"
]
}
]
}
```
------
# 使用适用于 Athena 的 CalledVia 上下文密钥
[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) 向 AWS 提交[请求](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-request)时,AWS 会将请求信息收集到*请求上下文*,以评估并授权该请求。您可以使用 JSON 策略的 `Condition` 元素将请求上下文中的键与您在策略中指定的键值进行比较。*全局条件上下文键*是带 `aws:` 前缀的条件键。
## 关于 aws:CalledVia 上下文密钥
您可以使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia) 全局条件上下文键将策略中的服务与代表 IAM 主体(用户或角色)发出请求的服务进行比较。主体向 AWS 服务 发出请求时,该服务可能会使用主体的凭证向其他服务发出后续请求。`aws:CalledVia` 键包含链中代表主体发出请求的每个服务的有序列表。
通过指定 `aws:CalledVia` 上下文键的服务主体名称,您可以将上下文键设置为特定于 AWS 服务。例如,您可以使用 `aws:CalledVia` 条件键将请求限制为仅从 Athena 发出的请求。要借助 Athena 在策略中使用 `aws:CalledVia` 条件键,您可以指定 Athena 服务主体名称 `athena.amazonaws.com`,如以下示例所示。
```
...
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
...
```
您可以使用 `aws:CalledVia` 上下文键来确保调用者只有在从 Athena 调用资源时才能访问资源(如 Lambda 函数)。
**注意**
`aws:CalledVia` 上下文键与可信身份传播功能不兼容。
## 添加可选的 CalledVia 上下文密钥,用于访问 Lambda 函数
Athena 要求调用者有 `lambda:InvokeFunction` 权限,以便调用与查询关联的 Lambda 函数。以下语句指定用户只能通过 Athena 调用 Lambda 函数。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:OneAthenaLambdaFunction",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
下例说明了将前一语句添加到策略中以允许用户运行和读取联合查询。允许执行这些操作的主体可以运行指定与联合数据来源关联的 Athena 目录的查询。但是,除非通过 Athena 调用该函数,否则主体无法访问关联的 Lambda 函数。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"athena:StartQueryExecution",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkGroupName",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action":
[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket"
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
有关 `CalledVia` 条件键的更多信息,请参阅《*IAM 用户指南*》中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
# 允许访问适用于外部配置 Hive 元存储的 Athena 数据连接器
本主题中的权限策略示例演示了需要允许的操作以及允许执行这些操作的资源。在将类似的权限策略附加到 IAM 身份之前,请仔细检查这些策略并根据您的需求修改它们。
+ [Example Policy to Allow an IAM Principal to Query Data Using Athena Data Connector for External Hive Metastore](#hive-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena Data Connector for External Hive Metastore](#hive-creating-iam)
**Example :允许 IAM 主体使用适用于外部 Hive 元存储的 Athena 数据连接器查询数据**
除了对 Athena 操作授予完全访问权限的 [AWS 托管策略:AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) 之外,还将以下策略附加到 IAM 主体。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:layer:MyAthenaLambdaLayer:*"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"
}
]
}
```
**权限说明**
| 允许的操作 | 说明 |
| --- | --- |
| "s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
| `s3` 操作允许从指定为 `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"` 的资源读取和写入到该资源,其中 *MyLambdaSpillLocation* 标识在调用的一个或多个 Lambda 函数的配置中指定的溢出存储桶。仅当您使用 Lambda 层创建自定义运行时依赖关系以减少部署时函数构件大小时,才需要 *arn:aws:lambda:\$1:*MyAWSAcctId*:layer:*MyAthenaLambdaLayer*:\$1* 资源标识符。最后一个位置的 `*` 是图层版本的通配符。 |
| "lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
| 允许查询调用 Resource 块中指定的 AWS Lambda 函数。例如 arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction,其中 MyAthenaLambdaFunction 指定要调用的 Lambda 函数的名称。如示例中所示,可以指定多个函数。 |
**Example :允许 IAM 主体创建适用于外部 Hive 元存储的 Athena 数据连接器**
除了对 Athena 操作授予完全访问权限的 [AWS 托管策略:AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) 之外,还将以下策略附加到 IAM 主体。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:ListFunctions",
"lambda:GetLayerVersion",
"lambda:InvokeFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:PublishLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:UpdateFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:DeleteFunctionConcurrency"
],
"Resource": "arn:aws:lambda:*:111122223333: function: MyAthenaLambdaFunctionsPrefix*"
}
]
}
```
**权限说明**
允许查询为 `Resource` 块中指定的 AWS Lambda 函数调用 AWS Lambda 函数。例如 `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction`,其中 *MyAthenaLambdaFunction* 指定要调用的 Lambda 函数的名称。如示例中所示,可以指定多个函数。
# 允许 Lambda 函数访问外部 Hive 元存储
要在账户中调用 Lambda 函数,您必须创建具有以下权限的角色:
+ `AWSLambdaVPCAccessExecutionRole` – [AWS Lambda 执行角色](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)权限,用于管理将函数连接到 VPC 的弹性网络接口。确保您有足够数量的可用网络接口和 IP 地址。
+ `AmazonAthenaFullAccess` – [AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) 托管式策略授予对 Athena 的完全访问权限。
+ 一个 Amazon S3 策略,该策略允许 Lambda 函数对 S3 进行写入并允许 Athena 从 S3 中进行读取。
例如,以下策略定义溢出位置 `s3:\\mybucket\spill` 的权限。
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [
"s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/spill" ] } ] }
```
------
每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 安全最佳实践*。
## 创建 Lambda 函数
要在您的账户中创建 Lambda 函数,需要函数开发权限或 `AWSLambdaFullAccess` 角色。有关更多信息,请参阅 [AWS Lambda 的基于身份的 IAM 策略](https://docs.aws.amazon.com/lambda/latest/dg/access-control-identity-based.html)。
由于 Athena 使用 AWS Serverless Application Repository 创建 Lambda 函数,因此,创建 Lambda 函数的超级用户或管理员也应具有 IAM 策略[以允许 Athena 联合查询](federated-query-iam-access.md)。
## 配置目录注册和元数据 API 操作的权限
要访问目录注册 API 和元数据 API 操作,请使用 [AmazonAthenaFullAccess 托管策略](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy)。如果您不使用 `AmazonAthenaFullAccess` 策略,请将以下 API 操作添加到您的 Athena 策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:CreateDataCatalog",
"athena:UpdateDataCatalog",
"athena:DeleteDataCatalog",
"athena:GetDatabase",
"athena:ListDatabases",
"athena:GetTableMetadata",
"athena:ListTableMetadata"
],
"Resource": [
"*"
]
}
]
}
```
------
## 跨区域调用 Lambda 函数
预设情况下,Athena 调用在同一区域中定义的 Lambda 函数。要在运行 Athena 查询的区域以外的 AWS 区域 中调用 Lambda 函数,请使用 Lambda 函数的完整 ARN。
以下示例显示欧洲地区(法兰克福)的目录如何指定美国东部(弗吉尼亚州北部)的 Lambda 函数,从而提取来自欧洲地区(法兰克福)的 Hive 元存储数据。
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
当您通过此方式指定完整 ARN 时,Athena 会对 `us-east-1` 调用 `external-hms-service-new` Lambda 函数以从 `eu-central-1` 中提取 Hive 元存储数据。
**注意**
应在运行 Athena 查询的相同 AWS 区域 中注册目录。
## 跨账户调用 Lambda 函数
有时,您可能需要从其他账户访问 Hive 元存储。例如,要运行 Hive 元存储,您可以使用 Athena 查询的账户之外的其他账户。不同的组或团队可能会在其 VPC 内使用不同的账户运行 Hive 元存储。或者,您可能希望访问来自不同的组或团队中的各个 Hive 元存储的元数据。
Athena 使用 [AWS Lambda 对跨账户访问的支持](https://aws.amazon.com/blogs/compute/easy-authorization-of-aws-lambda-functions/)来启用对 Hive 元存储的跨账户访问。
**注意**
请注意,对 Athena 的跨账户访问通常意味着对 Amazon S3 中的元数据和数据的跨账户访问。
设想以下场景:
+ 账户 `111122223333` 在 Athena 中的 us-east-1 上设置 Lambda 函数 `external-hms-service-new` 以访问 EMR 集群上运行的 Hive 元存储。
+ 账户 `111122223333` 希望允许账户 444455556666 访问 Hive 元存储数据。
为了向账户 `444455556666` 授予对 Lambda 函数 `external-hms-service-new` 的访问权限,账户 `111122223333` 使用以下 AWS CLI `add-permission` 命令。该命令设置了格式以便于阅读。
```
$ aws --profile perf-test lambda add-permission
--function-name external-hms-service-new
--region us-east-1
--statement-id Id-ehms-invocation2
--action "lambda:InvokeFunction"
--principal arn:aws:iam::444455556666:user/perf1-test
{
"Statement": "{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}"
}
```
要检查 Lambda 权限,请使用 `get-policy` 命令,如以下示例中所示。该命令设置了格式以便于阅读。
```
$ aws --profile perf-test lambda get-policy
--function-name arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
--region us-east-1
{
"RevisionId": "711e93ea-9851-44c8-a09f-5f2a2829d40f",
"Policy": "{\"Version\":\"2012-10-17\",
\"Id\":\"default\",
\"Statement\":[{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}]}"
}
```
添加权限后,您可以在定义目录 `ehms` 时对 `us-east-1` 使用 Lambda 函数的完整 ARN,如下所示:
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
有关跨区域调用的信息,请参阅本主题前面的 [跨区域调用 Lambda 函数](#hive-metastore-iam-access-lambda-cross-region-invocation)。
### 授予对数据的跨账户访问
您必须先授予对 Amazon S3 中数据的跨账户访问权限,然后才能运行 Athena 查询。您可以通过下列方式之一来执行该操作:
+ 使用[规范用户 ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html) 更新 Amazon S3 存储桶的访问控制列表策略。
+ 添加对 Amazon S3 存储桶策略的跨账户访问权限。
例如,将以下策略添加到账户 `111122223333` 中的 Amazon S3 存储桶策略以允许账户 `444455556666` 从指定的 Amazon S3 位置读取数据。
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect":
"Allow", "Principal": { "AWS":
"arn:aws:iam::444455556666:user/perf1-test"
}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::athena-test/lambda/dataset/*" } ]
}
```
------
**注意**
您可能需要向 Amazon S3 授予对数据以及 Amazon S3 溢出位置的跨账户访问权限。当响应对象的大小超过给定阈值时,Lambda 函数会使额外数据流出到溢出位置。有关示例策略,请参阅本主题的开头部分。
在当前示例中,在向 `444455556666,` 授予跨账户访问权限后,`444455556666` 可在其自己的 `account` 中使用目录 `ehms` 查询账户 `111122223333` 中定义的表。
在以下示例中,SQL Workbench 配置文件 `perf-test-1` 适用于账户 `444455556666`。查询使用目录 `ehms` 访问 Hive 元存储以及账户 `111122223333` 中的 Amazon S3 数据。
![\[在 SQL Workbench 中跨账户访问 Hive 元存储和 Amazon S3 数据。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/hive-metastore-iam-access-lambda-1.png)
# 创建连接器和 Athena 目录所需的权限
要调用 Athena `CreateDataCatalog`,您必须创建一个具有以下权限的角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"glue:TagResource",
"glue:GetConnection",
"glue:CreateConnection",
"glue:DeleteConnection",
"glue:UpdateConnection",
"serverlessrepo:CreateCloudFormationTemplate",
"serverlessrepo:GetCloudFormationTemplate",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:CreateChangeSet",
"cloudformation:DescribeAccountLimits",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate",
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:EstimateTemplateCost",
"cloudformation:ListImports",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:TagResource",
"lambda:ListFunctions",
"lambda:GetAccountSettings",
"lambda:ListEventSourceMappings",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:AddPermission",
"lambda:ListTags",
