Amazon Athena에 대한 연결 승인 - Amazon Quick Suite
Athena를 사용하여 신뢰할 수 있는 ID 전파 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Athena에 대한 연결 승인

Amazon Athena 또는 Amazon Athena 페더레이션 쿼리와 함께 Amazon Quick Sight를 사용해야 하는 경우 먼저 Amazon Simple Storage Service(Amazon S3)의 Athena 및 관련 버킷에 대한 연결을 승인해야 합니다. Amazon Athena는 표준 SQL을 사용해 Amazon S3에 저장된 데이터를 직접 간편하게 분석할 수 있는 대화식 쿼리 서비스입니다. Athena 페더레이션 쿼리는를 사용하여 더 많은 유형의 데이터에 대한 액세스를 제공합니다 AWS Lambda. Quick Suite에서 Athena로의 연결을 사용하여 SQL 쿼리를 작성하여 관계형, 비관계형, 객체 및 사용자 지정 데이터 소스에 저장된 데이터를 조사할 수 있습니다. 자세한 내용은 Amazon Athena 사용 설명서의 Amazon Athena 페더레이션 쿼리 사용을 참조하십시오.

Quick Suite에서 Athena에 대한 액세스를 설정할 때 다음 고려 사항을 검토하세요.

  • Athena는 Amazon Quick Sight의 쿼리 결과를 버킷에 저장합니다. 기본적으로 이 버킷의 이름은 aws-athena-query-results-AWSREGION-AWSACCOUNTID와(과) 유사합니다. aws-athena-query-results-us-east-2-111111111111을(를) 예로 들 수 있습니다. 따라서 Amazon Quick Sight에 현재 사용 중인 버킷 Athena에 액세스할 수 있는 권한이 있는지 확인하는 것이 중요합니다.

  • 데이터 파일이 AWS KMS 키로 암호화된 경우 Amazon Quick Sight IAM 역할에 키를 해독할 수 있는 권한을 부여합니다. 이 작업을 수행할 수 있는 가장 쉬운 방법은 AWS CLI를 사용하는 것입니다.

    에서 KMS 생성 권한 부여 API 작업을 실행 AWS CLI 하여이 작업을 수행할 수 있습니다.

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    Amazon Quick Suite 역할의 Amazon 리소스 이름(ARN)은 형식이며 IAM 콘솔에서 액세스할 arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number> 수 있습니다. KMS 키 ARN을 찾으려면 S3 콘솔을 사용합니다. 데이터 파일이 포함된 버킷으로 이동해 개요 탭을 선택합니다. 이 키는 KMS key ID 옆에 있습니다.

  • Amazon Athena, Amazon S3 및 Athena 쿼리 페더레이션 연결의 경우 Amazon Quick Suite는 기본적으로 다음 IAM 역할을 사용합니다.

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    aws-quicksight-s3-consumers-role-v0이 없는 경우 Amazon Quick Suite는 다음을 사용합니다.

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • 범위 축소 정책을 사용자에게 할당한 경우 정책에 lambda:InvokeFunction 권한이 포함되어 있는지 확인하십시오. 이 권한이 없으면 사용자는 Athena 페더레이션 쿼리에 액세스할 수 없습니다. Amazon Quick Suite의 사용자에게 IAM 정책을 할당하는 방법에 대한 자세한 내용은 IAM을 통한 AWS 서비스에 대한 세분화된 액세스 설정을 참조하세요. Lambda:InvokeFunction 권한에 대한 자세한 내용은 IAM 사용 설명서의 AWS Lambda에 대한 작업, 리소스 및 조건 키를 참조하십시오.

Amazon Quick Suite가 Athena 또는 Athena 페더레이션 데이터 소스에 연결하도록 승인하려면

  1. (선택 사항) Athena AWS Lake Formation 에서를 사용하는 경우 Lake Formation도 활성화해야 합니다. 자세한 내용은를 통한 연결 권한 부여를 참조하세요 AWS Lake Formation.

