搭配使用可信身分傳播與 Amazon Athena 驅動器 - Amazon Athena
關鍵定義考量事項必要條件

搭配使用可信身分傳播與 Amazon Athena 驅動器

可信身分傳播為希望集中管理資料許可並根據其 IdP 身分跨服務界限授權請求的組織提供了新的身分驗證選項。透過 IAM Identity Center,您可以設定現有 IdP 來管理使用者和群組,並使用 AWS Lake Formation 為這些 IdP 身分定義對目錄資源的精細存取控制許可。Athena 支援在查詢資料時進行身分傳播,以稽核透過 IdP 身分的資料存取,進而協助您的組織滿足其法規和合規要求。

您現在可以使用 Java 資料庫連線 (JDBC) 或開放式資料庫連線 (ODBC) 驅動器,透過 IAM Identity Center 使用單一登入功能連線至 Athena。當您從 PowerBI、Tableau 或 DBeaver 等工具存取 Athena 時,您的身分和許可會透過 IAM Identity Center 自動傳播到 Athena。這表示在查詢資料時,會直接強制執行您的個別資料存取許可,而不需要單獨的身分驗證步驟或憑證管理。

對於管理員,此功能會透過 IAM Identity Center 和 Lake Formation 集中存取控制,進而確保在連接到 Athena 的所有支援分析工具中強制執行一致的許可。若要開始使用,請確保您的組織已將 IAM Identity Center 設定為您的身分來源,並為使用者設定適當的資料存取許可。

主題

關鍵定義

  1. 應用程式角色 – 交換權杖、擷取工作群組和客戶受管 AWS IAM Identity Center 應用程式 ARN 的角色。

  2. 存取角色 – 搭配 Athena 驅動器使用的角色,以便透過身分增強憑證執行客戶工作流程。這表示需要此角色才能存取下游服務。

  3. 客戶受管應用程式 – AWS IAM Identity Center 應用程式。如需詳細資訊,請參閱客戶受管應用程式

考量事項

  1. 此功能僅適用於已全面推出具有可信身分傳播的 Athena 的區域。如需有關可用性的詳細資訊,請參閱考量事項和限制

  2. 您可以使用 JDBC 和 ODBC 作為獨立驅動器,或搭配任何具有信任身分傳播的 BI 或 SQL 工具使用此身分驗證外掛程式。

必要條件

  1. 您必須啟用 AWS IAM Identity Center 執行個體。如需詳細資訊,請參閱什麼是 IAM Identity Center?

  2. 您必須擁有正常運作中的外部身分提供者,且使用者或群組必須存在於 AWS IAM Identity Center 中。您可以自動佈建使用者或群組,或是手動或透過 SCIM 佈建。如需詳細資訊,請參閱使用 SCIM 將外部身分提供者佈建至 IAM Identity Center

  3. 您必須將 Lake Formation 許可授予目錄、資料庫和資料表的使用者或群組。如需詳細資訊,請參閱使用 Athena 透過 Lake Formation 查詢資料

  4. 您必須擁有正常運作中的 BI 工具或 SQL 用戶端,才能使用 JDBC 或 ODBC 驅動器執行 Athena 查詢。