"lambda:GetAlias",
"lambda:GetPolicy",
"lambda:ListAliases",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"secretsmanager:ListSecrets",
"glue:GetCatalogs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:DeleteRolePolicy",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:CreateRole",
"iam:TagRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:PassRole",
"iam:ListRoles",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:GetPolicy",
"iam:UpdateRole"
],
"Resource": [
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
}
]
}
```
------
# 允许访问 Athena 联合查询:示例策略
本主题中的权限策略示例演示了需要允许的操作以及允许执行这些操作的资源。仔细检查这些策略并根据您的需求修改它们,然后再将它们附加到 IAM 身份。
有关将 IAM 策略添加到用户的信息,请参阅 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/) 中的 [添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
+ [Example policy to allow an IAM principal to run and return results using Athena Federated Query](#fed-using-iam)
+ [Example Policy to Allow an IAM Principal to Create a Data Source Connector](#fed-creating-iam)
**Example :允许 IAM 主体运行并使用 Athena 联合查询返回结果**
以下基于身份的权限策略允许用户或其他 IAM 主体执行使用 Athena 联合查询所需的操作。允许执行这些操作的主体可以运行指定与联合数据来源关联的 Athena 目录的查询。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Athena",
"Effect": "Allow",
"Action": [
"athena:GetDataCatalog",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkgroupName",
"arn:aws:athena:us-east-1:111122223333:datacatalog/DataCatalogName"
]
},
{
"Sid": "ListAthenaWorkGroups",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "Lambda",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyLambdaSpillBucket",
"arn:aws:s3:::MyLambdaSpillBucket/*",
"arn:aws:s3:::MyQueryResultsBucket",
"arn:aws:s3:::MyQueryResultsBucket/*"
]
}
]
}
```
**权限说明**
| 允许的操作 | 说明 |
| --- | --- |
| "athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| 运行联合查询所需的 Athena 权限。 |
| "athena:GetDataCatalog",
"athena:GetQueryExecution,"
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| 运行联合视图查询所需的 Athena 权限。视图需要 `GetDataCatalog` 操作。 |
| "lambda:InvokeFunction"
| 允许查询为 Resource 块中指定的 AWS Lambda 函数调用 AWS Lambda 函数。例如 arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction,其中 MyAthenaLambdaFunction 指定要调用的 Lambda 函数的名称。如示例中所示,可以指定多个函数。 |
| "s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
| 必须具备 `s3:ListBucket` 和 `s3:GetBucketLocation` 权限,才能访问运行 `StartQueryExecution` 的 IAM 主体的查询输出存储桶。 `s3:PutObject`、`s3:ListMultipartUploadParts` 和 `s3:AbortMultipartUpload` 允许将查询结果写入由 `arn:aws:s3:::MyQueryResultsBucket/*` 资源标识符指定的查询结果存储桶的所有子文件夹,其中 *MyQueryResultsBucket* 为 Athena 查询结果存储桶。有关更多信息,请参阅 [使用查询结果和最近查询](querying.md)。 `s3:GetObject` 允许读取指定为 `arn:aws:s3:::MyQueryResultsBucket` 的资源的查询结果和查询历史记录,其中 *MyQueryResultsBucket* 是 Athena 查询结果存储桶。 `s3:GetObject` 还允许从指定为 `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"` 的资源中读取,其中 *MyLambdaSpillPrefix* 在被调用的一个或多个 Lambda 函数的配置中指定。 |
**Example :允许 IAM 主体创建数据来源连接器**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**权限说明**
| 允许的操作 | 说明 |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| 允许创建和管理列为资源的 Lambda 函数。在此示例中,资源标识符 `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*` 中使用名称前缀,其中 `MyAthenaLambdaFunctionsPrefix` 是一组 Lambda 函数的名称中使用的共享前缀,因此它们不需要单独指定为资源。您可以指定一个或多个 Lambda 函数资源。 |
| "s3:GetObject"
| 允许读取 AWS Serverless Application Repository 所需的存储桶,如资源标识符 arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1 所指定。此存储桶可能特定于您的账户。 |
| "cloudformation:*"
| 允许创建和管理由资源 `MyCFStackPrefix` 指定的 CloudFormation 堆栈。这些堆栈和堆栈集是 AWS Serverless Application Repository 部署连接器和 UDF 的方式。 |
| "serverlessrepo:*"
| 允许在由资源标识符 arn:aws:serverlessrepo:\$1:\$1:applications/\$1 指定的 AWS Serverless Application Repository 中搜索、查看、发布和更新应用程序。 |
| "ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
| 允许创建的 Lambda 函数访问联合身份验证连接器 ECR 映像。 |
# 允许访问 Athena UDF:策略示例
本主题中的权限策略示例演示了需要允许的操作以及允许执行这些操作的资源。在将类似的权限策略附加到 IAM 身份之前,请仔细检查这些策略并根据您的需求修改它们。
+ [Example Policy to Allow an IAM Principal to Run and Return Queries that Contain an Athena UDF Statement](#udf-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena UDF](#udf-creating-iam)
**Example :允许 IAM 主体运行并返回包含 Athena UDF 语句的查询**
以下基于身份的权限策略允许用户或其他 IAM 主体执行使用 Athena UDF 语句运行查询所需的操作。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"lambda:InvokeFunction",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts",
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:athena:*:MyAWSAcctId:workgroup/MyAthenaWorkGroup",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:lambda:*:MyAWSAcctId:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:MyAWSAcctId:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
}
]
}
```
**权限说明**
| 允许的操作 | 说明 |
| --- | --- |
| "athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
| 在 `MyAthenaWorkGroup` 工作组中运行查询所需的 Athena 权限。 |
| "s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload"
| `s3:PutObject` 和 `s3:AbortMultipartUpload` 允许将查询结果写入由 `arn:aws:s3:::MyQueryResultsBucket/*` 资源标识符指定的查询结果存储桶的所有子文件夹,其中 *MyQueryResultsBucket* 是 Athena 查询结果存储桶。有关更多信息,请参阅 [使用查询结果和最近查询](querying.md)。 `s3:GetObject` 允许读取指定为 `arn:aws:s3:::MyQueryResultsBucket` 的资源的查询结果和查询历史记录,其中 *MyQueryResultsBucket* 是 Athena 查询结果存储桶。有关更多信息,请参阅 [使用查询结果和最近查询](querying.md)。 `s3:GetObject` 还允许从指定为 `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"` 的资源中读取,其中 *MyLambdaSpillPrefix* 在被调用的一个或多个 Lambda 函数的配置中指定。 |
| "lambda:InvokeFunction"
| 允许查询调用 Resource 块中指定的 AWS Lambda 函数。例如 arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction,其中 MyAthenaLambdaFunction 指定要调用的 Lambda 函数的名称。如示例中所示,可以指定多个函数。 |
**Example :允许 IAM 主体创建 Athena UDF**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**权限说明**
| 允许的操作 | 说明 |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| 允许创建和管理列为资源的 Lambda 函数。在此示例中,资源标识符 `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*` 中使用名称前缀,其中 *MyAthenaLambdaFunctionsPrefix* 是一组 Lambda 函数的名称中使用的共享前缀,因此它们不需要单独指定为资源。您可以指定一个或多个 Lambda 函数资源。 |
| "s3:GetObject"
| 允许读取 AWS Serverless Application Repository 所需的存储桶,如资源标识符 arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1 所指定。 |
| "cloudformation:*"
| 允许由资源 *MyCFStackPrefix* 指定的 CloudFormation 堆栈的创建和管理。这些堆栈和堆栈集是 AWS Serverless Application Repository 部署连接器和 UDF 的方式。 |
| "serverlessrepo:*"
| 允许在由资源标识符 arn:aws:serverlessrepo:\$1:\$1:applications/\$1 指定的 AWS Serverless Application Repository 中搜索、查看、发布和更新应用程序。 |
# 允许使用 Athena 访问机器学习
必须允许运行 Athena ML 查询的 IAM 主体对其使用的 Sagemaker 端点执行 `sagemaker:invokeEndpoint` 操作。在附加到用户身份且基于身份的权限策略中包括类似于下面的策略语句。此外,附加对 Athena 操作授予完全访问权限的 [AWS 托管策略:AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy),或者附加允许操作子集的已修改内联策略。
将示例中的 `arn:aws:sagemaker:region:AWSAcctID:ModelEndpoint` 替换为要在查询中使用的模型端点的 ARN。有关更多信息,请参阅《服务授权参考》中的 [Actions, resources, and condition keys for SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)**。
```
{
"Effect": "Allow",
"Action": [
"sagemaker:invokeEndpoint"
],
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default"
}
```
每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 安全最佳实践*。
# 启用对 Athena API 的联合访问
此部分介绍允许组织中的用户或客户端应用程序调用 Amazon Athena API 操作的联合身份访问。在这种情况下,组织的用户没有 Athena 的直接访问权限。相反,您在 AWS 外部的 Microsoft Active Directory 中管理用户凭证。Active Directory 支持 [SAML 2.0](https://wiki.oasis-open.org/security)(安全断言标记语言 2.0)。
要在此方案中对用户进行身份验证,请使用支持 SAML.2.0 的 JDBC 或 ODBC 驱动程序,访问 Active Directory 联合身份验证服务 (AD FS) 3.0 并允许客户端应用程序调用 Athena API 操作。
有关更多信息对于 AWS 的 SAML 2.0 支持,请参阅《IAM 用户指南**》中的 [关于 SAML 2.0 联合身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html)。
**注意**
特定类型的身份提供者(IdP),即 Windows Server 中包括的 Active Directory 联合身份验证服务(AD FS 3.0)支持对 Athena API 的联合访问。联合访问与 IAM Identity Center 可信身份传播功能不兼容。访问通过支持 SAML 2.0 的 JDBC 或 ODBC 驱动程序版本建立。有关更多信息,请参阅 [通过 JDBC 连接到 Amazon Athena](connect-with-jdbc.md) 和 [通过 ODBC 连接到 Amazon Athena](connect-with-odbc.md)。
**Topics**
+ [开始前的准备工作](#access-federation-before-you-begin)
+ [了解身份验证流程](#access-federation-diagram)
+ [过程:对 Athena API 启用基于 SAML 的联合访问](#access-federation-procedure)
## 开始前的准备工作
在开始之前,请满足以下先决条件:
+ 在组织中,安装并配置 ADFS 3.0 作为您的 IdP。
+ 在用于访问 Athena 的客户端上,安装和配置最新可用版本的 JDBC 或 ODBC 驱动程序。驱动程序必须包括对与 SAML 2.0 兼容的联合身份访问的支持。有关更多信息,请参阅 [通过 JDBC 连接到 Amazon Athena](connect-with-jdbc.md) 和 [通过 ODBC 连接到 Amazon Athena](connect-with-odbc.md)。
## 了解身份验证流程
下图将说明对 Athena API 进行联合访问的身份验证过程。
![\[对 Athena API 的联合访问示意图。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/athena-saml-based-federation.png)
1. 您组织中的用户使用具有 JDBC 或 ODBC 驱动程序的客户端应用程序,请求组织的 IdP 进行身份验证。该 IdP 是 ADFS 3.0。
1. IdP 根据 Active Directory(组织的身份存储)对用户进行身份验证。
1. IdP 构建一个具有用户相关信息的 SAML 断言,并将此断言通过 JDBC 或 ODBC 驱动程序发送到客户端应用程序。
1. JDBC 或 ODBC 驱动程序调用 AWS Security Token Service [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API 操作,将其传递给以下参数:
+ SAML 提供商的 ARN
+ 要代入的角色的 ARN
+ 来自 IdP 的 SAML 断言
有关更多信息,请参阅 [AWS Security Token Service API 参考](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)中的 *AssumeRoleWithSAML*。
1. 通过 JDBC 或 ODBC 驱动程序发送到客户端应用程序的 API 相应包含临时安全凭证。
1. 客户端应用程序使用临时安全凭证调用 Athena API 操作,从而允许您的用户访问 Athena API 操作。
## 过程:对 Athena API 启用基于 SAML 的联合访问
该过程在组织的 IdP 与 AWS 账户之间建立信任关系,以实现对 Amazon Athena API 操作的基于 SAML 的联合访问。
