本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon Athena 的可信身份传播
<a name="tip-usecase-ate"></a>

启用可信身份传播的步骤取决于您的用户是与托管应用程序交互还是与客户 Amazon 托管的应用程序进行交互。下图显示了面向客户端的应用程序（无论是 Amazon 托管应用程序还是外部应用程序）的可信身份传播配置，该配置使用 Amazon Athena 通过 Amazon Lake Formation 和 Amazon S3 提供的访问控制来 Amazon 查询 Amazon S3 数据。Access Grants

**注意**  
Amazon Athena 的可信身份传播需使用 Trino。
不支持通过 ODBC 和 JDBC 驱动程序连接到 Amazon Athena 的 Apache Spark 和 SQL 客户端。

![\[使用 Athena、Amazon EMR、Lake Formation 和 IAM Identity Center 的可信身份传播示意图\]](http://docs.amazonaws.cn/singlesignon/latest/userguide/images/ate-tip-diagram.png)


**Amazon 托管应用程序**

以下面向客户端的 Amazon 托管应用程序支持通过 Athena 进行可信身份传播：
+ Amazon EMR Studio

**如需启用可信身份传播，请执行以下步骤：**
+ [设置 Amazon EMR Studio](setting-up-tip-emr.md) 作为 Athena 的面向客户端应用程序。启用可信身份传播后，需通过 EMR Studio 中的查询编辑器运行 Athena 查询。
+ [设置 Athena 工作组](setting-up-tip-ate.md)。
+ [设置 Amazon Lake Formation为](tip-tutorial-lf.md)根据 IAM Identity Center 中的用户或群组对 Amazon Glue 表启用精细访问控制。
+ [设置 Amazon S3 Access Grants](tip-tutorial-s3.md)，以便允许临时访问 S3 中的底层数据位置。

**注意**  
Lake Formation 和 Amazon S3 Access Grants 都需要对亚马逊 S3 中的 Athena 查询结果进行访问控制。 Amazon Glue Data Catalog 

**客户托管的应用程序**  
要为*自定义开发的应用程序*的用户启用可信身份传播，请参阅*Amazon 安全*博客中的[使用可信身份传播 Amazon Web Services 服务 以编程方式访问](https://www.amazonaws.cn/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/)。