Amazon Quick Sight에서 Starburst 사용 - Amazon Quick Suite
로그인 자격 증명으로 연결OAuth 클라이언트 자격 증명으로 연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Quick Sight에서 Starburst 사용

Starburst는 대규모 병렬 처리(MPP) 쿼리 엔진인 Trino를 기반으로 구축된 모든 기능을 갖춘 데이터 레이크 분석 서비스입니다. 이 섹션을 사용하여 Amazon Quick Sight에서 Starburst로 연결하는 방법을 알아봅니다. Quick Sight와 Starburst 간의 모든 트래픽은 SSL에서 활성화됩니다. Starburst Galaxy에 연결하는 경우 Starburst Galaxy 계정에 로그인한 다음 Partner Connect를 선택한 다음 Quick Sight를 선택하여 필요한 연결 세부 정보를 얻을 수 있습니다. 호스트 이름 및 포트와 같은 정보를 볼 수 있어야 합니다. Amazon Quick Sight는 Starburst에 대한 기본 사용자 이름 및 암호 인증을 지원합니다.

Quick Sight는 Starburst 로그인 자격 증명 또는 OAuth 클라이언트 자격 증명을 사용하여 Starburst에 연결하는 두 가지 방법을 제공합니다. 다음 섹션을 사용하여 이러한 두 연결 방법에 대해 자세히 알아봅니다.

로그인 자격 증명을 사용하여 Starburst에 대한 Quick Sight 데이터 소스 연결 생성

  1. 먼저 새 데이터 세트를 생성합니다. 왼쪽 탐색 창에서 데이터를 선택한 다음 생성을 선택하고 새 데이터 세트를 선택합니다.

  2. Starburst 데이터 소스 카드를 선택합니다.

  3. Starburst 제품 유형을 선택합니다. 온프레미스 Starburst 인스턴스에 대한 Starburst Enterprise를 선택합니다. 관리형 인스턴스에 대한 Starburst Galaxy를 선택합니다.

  4. 데이터 소스 이름의 경우 Starburst 데이터 소스 연결의 설명이 포함된 이름을 입력합니다. Starburst에 연결하여 많은 데이터 세트를 생성할 수 있으므로 이름은 단순하게 유지하는 것이 좋습니다.

  5. 연결 유형에서 사용 중인 네트워크 유형을 선택합니다. 데이터를 공개적으로 공유하는 경우 퍼블릭 네트워크를 선택합니다. 데이터가 VPC 내에 있는 경우 VPC를 선택합니다. Amazon Quick Sight에서 VPC 연결을 구성하려면 Amazon Quick Sight에서 VPC 연결 구성을 참조하세요. Starburst Galaxy에는 이 연결 유형을 사용할 수 없습니다.

  6. 데이터베이스 서버의 경우 Starburst 연결 세부 정보에 지정된 호스트 이름을 입력합니다.

  7. 카탈로그의에서 Starburst 연결 세부 정보에 지정된 카탈로그를 입력합니다.

  8. 포트에는 Starburst 연결 세부 정보에 지정된 포트를 입력합니다. Starburst Galaxy의 기본값은 443입니다.

  9. 사용자 이름비밀번호에 Starburst 연결 보안 인증 정보를 입력합니다.

  10. 연결이 제대로 작동하는지 확인하려면 연결 검증을 선택합니다.

  11. 완료하고 데이터 소스를 만들려면 데이터 소스 만들기를 선택합니다.

참고

Amazon Quick Sight와 Starburst 간의 연결은 Starburst 버전 420을 사용하여 검증되었습니다.

Quick Sight와 Starburst 계정 간에 데이터 소스 연결을 성공적으로 생성한 후에는 Starburst 데이터가 포함된 데이터 세트 생성를 시작할 수 있습니다.

OAuth 클라이언트 자격 증명을 사용하여 Starburst에 대한 Quick Sight 데이터 소스 연결 생성

OAuth 클라이언트 자격 증명을 사용하여 Quick Sight APIs를 통해 Quick Sight 계정을 Starburst와 연결할 수 있습니다. OAuth는 고급 보안 요구 사항이 있는 애플리케이션에 자주 사용되는 표준 권한 부여 프로토콜입니다. OAuth 클라이언트 자격 증명을 사용하여 Starburst에 연결할 때 Quick Sight APIs 및 Quick Sight UI에서 Starburst 데이터가 포함된 데이터 세트를 생성할 수 있습니다. Starburst에서 OAuth를 구성하는 방법에 대한 자세한 내용은 OAuth 2.0 authentication을 참조하세요.

Quick Sight는 client credentials OAuth 권한 부여 유형을 지원합니다. OAuth 클라이언트 자격 증명은 machine-to-machine 통신을 위한 액세스 토큰을 얻는 데 사용됩니다. 이 방법은 클라이언트가 사용자 개입 없이 서버에 호스팅되는 리소스에 액세스해야 하는 시나리오에 적합합니다.

OAuth 2.0의 클라이언트 자격 증명 흐름에는 권한 부여 서버로 클라이언트 애플리케이션을 인증하는 데 사용할 수 있는 몇 가지 클라이언트 인증 메커니즘이 있습니다. Quick Sight는 다음 두 가지 메커니즘OAuth에 대해 Starburst 기반 클라이언트 자격 증명을 지원합니다.

