Autorizar conexões com o Amazon Athena - Amazon Quick Suite
Como usar a propagação de identidade confiável com o Athena

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autorizar conexões com o Amazon Athena

Se precisar usar o Amazon Quick Sight com Amazon Athena ou o Amazon Athena Federated Query, primeiro você precisa autorizar conexões com o Athena e os buckets associados no Amazon Simple Storage Service (Amazon S3). O Amazon Athena é um serviço de consultas interativas que facilita a análise de dados diretamente no Amazon S3 usando SQL padrão. O Athena Federated Query fornece acesso a mais tipos de dados usando o. AWS Lambda Usando uma conexão do Quick Suite com o Athena, você pode escrever consultas SQL para interrogar dados armazenados em fontes de dados relacionais, não relacionais, de objetos e personalizadas. Para obter mais informações, consulte Usar a consulta federada do Amazon Athena no Guia do usuário do Amazon Athena.

Analise as seguintes considerações ao configurar o acesso ao Athena a partir do Quick Suite:

  • O Athena armazena os resultados da consulta do Amazon Quick Sight em um bucket. Por padrão, esse bucket tem um nome semelhante a aws-athena-query-results-AWSREGION-AWSACCOUNTID, por exemplo, aws-athena-query-results-us-east-2-111111111111. Portanto, é importante garantir que o Amazon Quick Sight tenha permissões para acessar o bucket que o Athena está usando atualmente.

  • Se seu arquivo de dados estiver criptografado com uma AWS KMS chave, conceda permissões à função IAM do Amazon Quick Sight para descriptografar a chave. A maneira mais fácil de fazer isso é usar a AWS CLI.

    Você pode executar a operação da API create-grant do KMS para fazer isso. AWS CLI 

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    O Amazon Resource Name (ARN) para a função Amazon Quick Suite tem o formato arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number> e pode ser acessado no console do IAM. Para encontrar o ARN da chave do KMS, use o console do S3. Acesse o bucket que contém seu arquivo de dados e escolha a guia Overview (Visão geral). A chave está localizada perto de KMS key ID (ID da chave do KMS).

  • Para conexões do Amazon Athena, Amazon S3 e Athena Query Federation, o Amazon Quick Suite usa a seguinte função do IAM por padrão: 

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    Se o não aws-quicksight-s3-consumers-role-v0 estiver presente, o Amazon Quick Suite usa:

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • Se você atribuiu políticas de redução de escopo aos seus usuários, verifique se as políticas contêm a permissão lambda:InvokeFunction. Sem essa permissão, seus usuários não podem acessar o Athena Federated Queries. Para obter mais informações sobre a atribuição de políticas do IAM aos seus usuários no Amazon Quick Suite, consulte Configuração de acesso granular aos AWS serviços por meio do IAM. Para obter mais informações sobre a InvokeFunction permissão lambda:, consulte Ações, recursos e chaves de condição AWS Lambda no Guia do usuário do IAM.

Para autorizar o Amazon Quick Suite a se conectar ao Athena ou às fontes de dados federadas do Athena

  1. (Opcional) Se você estiver usando AWS Lake Formation com o Athena, também precisará ativar o Lake Formation. Para obter mais informações, consulte Autorizando conexões por meio AWS Lake Formation de.

  2. Abra o menu do seu perfil no canto superior direito e escolha Gerenciar QuickSight. Você deve ser administrador do Amazon Quick Suite para fazer isso. Se você não vê Gerenciar QuickSight no menu do perfil, você não tem permissões suficientes.

  3. Escolha Segurança e permissões, Adicionar ou remover.

  4. Selecione a caixa ao lado de Amazon Athena, Próximo.

    Se já estiver habilitada, talvez seja necessário clicar duas vezes nela. Faça isso mesmo se o Amazon Athena já estiver habilitado, para que você possa ver as configurações. Nenhuma alteração será salva até que você selecione Atualizar no final deste procedimento.

  5. Habilite os buckets do S3 que deseja acessar.

  6. (Opcional) Para habilitar as consultas federadas do Athena, selecione as funções do Lambda que deseja usar.

    nota

    Você só pode ver as funções do Lambda para os catálogos do Athena na mesma região do Amazon Quick Suite.

  7. Para confirmar as alterações, selecione Concluir.

    Para cancelar, escolha Cancelar.