**要启用对 Athena API 的联合访问,请执行以下操作:**
1. 在组织中,将 AWS 注册为您 IdP 中的服务提供商 (SP)。此过程称为*信赖方信任*。有关更多信息,请参阅《IAM 用户指南**》中的 [使用信赖方信任配置您的 SAML 2.0 IdP](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html)。作为此任务的一部分,请执行以下步骤:
1. 从以下 URL 获取示例 SAML 元数据文档:[https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml)。
1. 在您组织的 IdP(ADFS)中,生成一个等同元数据 XML 文件,将您的 IdP 描述为 AWS 的身份提供者。您的元数据文件必须包括发布者名称、创建日期、过期日期以及 AWS 用来验证来自您组织的身份验证响应(断言)的密钥。
1. 在 IAM 控制台中,创建一个 SAML 身份提供程序实体。有关更多信息,请参阅《IAM 用户指南**》中的[创建 SAML 身份提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。作为此步骤的一部分,请执行以下操作:
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 上载此过程的第 1 步中由 IdP (ADFS) 生成的 SAML 元数据文档。
1. 在 IAM 控制台中,为您的 IdP 创建一个或多个 IAM 角色。有关更多信息,请参阅《IAM 用户指南》**中的[针对第三方身份提供程序创建角色(联合)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)。作为此步骤的一部分,请执行以下操作:
+ 在角色的权限策略中,列出允许您组织的用户在 AWS 中执行的操作。
+ 在角色的信任策略中,将在此过程第 2 步中创建的 SAML 提供商实体设置为主体。
这将在您的组织与 AWS 之间建立信任关系。
1. 在您组织的 IdP (ADFS) 中,定义可将您组织中的用户或组映射到 IAM 角色的断言。将用户和组映射到 IAM 角色也称为*断言规则*。请注意,您的组织中不同的用户和组可能映射到不同的 IAM 角色。
有关配置 ADFS 中的映射的信息,请参阅博客文章:[使用 Windows Active Directory、ADFS 和 SAML 2.0 启用 AWS 的联合身份验证](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)。
1. 安装和配置具有 SAML 2.0 支持的 JDBC 或 ODBC 驱动程序。有关更多信息,请参阅 [通过 JDBC 连接到 Amazon Athena](connect-with-jdbc.md) 和 [通过 ODBC 连接到 Amazon Athena](connect-with-odbc.md)。
1. 指定从您应用程序到 JDBC 或 ODBC 驱动程序的连接字符串。有关应用程序应使用的连接字符串的信息,请参阅《*JDBC 驱动程序安装和配置指南*》中的“*使用 Active Directory 联合身份验证服务 (ADFS) 凭证提供程序*”或《*ODBC 驱动程序安装和配置指南*》中的类似主题,可从 [通过 JDBC 连接到 Amazon Athena](connect-with-jdbc.md) 和 [通过 ODBC 连接到 Amazon Athena](connect-with-odbc.md) 主题以 PDF 格式下载。
下面大致概述了配置驱动程序的连接字符串:
1. 在 `AwsCredentialsProviderClass configuration` 中,设置 `com.simba.athena.iamsupport.plugin.AdfsCredentialsProvider`,指示您希望通过 ADFS IdP 使用基于 SAML 2.0 的身份验证。
1. 对于 `idp_host`,请提供 ADFS IdP 服务器的主机名。
1. 对于 `idp_port`,请提供 ADFS IdP 侦听 SAML 断言请求的端口号。
1. 对于 `UID` 和 `PWD`,请提供 AD 域用户凭证。在 Windows 上,如果使用驱动程序时未提供 `UID` 和 `PWD`,则驱动程序尝试获取登录到 Windows 计算机用户的用户凭证。
1. (可选)将 `ssl_insecure` 设置为 `true`。在这种情况下,驱动程序不会检查 ADFS IdP 服务器的 SSL 证书的真实性。如果没有将 ADFS IdP 的 SSL 证书配置为受驱动程序信任,则需要设置为 `true`。
1. 要启用 Active Directory 域用户或组与一个或多个 IAM 角色的映射(如此过程中第 4 步所述),请在 JDBC 或 ODBC 连接的 `preferred_role` 中,为驱动程序连接指定要代入的 IAM 角色 (ARN)。指定 `preferred_role` 是可选的,在角色不是断言规则中列出的第一个角色时非常有用。
作为此过程的结果,将发生以下操作:
1. JDBC 或 ODBC 驱动程序调用 AWS STS [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API,并向其传递断言,如[架构示意图](#access-federation-diagram)中的第 4 步所示。
1. AWS 确保代入角色的请求来自 SAML 提供商实体中引用的 IdP。
1. 如果请求成功,AWS STS [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API 操作会返回一组临时安全凭证,您的客户端应用程序即可用其向 Athena 发出已签名的请求。
现在,您的应用程序拥有当前用户的相关信息,并且可以通过编程方式访问 Athena。
# 记录和监控 Athena
要检测事件、在发生事件时接收警报并进行响应,请针对 Amazon Athena 使用以下选项:
+ **使用 AWS CloudTrail 监控 Athena** – [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/) 提供了 Athena 中的用户、角色或 AWS 服务 的操作记录。它捕获来自 Athena 控制台的调用以及以事件方式对 Athena API 操作的代码调用。您可以确定向 Athena 发出的请求、从中发出请求的 IP 地址、发出请求的用户、发出请求的时间以及其他详细信息。有关更多信息,请参阅 [使用 AWS CloudTrail 记录 Amazon Athena API 调用](monitor-with-cloudtrail.md)。
您还可以使用 Athena 查询 CloudTrail 日志文件,不仅可用于 Athena,也可用于其他 AWS 服务。有关更多信息,请参阅 [查询 AWS CloudTrail日志](cloudtrail-logs.md)。
+ **通过 CloudTrail 和 Amazon Quick 监控 Athena 使用情况**:[Amazon Quick](https://aws.amazon.com/quicksight/) 是一项完全托管式、基于云的商业智能服务,可让您创建组织可以从任何设备访问的交互式控制面板。有关使用 CloudTrail 和 Amazon Quick 监控 Athena 使用情况的解决方案的示例,请参阅 AWS 大数据博客文章 [How Realtor.com monitors Amazon Athena usage with AWS CloudTrail and Quick](https://aws.amazon.com/blogs/big-data/analyzing-amazon-athena-usage-by-teams-within-a-real-estate-company/)。
+ **将 EventBridge 与 Athena 一起使用** - Amazon EventBridge 提供近乎实时的系统事件流,这些系统事件描述 AWS 资源中的更改。EventBridge 注意到在他们发生时显示的操作更改、响应这些操作更改并在必要时采取纠正措施,方式是发送消息以响应环境、激活函数、进行更改并捕获状态信息。尽最大努力发出事件。有关更多信息,请参阅 *Amazon EventBridge 用户指南*中的 [Amazon EventBridge 入门](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html)。
+ **使用工作组分隔用户、团队、应用程序或工作负载,并设置查询限制和控制查询成本** – 您可以在 Amazon CloudWatch 中查看与查询相关的指标、通过配置扫描的数据量限制来控制查询成本、创建阈值以及在突破这些阈值时触发操作,例如 Amazon SNS 告警。有关更多信息,请参阅 [使用工作组控制查询访问和成本](workgroups-manage-queries-control-costs.md)。使用资源级别的 IAM 权限来控制对特定工作组的访问。有关更多信息,请参阅[使用 IAM 策略控制工作组访问](workgroups-iam-policy.md)和[使用 CloudWatch 和 EventBridge 监控查询并控制成本](workgroups-control-limits.md)。
**Topics**
+ [使用 AWS CloudTrail 记录 Amazon Athena API 调用](monitor-with-cloudtrail.md)
# 使用 AWS CloudTrail 记录 Amazon Athena API 调用
Athena 已与 AWS CloudTrail 集成,后者是一项提供 Athena 中由用户、角色或 AWS 服务 所采取操作的记录的服务。
CloudTrail 将 Athena 的API 调用作为事件捕获。捕获的调用包括来自 Athena 控制台的调用和对 Athena API 操作的代码调用。如果您创建跟踪,则可以使 CloudTrail 事件持续传送到 Amazon S3 存储桶(包括 Athena 的事件)。如果您不配置跟踪,则仍可在 CloudTrail 控制台中的**事件历史记录**中查看最新事件。
使用 CloudTrail 收集的信息,您可以确定向 Athena 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。
要了解有关 CloudTrail 的更多信息,请参阅《[AWS CloudTrail 用户指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)》。
您可以使用 Athena 从 Athena 本身和其他 AWS 服务 查询 CloudTrail 日志文件。有关更多信息,请参阅 [查询 AWS CloudTrail日志](cloudtrail-logs.md)、[Hive JSON SerDe](hive-json-serde.md),以及 AWS 大数据博客文章[将 CTAS 语句与 Amazon Athena 结合使用以降低成本并提高性能](https://aws.amazon.com/blogs/big-data/using-ctas-statements-with-amazon-athena-to-reduce-cost-and-improve-performance/),其中介绍了使用 CloudTrail 提供对 Athena 使用情况的洞察。
## 关于 CloudTrail 中的 Athena 信息
在您创建 Amazon Web Services 账户时,将在该账户上启用 CloudTrail。当 Athena 中发生活动时,该活动将记录在 CloudTrail 事件中,并与其他 AWS 服务事件一同保存在 **Event history**(事件历史记录)中。您可以在 Amazon Web Services 账户中查看、搜索和下载最新事件。有关更多信息,请参阅[使用 CloudTrail 事件历史记录查看事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录 Amazon Web Services 账户中的事件(包括 Athena 的事件),请创建跟踪记录。通过*跟踪*,CloudTrail 可将日志文件传送至 Amazon S3 存储桶。默认情况下,在控制台中创建跟踪记录时,此跟踪记录应用于所有 AWS 区域。此跟踪记录在 AWS 分区中记录所有区域中的事件,并将日志文件传送至您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,进一步分析在 CloudTrail 日志中收集的事件数据并采取行动。有关更多信息,请参阅下列内容:
+ [创建跟踪记录概述](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [为 CloudTrail 配置 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [从多个区域接收 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[从多个账户接收 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
所有 Athena 操作均由 CloudTrail 记录下来并记载到 [Amazon Athena API 参考](https://docs.aws.amazon.com/athena/latest/APIReference/)中。例如,对 [StartQueryExecution](https://docs.aws.amazon.com/athena/latest/APIReference/API_StartQueryExecution.html) 和 [GetQueryResults](https://docs.aws.amazon.com/athena/latest/APIReference/API_StartQueryExecution.html) 操作的调用会在 CloudTrail 日志文件中生成条目。
每个事件或日志条目都包含有关生成请求的人员信息。身份信息可帮助您确定以下内容:
+ 请求是使用根用户凭证还是 AWS Identity and Access Management(IAM)用户凭证发出的。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 AWS 服务 发出。
有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 了解 Athena 日志文件条目
跟踪记录是一种配置,可用于将事件作为日志文件传送到您指定的 Simple Storage Service(Amazon S3)存储桶。CloudTrail 日志文件包含一个或多个记录条目。一个事件表示来自任何源的一个请求,包括有关所请求的操作、操作的日期和时间、请求参数等方面的信息。CloudTrail 日志文件不是公有 API 调用的有序堆栈跟踪,因此它们不会按任何特定顺序显示。
**注意**
为防止意外泄露敏感信息,`StartQueryExecution` 和 `CreateNamedQuery` 日志中的 `queryString` 条目的值均为 `***OMITTED***`。这是设计使然。要访问实际查询字符串,可以使用 Athena [GetQueryExecution](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetQueryExecution.html) API 并传入 CloudTrail 日志中的 `responseElements.queryExecutionId` 值。
以下示例展示了 CloudTrail 日志条目:
+ [StartQueryExecution (成功)](#startqueryexecution-successful)
+ [StartQueryExecution (失败)](#startqueryexecution-failed)
+ [CreateNamedQuery](#createnamedquery)
### StartQueryExecution(成功)
```
{
"eventVersion":"1.05",
"userIdentity":{
"type":"IAMUser",
"principalId":"EXAMPLE_PRINCIPAL_ID",
"arn":"arn:aws:iam::123456789012:user/johndoe",
"accountId":"123456789012",
"accessKeyId":"EXAMPLE_KEY_ID",
"userName":"johndoe"
},
"eventTime":"2017-05-04T00:23:55Z",
"eventSource":"athena.amazonaws.com",
"eventName":"StartQueryExecution",
"awsRegion":"us-east-1",
"sourceIPAddress":"77.88.999.69",
"userAgent":"aws-internal/3",
"requestParameters":{
"clientRequestToken":"16bc6e70-f972-4260-b18a-db1b623cb35c",
"resultConfiguration":{
"outputLocation":"s3://amzn-s3-demo-bucket/test/"
},
"queryString":"***OMITTED***"
},
"responseElements":{
"queryExecutionId":"b621c254-74e0-48e3-9630-78ed857782f9"
},
"requestID":"f5039b01-305f-11e7-b146-c3fc56a7dc7a",
"eventID":"c97cf8c8-6112-467a-8777-53bb38f83fd5",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
### StartQueryExecution(失败)
```
{
"eventVersion":"1.05",
"userIdentity":{
"type":"IAMUser",
"principalId":"EXAMPLE_PRINCIPAL_ID",
"arn":"arn:aws:iam::123456789012:user/johndoe",
"accountId":"123456789012",
"accessKeyId":"EXAMPLE_KEY_ID",
"userName":"johndoe"
},
"eventTime":"2017-05-04T00:21:57Z",
"eventSource":"athena.amazonaws.com",
"eventName":"StartQueryExecution",
"awsRegion":"us-east-1",
"sourceIPAddress":"77.88.999.69",
"userAgent":"aws-internal/3",
"errorCode":"InvalidRequestException",
"errorMessage":"Invalid result configuration. Should specify either output location or result configuration",
"requestParameters":{
"clientRequestToken":"ca0e965f-d6d8-4277-8257-814a57f57446",
"queryString":"***OMITTED***"
},
"responseElements":null,
"requestID":"aefbc057-305f-11e7-9f39-bbc56d5d161e",
"eventID":"6e1fc69b-d076-477e-8dec-024ee51488c4",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
### CreateNamedQuery
```
{
"eventVersion":"1.05",
"userIdentity":{
"type":"IAMUser",
"principalId":"EXAMPLE_PRINCIPAL_ID",
