将 Lake Formation 和 Athena JDBC 和 ODBC 驱动程序用于对 Athena 进行联合访问 - Amazon Athena
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Lake Formation 和 Athena JDBC 和 ODBC 驱动程序用于对 Athena 进行联合访问

Athena JDBC 和 ODBC 驱动程序使用 Okta 和 Microsoft Active Directory 联合访问服务 (AD FS) 身份提供程序支持对 Athena 进行基于 SAML 2.0 的联合访问。通过将 Amazon Athena 与 Amazon Lake Formation 整合,您可以使用公司凭证对 Athena 启用基于 SAML 的身份验证。借助 Lake Formation 和 Amazon Identity and Access Management (IAM),您可以保持对 SAML 用户可用数据的精细列级访问控制。使用 Athena JDBC 和 ODBC 驱动程序,联合访问可用于工具或编程访问。

要使用 Athena 来访问由 Lake Formation 控制的数据源,您需要通过配置身份提供程序 (IdP) 和 Amazon Identity and Access Management (IAM) 角色来启用基于 SAML 2.0 的联合访问。有关详细步骤,请参阅教程:使用 Lake Formation 和 JDBC 配置 Okta 用户对 Athena 的联合访问

前提条件

要使用 Amazon Athena 和 Lake Formation 进行联合访问,您必须满足以下要求:

  • 使用现有基于 SAML 的身份提供程序(例如 Okta 或 Microsoft Active Directory Federation Services (AD FS))管理您的公司身份。

  • 您可以将 Amazon Glue Data Catalog 用作元数据存储。

  • 在 Lake Formation 中定义和管理权限以访问 Amazon Glue Data Catalog 中的数据库、表和列。有关更多信息,请参见 Amazon Lake Formation 开发人员指南

  • 您可以使用版本 2.0.14 或更高版本的 Athena JDBC 驱动程序或版本 1.1.3 或更高版本的 Athena ODBC 驱动程序

注意事项和限制

使用 Athena JDBC 或 ODBC 驱动程序和 Lake Formation 配置对 Athena 的联合访问时,请记住以下几点:

  • 目前,Athena JDBC 驱动程序和 ODBC 驱动程序支持 Okta、Microsoft Active Directory Federation Services(AD FS)和 Azure AD 身份提供商。尽管 Athena JDBC 驱动程序具有可扩展为使用其他身份提供程序的通用 SAML 类,但对允许其他身份提供程序 (IdPs) 与 Athena 一起使用的自定义扩展的支持可能会受到限制。

  • 使用 JDBC 和 ODBC 驱动程序的联合访问与 IAM Identity Center 可信身份传播功能不兼容。

  • 目前,您无法使用 Athena 控制台配置对 IdP 和 SAML 与 Athena 一起使用的支持。要配置此支持,请使用第三方身份提供程序、Lake Formation 和 IAM 管理控制台以及 JDBC 或 ODBC 驱动程序客户端。

  • 您应该了解 SAML 2.0 规范以及它如何与身份提供程序相互合作,然后才嗯呢该配置您的身份提供程序和 SAML 用于 Lake Formation 和 Athena。

  • SAML 提供商和 Athena JDBC 和 ODBC 驱动程序由第三方提供,因此通过 Amazon 对与其使用有关问题的支持可能是有限的。