# 将可信身份传播与 Amazon Athena 驱动程序结合使用
<a name="using-trusted-identity-propagation"></a>

可信身份传播为希望集中管理数据权限并根据其跨服务边界的 IdP 身份授权请求的组织提供了一种新的身份验证方法。借助 IAM Identity Center，您可以配置现有 IdP 来管理用户和群组，并使用 Amazon Lake Formation 为这些 IdP 身份定义对目录资源的精细访问控制权限。Athena 支持在查询数据以审计 IdP 身份数据访问权限时，进行身份传播，以帮助您的组织满足监管和合规要求。

现在，您可以通过 IAM Identity Center 的单点登录功能，连接到使用 Java 数据库连接（JDBC）或开放式数据库连接（ODBC）驱动程序的 Athena。通过 PowerBI、Tableau 或 DBeaver 等工具访问 Athena 时，您的身份和权限会自动通过 IAM Identity Center 传播到 Athena。这意味着在查询数据时会直接强制执行您的个人数据访问权限，无需进行单独的身份验证步骤或凭证管理。

对于管理员来说，此功能可以通过 IAM Identity Center 和 Lake Formation 集中控制访问权限，确保对连接到 Athena 的所有受支持分析工具强制执行一致的权限管理。首先，请确保您的组织已将 IAM Identity Center 配置为您的身份源，并为您的用户设置相应的数据访问权限。

**Topics**
+ [关键定义](#using-trusted-identity-propagation-key-definitions)
+ [注意事项](#using-trusted-identity-propagation-considerations)
+ [先决条件](#using-trusted-identity-propagation-prerequisites)
+ [将 Athena 连接到 IAM Identity Center](using-trusted-identity-propagation-setup.md)
+ [使用 Amazon CloudFormation 配置和部署资源](using-trusted-identity-propagation-cloudformation.md)

## 关键定义
<a name="using-trusted-identity-propagation-key-definitions"></a>

1. **应用程序角色**：用于交换令牌、检索工作组和客户管理的 Amazon IAM Identity Center 应用程序 ARN 的角色。

1. **访问角色**：用于 Athena 驱动程序的角色，可使用身份增强型凭证运行客户工作流程。这意味着需要有此角色才能访问下游服务。

1. **客户管理的应用程序**：Amazon IAM Identity Center 应用程序。有关更多信息，请参阅 [Customer Managed Application](https://docs.amazonaws.cn/singlesignon/latest/userguide/customermanagedapps.html)。

## 注意事项
<a name="using-trusted-identity-propagation-considerations"></a>

1. 此功能仅适用于 Athena 正式发布且支持可信身份传播功能的区域。有关可用性的更多信息，请参阅[注意事项和限制](https://docs.amazonaws.cn/athena/latest/ug/workgroups-identity-center.html)。

1. JDBC 和 ODBC 驱动程序支持通过启用 IAM 的工作组进行可信身份传播。

1. 您可以使用此身份验证插件将 JDBC 和 ODBC 用作独立驱动程序，也可以将它们与任何具有可信身份传播功能的 BI 或 SQL 工具结合使用。

## 先决条件
<a name="using-trusted-identity-propagation-prerequisites"></a>

1. 您必须有启用的 Amazon IAM Identity Center 实例。有关更多信息，请参阅 [What is IAM Identity Center?](https://docs.amazonaws.cn/singlesignon/latest/userguide/identity-center-instances.html)。

1. 您必须有一个有效的外部身份提供者，并且用户或组必须存在于 Amazon IAM Identity Center 中。您可以手动配置用户或群组或使用 SCIM 自动配置用户或群组。有关更多信息，请参阅 [Provisioning an external identity provider into IAM Identity Center using SCIM](https://docs.amazonaws.cn/singlesignon/latest/userguide/provision-automatically.html)。

1. 您必须向用户或组授予 Lake Formation 访问目录、数据库和表的权限。有关更多信息，请参阅[使用 Athena 查询注册到 Lake Formation 的数据](https://docs.amazonaws.cn/athena/latest/ug/security-athena-lake-formation.html)。

1. 要使用 JDBC 或 ODBC 驱动程序运行 Athena 查询，您必须有有效的 BI 工具或 SQL 客户端。