"arn":"arn:aws:iam::123456789012:user/johndoe",
"accountId":"123456789012",
"accessKeyId":"EXAMPLE_KEY_ID",
"userName":"johndoe"
},
"eventTime":"2017-05-16T22:00:58Z",
"eventSource":"athena.amazonaws.com",
"eventName":"CreateNamedQuery",
"awsRegion":"us-west-2",
"sourceIPAddress":"77.88.999.69",
"userAgent":"aws-cli/1.11.85 Python/2.7.10 Darwin/16.6.0 botocore/1.5.48",
"requestParameters":{
"name":"johndoetest",
"queryString":"***OMITTED***",
"database":"default",
"clientRequestToken":"fc1ad880-69ee-4df0-bb0f-1770d9a539b1"
},
"responseElements":{
"namedQueryId":"cdd0fe29-4787-4263-9188-a9c8db29f2d6"
},
"requestID":"2487dd96-3a83-11e7-8f67-c9de5ac76512",
"eventID":"15e3d3b5-6c3b-4c7c-bc0b-36a8dd95227b",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
},
```
# 的合规性验证
作为多个 AWS 合规性计划的一部分,第三方审计员将评测安全性和合规性。这些合规性计划包括 SOC、PCI、FedRAMP 等。
有关特定合规性计划范围内的 AWS 服务 的列表,请参阅[合规性计划范围内的 AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。有关一般信息,请参阅 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)。
您可以使用 AWS Artifact 下载第三方审计报告。有关更多信息,请参阅[在 AWS Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您使用时的合规性责任取决于您数据的敏感度、贵公司的合规性目标以及适用的法律法规。AWS 提供以下资源来帮助满足合规性:
+ [安全性与合规性快速入门指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – 这些部署指南讨论了架构注意事项,并提供了在 AWS 上部署基于安全性和合规性的基准环境的步骤。
+ [Amazon Web Services 上的 HIPAA 安全性和合规性架构设计](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html)– 此白皮书介绍了公司如何使用 AWS 创建符合 HIPAA 标准的应用程序。
+ [AWS 合规性资源](https://aws.amazon.com/compliance/resources/):此业务手册和指南集合可能适用于您的行业和位置。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html):此 AWS 服务 评估您的资源配置对内部实践、行业指南和法规的遵循情况。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html):此 AWS 服务 提供了 AWS 中安全状态的全面视图,可帮助您检查是否符合安全行业标准和最佳实践规范。
# Athena 中的故障恢复能力
AWS 全球基础设施围绕 AWS 区域 和可用区构建。AWS 区域 提供多个在物理上独立且隔离的可用区,这些可用区通过延迟低、吞吐量高且冗余性高的网络连接在一起。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错性和可扩展性。
有关 AWS 区域 和可用区的更多信息,请参阅 [AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
除了 AWS 全球基础设施之外,它还提供了多种功能,以帮助支持您的数据弹性和备份需求。
Athena 是无服务器服务,因此无需设置或管理基础设施。Athena 具备高可用性,并使用多个可用区中的计算资源来运行查询,如果特定可用区无法访问,则会自动适当地路由查询。Athena 使用 Amazon S3 作为其底层数据存储,使您的数据具备高可用性和持久性。Amazon S3 提供持久性基础设施来存储重要数据,并且旨在为对象提供 99.999999999% 的持久性。您的数据以冗余方式存储在多个设施中,以及各个设施内的多个设备上。
# Athena 中的基础设施安全性
作为一项托管式服务,受 AWS 全球网络安全保护。有关 AWS 安全服务以及 AWS 如何保护基础结构的信息,请参阅 [AWS 云安全](https://aws.amazon.com/security/)。要按照基础结构安全最佳实践设计您的 AWS 环境,请参阅《安全性支柱 AWS Well‐Architected Framework》中的 [基础结构保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)**。
您可以使用 AWS 发布的 API 调用通过网络进行访问。客户端必须支持以下内容:
+ 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
使用 IAM 策略来限制对 Athena 操作的访问。每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 安全最佳实践*。
Athena [托管策略](security-iam-awsmanpol.md)易于使用,并且随着服务的发展而自动用必需操作进行更新。利用客户托管策略和内联策略,您可以通过在策略中指定更精细的 Athena 操作来微调策略。授予对数据的 Amazon S3 位置的适当访问权限。有关详细信息和如何授予 Amazon S3 访问权限的方案,请参阅 [Amazon Simple Storage Service 开发人员指南](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html) 中的 *示例演练:管理访问权限*。有关更多信息以及允许哪些 Amazon S3 操作的示例,请参阅[跨账户访问](cross-account-permissions.md)中的示例存储桶策略。
**Topics**
+ [使用接口 VPC 端点连接到 Amazon Athena](interface-vpc-endpoint.md)
# 使用接口 VPC 端点连接到 Amazon Athena
您可以通过使用 [接口 VPC 端点(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)和虚拟私有云(VPC)中的 [AWS Glue VPC 端点](https://docs.aws.amazon.com/glue/latest/dg/vpc-endpoint.html) 来提高 VPC 的安全性。接口 VPC 端点允许您控制可以从 VPC 内部连接到的目的地,从而提高安全性。每个 VPC 端点都由您的 VPC 子网中一个或多个使用私有 IP 地址的[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)(ENI)代表。
接口 VPC 端点将您的 VPC 直接连接到 Athena,而无需互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。VPC 中的实例不需要公有 IP 地址便可与 Athena API 进行通信。
要通过您的 VPC 使用 Athena,您必须从位于 VPC 中的实例进行连接,或者使用 Amazon 虚拟专用网络 (VPN) 或 Direct Connect 将您的专用网络连接到 VPC。有关 Amazon VPN 的信息,请参阅《Amazon Virtual Private Cloud 用户指南》**中的 [VPN 连接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)。有关 AWS Direct Connect 连接的更多信息,请参阅在《Direct Connect 用户指南》**中的[创建连接](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html)。
在 [Amazon VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) 和 [Athena](https://docs.aws.amazon.com/general/latest/gr/rande.html#athena) 均可用的所有 AWS 区域 中,Athena 支持 VPC 端点。
您可以创建接口 VPC 端点以使用 AWS 管理控制台 控制台或 AWS Command Line Interface(AWS CLI)命令连接到 Athena。有关更多信息,请参阅[创建接口端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
在创建接口 VPC 端点后,如果您为端点启用[私有 DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) 主机名,则默认 Athena 端点(https://athena.*Region*.amazonaws.com)将解析为您的 VPC 端点。
如果您尚未启用私有 DNS 主机名,则 Amazon VPC 将提供一个您可以使用的 DNS 端点名称,格式如下:
```
VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com
```
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[接口 VPC 端点(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。
Athena 支持调用您的 VPC 中的所有 [API 操作](https://docs.aws.amazon.com/athena/latest/APIReference/API_Operations.html)。
## 为 Athena 创建 VPC 端点策略
您可以为 Athena 的 Amazon VPC 端点创建一个策略,指定如下限制:
+ **主体** – 可执行操作的主体。
+ **操作** – 可执行的操作。
+ **资源** – 可对其执行操作的资源。
+ **仅限可信身份** - 使用 `aws:PrincipalOrgId` 条件将访问权限限制为仅限 AWS 组织中的凭证。这可以帮助防止主体非预期访问。
+ **仅限可信资源** - 使用 `aws:ResourceOrgId` 条件可防止访问非预期资源。
+ **仅限可信身份和资源** - 为 VPC 端点创建组合策略,以帮助防止访问非预期主体和资源。
有关更多信息,请参阅《*Amazon VPC 用户指南*》中的[使用 VPC 端点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)以及 AWS 白皮书*在 AWS 上构建数据边界*中的[附录 2 - VPC 端点策略示例](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/appendix-2-vpc-endpoint-policy-examples.html)。
**Example – VPC 端点策略**
以下示例允许按组织身份向组织资源发出请求,并允许 AWS 服务主体发出请求。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "my-org-id",
"aws:ResourceOrgID": "my-org-id"
}
}
},
{
"Sid": "AllowRequestsByAWSServicePrincipals",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 安全最佳实践*。
## 关于共享子网中的 VPC 端点
您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是,您可以在与您共享的子网中使用 VPC 端点。有关 VPC 共享的信息,请参阅《*Amazon VPC 用户指南*》中的[与其他账户共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。
# Athena 中的配置和漏洞分析
Athena 采用无服务器架构,因此没有基础设施要设置或管理。AWS 负责处理来宾操作系统 (OS) 和数据库补丁、防火墙配置和灾难恢复等基本安全工作。这些流程已通过相应第三方审核和认证。有关更多详细信息,请参阅以下 AWS 资源:
+ [责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [安全性、身份和合规性最佳实践](https://aws.amazon.com/architecture/security-identity-compliance/)
# 使用 Athena 查询注册到 AWS Lake Formation 的数据
通过使用 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html),您可以在使用 Athena 查询来读取存储在 Amazon S3 中的数据或通过联合数据来源访问的数据时定义和实施数据库、表和列级访问策略。Lake Formation 为存储在 Amazon S3 或联合数据目录中的数据提供授权和治理层。您可以使用 Lake Formation 中的权限层次结构来授予或撤消读取数据目录对象(如数据库、表和列)的权限。Lake Formation 简化了权限管理,并允许您为数据实现精细的访问控制 (FGAC)。
您可以使用 Athena 同时查询向 Lake Formation 注册的数据和未向 Lake Formation 注册的数据。
使用 Athena 从注册到 Lake Formation 的 Amazon S3 位置或数据目录查询源数据时,将适用 Lake Formation 权限。当您创建指向已注册的 Amazon S3 数据位置或数据目录的数据库和表时,也将适用 Lake Formation 权限。
写入对象时不适用 Lake Formation 权限,查询未注册到 Lake Formation 的数据或元数据时也不适用 Lake Formation 权限。对于未注册到 Lake Formation 的源数据和元数据,访问权限由 IAM 权限策略和 AWS Glue 操作决定。Amazon S3 中的 Athena 查询结果位置无法向 Lake Formation 注册,而 Amazon S3 的 IAM 权限策略将控制访问权限。此外,Lake Formation 权限不适用于 Athena 查询历史记录。您可以使用 Athena 工作组来控制对查询历史记录的访问。
有关 Lake Formation 的更多信息,请参阅 [Lake Formation 常见问题](https://aws.amazon.com/lake-formation/faqs/)和《[AWS Lake Formation 开发人员指南](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html)》。
## 将 Lake Formation 权限应用于现有数据库和表
如果您是首次使用 Athena 并且使用 Lake Formation 配置查询数据的访问权限,则无需配置 IAM 策略来确保用户可以读取数据和创建元数据。您可以使用 Lake Formation 管理权限。
不需要向 Lake Formation 注册数据和更新 IAM 权限策略。如果数据未注册到 Lake Formation,则具有相应权限的 Athena 用户可以继续查询未注册到 Lake Formation 的数据。
如果现有的 Athena 用户需要查询未注册到 Lake Formation 的 Amazon S3 数据,则可以更新 Amazon S3 以及 AWS Glue Data Catalog(如果适用)的 IAM 权限,以便您可以使用 Lake Formation 权限来集中管理用户访问权限。要获得读取 Amazon S3 数据位置的权限,您可以更新基于资源和基于身份的策略以修改 Amazon S3 权限。要访问元数据,如果您使用 AWS Glue 配置了用于精细访问控制的资源级策略,则可以改用 Lake Formation 权限来管理访问。
有关更多信息,请参阅《AWS Lake Formation 开发人员指南**》中的 [在 AWS Glue Data Catalog 中配置对数据库和表的访问](fine-grained-access-to-glue-resources.md) 和 [升级 AWS Lake Formation 模型的 AWS Glue 数据权限](https://docs.aws.amazon.com/lake-formation/latest/dg/upgrade-glue-lake-formation.html)。
**Topics**
+ [将 Lake Formation 权限应用于现有数据库和表](#lf-athena-apply-lf-permissions-to-existing-databases-and-tables)
+ [数据访问的工作原理](lf-athena-access.md)
+ [注意事项和限制](lf-athena-limitations.md)
+ [跨账户访问](lf-athena-limitations-cross-account.md)
+ [管理用户权限](lf-athena-user-permissions.md)
+ [使用 Lake Formation 和 JDBC 或 ODBC 进行联合访问](security-athena-lake-formation-jdbc.md)
# Athena 如何访问已向 Lake Formation 注册的数据
本节中描述的访问工作流仅在您对已注册到 Lake Formation 的 Amazon S3 位置、数据目录和元数据对象运行 Athena 查询时才适用。有关更多信息,请参阅《AWS Lake Formation 开发人员指南**》中的 [注册数据湖](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html)。除注册数据之外,Lake Formation 管理员还可应用以下 Lake Formation 权限:授予或撤消对数据目录、AWS Glue Data Catalog 或 Amazon S3 中数据位置中元数据的访问权限。有关更多信息,请参阅《AWS Lake Formation 开发人员指南**》中的 [元数据和数据的安全性和访问控制](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions)。
每次 Athena 主体(用户、组或角色)对使用 Lake Formation 注册的数据运行查询时,Lake Formation 都会验证该主体是否对数据库、表和数据来源位置(视具体情况)具有查询所需的适合 Lake Formation 权限。如果委托人具有访问权限,Lake Formation 会将临时凭据*发送*给 Athena,然后查询运行。
下图展示了凭证发送过程如何在 Athena 中在逐个查询的基础上,对注册到 Lake Formation 的 Amazon S3 位置或数据目录中的表进行假设的 `SELECT` 查询:
![\[用于 Athena 表上查询的凭证售卖工作流。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/lake-formation-athena-security.png)