  2. 오른쪽 상단에서 프로필 메뉴를 열고 QuickSight 관리를 선택합니다. 이렇게 하려면 Amazon Quick Suite 관리자여야 합니다. 프로필 메뉴에 QuickSight 관리가 표시되지 않으면 권한이 충분하지 않은 것입니다.

  3. 보안 및 권한, 추가 또는 제거를 선택합니다.

  4. 다음으로 Amazon Athena 근처의 상자를 선택합니다.

    이미 활성화되어 있다면 두 번 클릭해야 할 수도 있습니다. Amazon Athena가 이미 활성화된 경우에도 이렇게 하면 설정을 볼 수 있습니다. 이 절차를 마친 후 업데이트를 선택하기 전까지는 변경 내용이 저장되지 않습니다.

  5. 액세스하려는 S3 버킷을 활성화합니다.

  6. (선택 사항) Athena와 통합 쿼리를 활성화하려면 사용하려는 Lambda 함수를 선택합니다.

    참고

    Amazon Quick Suite의 동일한 리전에 있는 Athena 카탈로그에 대한 Lambda 함수만 볼 수 있습니다.

  7. 변경 사항을 확정하려면 마침을 선택합니다.

    취소하려면 취소를 선택합니다.

  8. 보안 및 권한에 대한 변경 사항을 저장하려면 업데이트를 선택합니다.

연결 권한 부여 설정을 테스트하기

  1. Amazon Quick Suite 시작 페이지에서 데이터 세트, 새 데이터 세트를 선택합니다.

  2. Athena 카드를 선택합니다.

  3. 화면 지시에 따라 연결해야 하는 리소스를 사용하여 새 Athena 데이터 소스를 생성합니다. 연결 검증을 선택하여 연결을 테스트합니다.

  4. 연결이 확인되면 Athena 또는 Athena 페더레이션 쿼리 연결을 성공적으로 구성한 것입니다.

    Athena 데이터 세트에 연결하거나 Athena 쿼리를 실행할 수 있는 충분한 권한이 없는 경우 Amazon Quick Suite 관리자에게 문의하라는 오류가 표시됩니다. 이 오류는 불일치를 찾기 위해 연결 권한 부여 설정을 다시 확인해야 함을 의미합니다.

  5. 성공적으로 연결하면 사용자 또는 Amazon Quick Suite 작성자가 데이터 소스 연결을 생성하고 다른 Amazon Quick Suite 작성자와 공유할 수 있습니다. 그런 다음 작성자는 연결에서 여러 데이터 세트를 생성하여 Amazon Quick Suite 대시보드에 사용할 수 있습니다.

    Athena에 대한 문제 해결 정보는 Amazon Quick Suite와 함께 Athena를 사용할 때 발생하는 연결 문제를 참조하세요.

Athena를 사용하여 신뢰할 수 있는 ID 전파 사용

신뢰할 수 있는 자격 증명 전파는 AWS 서비스에 사용자의 자격 증명 컨텍스트를 기반으로 AWS 리소스에 대한 액세스 권한을 부여하고이 사용자의 자격 증명을 다른 AWS 서비스와 안전하게 공유합니다. 이러한 기능을 사용하면 사용자 액세스를 더 쉽게 정의, 부여 및 로그할 수 있습니다.

관리자가 IAM Identity Center AWS Lake Formation 를 사용하여 Quick Suite, Athena, Amazon S3 Access Grants 및를 구성하면 이제 이러한 서비스에서 신뢰할 수 있는 자격 증명 전파를 활성화하고 사용자의 자격 증명이 서비스 간에 전파되도록 할 수 있습니다. IAM Identity Center 사용자가 Quick Suite에서 데이터에 액세스하면 Athena 또는 Lake Formation은 조직의 자격 증명 공급자의 사용자 또는 그룹 멤버십에 대해 정의된 권한을 사용하여 권한 부여 결정을 내릴 수 있습니다.