  • 토큰(클라이언트 보안 암호 기반 OAuth): 보안 암호 기반 클라이언트 인증 메커니즘은 권한 부여 서버로 인증하기 위한 흐름에 권한을 부여할 수 있도록 클라이언트 자격 증명과 함께 사용됩니다. 이 인증 체계를 사용하려면 OAuth 클라이언트 앱의 client_idclient_secret을 Secrets Manager에 저장해야 합니다.

  • X509(클라이언트 프라이빗 키 JWT 기반 OAuth): X509 인증서 키 기반 솔루션은 클라이언트 보안 암호 대신 인증에 사용되는 클라이언트 인증서를 사용하여 OAuth 메커니즘에 추가 보안 계층을 제공합니다. 이 방법은 주로 프라이빗 클라이언트에서 사용되며, 프라이빗 클라이언트는 이 방법을 사용하여 두 서비스 간의 강력한 신뢰를 기반으로 권한 부여 서버를 인증합니다.

Quick Sight는 다음 자격 증명 공급자와의 OAuth 연결을 검증했습니다.

  • OKTA

  • PingFederate

Secrets Manager에 OAuth 자격 증명 저장

OAuth 클라이언트 자격 증명은 머신 간 사용 사례를 위해 제공되며 대화형으로 설계되지 않았습니다. Quick Sight와 Starburst 간에 데이터 소스 연결을 생성하려면 Secrets Manager에서 OAuth 클라이언트 앱의 보안 인증 정보가 포함된 새 보안 암호를 생성합니다. 새 보안 암호로 생성된 보안 암호 ARN을 사용하여 Quick Sight에서 Starburst 데이터가 포함된 데이터 세트를 생성할 수 있습니다. Quick Sight에서 Secrets Manager 키를 사용하는 방법에 대한 자세한 내용은 섹션을 참조하세요Quick Suite에서 데이터베이스 자격 증명 대신 AWS Secrets Manager 보안 암호 사용.

Secrets Manager에 저장해야 하는 자격 증명은 사용하는 OAuth 메커니즘에 따라 결정됩니다. X509 기반 OAuth 보안 암호에는 다음과 같은 키 및 값 페어가 필요합니다.

  • username: Starburst에 연결할 때 사용할 Starburst 계정 사용자 이름

  • client_id: OAuth 클라이언트 ID

  • client_private_key: OAuth 클라이언트 프라이빗 키

  • client_public_key: OAuth 클라이언트 인증서 퍼블릭 키 및 암호화된 알고리즘(예: {"alg": "RS256", "kid", "cert_kid"})

토큰 기반 OAuth 보안 암호에는 다음과 같은 키 및 값 페어가 필요합니다.

  • username: Starburst에 연결할 때 사용할 Starburst 계정 사용자 이름

  • client_id: OAuth 클라이언트 ID

  • client_secret: OAuth 클라이언트 보안 암호

Quick Sight APIs를 사용하여 Starburst OAuth 연결 생성

Secrets Manager에서 Starburst OAuth 보안 인증 정보가 포함된 보안 암호를 생성하고 Quick Suite 계정을 Secrets Manager에 연결한 후 Quick Sight APIs 및 SDK를 사용하여 Quick Sight와 Starburst 간에 데이터 소스 연결을 설정할 수 있습니다. 다음 예제에서는 토큰 OAuth 클라이언트 자격 증명을 사용하여 Starburst 데이터 소스 연결을 생성합니다.

{
    "AwsAccountId": "AWSACCOUNTID",
    "DataSourceId": "DATASOURCEID",
    "Name": "NAME",
    "Type": "STARBURST",
    "DataSourceParameters": {
        "StarburstParameters": {
            "Host": "STARBURST_HOST_NAME",
            "Port": "STARBURST_PORT",
            "Catalog": "STARBURST_CATALOG",
            "ProductType": "STARBURST_PRODUCT_TYPE",     
            "AuthenticationType": "TOKEN",
            "DatabaseAccessControlRole": "starburst-db-access-role-name",
            "OAuthParameters": {
              "TokenProviderUrl": "oauth-access-token-endpoint", 
              "OAuthScope": "oauth-scope",
              "IdentityProviderResourceUri" : "resource-uri",
              "IdentityProviderVpcConnectionProperties" : {
                "VpcConnectionArn": "IdP-VPC-connection-ARN"
            }
        }
    },
    "VpcConnectionProperties": {
        "VpcConnectionArn": "VPC-connection-ARN-for-Starburst"
    },
    "Credentials": {
        "SecretArn": "oauth-client-secret-ARN"
    }
}

CreateDatasource API 작업에 대한 자세한 내용은 CreateDataSource를 참조하세요.

Quick Sight와 Starburst 간의 연결이 설정되고 Quick Sight APIs 또는 SDK를 사용하여 데이터 소스가 생성되면 새 데이터 소스가 Quick Sight에 표시됩니다. Quick Sight 작성자는이 데이터 소스를 사용하여 Starburst 데이터가 포함된 데이터 세트를 생성할 수 있습니다. 테이블은 CreateDataSource API 직접 호출에서 전달되는 DatabaseAccessControlRole 파라미터에 사용된 역할을 기반으로 표시됩니다. 데이터 소스 연결이 생성될 때이 파라미터가 정의되지 않은 경우 기본 Starburst 역할이 사용됩니다.

Quick Sight와 Starburst 계정 간에 데이터 소스 연결을 성공적으로 생성한 후에는 Starburst 데이터가 포함된 데이터 세트 생성를 시작할 수 있습니다.