するまで、変更は保存されません。

  5. アクセスする S3 バケットを有効にします。

  6. (オプション) Athena 横串検索を有効にするには、使用する Lambda 関数を選択します。

    注記

    Athena カタログの Lambda 関数は、Amazon Quick Suite の同じリージョンでのみ表示できます。

  7. [Finish (完了)] を選択し、変更を保存します。

    キャンセルするには、[Cancel (キャンセル)] を選択します。

  8. セキュリティおよびアクセス許可の変更を保存するには、[Update (更新)] を選択します。

接続認可設定をテストするには

  1. Amazon Quick Suite の開始ページから、データセット新しいデータセットを選択します。

  2. Athena カードを選択する。

  3. 画面のプロンプトに従って、接続する必要のあるリソースを使用して新しい Athena データソースを作成します。[Validate connection (接続を検証)] を選択して、接続を検証します。

  4. 接続が検証されると、Athena または Athena 横串検索の接続が設定されます。

    Athena データセットに接続したり、Athena クエリを実行したりするのに十分なアクセス許可がない場合は、Amazon Quick Suite 管理者に連絡するように指示するエラーが表示されます。このエラーは、不一致を見つけるために接続認可設定を再確認する必要があることを意味します。

  5. 正常に接続できたら、ユーザーまたは Amazon Quick Suite 作成者はデータソース接続を作成し、他の Amazon Quick Suite 作成者と共有できます。その後、作成者は接続から複数のデータセットを作成し、Amazon Quick Suite ダッシュボードで使用できます。

    Athena のトラブルシューティング情報については、「Amazon Quick Suite で Athena を使用する場合の接続の問題」を参照してください。

信頼できる ID の伝播で Data API を使用する

信頼できる ID 伝達は、ユーザーの ID コンテキストに基づいて AWS リソースへのアクセスを AWS サービスに許可し、このユーザーの ID を他の AWS サービスと安全に共有します。これらの機能により、ユーザーアクセスをより簡単に定義、付与、記録できます。

管理者が Quick Suite、Athena、Amazon S3 Access Grants、および IAM Identity Center を設定する AWS Lake Formation と、これらのサービス間で信頼できる ID の伝播を有効にし、ユーザーの ID をサービス間で伝播できるようになりました。IAM Identity Center ユーザーが Quick Suite からデータにアクセスすると、Athena または Lake Formation は、組織の ID プロバイダーからのユーザーまたはグループのメンバーシップに定義されたアクセス許可を使用して、承認を決定できます。

Athena による信頼できる ID の伝播は、アクセス許可が Lake Formation を通じて管理されている場合にのみ機能します。データレジデンシーへのユーザーアクセス許可は Lake Formation にあります。

前提条件

開始する前に、次の前提条件を満たしていることを確認してください。

重要

次の前提条件を完了すると、IAM Identity Center インスタンス、Athena ワークグループ、Lake Formation、Amazon S3 Access Grants がすべて同じ AWS リージョンにデプロイされる必要があることに注意してください。

  • IAM Identity Center を使用して Quick Suite アカウントを設定します。信頼できる ID の伝播は、IAM Identity Center と統合された Quick Suite アカウントでのみサポートされます。詳細については、「IAM アイデンティティセンターで Amazon Quick Suite アカウントを設定する」を参照してください。

    注記

    Athena データソースを作成するには、IAM Identity Center を使用する Quick Suite アカウントの IAM Identity Center ユーザー (作成者) である必要があります。

  • IAM アイデンティティセンターが有効な Athena ワークグループ 使用する Athena ワークグループは、Quick Suite アカウントと同じ IAM Identity Center インスタンスを使用している必要があります。Athena ワークグループの設定の詳細については、「Amazon Athena ユーザーガイド」の「IAM アイデンティティセンターが有効な Athena ワークグループの作成」を参照してください。

  • Athena クエリ結果バケットへのアクセスは、Amazon S3 Access Grants で管理されます。詳細については、「Amazon S3 ユーザーガイド」の「Amazon S3 Access Grants でのアクセス管理」を参照してください。クエリ結果が AWS KMS キーで暗号化されている場合、Amazon S3 Access Grant IAM ロールと Athena ワークグループロールの両方に アクセス許可が必要です AWS KMS。