Athena에서 신뢰할 수 있는 ID 전파는 Lake Formation을 통해 권한을 관리하는 경우에만 작동합니다. 데이터에 대한 사용자 권한은 Lake Formation에 있습니다.

사전 조건

시작하기 전에 다음 필수 사전 조건을 충족하는지 확인합니다.

중요

다음 사전 조건을 완료하면 IAM Identity Center 인스턴스, Athena 작업 그룹, Lake Formation 및 Amazon S3 Access Grants가 모두 동일한 AWS 리전에 배포되어야 합니다.

  • IAM Identity Center를 사용하여 Quick Suite 계정을 구성합니다. 신뢰할 수 있는 자격 증명 전파는 IAM Identity Center와 통합된 Quick Suite 계정에서만 지원됩니다. 자세한 내용은 IAM Identity Center를 사용하여 Amazon Quick Suite 계정 구성 단원을 참조하십시오.

    참고

    Athena 데이터 소스를 생성하려면 IAM Identity Center를 사용하는 Quick Suite 계정의 IAM Identity Center 사용자(작성자)여야 합니다.

  • IAM Identity Center에서 활성화된 Athena 작업 그룹. 사용하는 Athena 작업 그룹은 Quick Suite 계정과 동일한 IAM Identity Center 인스턴스를 사용해야 합니다. Athena 작업 그룹 구성에 대한 자세한 내용은 Amazon Athena 사용 설명서IAM Identity Center 지원 Athena 작업 그룹 생성을 참조하세요.

  • Athena 쿼리 결과 버킷에 대한 액세스는 Amazon S3 Access Grants에서 관리됩니다. 자세한 내용은 Amazon S3 사용 설명서Amazon S3 Access Grants를 통한 액세스 관리를 참조하세요. 쿼리 결과가 AWS KMS 키로 암호화된 경우 Amazon S3 Access Grant IAM 역할과 Athena 작업 그룹 역할에 모두 권한이 필요합니다 AWS KMS.

    • 자세한 내용은 Amazon S3 사용 설명서의 Amazon S3 Access Grants 및 기업 디렉터리 ID를 참조하세요.

    • Amazon S3 Access Grant 역할에는 ID 전파를 위해 신뢰 정책에 STS:SetContext 작업이 있어야 합니다. 예제를 보려면 Amazon S3 사용 설명서의 위치 등록을 참조하세요.

  • 데이터에 대한 권한은 Lake Formation으로 관리해야 하며 Lake Formation은 Quick Suite 및 Athena 작업 그룹과 동일한 IAM Identity Center 인스턴스로 구성해야 합니다. 구성 정보는 AWS Lake Formation 개발자 안내서의 Integrating IAM Identity Center를 참조하십시오.

  • 데이터 레이크 관리자는 Lake Formation의 IAM Identity Center 사용자 및 그룹에 권한을 부여해야 합니다. 자세한 내용은 AWS Lake Formation 개발자 안내서Granting permissions to users and groups를 참조하세요.

  • Quick Suite 관리자는 Athena에 대한 연결을 승인해야 합니다. 자세한 내용은 Amazon Athena에 대한 연결 승인을 참조하세요. 신뢰할 수 있는 자격 증명 전파를 사용하면 Quick Suite 역할에 Amazon S3 버킷 권한 또는 AWS KMS 권한을 부여할 필요가 없습니다. 사용자가 신뢰할 수 있는 ID 전파를 사용하여 Amazon S3 버킷에서 쿼리를 성공적으로 실행하고 쿼리 결과를 검색할 수 있도록 Athena의 작업 그룹에 대한 권한이 있는 사용자 및 그룹을 Amazon S3 Access Grants 권한으로 쿼리 결과를 저장하는 Amazon S3 버킷과 동기화된 상태로 유지해야 합니다.