1. 委托人在 Athena 中运行 `SELECT` 查询。
1. Athena 分析查询并检查 Lake Formation 权限,以查看该委托人是否已被授予对该表和表列的访问权限。
1. 如果委托人具有访问权限,Athena 将从 Lake Formation 请求凭证。如果委托人*没有*访问权限,则 Athena 发出拒绝访问错误。
1. Lake Formation 将向 Athena 颁发凭证,以便在从 Amazon S3 或该目录读取数据时使用,同时还将发送允许列的列表。
1. Athena 将使用 Lake Formation 临时凭证从 Amazon S3 或该目录查询数据。在查询完成后,Athena 将丢弃凭证。
# 查询注册到 Lake Formation 的数据时的注意事项和限制
使用 Athena 查询在 Lake Formation 中注册的数据时,请考虑以下因素。有关更多信息,请参阅《AWS Lake Formation 开发人员指南**》中的 [AWS Lake Formation 的已知问题](https://docs.aws.amazon.com/lake-formation/latest/dg/limitations.html)。
**Topics**
+ [在某些情况下,对列没有数据权限的用户可以看到列元数据](#lf-athena-limitations-column-metadata)
+ [使用 Lake Formation 权限查看视图](#lf-athena-limitations-permissions-to-views)
+ [Iceberg DDL 支持](#lf-athena-limitations-iceberg-ddl-operations)
+ [Lake Formation 精细访问控制和 Athena 工作组](#lf-athena-limitations-fine-grained-access-control)
+ [Amazon S3 中的 Athena 查询结果位置未向 Lake Formation 注册](#lf-athena-limitations-query-results-location)
+ [使用 Athena 工作组限制对查询历史记录的访问](#lf-athena-limitations-use-workgroups-to-limit-access-to-query-history)
+ [无法在 Athena 中查询向 Lake Formation 注册的 CSE-KMS Amazon S3](#lf-athena-limitations-cse-kms)
+ [向 Lake Formation 注册的分区数据位置必须在表子目录中](#lf-athena-limitations-partioned-data-locations)
+ [Create Table As Select (CTAS) 查询需要 Amazon S3 写入权限](#lf-athena-limitations-ctas-queries)
+ [默认数据库需要 DESCRIBE 权限](#lf-athena-limitations-describe-default)
## 在使用 Avro 和自定义 SerDe 的某些情况下,未经授权的用户可以看到列元数据
Lake Formation 列级授权可防止用户访问自己没有 Lake Formation 权限的列中的数据。但是,在某些情况下,用户可以访问描述表中所有列的元数据,包括他们对其中的数据没有权限的列。
当列元数据使用 Avro 存储格式或使用自定义序列化程序/反序列化程序(SerDe)存储在表的表属性中(其中表架构在表属性中与 SerDe 定义一起定义)时,会发生这种情况。在将 Athena 与 Lake Formation 一起使用时,我们建议您查看向 Lake Formation 注册的表属性的内容,并在可能的情况下限制存储在表属性中的信息,以防止任何敏感元数据对用户可见。
## 了解 Lake Formation 和视图
对于向 Lake Formation 注册的数据,Athena 用户只有在对 `VIEW` 所基于的表、列和源 Amazon S3 数据位置具有 Lake Formation 权限时,才能创建 `VIEW`。在 Athena 中创建 `VIEW` 后,Lake Formation 权限可以应用于 `VIEW`。列级权限不可用于 `VIEW`。对 `VIEW` 具有 Lake Formation 权限但对视图所基于的表和列没有权限的用户无法使用 `VIEW` 查询数据。但是,具有此权限组合的用户可以使用语句(如 `DESCRIBE VIEW`、`SHOW CREATE VIEW` 和 `SHOW COLUMNS`)查看 `VIEW` 元数据。因此,请确保对于每个 `VIEW` 的 Lake Formation 权限与基础表权限一致。表中定义的单元格筛选条件不适用于该表的 `VIEW`。资源链接名称必须与原始账户中的资源名称相同。在跨账户设置中使用视图时还存在其他限制。有关跨账户设置共享视图的权限的更多信息,请参阅 [配置跨账户数据目录存取](lf-athena-limitations-cross-account.md)。
## Iceberg DDL 支持
Athena 目前不支持在位置注册为 Lake Formation 的 Iceberg 表上进行 DDL 操作。尝试对其中一个 Iceberg 表运行 DDL 查询可能会返回 Amazon S3 访问被拒绝错误,或可能因查询超时而失败。对 Iceberg 表进行 DDL 操作要求用户具有直接访问 Amazon S3 的 Iceberg 表位置的访问。
## Lake Formation 精细访问控制和 Athena 工作组
同一 Athena 工作组中的用户可以查看由 Lake Formation 精细访问控制配置为可供工作组访问的数据。有关在 Lake Formation 中使用精细访问控制的更多信息,请参阅 *AWS 大数据博客*中的[使用 AWS Lake Formation 管理精细访问控制](https://aws.amazon.com/blogs/big-data/manage-fine-grained-access-control-using-aws-lake-formation/)。
## Amazon S3 中的 Athena 查询结果位置未向 Lake Formation 注册
Amazon S3 中针对 Athena 的查询结果位置无法向 Lake Formation 注册。Lake Formation 权限不限制对这些位置的访问。除非您限制访问,否则,如果 Athena 用户拥有数据的 Lake Formation 权限,则可以访问查询结果文件和元数据。为避免这种情况,我们建议您使用工作组指定查询结果的位置,并将工作组成员身份与 Lake Formation 权限对齐。然后,您可以使用 IAM 权限策略限制对查询结果位置的访问。有关查询结果的更多信息,请参阅 [使用查询结果和最近查询](querying.md)。
## 使用 Athena 工作组限制对查询历史记录的访问
Athena 查询历史记录显示已保存查询和完整查询字符串的列表。除非您使用工作组来分离查询历史记录的访问权限,否则即使 Athena 用户没有获得授权查询 Lake Formation 中的数据,仍可以查看对该数据运行的查询字符串,包括列名、选择条件等。我们建议您使用工作组来分隔查询历史记录,并将 Athena 工作组成员资格与 Lake Formation 权限对齐以限制访问。有关更多信息,请参阅 [使用工作组控制查询访问和成本](workgroups-manage-queries-control-costs.md)。
## 查询注册到 Lake Formation 的 CSE\$1KMS 加密表
Athena 无法查询 Apache Iceberg 等具有以下特征的 Open Table Format(OTF)表:
+ 这些表以向 Lake Formation 注册的 Amazon S3 数据位置为基础。
+ 使用客户端加密(CSE)对 Amazon S3 中的对象进行加密。
+ 使用 AWS KMS 客户托管密钥 (`CSE_KMS`) 进行加密。
要查询使用 `CSE_KMS` 密钥加密的非 OTF 表,请将以下块添加到用于 CSE 加密的 AWS KMS 密钥策略中。** 是加密数据的 AWS KMS 密钥的 ARN。** 是在 Lake Formation 中注册 Amazon S3 位置的 IAM 角色的 ARN。
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "kms:Decrypt",
"Resource": "",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": ""
}
}
}
```
## 向 Lake Formation 注册的分区数据位置必须在表子目录中
向 Lake Formation 注册的分区表必须在作为 Amazon S3 中该表的子目录的目录中具有分区数据。例如,可以向 Lake Formation 注册并使用 Athena 查询具有位置 `s3://amzn-s3-demo-bucket/mytable` 和分区 `s3://amzn-s3-demo-bucket/mytable/dt=2019-07-11`、`s3://amzn-s3-demo-bucket/mytable/dt=2019-07-12` 等的表。另一方面,无法向 Lake Formation 注册具有位置 `s3://amzn-s3-demo-bucket/mytable` 和分区(位于`s3://amzn-s3-demo-bucket/dt=2019-07-11`、`s3://amzn-s3-demo-bucket/dt=2019-07-12` 等等中)的表。因为这样的分区不是 `s3://amzn-s3-demo-bucket/mytable` 的子目录,它们也无法从 Athena 读取。
## Create Table As Select (CTAS) 查询需要 Amazon S3 写入权限
Create Table As Statements (CTAS) 需要对表的 Amazon S3 位置进行写入访问。要对向 Lake Formation 注册的数据运行 CTAS 查询,Athena 用户除了具有相应的 Lake Formation 权限以读取数据位置以外,还必须具有写入表 Amazon S3 位置的 IAM 权限。有关更多信息,请参阅 [从查询结果创建表(CTAS)](ctas.md)。
## 默认数据库需要 DESCRIBE 权限
`default` 数据库需要具有 Lake Formation `DESCRIBE` 权限,以便 Lake Formation 可以查看它。以下示例 AWS CLI 命令对 AWS 账户 `111122223333` 中的用户 `datalake_user1` 授予对 `default` 数据库的 `DESCRIBE` 权限。
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Database": {"Name":"default"}}
```
有关更多信息,请参阅《*AWS Lake Formation 开发人员指南*》中的 [DESCRIBE](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html#perm-describe)。
# 配置跨账户数据目录存取
要访问其他账户中的数据目录,您可以使用 Athena 的跨账户 AWS Glue 功能或在 Lake Formation 中设置跨账户访问。
## 选项 A:在 Athena 中配置跨账户数据目录存取
您可以使用 Athena 的跨账户 AWS Glue 目录功能在您的账户中注册目录。此功能仅在 Athena 引擎版本 2 及更高版本中可用,并且仅限于在账户之间使用同一区域时。有关更多信息,请参阅 [从其他账户注册数据目录](data-sources-glue-cross-account.md)。
如果要共享的数据目录在 AWS Glue 中配置了资源策略,必须更新该策略才能允许对 AWS Resource Access Manager 的访问,并向账户 B 授予使用账户 A 的数据目录的权限。
有关更多信息,请参阅 [配置 AWS Glue 数据目录的跨账户存取](security-iam-cross-account-glue-catalog-access.md)。
## 选项 B:在 Lake Formation 中配置跨账户存取
AWS Lake Formation 允许您使用单个账户管理中央 Data Catalog。您可以使用此功能来对 Data Catalog 元数据和底层数据实施[跨账户访问](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-cross-account.html)。例如,拥有者账户可以授予另一个(收件人)账户对于表的 `SELECT` 权限。
要在 Athena 查询编辑器中显示共享数据库或表,您可以在 Lake Formation 中[创建资源链接](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html)来访问共享数据库或表。当 Lake Formation 中的收件人账户查询拥有者的表格时,[CloudTrail](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-logging.html) 会将数据访问事件添加到收件人账户和拥有者账户的日志中。
对于共享视图,请记住以下几点:
+ 查询在目标资源链接上运行,而不是在源表或视图上运行,然后系统会将输出共享到目标账户。
+ 仅共享视图是不够的。创建视图涉及的所有表都必须是跨账户共享的一部分。
+ 基于共享资源创建的资源链接的名称必须与拥有者账户中资源的名称相匹配。如果名称不匹配,系统会显示与以下内容类似的错误消息:Failed analyzing stored view 'awsdatacatalog.*my-lf-resource-link*.*my-lf-view*': line 3:3: Schema *schema\$1name* does not exist(分析存储的视图“awsdatacatalog.my-lf-resource-link.my-lf-view”时失败:line 3:3: 架构 schema\$1name 不存在)。
有关 Lake Formation 中跨账户访问的更多信息,请参阅《AWS Lake Formation 开发人员指南》中的以下资源:**
[跨账户访问](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-cross-account.html)
[资源链接在 Lake Formation 中的工作原理](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html)
[跨账户 CloudTrail 日志记录](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-logging.html)
# 管理 Lake Formation 和 Athena 用户权限
Lake Formation 发送凭证以查询注册到 Lake Formation 的 Amazon S3 数据存储或联合目录。如果您以前过 IAM 策略来允许或拒绝读取目录或 Amazon S3 中数据位置的权限,则可以改用 Lake Formation 权限。但是,其他 IAM 权限仍然是必需的。
每当您使用 IAM policy 时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 安全最佳实践*。
以下各节总结了使用 Athena 查询在 Lake Formation 中注册的数据所需的权限。有关更多信息,请参阅《*AWS Lake Formation 开发人员指南*》中的 [AWS Lake Formation 的安全性](https://docs.aws.amazon.com/lake-formation/latest/dg/security.html)。
**Topics**
+ [Lake Formation 和 Athena 基于身份的权限](#lf-athena-user-permissions-identity-based)
+ [Amazon S3 对 Athena 查询结果位置的权限](#lf-athena-user-permissions-query-results-locations)
+ [针对查询历史记录的 Athena 工作组成员身份](#lf-athena-user-permissions-workgroup-memberships-query-history)
+ [Lake Formation 对数据的权限](#lf-athena-user-permissions-data)
+ [写入 Amazon S3 位置的 IAM 权限](#lf-athena-user-permissions-s3-write)
+ [针对加密数据、元数据和 Athena 查询结果的权限](#lf-athena-user-permissions-encrypted)
+ [外部账户中针对 Amazon S3 存储桶的基于资源的权限(可选)](#lf-athena-user-permissions-s3-cross-account)
## Lake Formation 和 Athena 基于身份的权限
使用 Athena 查询向 Lake Formation 注册的数据的任何人都必须有一个 IAM 权限策略,此权限允许执行 `lakeformation:GetDataAccess` 操作。[AWS 托管策略:AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) 允许此操作。如果您使用内联策略,请务必更新权限策略以允许此操作。
在 Lake Formation 中,*数据湖管理员*拥有的权限包括创建元数据对象(如数据库和表)、向其他用户授予 Lake Formation 权限以及注册新的 Amazon S3 位置或数据目录等。要注册新位置,需要具有 Lake Formation 的服务相关角色的权限。有关更多信息,请参阅《AWS Lake Formation 开发人员指南**》中的 [创建数据湖管理员](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin)和 [Lake Formation 的服务相关角色权限](https://docs.aws.amazon.com/lake-formation/latest/dg/service-linked-roles.html#service-linked-role-permissions)。
Lake Formation 用户可以根据数据湖管理员向其授予的 Lake Formation 权限,使用 Athena 查询数据库、表、表列和基础 Amazon S3 数据存储或目录。用户不能创建数据库或表,也不能向 Lake Formation 注册新的 Amazon S3 位置。有关更多信息,请参阅《AWS Lake Formation 开发人员指南**》中的 [创建数据湖用户](https://docs.aws.amazon.com/lake-formation/latest/dg/cloudtrail-tut-create-lf-user.html)。
在 Athena 中,基于身份的权限策略(包括 Athena 工作组的权限策略)仍然控制对 Amazon Web Services 账户用户的 Athena 操作的访问。此外,可以通过 Athena 驱动程序提供的基于 SAML 的身份验证来提供联合访问。有关更多信息,请参阅 [使用工作组控制查询访问和成本](workgroups-manage-queries-control-costs.md)、[使用 IAM 策略控制工作组访问](workgroups-iam-policy.md) 和 [启用对 Athena API 的联合访问](access-federation-saml.md)。
有关更多信息,请参阅《AWS Lake Formation 开发人员指南**》中的 [授予 Lake Formation 权限](https://docs.aws.amazon.com/lake-formation/latest/dg/lake-formation-permissions.html)。