  • データへのアクセス許可は Lake Formation で管理し、Lake Formation は Quick Suite および Athena ワークグループと同じ IAM Identity Center インスタンスで設定する必要があります。設定情報については、「AWS Lake Formation デベロッパーガイドガイド」の「Integrating IAM Identity Center」を参照してください。

  • データレイク管理者は、Lake Formation の IAM アイデンティティセンターユーザーとグループにアクセス許可を付与する必要があります。詳細については、「AWS Lake Formation デベロッパーガイド」の「Granting permissions to users and groups」を参照してください。

  • Quick Suite 管理者は、Athena への接続を承認する必要があります。詳細については、「Amazon Athena への接続の認可」を参照してください。信頼できる ID 伝達では、Quick Suite ロールに Amazon S3 バケット AWS KMS のアクセス許可を付与する必要はありません。Athena のワークグループへのアクセス許可を持つユーザーとグループを Amazon S3 Access Grants のアクセス許可を持つクエリ結果を保存する Amazon S3 バケットと同期させる必要があります。これにより、ユーザーは信頼できる ID を使用して Amazon S3 バケットでクエリを正常に実行し、クエリ結果を取得できます。

必要なアクセス許可を持つ IAM ロールを設定する

Athena で信頼できる ID 伝達を使用するには、Quick Suite アカウントに リソースにアクセスするために必要なアクセス許可が必要です。これらのアクセス許可を付与するには、アクセス許可を持つ IAM ロールを使用するように Quick Suite アカウントを設定する必要があります。

Quick Suite アカウントが既にカスタム IAM ロールを使用している場合は、そのロールを変更できます。既存の IAM ロールがない場合は、「IAM ユーザーガイド」の「IAM ユーザーのロールを作成する」の手順に従って作成してください。

作成または変更する IAM ロールには、次の信頼ポリシーとアクセス許可が含まれている必要があります。

必要な信頼ポリシー

IAM ロールの信頼ポリシーの更新については、「ロール信頼ポリシーを更新する」を参照してください。

必要な Athena のアクセス許可

IAM ロールの信頼ポリシーの更新については、「ロールに対するアクセス許可を更新する」を参照してください。

注記

Resource* ワイルドカードを使用します。Quick Suite で使用する Athena リソースのみを含めるように更新することをお勧めします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

IAM ロールを使用するように Quick Suite アカウントを設定する

前のステップで IAM ロールを設定したら、それを使用するように Quick Suite アカウントを設定する必要があります。それを行う方法については、「Quick Suite での既存の IAM ロールの使用」を参照してください。

で ID 伝達設定を更新する AWS CLI

Quick Suite がエンドユーザー ID を Athena ワークグループに伝達することを許可するには、 から次の update-identity-propagation-config API を実行し AWS CLI、次の値を置き換えます。

  • us-west-2 を IAM アイデンティティセンターインスタンスがある AWS リージョンに置き換えます。

  • 111122223333 を自分の AWS アカウント ID に置き換えます。

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Quick Suite で Athena データセットを作成する

次に、接続する IAM Identity Center が有効な Athena ワークグループで設定された Quick Suite に Athena データセットを作成します。Athena データセットの作成方法の詳細については、「Amazon Athena データを使用したデータセットの作成」を参照してください。

主なコールアウト、考慮事項、制限

次のリストには、Quick Suite と Athena で信頼できる ID 伝達を使用する際の重要な考慮事項が含まれています。

  • 信頼できる ID 伝達を使用する Quick Suite Athena データソースには、IAM Identity Center エンドユーザーおよびユーザーが属する可能性のある IAM Identity Center グループに対して評価される Lake Formation アクセス許可があります。

  • 信頼できる ID 伝播を使用する Athena データソースを使用する場合は、Lake Formation で微調整されたアクセスコントロールを実行することをお勧めします。ただし、Quick Suite のスコープダウンポリシー機能を使用する場合、スコープダウンポリシーはエンドユーザーに対して評価されます。

  • 信頼できる ID 伝播を使用するデータソースとデータセットでは、SPICE データセット、データソースのカスタム SQL、しきい値アラート、E メールレポート、Q トピック、ストーリー、シナリオ、CSV、Excel、PDF エクスポート、異常検出の機能が無効になっています。

  • レイテンシーやタイムアウトが高い場合は、多数の IAM アイデンティティセンターグループ、Athena データベース、テーブル、Lake Formation ルールの組み合わせが原因である可能性があります。必要な数のリソースのみを使用することをお勧めします。