将可信身份传播与 Amazon Athena 驱动程序结合使用 - Amazon Athena
关键定义注意事项先决条件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将可信身份传播与 Amazon Athena 驱动程序结合使用

可信身份传播为希望集中管理数据权限并根据其跨服务边界的 IdP 身份授权请求的组织提供了一种新的身份验证方法。借助 IAM Identity Center,您可以配置现有 IdP 来管理用户和群组,并使用 Amazon Lake Formation 为这些 IdP 身份定义对目录资源的精细访问控制权限。Athena 支持在查询数据以审计 IdP 身份数据访问权限时,进行身份传播,以帮助您的组织满足监管和合规要求。

现在,您可以通过 IAM Identity Center 的单点登录功能,连接到使用 Java 数据库连接(JDBC)或开放式数据库连接(ODBC)驱动程序的 Athena。通过 PowerBI、Tableau 或 DBeaver 等工具访问 Athena 时,您的身份和权限会自动通过 IAM Identity Center 传播到 Athena。这意味着在查询数据时会直接强制执行您的个人数据访问权限,无需进行单独的身份验证步骤或凭证管理。

对于管理员来说,此功能可以通过 IAM Identity Center 和 Lake Formation 集中控制访问权限,确保对连接到 Athena 的所有受支持分析工具强制执行一致的权限管理。首先,请确保您的组织已将 IAM Identity Center 配置为您的身份源,并为您的用户设置相应的数据访问权限。

主题

关键定义

  1. 应用程序角色:用于交换令牌、检索工作组和客户管理的 Amazon IAM Identity Center 应用程序 ARN 的角色。

  2. 访问角色:用于 Athena 驱动程序的角色,可使用身份增强型凭证运行客户工作流程。这意味着需要有此角色才能访问下游服务。

  3. 客户管理的应用程序:Amazon IAM Identity Center 应用程序。有关更多信息,请参阅 Customer Managed Application

注意事项

  1. 此功能仅适用于 Athena 正式发布且支持可信身份传播功能的区域。有关可用性的更多信息,请参阅注意事项和限制

  2. 您可以使用此身份验证插件将 JDBC 和 ODBC 用作独立驱动程序,也可以将它们与任何具有可信身份传播功能的 BI 或 SQL 工具结合使用。

先决条件

  1. 您必须有启用的 Amazon IAM Identity Center 实例。有关更多信息,请参阅 What is IAM Identity Center?

  2. 您必须有一个有效的外部身份提供者,并且用户或组必须存在于 Amazon IAM Identity Center 中。您可以手动配置用户或群组或使用 SCIM 自动配置用户或群组。有关更多信息,请参阅 Provisioning an external identity provider into IAM Identity Center using SCIM

  3. 您必须向用户或组授予 Lake Formation 访问目录、数据库和表的权限。有关更多信息,请参阅使用 Athena 查询注册到 Lake Formation 的数据

  4. 要使用 JDBC 或 ODBC 驱动程序运行 Athena 查询,您必须有有效的 BI 工具或 SQL 客户端。