## Amazon S3 对 Athena 查询结果位置的权限
Amazon S3 中针对 Athena 的查询结果位置无法向 Lake Formation 注册。Lake Formation 权限不限制对这些位置的访问。除非您限制访问,否则,如果 Athena 用户拥有数据的 Lake Formation 权限,则可以访问查询结果文件和元数据。为避免这种情况,我们建议您使用工作组指定查询结果的位置,并将工作组成员身份与 Lake Formation 权限对齐。然后,您可以使用 IAM 权限策略限制对查询结果位置的访问。有关查询结果的更多信息,请参阅 [使用查询结果和最近查询](querying.md)。
## 针对查询历史记录的 Athena 工作组成员身份
Athena 查询历史记录显示已保存查询和完整查询字符串的列表。除非您使用工作组来分离查询历史记录的访问权限,否则即使 Athena 用户没有获得授权查询 Lake Formation 中的数据,仍可以查看对该数据运行的查询字符串,包括列名、选择条件等。我们建议您使用工作组来分隔查询历史记录,并将 Athena 工作组成员资格与 Lake Formation 权限对齐以限制访问。有关更多信息,请参阅 [使用工作组控制查询访问和成本](workgroups-manage-queries-control-costs.md)。
## Lake Formation 对数据的权限
除了使用 Lake Formation 的基准权限之外,Athena 用户还必须具有访问他们查询的资源的 Lake Formation 权限。这些权限由 Lake Formation 管理员授予和管理。有关更多信息,请参阅《AWS Lake Formation 开发人员指南**》中的 [元数据和数据的安全性和访问控制](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions)。
## 写入 Amazon S3 位置的 IAM 权限
Amazon S3 的 Lake Formation 权限不包括写入 Amazon S3 的权限。Create Table As Statements (CTAS) 需要对表的 Amazon S3 位置进行写入访问。要对向 Lake Formation 注册的数据运行 CTAS 查询,Athena 用户除了具有相应的 Lake Formation 权限以读取数据位置以外,还必须具有写入表 Amazon S3 位置的 IAM 权限。有关更多信息,请参阅 [从查询结果创建表(CTAS)](ctas.md)。
## 针对加密数据、元数据和 Athena 查询结果的权限
可以对注册到 Lake Formation 的 Amazon S3 中的基础源数据和目录中的元数据进行加密。在使用 Athena 查询向 Lake Formation 注册的数据时,Athena 处理查询结果加密的方式没有变化。有关更多信息,请参阅 [加密在 Amazon S3 中存储的 Athena 查询结果](encrypting-query-results-stored-in-s3.md)。
+ **加密源数据** – 支持对 Amazon S3 数据位置源数据进行加密。查询已向 Lake Formation 注册的加密 Amazon S3 位置的 Athena 用户需要加密和解密数据的权限。有关要求的更多信息,请参阅 [支持的 Amazon S3 加密选项](encryption.md#encryption-options-S3-and-Athena) 和 [Amazon S3 中加密数据的权限](encryption.md#permissions-for-encrypting-and-decrypting-data)。
+ **加密元数据** – 支持对 AWS Glue Data Catalog 中的元数据进行加密。对于使用 Athena 的委托人,基于身份的策略必须允许对用于加密元数据的密钥执行 `"kms:GenerateDataKey"`、`"kms:Decrypt"` 和 `"kms:Encrypt"` 操作。有关更多信息,请参阅《AWS Glue 开发人员指南》中的*加密数据目录*和[从 Athena 配置对 AWS Glue Data Catalog 中加密元数据的访问](access-encrypted-data-glue-data-catalog.md)。
## 外部账户中针对 Amazon S3 存储桶的基于资源的权限(可选)
要查询其他账户中的 Amazon S3 数据位置,基于资源的 IAM policy(存储桶策略)必须允许访问该位置。有关更多信息,请参阅 [在 Athena 中配置对 Amazon S3 存储桶的跨账户存取](cross-account-permissions.md)。
有关访问其他账户中目录的信息,请参阅[选项 A:在 Athena 中配置跨账户数据目录存取](lf-athena-limitations-cross-account.md#lf-athena-limitations-cross-account-glue)。
# 将 Lake Formation 和 JDBC 或 ODBC 驱动程序用于对 Athena 进行联合访问
Athena JDBC 和 ODBC 驱动程序使用 Okta 和 Microsoft Active Directory 联合访问服务 (AD FS) 身份提供程序支持对 Athena 进行基于 SAML 2.0 的联合访问。通过将 Amazon Athena 与 AWS Lake Formation 整合,您可以使用公司凭证对 Athena 启用基于 SAML 的身份验证。借助 Lake Formation 和 AWS Identity and Access Management (IAM),您可以保持对 SAML 用户可用数据的精细列级访问控制。使用 Athena JDBC 和 ODBC 驱动程序,联合访问可用于工具或编程访问。
要使用 Athena 来访问由 Lake Formation 控制的数据来源,您需要通过配置身份提供者(IdP)和 AWS Identity and Access Management(IAM)角色来启用基于 SAML 2.0 的联合访问。有关详细步骤,请参阅[教程:使用 Lake Formation 和 JDBC 配置 Okta 用户对 Athena 的联合访问](security-athena-lake-formation-jdbc-okta-tutorial.md)。
## 先决条件
要使用 Amazon Athena 和 Lake Formation 进行联合访问,您必须满足以下要求:
+ 使用现有基于 SAML 的身份提供程序(例如 Okta 或 Microsoft Active Directory Federation Services (AD FS))管理您的公司身份。
+ 您可以将 AWS Glue Data Catalog 用作元数据存储。
+ 在 Lake Formation 中定义和管理权限以访问 AWS Glue Data Catalog 中的数据库、表和列。有关更多信息,请参见[AWS Lake Formation 开发人员指南](https://docs.aws.amazon.com/lake-formation/latest/dg/)。
+ 您可以使用版本 2.0.14 或更高版本的 [Athena JDBC 驱动程序](https://docs.aws.amazon.com/athena/latest/ug/connect-with-jdbc.html)或版本 1.1.3 或更高版本的 [Athena ODBC 驱动程序](connect-with-odbc.md)。
## 注意事项和限制
使用 Athena JDBC 或 ODBC 驱动程序和 Lake Formation 配置对 Athena 的联合访问时,请记住以下几点:
+ 目前,Athena JDBC 驱动程序和 ODBC 驱动程序支持 Okta、Microsoft Active Directory Federation Services(AD FS)和 Azure AD 身份提供者。尽管 Athena JDBC 驱动程序具有可扩展为使用其他身份提供程序的通用 SAML 类,但对允许其他身份提供程序 (IdPs) 与 Athena 一起使用的自定义扩展的支持可能会受到限制。
+ 使用 JDBC 和 ODBC 驱动程序的联合访问与 IAM Identity Center 可信身份传播功能不兼容。
+ 目前,您无法使用 Athena 控制台配置对 IdP 和 SAML 与 Athena 一起使用的支持。要配置此支持,请使用第三方身份提供程序、Lake Formation 和 IAM 管理控制台以及 JDBC 或 ODBC 驱动程序客户端。
+ 您应该了解 [SAML 2.0 规范](https://www.oasis-open.org/standards#samlv2.0)以及它如何与身份提供程序相互合作,然后才嗯呢该配置您的身份提供程序和 SAML 用于 Lake Formation 和 Athena。
+ SAML 提供商和 Athena JDBC 和 ODBC 驱动程序由第三方提供,因此通过 AWS 对与其使用有关问题的支持可能是有限的。
**Topics**
+ [先决条件](#security-athena-lake-formation-jdbc-prerequisites)
+ [注意事项和限制](#security-athena-lake-formation-jdbc-considerations-and-limitations)
+ [教程:使用 Lake Formation 和 JDBC 配置 Okta 用户对 Athena 的联合访问](security-athena-lake-formation-jdbc-okta-tutorial.md)
# 教程:使用 Lake Formation 和 JDBC 配置 Okta 用户对 Athena 的联合访问
本教程介绍如何配置 Okta、AWS Lake Formation、AWS Identity and Access Management 权限和 Athena JDBC 驱动程序,以启用基于 SAML 的 Athena 联合使用。Lake Formation 为基于 SAML 的用户提供了对 Athena 中可用数据的细粒度访问控制。为设置此配置,本教程使用 Okta 开发人员控制台、AWS IAM 和 Lake Formation 控制台以及 SQL Workbench/J 工具。
**先决条件**
本教程假定您已执行以下操作:
+ 已创建 Amazon Web Services 账户。要创建账户,请访问 [Amazon Web Services 主页](https://aws.amazon.com/)。
+ 在 Amazon S3 中为 Athena [设置查询结果位置](query-results-specify-location.md)。
+ 向 Lake Formation [注册了 Amazon S3 数据存储桶位置](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html)。
+ 在 [AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/define-database.html) 中定义了指向您在 Amazon S3 中数据的[数据库](https://docs.aws.amazon.com/glue/latest/dg/tables-described.html)和[表](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html)。
+ 如果尚未定义表,则对您要访问的数据[运行 AWS Glue 爬网程序](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html)或者[使用 Athena 定义数据库和一个或多个表](work-with-data.md)。
+ 本教程使用基于 [AWS 开放数据存储库](https://registry.opendata.aws/)中的[纽约出租车旅行数据集](https://registry.opendata.aws/nyc-tlc-trip-records-pds/)。本教程使用数据库名称 `tripdb` 和表名称 `nyctaxi`。
**Topics**
+ [步骤 1:创建 Okta 账户](#security-athena-lake-formation-jdbc-okta-tutorial-step-1-create-an-okta-account)
+ [步骤 2:向 Okta 添加用户和组](#security-athena-lake-formation-jdbc-okta-tutorial-step-2-set-up-an-okta-application-for-saml-authentication)
+ [步骤 3:设置 Okta 应用程序以进行 SAML 身份验证](#security-athena-lake-formation-jdbc-okta-tutorial-step-3-set-up-an-okta-application-for-saml-authentication)
+ [步骤 4:创建 AWS SAML 身份提供程序和 Lake Formation 访问 IAM 角色](#security-athena-lake-formation-jdbc-okta-tutorial-step-4-create-an-aws-saml-identity-provider-and-lake-formation-access-IAM-role)
+ [步骤 5:将 IAM 角色和 SAML 身份提供程序添加到 Okta 应用程序](#security-athena-lake-formation-jdbc-okta-tutorial-step-5-update-the-okta-application-with-the-aws-role-and-saml-identity-provider)
+ [步骤 6:通过 AWS Lake Formation 授予用户和组权限](#security-athena-lake-formation-jdbc-okta-tutorial-step-6-grant-permissions-through-aws-lake-formation)
+ [步骤 7:验证通过 Athena JDBC 客户端的访问](#security-athena-lake-formation-jdbc-okta-tutorial-step-7-verify-access-through-athena-jdbc-client)
+ [结论](#security-athena-lake-formation-jdbc-okta-tutorial-conclusion)
+ [相关资源](#security-athena-lake-formation-jdbc-okta-tutorial-related-resources)
## 步骤 1:创建 Okta 账户
本教程使用 Okta 作为基于 SAML 的身份提供程序。如果您还没有 Okta 账户,您可以创建一个免费的账户。需要 Okta 账户,以便您可以创建 Okta 应用程序进行 SAML 身份验证。
**创建 Okta 账户**
1. 要使用 Okta,请导航到 [Okta 开发人员注册页](https://developer.okta.com/signup/)并创建一个免费的 Okta 试用账户。开发人员版服务是免费的,不超过 Okta 在 [developer.okta.com/pricing](https://developer.okta.com/pricing) 总指定的限制。
1. 当您收到激活电子邮件时,请激活您的账户。
Okta 域名将被分配给您。保存域名以供参考。稍后,您可以在连接到 Athena 的 JDBC 字符串中使用域名 (**)。
## 步骤 2:向 Okta 添加用户和组
在此步骤中,您使用 Okta 控制台执行以下任务:
+ 创建两个 Okta 用户。
+ 创建两个 Okta 组。
+ 向每个 Okta 组添加一个 Okta 用户。
**要向 Okta 添加用户**
1. 激活 Okta 账户后,以管理用户身份登录到指定的 Okta 域。
1. 在左侧导航窗格中,选择 **Directory**(目录),然后选择 **People**(人员)。
1. 选择 **Add Person**(添加人员)添加将通过 JDBC 驱动程序访问 Athena 的新用户。
![\[选择 Add Person(添加人员)。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-3.png)
1. 在 **Add Person**(添加人员)对话框中,输入所需信息。
+ 对于 **First name**(名字)和 **Last name**(姓氏),输入值。本教程使用 *athena-okta-user*。
+ 输入 **Username**(用户名)和 **Primary email**(主电子邮件)。本教程使用 *athena-okta-user@anycompany.com*。
+ 对于 **Password**(密码),选择 **Set by admin**(由管理员设置),然后提供密码。本教程清除了 **User must change password on the first login**(用户必须在首次登录时更改密码)的选项;您的安全要求可能会有所不同。
![\[将用户添加到 Okta 应用程序。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4.png)
1. 选择 **Save and Add Another**(保存并添加另一个)。
1. 输入其他用户的信息。此示例添加了业务分析师用户 *athena-ba-user@anycompany.com*。
![\[将用户添加到 Okta 应用程序。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4a.png)
1. 选择**保存**。
在以下过程中,您可以通过添 “业务分析师”组和“开发人员”组来通过 Athena JDBC 驱动程序提供两个 Okta 组的访问权限。
**要添加 Okta 组**
1. 在 Okta 导航窗格中,选择 **Directory**(目录),然后选择 **Groups**(组)。
1. 在 **Groups**(组)页面上,选择 **Add Group**(添加组)。
![\[选择添加组。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4c.png)
1. 在 **Add Group**(添加组)对话框中,输入所需信息。
+ 对于 **Name**(名称),输入 *lf-business-analyst*。
+ 对于 **Group Description**(组描述),输入*业务分析人员*。
![\[添加 Okta 组。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4d.png)
1. 选择**添加组**。
1. 在 **Groups**(组)页面上,再次选择 **Add Group**(添加组)。这一次,您将输入开发人员组的信息。
1. 输入所需的信息。
+ 对于 **Name**(名称),输入 *lf-developer*。
+ 对于 **Group Description**(组描述),输入*开发人员*。
1. 选择**添加组**。
现在,您有两个用户和两个组,您已准备就绪,可以向每个组添加一个用户。
**要将用户添加到组**
1. 在 ** Groups**(组)页面上,选择您刚创建的 **lf-developer** 组。您需要将您作为开发人员创建的 Okta 用户之一添加到此组中。
![\[选择 lf-developer。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4f.png)
1. 选择 **Manage People**(管理人员)。
![\[选择 Manage People(管理人员)。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4g.png)
1. 从 **Not Members**(非成员)列表中,选择 **athena-okta-user**。
