透過 授權連線 AWS Lake Formation - Amazon Quick Suite
啟用來自 Lake Formation 的連線從 Amazon Quick Suite 啟用連線

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過 授權連線 AWS Lake Formation

 適用對象:企業版 
   目標對象:系統管理員 

如果您要使用 查詢資料 Amazon Athena,您可以使用 AWS Lake Formation 來簡化從 Amazon Quick Sight 保護和連線至資料的方式。Lake Formation 透過提供套用至分析和機器學習服務的專屬許可模型,將 新增至 AWS Identity and Access Management AWS (IAM) 許可模型。這個集中定義的許可模型可透過簡單的授予和撤銷機制,以細微層級控制資料存取。您可使用 Lake Formation 來取代或補充使用 IAM 的範圍縮減政策。

設定 Lake Formation 時,您可註冊資料來源,以允許資料來源將資料移至 Amazon S3 中的新資料湖。Lake Formation 和 Athena 都可以與 AWS Glue Data Catalog無縫整合,因此可以輕鬆地一起使用。Athena 資料庫和資料表是中繼資料容器。這些容器描述資料的基礎結構描述、資料定義語言 (DDL) 陳述式,以及 Amazon S3 中資料的位置。

下圖顯示所涉及 AWS 服務的關係。

設定 Lake Formation 之後,您可以使用 Amazon Quick Suite 依名稱或透過 SQL 查詢存取資料庫和資料表。Amazon Quick Suite 提供功能完整的編輯器,您可以在其中撰寫 SQL 查詢。或者,您可以使用 Athena 主控台 AWS CLI、 或您偏好的查詢編輯器。如需詳細資訊,請參閱《Amazon Athena 使用者指南》中的 存取 Athena

使用以下主題,透過 Lake Formation 或 Amazon Quick Suite 設定 Lake Formation 連線。

啟用來自 Lake Formation 的連線

開始使用此解決方案搭配 Quick Suite 之前,請確定您可以使用 Athena 搭配 Lake Formation 來存取資料。驗證連線是否透過 Athena 運作後,您只需要驗證 Amazon Quick Suite 是否可以連線至 Athena。這樣做意味著您不必一次對所有三種產品的連線進行疑難排解。測試連線的其中一個簡單方法是使用 Athena 查詢主控台執行簡單的 SQL 命令,例如 SELECT 1 FROM table

若要設定 Lake Formation,使用其的人員或團隊需要建立新的 IAM 角色和 Lake Formation 的存取權。他們也需要下列清單中顯示的資訊。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》中的設定 Lake Formation

  • 收集需要存取 Lake Formation 中資料的 Quick Suite 使用者和群組的 Amazon Resource Name ARNs)。這些使用者應該是 Amazon Quick Suite 作者或管理員。

    尋找 Amazon Quick Suite 使用者和群組 ARNs

    1. 使用 尋找 Amazon Quick Suite 作者和管理員 AWS CLI 的使用者 ARNs。為此,請在終端 (Linux 或 Mac) 或命令提示 (Windows) 中執行以下 list-users 命令。

      aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

      回應會傳回每個使用者的資訊。我們會在以下範例中用粗體顯示 Amazon Resource Name (ARN)。

      RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
Status: 200
UserList:
- Active: true
  Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
  Email: SaanviSarkar@example.com
  PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
  Role: ADMIN
  UserName: SaanviSarkar

      若要避免使用 AWS CLI,您可以手動建構每個使用者的 ARNs。

    2. (選用) 使用 在終端機 (Linux 或 Mac) 或命令提示字元 (Windows) 中執行下列list-group命令 AWS CLI ,以尋找 Amazon Quick Suite 群組ARNs。

      aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

      回應會傳回每個群組的資訊。在下列範例中,ARN 會以粗體顯示。

      GroupList:
- Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
  Description: Data Lake for CXO Balanced Scorecard
  GroupName: DataLake-Scorecard
  PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
RequestId: c1000198-18fa-4277-a1e2-02163288caf6
Status: 200

      如果您沒有任何 Amazon Quick Suite 群組,請使用 新增群組 AWS CLI 以執行 create-group命令。目前沒有從 Amazon Quick Suite 主控台執行此操作的選項。如需詳細資訊,請參閱在 Amazon Quick Suite 中建立和管理群組

      若要避免使用 AWS CLI,您可以手動建構每個群組ARNs。

從 Amazon Quick Suite 啟用連線

若要使用 Lake Formation 和 Athena,請確定您已在 Amazon Quick Suite 中設定 AWS 資源許可:

  • 啟用對 Amazon Athena 的存取。

  • 啟用對 Amazon S3 中正確的儲存貯體的存取。通常情況下,當您啟用 Athena 時即會啟用 S3 存取。不過,由於您可以在該程序以外變更 S3 許可,因此最好分別進行確認。

如需有關如何在 Quick Suite 中驗證或變更 AWS 資源許可的資訊,請參閱允許自動探索 AWS 資源存取資料來源