Usar a propagação de identidade confiável com drivers do Amazon Athena - Amazon Athena
Definições de chavesConsideraçõesPré-requisitos

Usar a propagação de identidade confiável com drivers do Amazon Athena

A propagação de identidade confiável fornece uma nova opção de autenticação para organizações que desejam centralizar o gerenciamento de permissões de dados e autorizar solicitações com base em sua identidade de IdP entre os limites do serviço. Com o Centro de Identidade do IAM, é possível configurar um IdP existente para gerenciar usuários e grupos e usar AWS Lake Formation para definir permissões de controle de acesso refinadas nos recursos do catálogo para essas identidades de IdP. O Athena oferece suporte à propagação de identidade ao consultar dados para auditar o acesso aos dados por identidades de IdP a fim de ajudar sua organização a atender aos requisitos regulatórios e de conformidade.

Agora você pode se conectar ao Athena usando os drivers de conectividade de banco de dados Java (JDBC) ou conectividade aberta de banco de dados (ODBC) com recursos de login único via Centro de Identidade do IAM. Quando você acessa o Athena a partir de ferramentas como PowerBI, Tableau ou DBeaver, sua identidade e permissões são propagadas automaticamente para o Athena por meio do Centro de Identidade do IAM. Isso significa que suas permissões individuais de acesso aos dados são aplicadas diretamente ao consultar dados, sem exigir etapas de autenticação separadas ou gerenciamento de credenciais.

Para administradores, esse recurso centraliza o controle de acesso por meio do Centro de Identidade do IAM e do Lake Formation, garantindo a aplicação consistente de permissões em todas as ferramentas de análise compatíveis conectadas ao Athena. Para começar, certifique-se de que sua organização tenha configurado o Centro de Identidade do IAM como sua fonte de identidade e tenha configurado as permissões de acesso aos dados apropriadas para seus usuários.

Tópicos

Definições de chaves

  1. Perfil de aplicação: perfil para trocar tokens, recuperar o grupo de trabalho e o ARN da aplicação do Centro de Identidade do AWS gerenciado pelo cliente.

  2. Perfil de acesso: perfil ser usado com drivers do Athena para executar fluxos de trabalho de clientes com credenciais aprimoradas de identidade. Isso significa que esse perfil é necessário para acessar serviços downstream.

  3. Aplicação gerenciada pelo cliente: a aplicação do Centro de I dentidade do AWS IAM. Para obter mais informações, consulte Aplicação gerenciada pelo cliente.

Considerações

  1. Esse recurso funciona somente em regiões onde o Athena geralmente está disponível com propagação de identidade confiável. Para obter mais informações sobre disponibilidade, consulte Considerações e limitações.

  2. É possível usar JDBC e ODBC como drivers autônomos ou com qualquer ferramenta de BI ou SQL com propagação de identidade confiável usando esse plug-in de autenticação.

Pré-requisitos

  1. É necessário ter uma instância do Centro de Identidade do AWS IAM habilitada. Para obter mais informações, consulte O que é o Centro de Identidade do IAM?.

  2. É necessário ter um provedor de identidade externo ativo e os usuários ou grupos devem existir no Centro de Identidade do AWS IAM. É possível provisionar seus usuários ou grupos de forma automática ou manual ou ainda via SCIM. Para obter mais informações, consulte Provisionar um provedor de identidade externo no Centro de Identidade do IAM usando SCIM.

  3. Você deve conceder Permissões do Lake Formation a usuários ou grupos para catálogos, bancos de dados e tabelas. Para obter informações, consulte Usar o Athena para consultar dados registrados no Lake Formation.

  4. É necessário ter uma ferramenta de BI ou um cliente SQL em funcionamento para executar consultas do Athena usando o driver JDBC ou ODBC.