  8. Para salvar as alterações na segurança e nas permissões, selecione Atualizar.

Para testar as configurações de autorização de conexão

  1. Na página inicial do Amazon Quick Suite, escolha Conjuntos de dados, Novo conjunto de dados.

  2. Escolha o cartão do Athena.

  3. Siga as instruções na tela para criar uma nova fonte de dados do Athena usando os recursos aos quais você precisa se conectar. Escolha Validar conexão para testar a conexão.

  4. Se a conexão for validada, você configurou com êxito uma conexão do Athena ou do Athena Federated Query.

    Se você não tiver permissões suficientes para se conectar a um conjunto de dados do Athena ou executar uma consulta do Athena, será exibido um erro solicitando que você entre em contato com um administrador do Amazon Quick Suite. Esse erro significa que é necessário verificar novamente as configurações de autorização de conexão para encontrar a discrepância.

  5. Depois de se conectar com sucesso, você ou seus autores do Amazon Quick Suite podem criar conexões de fontes de dados e compartilhá-las com outros autores do Amazon Quick Suite. Os autores podem então criar vários conjuntos de dados a partir das conexões, para usar nos painéis do Amazon Quick Suite.

    Para obter informações sobre solução de problemas no Athena, consulte Problemas de conectividade ao usar o Athena com o Amazon Quick Suite.

Como usar a propagação de identidade confiável com o Athena

A propagação de identidade confiável fornece aos AWS serviços acesso a AWS recursos com base no contexto de identidade do usuário e compartilha com segurança a identidade desse usuário com outros serviços. AWS Esses recursos permitem que o acesso dso usuários seja mais facilmente definido, concedido e registrado em log.

Quando os administradores configuram o Quick Suite, o Athena, o Amazon S3 Access Grants AWS Lake Formation e o IAM Identity Center, agora eles podem habilitar a propagação confiável de identidade nesses serviços e permitir que a identidade do usuário seja propagada entre os serviços. Quando os dados são acessados do Quick Suite por um usuário do IAM Identity Center, o Athena ou o Lake Formation podem tomar decisões de autorização usando as permissões definidas para a associação de usuários ou grupos pelo provedor de identidade da organização.

A propagação de identidade confiável com o Athena só funciona quando as permissões são gerenciadas por meio do Lake Formation. As permissões de usuário para os dados residem no Lake Formation.

Pré-requisitos

Antes de começar a usar, certifique-se de cumprir os pré-requisitos necessários apresentados a seguir.

Importante

Ao preencher os pré-requisitos a seguir, observe que sua instância do IAM Identity Center, o grupo de trabalho do Athena, o Lake Formation e os Amazon S3 Access Grants devem ser todos implantados na mesma região. AWS

  • Configure sua conta do Quick Suite com o IAM Identity Center. A propagação de identidade confiável só é compatível com contas do Quick Suite integradas ao IAM Identity Center. Para obter mais informações, consulte Configure sua conta do Amazon Quick Suite com o IAM Identity Center.

    nota

    Para criar fontes de dados do Athena, você deve ser um usuário (autor) do IAM Identity Center em uma conta do Quick Suite que usa o IAM Identity Center.

  • Um grupo de trabalho do Athena habilitado para o Centro de Identidade do IAM. O grupo de trabalho do Athena que você usa deve estar usando a mesma instância do IAM Identity Center da conta do Quick Suite. Para obter mais informações sobre como configurar um grupo de trabalho do Athena, consulte Criação de um grupo de trabalho do Athena habilitado para o Centro de Identidade do IAM no Guia do usuário do Amazon Athena.

  • O acesso ao bucket de resultados de consultas do Athena é gerenciado com a Concessão de Acesso do Amazon S3. Para obter mais detalhes, consulte Gerenciar o acesso com a Concessão de Acesso do Amazon S3 no Guia do usuário do Amazon S3. Se os resultados da sua consulta forem criptografados com uma AWS KMS chave, a função Amazon S3 Access Grant IAM e a função de grupo de trabalho Athena precisam de permissões para. AWS KMS

  • As permissões para os dados devem ser gerenciadas com o Lake Formation e o Lake Formation deve ser configurado com a mesma instância do IAM Identity Center do Quick Suite e do grupo de trabalho do Athena. Para obter informações sobre a configuração, consulte Integrating IAM Identity Center no Guia do desenvolvedor do AWS Lake Formation .