![\[选择要添加到成员列表的用户。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4h.png)
用户的条目将从左侧的**非成员**列表移动到右侧的**成员**列表。
![\[添加到 Okta 组的 Okta 用户。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4i.png)
1. 选择**保存**。
1. 选择 **Back to Group**(返回组),或选择 **Directory**(目录),然后选择 **Groups**(组)。
1. 选择 **lf-business-analyst** 组。
1. 选择 **Manage People**(管理人员)。
1. 向 **lf-business-analyst** 组的 **Members**(成员)列表添加 **athena-ba-user**,然后选择 **Save**(保存)。
1. 选择 **Back to Group**(返回组),或选择 **Directory**(目录),**Groups**(组)。
**Groups**(组)页面现在显示每个组都有一个 Okta 用户。
![\[Okta 控制台中的每个 Okta 组都添加了一个用户。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4j.png)
## 步骤 3:设置 Okta 应用程序以进行 SAML 身份验证
在此步骤中,您使用 Okta 开发人员控制台执行以下任务:
+ 添加 SAML 应用程序以便与 AWS 结合使用。
+ 将应用程序分配给 Okta 用户。
+ 将应用程序分配给 Okta 组。
+ 下载生成的身份提供程序元数据,以便日后与 AWS 结合使用。
**要添加用于 SAML 身份验证的应用程序**
1. 在 Okta 导航窗格中,选择 **Applications**(应用程序)、**Applications**(应用程序),以便您可以为对 Athena 进行的 SAML 身份验证配置 Okta 应用程序。
1. 单击 **Browse App Catalog**(浏览应用程序目录)。
1. 在搜索框中,输入 **Redshift**。
1. 选择 **Amazon Web Services Redshift**。本教程中的 Okta 应用程序使用 Amazon Redshift 的现有 SAML 集成。
![\[选择 Amazon Web Services Redshift。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-7.png)
1. 在 **Amazon Web Services Redshift** 页面上,选择 **Add**(添加)为 Amazon Redshift 创建基于 SAML 的应用程序。
![\[选择 Add(添加)创建基于 SAML 的应用程序。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-8.png)
1. 对于 **Application label**(应用程序标签),输入 `Athena-LakeFormation-Okta`,然后选择 **Done**(完成)。
![\[输入 Oktak 应用程序的名称。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-9.png)
现在您已创建 Okta 应用程序,可以将其分配给您创建的用户和组。
**要将应用程序分配给用户和组**
1. 在 **Applications**(应用程序)页面上,选择 **Athena-LakeFormation-Okta** 应用程序。
1. 在 **Assignments**(分配)选项卡上,选择 **Assign**(分配)、**Assign to People**(分配给人员)。
![\[选择 Assign(分配)、Assign to People(分配给人员)。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-10.png)
1. 在 **Assign Athena-LakeFormation-Okta to People**(将 Assign Athena-LakeFormation-Okta 分配给人员)对话框中,找到您之前创建的 **athena-okta-user** 用户。
1. 选择 **Assign**(分配)将用户分配给应用程序。
![\[选择 Assign (分配)。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-11.png)
1. 选择 **Save and Go Back**(保存并返回)。
1. 选择**完成**。
1. 在 **Athena-LakeFormation-Okta** 应用程序的 **Assignments**(分配)选项卡上,选择 **Assign**(分配)、**Assign to Groups**(分配给组)。
1. 对于 **lf-business-analyst**,选择 **Assign**(分配)以将 **Athena-LakeFormation-Okta** 应用程序分配到 **lf-business-analyst** 组,然后选择**Done**(完成)。
![\[将 Okta 应用程序分配给 Okta 用户组。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-12b.png)
该组将显示在应用程序的组列表中。
![\[Okta 应用程序分配给 Okta 组。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-12c.png)
现在,您已准备就绪,可以下载身份提供程序应用程序元数据,以用于 AWS。
**下载应用程序元数据**
1. 选择 Okta 应用程序的 **Sign On**(登录)选项卡,然后右键单击 **Identity Provider metadata**(身份提供程序元数据)。
![\[右键单击 Identity Provider metadata(身份提供程序元数据)。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-13.png)
1. 选择 **Save Link As**(将链接另存为)以将身份提供程序元数据(XML 格式)保存到文件中。给它一个您可以识别的名称(例如,`Athena-LakeFormation-idp-metadata.xml`)。
![\[保存身份提供程序元数据。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-14.png)
## 步骤 4:创建 AWS SAML 身份提供程序和 Lake Formation 访问 IAM 角色
在此步骤中,您将使用 AWS Identity and Access Management (IAM) 控制台执行以下任务:
+ 为 AWS 创建身份提供程序。
+ 创建针对 Lake Formation 访问的 IAM 角色。
+ 将 AmazonAthenaFullAccess 托管策略添加到角色。
+ 向角色添加 Lake Formation 策略和 AWS Glue。
+ 向角色添加 Athena 查询结果的策略。
**要创建 AWS SAML 身份提供程序**
1. 以 **Amazon Web Services 账户管理员**身份登录 **Amazon Web Services 账户****控制台**,并导航到 **IAM** 控制台([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))。
1. 在导航窗格中,选择 **Identity providers**(身份提供程序),然后单击 **Add provider**(添加提供程序)。
1. 在 **Define provider**(定义提供程序)页面上,输入以下信息:
+ 对于 **Provider type**(提供程序类型),选择 **SAML**。
+ 对于 **Provider name**(提供程序名称),输入 `AthenaLakeFormationOkta`。
+ 对于 **Metadata document**(元数据文档),请使用 **Select file**(选择文件)选项上载您下载的身份提供程序 (IdP) 元数据 XML 文件。
1. 选择 **Add provider**(添加提供程序)。
接下来,您将为 AWS Lake Formation 访问创建 IAM 角色。您将两个内联策略添加到角色。其中一个策略提供访问 Lake Formation 和 AWS Glue API 的权限。另一个策略提供了对 Amazon S3 中 Athena 和 Athena 查询结果位置的访问权限。
**要为 AWS Lake Formation 创建 IAM 角色以进行访问**
1. 在 IAM 控制台的导航窗格中,选择 **Roles**(角色),然后选择 **Create role**(创建角色)。
1. 在 **Create role**(创建角色)页面上,执行以下步骤:
![\[将 IAM 角色配置为使用 SAML 2.0。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-20.png)
1. 对于 **Select type of trusted entity**(选择受信任实体的类型),选择 **SAML 2.0 Federation**。
1. 对于 **SAML provider**(SAML 提供程序),选择 **AthenaLakeFormationOkta**。
1. 对于 **SAML provider**(SAML 提供程序),选择选项 **Allow programmatic and AWS 管理控制台 access**(允许编程和控制台访问)。
1. 选择**下一步: 权限**。
1. 在 **Attach Permissions policies**(附加权限策略)页面,对于 **Filter pilicies**(筛选策略),输入 **Athena**。
1. 选择名为 **AmazonAthenaFullAccess** 的托管式策略,然后选择 **Next: Tags **(下一步:标签)。
![\[将 AmazonAthenaFullAccess 托管策略附加到 IAM 角色。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-21.png)
1. 在 **Add tags**(添加标签)页面上,选择 **Next: Review**(下一步:审核)。
1. 在 **Review**(审核)页面上,对于 **Role name**(角色名称),输入角色的名称(例如,*Athena-LakeFormation-OktaRole*),然后选择 **Create role**(创建角色)。
![\[输入 IAM 角色的名称。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-22.png)
接下来,您可以添加允许访问 Lake Formation、AWS Glue API 和 Amazon S3 中 Athena 查询结果的内联策略。
每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 安全最佳实践*。
**要将内联策略添加到 Lake Formation 和 AWS Glue 的角色**
1. 从 IAM 控制台中的角色列表中,选择新创建的 `Athena-LakeFormation-OktaRole`。
1. 在角色的 **Summary**(摘要)页面上,在 **Permissions**(权限)选项卡上,选择 **Add inline policy**(添加内联策略)。
1. 在**创建策略**页面上,选择 **JSON**。
1. 添加一个内联策略,如下所示,该策略可提供访问 Lake Formation 和 AWS Glue API 的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateDatabase",
"glue:GetUserDefinedFunction",
"glue:GetUserDefinedFunctions"
],
"Resource": "*"
}
}
```
------
1. 选择**查看策略**。
1. 对于** Name**(名称),请为策略输入名称(例如,**LakeFormationGlueInlinePolicy**)。
1. 选择**创建策略**。
**要将内联策略添加到 Athena 查询结果位置的角色**
1. 在 `Athena-LakeFormation-OktaRole` 角色的 **Summary**(摘要)页面上,在 **Permissions**(权限)选项卡上,选择 **Add inline policy**(添加内联策略)。
1. 在**创建策略**页面上,选择 **JSON**。
1. 添加允许角色访问 Athena 查询结果位置的内联策略,如下所示。将示例中的 ** 占位符替换为您的 Amazon S3 存储桶的名称。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AthenaQueryResultsPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
}
]
}
```
------
1. 选择**查看策略**。
1. 对于** Name**(名称),请为策略输入名称(例如,**AthenaQueryResultsInlinePolicy**)。
1. 选择**创建策略**。
接下来,您需要复制 Lake Formation 访问角色的 ARN 和您创建的 SAML 提供程序的 ARN。当您在本教程的下一部分中配置 Okta SAML 应用程序时,这些都是必需的。
**要复制角色 ARN 和 SAML 身份提供程序 ARN**
1. 在 IAM 控制台中,在 `Athena-LakeFormation-OktaRole` 角色的 **Summary**(摘要)页面中,选择 **Role ARN**(角色 ARN)旁的 **Copy to clipboard**(复制到剪贴板)图标。ARN 有以下格式:
```
arn:aws:iam:::role/Athena-LakeFormation-OktaRole
```
1. 安全地保存完整 ARN 以供日后参考。
1. 在 IAM 控制台导航窗格中,选择 **Identity providers**(身份提供程序)。
1. 选择 **AthenaLakeFormationOkta** 提供程序。
1. 在 **Summary**(摘要)页面上,选择 **Provider ARN**(提供程序 ARN)旁的 **Copy to clipboard**(复制到剪贴板)图标。ARN 应如下所示:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta
```
1. 安全地保存完整 ARN 以供日后参考。
## 步骤 5:将 IAM 角色和 SAML 身份提供程序添加到 Okta 应用程序
在此步骤中,您将返回到 Okta 开发人员控制台并执行以下任务:
+ 将用户和组 Lake Formation URL 属性添加到 Okta 应用程序。
+ 将身份提供程序的 ARN 和 IAM 角色的 ARN 添加到 Okta 应用程序。
+ 复制 Okta 应用程序 ID。连接到 Athena 的 JDBC 配置文件中需要 Okta 应用程序 ID。
**将用户和组 Lake Formation URL 属性添加到 Okta 应用程序**
1. 登录 Okta 开发人员控制台。
1. 在 **Applications**(应用程序)选项卡上,然后选择 `Athena-LakeFormation-Okta` 应用程序。
1. 选择应用程序的 **Sign On**(登录)选项卡,然后选择 **Edit**(编辑)。
![\[编辑 Okta 应用程序。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-24.png)
1. 选择 **Attributes (optional)**(属性(可选))来扩展它。
![\[将用户 Lake Formation URL 属性添加到 Okta 应用程序。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-25.png)
1. 对于 **Attribute Statements (optional)**(属性语句(可选)),添加以下属性:
+ 对于**名称**,请输入 **https://lakeformation.amazon.com/SAML/Attributes/Username**。
+ 对于 **Value**(值),输入 **user.login**
1. 在 **Group Attribute Statements (optional)**(组属性语句(可选))项下,添加以下属性:
+ 对于**名称**,请输入 **https://lakeformation.amazon.com/SAML/Attributes/Groups**。
+ 对于 **Name format**(名称格式),输入 **Basic**
+ 对于 **Filter**(筛选条件),选择 **Matches regex**(匹配正则表达式),然后在筛选条件框中输入 **.\$1**。
![\[将组 Lake Formation URL 属性添加到 Okta 应用程序。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-25a.png)
1. 向下滚动到 **Advanced Sign-On Settings**(高级登录设置)部分,您将在其中将身份提供程序和 IAM 角色 ARN 添加到 Okta 应用程序。
**将身份提供程序和 IAM 角色的 ARN 添加到 Okta 应用程序**
1. 对于 **Idp ARN 和角色 ARN**,输入 AWS 身份提供程序 ARN 和角色 ARN,作为逗号分隔的值,格式为 **、**。完成字符串应与以下内容类似:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta,arn:aws:iam:::role/Athena-LakeFormation-OktaRole
```
![\[在 Okta 应用程序中输入身份提供程序 ARN 和 IAM 角色 ARN。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-26.png)
1. 选择**保存**。
接下来,您将复制 Okta 应用程序 ID。您稍后需要在连接到 Athena 的 JDBC 字符串中用到它。
**要查找和复制 Okta 应用程序 ID**
1. 选择 Okta 应用程序的 **General**(常规)选项卡。
![\[选择 Okta 应用程序的 General(常规)选项卡。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-27.png)
1. 向下滚动到 **App Embed Link**(应用程序嵌入链接)部分。
1. 从 **Embed Link**(嵌入链接),复制并安全地保存 URL 的 Okta 应用程序 ID 部分。Okta 应用程序 ID 是 `amazon_aws_redshift/` 之后的 URL 部分内容,但在下一个正斜杠之前。例如,如果 URL 包含 `amazon_aws_redshift/aaa/bbb`,则应用程序 ID 为 `aaa`。
![\[复制 Okta 应用程序的 ID。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-28.png)
