本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 Amazon Athena 驅動程式使用受信任身分傳播
信任的身分傳播為希望集中資料許可管理的組織提供了新的身分驗證選項,並根據其跨服務界限的 IdP 身分授權請求。使用 IAM Identity Center,您可以設定現有的 IdP 來管理使用者和群組,並使用 AWS Lake Formation 為這些 IdP 身分定義目錄資源的精細存取控制許可。Athena 在查詢資料以稽核 IdP 身分的資料存取時支援身分傳播,以協助您的組織滿足其法規和合規要求。
您現在可以使用 Java Database Connectivity (JDBC) 或 Open Database Connectivity (ODBC) 驅動程式,透過 IAM Identity Center 使用單一登入功能連線至 Athena。當您從 PowerBI、Tableau 或 DBeaver 等工具存取 Athena 時,您的身分和許可會自動透過 IAM Identity Center 傳播到 Athena。這表示在查詢資料時,會直接強制執行您的個別資料存取許可,而不需要單獨的身分驗證步驟或憑證管理。
對於管理員,此功能會透過 IAM Identity Center 和 Lake Formation 集中存取控制,確保在所有連接到 Athena 的支援分析工具中強制執行一致的許可。若要開始使用,請確定您的組織已將 IAM Identity Center 設定為您的身分來源,並為使用者設定適當的資料存取許可。
金鑰定義
-
應用程式角色 – 交換字符、擷取工作群組和客戶受管 AWS IAM Identity Center 應用程式 ARN 的角色。
-
存取角色 – 搭配 Athena 驅動程式使用的角色,以使用 Identity 增強型登入資料執行客戶工作流程。這表示需要此角色才能存取下游服務。
-
客戶受管應用程式 – AWS IAM Identity Center 應用程式。如需詳細資訊,請參閱客戶受管應用程式。
考量
-
此功能僅適用於 Athena 通常可透過受信任身分傳播使用的區域。如需可用性的詳細資訊,請參閱考量和限制。
-
您可以使用 JDBC 和 ODBC 做為獨立驅動程式,或搭配任何具有信任身分傳播的 BI 或 SQL 工具使用此身分驗證外掛程式。
先決條件
-
您必須啟用 AWS IAM Identity Center 執行個體。如需詳細資訊,請參閱什麼是 IAM Identity Center?以取得詳細資訊。
-
您必須有運作中的外部身分提供者,且使用者或群組必須存在於 AWS IAM Identity Center 中。您可以手動或使用 SCIM 自動佈建使用者或群組。如需詳細資訊,請參閱使用 SCIM 將外部身分提供者佈建至 IAM Identity Center。
-
您必須將 Lake Formation 許可授予目錄、資料庫和資料表的使用者或群組。如需詳細資訊,請參閱使用 Athena 透過 Lake Formation 查詢資料。
-
您必須有運作中的 BI 工具或 SQL 用戶端,才能使用 JDBC 或 ODBC 驅動程式執行 Athena 查詢。