  • O administrador do data lake precisa conceder permissões aos usuários e grupos do Centro de Identidade do IAM no Lake Formation. Para obter mais detalhes, consulte Granting permissions to users and groups no Guia do desenvolvedor do AWS Lake Formation .

  • O administrador do Quick Suite precisa autorizar conexões com o Athena. Para obter detalhes, consulte Autorizar conexões com o Amazon Athena. Observe que, com a propagação de identidade confiável, você não precisa conceder permissões ou permissões AWS KMS de bucket do Amazon S3 à função Quick Suite. Você precisa manter seus usuários e grupos que têm permissões para o grupo de trabalho no Athena sincronizados com o bucket do Amazon S3 que armazena os resultados das consultas com as permissões da Concessão de Acesso do Amazon S3, para que os usuários possam executar consultas e recuperar resultados de consultas com êxito no bucket do Amazon S3 usando a propagação de identidade confiável.

Configurar perfil do IAM com as permissões necessárias

Para usar a propagação de identidade confiável com o Athena, sua conta do Quick Suite deve ter as permissões necessárias para acessar seus recursos. Para fornecer essas permissões, você deve configurar sua conta do Quick Suite para usar uma função do IAM com as permissões.

Se sua conta do Quick Suite já estiver usando uma função personalizada do IAM, você pode modificá-la. Se você não tiver um perfil do IAM existente, crie um seguindo as instruções em Criar um perfil para um usuário do IAM no Guia do usuário do IAM.

O perfil do IAM que você cria ou modifica deve conter as permissões e políticas de confiança a seguir.

Política de confiança necessária

Para obter informações sobre como atualizar a política de confiança de um perfil do IAM, consulte Atualizar a política de confiança de um perfil.

Permissões obrigatórias do Athena

Para obter informações sobre como atualizar a política de confiança de um perfil do IAM, consulte Atualizar permissões para um perfil.

nota

O Resource usa o curinga *. Recomendamos que você o atualize para incluir somente os recursos do Athena que você deseja usar com o Quick Suite.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}

Configure sua conta do Quick Suite para usar a função do IAM

Depois de configurar a função do IAM na etapa anterior, você deve configurar sua conta do Quick Suite para usá-la. Para obter informações sobre como fazer isso, consulte Usando funções existentes do IAM no Quick Suite.

Atualize a configuração de propagação de identidade com o AWS CLI

Para autorizar o Quick Suite a propagar identidades de usuários finais para grupos de trabalho do Athena, execute a seguinte update-identity-propagation-config API a partir do, substituindo os seguintes valores: AWS CLI

  • us-west-2Substitua pela AWS região em que sua instância do IAM Identity Center está.

  • Substitua 111122223333 pelo ID de sua conta da AWS .

aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333

Crie um conjunto de dados do Athena no Quick Suite

Agora, crie um conjunto de dados do Athena no Quick Suite configurado com o grupo de trabalho do Athena habilitado para o IAM Identity Center ao qual você deseja se conectar. Para obter informações sobre como criar um conjunto de dados do Athena, consulte Como criar um conjunto de dados usando dados do Amazon Athena.

Principais destaques, considerações e limites

A lista a seguir contém algumas considerações importantes ao usar a propagação de identidade confiável com o Quick Suite e o Athena.

  • As fontes de dados do Quick Suite Athena que usam propagação de identidade confiável têm as permissões do Lake Formation avaliadas em relação ao usuário final do IAM Identity Center e aos grupos do IAM Identity Center aos quais o usuário pode pertencer.

  • Ao usar fontes de dados do Athena que usam propagação de identidade confiável, recomendamos que qualquer controle de acesso ajustado seja feito no Lake Formation. No entanto, se você optar por usar o recurso de política de redução de escopo do Quick Suite, as políticas de redução de escopo serão avaliadas em relação ao usuário final.

  • Os seguintes recursos estão desabilitados para fontes de dados e conjuntos de dados que usam a propagação de identidade confiável: conjuntos de dados SPICE, SQL personalizado em fontes de dados, alertas de limite, relatórios por e-mail, Q Topics, histórias, cenários, exportações de CSV, Excel e PDF, detecção de anomalias.

  • Se você experimentar alta latência ou tempos limite, pode ser devido a uma combinação de um grande número de grupos do Centro de Identidade do IAM, bancos de dados do Athena, tabelas e regras do Lake Formation. Recomendamos tentar usar apenas o número necessário desses recursos.