本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Athena 进行可信身份传播
启用可信身份传播的步骤取决于您的用户是与托管应用程序交互还是与客户 Amazon 托管的应用程序进行交互。下图显示了面向客户端的应用程序(无论是 Amazon 托管应用程序还是外部应用程序)的可信身份传播配置,该配置使用 Amazon Athena 通过 Amazon Lake Formation 和 Amazon S3 提供的访问控制来 Amazon 查询 Amazon S3 数据。Access Grants
注意
-
使用 Amazon Athena 进行可信身份传播需要使用 Trino。
-
不支持通过 ODBC 和 JDBC 驱动程序连接到亚马逊 Athena 的 Apache Spark 和 SQL 客户端。
Amazon 托管应用程序
以下面向客户端的 Amazon 托管应用程序支持通过 Athena 进行可信身份传播:
-
Amazon EMR Studio
要启用可信身份传播,请执行以下步骤:
-
将 Amazon EMR 设置Studio为面向 Athena 的面向客户的应用程序。启用可信身份传播后,需要使用 EMR Studio 中的查询编辑器来运行 Athena 查询。
-
设置 Amazon Lake Formation为根据 IAM Identity Center 中的用户或群组对 Amazon Glue 表启用精细访问控制。
-
设置 Amazon S3 Access Grants 以启用对 S3 中底层数据位置的临时访问权限。
注意
Lake Formation 和 Amazon S3 Access Grants 都是 Amazon S3 中 Athena 查询结果的访问控制 Amazon Glue Data Catalog 和 Amazon S3 的访问控制所必需的。
客户托管的应用程序
要为自定义开发的应用程序的用户启用可信身份传播,请参阅Amazon 安全博客中的使用可信身份传播 Amazon Web Services 服务 以编程方式访问