**注意**
嵌入的链接不能用于直接登录 Athena 控制台以查看数据库。仅当您使用 JDBC 或 ODBC 驱动程序向 Athena 提交查询时,才认可 SAML 用户和组的 Lake Formation 权限。要查看数据库,可以使用 SQL WorkBench/J 工具,该工具会使用 JDBC 驱动程序连接到 Athena。有关 SQL Workbench/J 工具的介绍详见[步骤 7:验证通过 Athena JDBC 客户端的访问](#security-athena-lake-formation-jdbc-okta-tutorial-step-7-verify-access-through-athena-jdbc-client)。
## 步骤 6:通过 AWS Lake Formation 授予用户和组权限
在此步骤中,您可以使用 Lake Formation 控制台向 SAML 用户和组授予对表的权限。您可以执行以下任务:
+ 指定 Okta SAML 用户以及关联用户的 ARN 对表的权限。
+ 指定 Okta SAML 组以及关联组的 ARN 对表的权限。
+ 验证您授予的权限。
**为 Okta 用户授予 Lake Formation 中的权限**
1. 以数据湖管理员身份登录 AWS 管理控制台。
1. 打开 Lake Formation 控制台,网址为 [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。
1. 从导航窗格中,选择 **Tables**(表),然后选择您要授予权限的表。本教程使用 `tripdb` 数据库中的 `nyctaxi` 表。
![\[选择要授予权限的表。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-29.png)
1. 从 **Actions**(操作)中,选择 **Grant**(授权)。
![\[选择 Grant(授权)。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-30.png)
1. 在 **Grant permissions**(授予权限)对话框中,输入以下信息:
1. 在 **SAML 和 Amazon Quick 用户和组**下,按以下格式输入 Okta SAML 用户 ARN:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta:user/@
```
1. 对于 **Columns**(列),对于 **Choose filter type**(选择筛选条件类型),然后选择 **Include columns**(包括列)或者 **Exclude columns**(排除列)。
1. 使用筛选条件下的 **Choose one or more columns**(选择一个或多个列)下拉列表指定要包含或排除的用户的列。
1. 对于 **Table permissions**(表权限),选择 **Select**(选择)。本教程仅授予 `SELECT` 权限;您的要求可能会有所不同。
![\[向 Okta 用户授予表和列级别权限。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-31.png)
1. 选择 **Grant**(授权)。
现在,您需要对 Okta 组执行类似的步骤。
**要授予 Okta 组在 Lake Formation 中的权限**
1. 在 Lake Formation 控制台的 **Tables**(表)页面,请确保仍选择了 **nyctaxi**表。
1. 从 **Actions**(操作)中,选择 **Grant**(授权)。
1. 在 **Grant permissions**(授予权限)对话框中,输入以下信息:
1. 在 **SAML 和 Amazon Quick 用户和组**下,按以下格式输入 Okta SAML 组 ARN:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta:group/lf-business-analyst
```
1. 对于 **Columns**(列)、**Choose filter type**(选择筛选条件类型)中,选择 **Include columns**(包括列)。
1. 对于 **Choose one or more columns**(选择一个或多个列),选择表的前三列。
1. 对于 **Table permissions**(表权限),选择要授予的特定访问权限。本教程仅授予 `SELECT` 权限;您的要求可能会有所不同。
![\[向 Okta 组授予表权限。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-31b.png)
1. 选择 **Grant**(授权)。
1. 要验证您授予的权限,请选择 **Actions**(操作)、**View permissions**(查看权限)。
![\[选择 View permissions(查看权限)以验证已授予的权限。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-32.png)
`nyctaxi` 表的 **Data permissions**(数据权限)页面上显示了 **athena-okta-user** 和 **lf-business-analyst** 组的权限。
![\[查看授予 Okta 用户和组的权限。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-33.png)
## 步骤 7:验证通过 Athena JDBC 客户端的访问
现在,您可以使用 JDBC 客户端以 Okta SAML 用户的身份执行与 Athena 的测试连接。
在本节中,您将执行以下任务:
+ 准备测试客户端 – 下载 Athena JDBC 驱动程序,安装 SQL Workbench,然后将驱动程序添加到 Workbench。本教程使用 SQL Workbench 通过 Okta 身份验证访问 Athena,并验证 Lake Formation 权限。
+ 在 SQL Workbench 中:
+ 为 Athena Okta 用户创建连接。
+ 以 Athena Okta 用户身份运行测试查询。
+ 为业务分析师用户创建和测试连接。
+ 在 Okta 控制台中,将业务分析师用户添加到开发人员组。
+ 在 Lake Formation 控制台中,为开发人员组配置表权限。
+ 在 SQL Workbench 中,以业务分析师用户身份运行测试查询,并验证权限更改如何影响结果。
**要准备测试客户端**
1. 从 [通过 JDBC 连接到 Amazon Athena](connect-with-jdbc.md) 下载并提取 Lake Formation 兼容 Athena JDBC 驱动程序(2.0.14 或更高版本)。
1. 下载并安装免费的 [SQL Workbench/J](https://www.sql-workbench.eu/index.html) SQL 查询工具,在已修改的 Apache 2.0 许可证下可用。
1. 在 SQL Workbench 中,选择 **File**(文件),然后选择 **Manage Drivers**(管理驱动程序)。
![\[选择 Manage Drivers。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-1.png)
1. 在 **Manage Drivers**(管理驱动程序)对话框中,执行以下步骤:
1. 选择新驱动程序图标。
1. 对于**名称**,请输入 **Athena**。
1. 对于 **Library**(库),浏览并选择您刚下载的 Simba Athena JDBC `.jar` 文件。
1. 选择**确定**。
![\[将 Athena JDBC 驱动程序添加到 SQL Workbench。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-2.png)
现在,您已准备就绪,可以为 Athena Okta 用户创建和测试连接。
**要为 Okta 用户创建连接**
1. 选择 **File**(文件)、**Connect window**(连接窗口)。
![\[选择 Connect window(连接窗口)。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-3.png)
1. 在 **Connection profile**(连接配置文件)对话框中,通过输入以下信息创建连接:
+ 在名称框中,输入 **Athena\$1Okta\$1User\$1Connection**。
+ 对于 **Driver**(驱动程序),选择 Simba Athena JDBC 驱动程序。
+ 对于 **URL**,请执行以下操作之一:
+ 要使用连接 URL,请输入单行连接字符串。为便于阅读,以下示例添加了换行符。
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
AwsCredentialsProviderClass=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider;
user=athena-okta-user@anycompany.com;
password=password;
idp_host=okta-idp-domain;
App_ID=okta-app-id;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
+ 要使用基于 AWS 配置文件的 URL,请执行以下步骤:
1. 配置具有 AWS 凭证文件的 [AWS 配置文件](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html),如下例所示。
```
[athena_lf_dev]
plugin_name=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider
idp_host=okta-idp-domain
app_id=okta-app-id
uid=athena-okta-user@anycompany.com
pwd=password
```
1. 对于 **URL**,输入单行连接字符串,如下例所示。为便于阅读,这些示例添加了换行符。
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
profile=athena_lf_dev;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
请注意,这些示例是连接到 Athena 所需 URL 的基本表示形式。有关 URL 支持的参数的完整列表,请参阅 [JDBC 文档](connect-with-jdbc.md)。
下图显示了使用连接 URL 的 SQL Workbench 连接配置文件。
![\[SQL Workbench 中的连接配置文件。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-4.png)
现在,您已为 Okta 用户建立了连接,您可以通过检索某些数据对其进行测试。
**要测试 Okta 用户的连接**
1. 选择 **Test**(测试),然后验证连接是否成功。
1. 从 SQL Workbench 的 **Statement**(语句)窗口中,运行以下 SQL `DESCRIBE` 命令。验证是否显示了所有列。
```
DESCRIBE "tripdb"."nyctaxi"
```
![\[所有列均已显示。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-5.png)
1. 从 SQL Workbench 的 **Statement**(语句)窗口中,运行以下 SQL `SELECT` 命令。验证是否显示了所有列。
```
SELECT * FROM tripdb.nyctaxi LIMIT 5
```
![\[验证是否显示了所有列。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-6.png)
接下来,您将验证 **athena-ba-user**(作为 **lf-business-analyst** 组的一部分)是否只能访问您之前在 Lake Formation 成中指定的表的前三列。
**要验证对 **athena-ba-user** 的访问**
1. 在 SQL Workbench 中的 **Connection profile**(连接配置文件)对话框中,创建另一个连接配置文件。
+ 对于连接配置文件名称,输入 ** Athena\$1Okta\$1Group\$1Connection**。
+ 对于 **Driver**(驱动程序),选择 Simba Athena JDBC 驱动程序。
+ 对于 **URL**,请执行以下操作之一:
+ 要使用连接 URL,请输入单行连接字符串。为便于阅读,以下示例添加了换行符。
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
AwsCredentialsProviderClass=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider;
user=athena-ba-user@anycompany.com;
password=password;
idp_host=okta-idp-domain;
App_ID=okta-application-id;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
+ 要使用基于 AWS 配置文件的 URL,请执行以下步骤:
1. 配置 AWS 配置文件,其具有类似于以下示例的凭证文件。
```
[athena_lf_ba]
plugin_name=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider
idp_host=okta-idp-domain
app_id=okta-application-id
uid=athena-ba-user@anycompany.com
pwd=password
```
1. 对于 **URL**,输入如下所示的单行连接字符串。为便于阅读,这些示例添加了换行符。
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
profile=athena_lf_ba;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
1. 选择 **Test**(测试)以确认连接是否成功。
1. 从 **SQL Statement**(SQL 语句)窗口中,如您之前的操作那样运行相同的 `DESCRIBE` 和 `SELECT` SQL 命令并检查结果。
由于 **athena-ba-user** 是 **lf-business-analyst** 组中的成员,将仅返回您在 Lake Formation 控制台中指定的前三列。
![\[仅返回前三列。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-7.png)
![\[前三列的数据。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-8.png)
接下来,您需要返回到 Okta 控制台以将 `athena-ba-user` 添加到 `lf-developer` Okta 组。
**要将 athena-ba-user 添加到 lf-developer 组**
1. 以分配的 Okta 域的管理用户身份登录到 Okta 控制台。
1. 选择 **Directory**(目录),然后选择 **Groups**(组)。
1. 在组页面上,选择 **lf-developer** 组中。
![\[选择 lf-developer 组。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-9.png)
1. 选择 **Manage People**(管理人员)。
1. 从 **Not Members**(非成员)列表中,选择 **athena-ba-user**,以将其添加到 **lf-developer group**(lf-developer 组)。
1. 选择**保存**。
现在,您将返回到 Lake Formation 控制台,以为 **lf-developer** 组配置表权限。
**要为 lf-developer-group 配置表权限**
1. 以数据湖管理员身份登录 Lake Formation 控制台。
1. 在导航窗格中,选择**表**。
1. 选择 **nyctaxi** 表。
1. 选择 **Actions**(操作)、**Grant**(授权)。
1. 在 **Grant Permissions**(授予权限)对话框中,输入以下信息:
+ 对于 **SAML 和 Amazon Quick 用户和组**,按以下格式输入 Okta SAML lf-developer 组 ARN:
+ 对于 **Columns**(列)、**Choose filter type**(选择筛选条件类型)中,选择 **Include columns**(包括列)。
+ 选择 **trip\$1type** 列。
+ 对于 **Table permissions**(表权限),选择 **SELECT**(选择)。
1. 选择 **Grant**(授权)。
现在,您可以使用 SQL Workbench 验证 **lf-developer** 组的权限变更了。更改应反映在可用于 **athena-ba-user** 的数据中,该用户现在是 **lf-developer** 组的成员。
**要验证 athena-ba-user 用户的权限更改**
1. 关闭 SQL Workbench 程序,然后重新打开。
1. 连接到 **athena-ba-user** 的配置文件。
1. 从 **Statement**(语句)窗口中,发布与之前运行的相同 SQL 语句:
这一次,将显示 **trip\$1type** 列。
![\[第四列可用于查询。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-10.png)
由于 **athena-ba-user** 现在同时是 **lf-developer** 和 **lf-business-analyst** 组中的成员,这些组的 Lake Formation 权限组合将决定返回的列。
![\[数据结果中的第四列。\]](http://docs.aws.amazon.com/zh_cn/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-11.png)
## 结论
在本教程中,您使用 Okta 作为 SAML 提供程序配置了 Athena 与 AWS Lake Formation 的整合。您使用 Lake Formation 和 IAM 控制数据湖 AWS Glue Data Catalog 中 SAML 用户可用的资源。
## 相关资源
有关信息,请参阅以下资源:
+ [通过 JDBC 连接到 Amazon Athena](connect-with-jdbc.md)
+ [启用对 Athena API 的联合访问](access-federation-saml.md)
+ 《[AWS Lake Formation 开发人员指南](https://docs.aws.amazon.com/lake-formation/latest/dg/)》
+ 《AWS Lake Formation 开发人员指南》**中的[授予和撤消数据目录权限](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html)。
+ 《IAM 用户指南**》中的 [身份提供程序和联合服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。
+ 《IAM 用户指南**》中的 [创建 IAM SAML 身份提供程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。
+ *AWS 安全博客*上的 [使用 Windows Active Directory、ADFS 和 SAML 2.0 启用对 AWS 的联合查询](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)。