필요한 권한으로 IAM 역할 구성

Athena에서 신뢰할 수 있는 자격 증명 전파를 사용하려면 Quick Suite 계정에 리소스에 액세스하는 데 필요한 권한이 있어야 합니다. 이러한 권한을 제공하려면 권한이 있는 IAM 역할을 사용하도록 Quick Suite 계정을 구성해야 합니다.

Quick Suite 계정이 이미 사용자 지정 IAM 역할을 사용하고 있는 경우 해당 역할을 수정할 수 있습니다. 기존 IAM 역할이 없는 경우 IAM 사용 설명서IAM 사용자 역할 생성의 지침에 따라 역할을 생성합니다.

생성하거나 수정하는 IAM 역할에는 다음과 같은 신뢰 정책 및 권한이 포함되어야 합니다.

필수 신뢰 정책

IAM 역할의 신뢰 정책 업데이트에 대한 자세한 내용은 역할 트러스트 정책 업데이트를 참조하세요.

필수 Athena 권한

IAM 역할의 신뢰 정책 업데이트에 대한 자세한 내용은 역할 권한 업데이트를 참조하세요.

참고

Resource* 와일드카드를 사용합니다. Quick Suite와 함께 사용할 Athena 리소스만 포함하도록 업데이트하는 것이 좋습니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

IAM 역할을 사용하도록 Quick Suite 계정 구성

이전 단계에서 IAM 역할을 구성한 후 이를 사용하도록 Quick Suite 계정을 구성해야 합니다. 이를 수행하는 방법에 대한 자세한 내용은 Quick Suite에서 기존 IAM 역할 사용 섹션을 참조하세요.

를 사용하여 자격 증명 전파 구성 업데이트 AWS CLI

Quick Suite가 최종 사용자 자격 증명을 Athena 작업 그룹에 전파하도록 승인하려면에서 다음 update-identity-propagation-config API를 실행하여 다음 값을 AWS CLI바꿉니다.

  • us-west-2를 IAM Identity Center 인스턴스가 있는 AWS 리전으로 바꿉니다.

  • 111122223333을 AWS 계정 ID로 바꿉니다.

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Quick Suite에서 Athena 데이터 세트 생성

이제 연결하려는 IAM Identity Center 지원 Athena 작업 그룹으로 구성된 Quick Suite에서 Athena 데이터 세트를 생성합니다. Athena 데이터세트를 생성하는 방법에 대한 자세한 내용은 Amazon Athena 데이터를 사용하여 데이터 세트 생성 섹션을 참조하세요.

주요 콜아웃, 고려 사항 및 제한

다음 목록에는 Quick Suite 및 Athena에서 신뢰할 수 있는 자격 증명 전파를 사용할 때 몇 가지 중요한 고려 사항이 포함되어 있습니다.

  • 신뢰할 수 있는 ID 전파를 사용하는 Quick Suite Athena 데이터 소스에는 IAM Identity Center 최종 사용자 및 사용자가 속할 수 있는 IAM Identity Center 그룹에 대해 평가된 Lake Formation 권한이 있습니다.

  • 신뢰할 수 있는 ID 전파를 사용하는 Athena 데이터 소스를 사용하는 경우 Lake Formation에서 미세 조정된 액세스 제어를 수행하는 것이 좋습니다. 그러나 Quick Suite의 범위 축소 정책 기능을 사용하기로 선택하면 최종 사용자에 대해 범위 축소 정책이 평가됩니다.

  • 신뢰할 수 있는 ID 전파를 사용하는 데이터 소스 및 데이터세트에서 SPICE 데이터세트, 데이터 소스의 사용자 지정 SQL, 임계치 알림, 이메일 보고서, Q 주제, 스토리, 시나리오, CSV, Excel 및 PDF 내보내기, 이상 탐지 기능은 비활성화됩니다.

  • 지연 시간이 길거나 제한 시간이 초과되는 경우 IAM Identity Center 그룹, Athena 데이터베이스, 테이블 및 Lake Formation 규칙이 많기 때문일 수 있습니다. 필요한 수의 리소스만 사용하도록 권장합니다.