أمازون أثينا هي خدمة استعلام تفاعلية تسهل تحليل البيانات مباشرة في خدمة تخزين أمازون البسيطة (Amazon S3) باستخدام لغة SQL القياسية. يمكن لفرق تشغيل السحابة استخدام إدارة الهوية والوصول AWS (IAM) لإدارة الوصول إلى أثينا مركزيًا. يعمل هذا على تبسيط الإدارة من خلال السماح لفريق الإدارة بالتحكم في وصول المستخدم إلى مجموعات عمل Athena من Azure AD المُدار مركزيًا والمتصل بدليل نشط محلي. يقلل هذا الإعداد من تجربة الحمل من قبل فرق العمليات السحابية عند إدارة مستخدمي IAM. تدعم Athena الاتحاد مع اتحاد Active Directory Federation Service (ADFS) و PingFederate و Okta واتحاد Microsoft Azure Active Directory (Azure AD).
يوضح منشور المدونة هذا كيفية إعداد اتحاد AWS IAM مع Azure AD المتصل بـ AD المحلي وتكوين الوصول على مستوى مجموعة عمل Athena لمستخدمين مختلفين. سنقوم بتغطية سيناريوهين:
- قام Azure AD بإدارة المستخدمين والمجموعات ، و AD محليًا.
- يقوم الدليل النشط المحلي بإدارة المستخدمين والمجموعات المتزامنة مع Azure AD.
لا نغطي كيفية إعداد المزامنة بين AD المحلي و Azure AD بمساعدة اتصال Azure AD. لمزيد من المعلومات حول كيفية تكامل Azure AD مع AWS Managed AD ، راجع قم بتمكين Office 365 مع AWS Managed Microsoft AD بدون مزامنة كلمة مرور المستخدم وكيفية تكامل Azure AD مع إعلان محلي ، راجع مقالة Microsoft تثبيت مخصص لـ Azure Active Directory Connect.
حل نظرة عامة
يساعدك هذا الحل في تكوين اتحاد IAM مع Azure AD المتصل بـ AD المحلي وتكوين الوصول على مستوى مجموعة عمل Athena للمستخدمين. يمكنك التحكم في الوصول إلى مجموعة العمل إما عن طريق مجموعة AD محلية أو مجموعة Azure AD. الحل يتكون من أربعة أقسام:
- قم بإعداد Azure AD كموفر الهوية (IdP):
- قم بإعداد Azure AD باعتباره SAML IdP لتطبيق AWS أحادي الحساب.
- قم بتكوين تطبيق Azure AD باستخدام الأذونات المفوضة.
- قم بإعداد IAM IdP والأدوار:
- قم بإعداد IdP يثق في Azure AD.
- قم بإعداد مستخدم IAM لديه إذن قراءة الدور.
- قم بإعداد دور وسياسات IAM لكل مجموعة عمل أثينا.
- قم بإعداد وصول المستخدم في Azure AD:
- قم بإعداد التوفير التلقائي لدور IAM.
- قم بإعداد وصول المستخدم إلى دور مجموعة عمل أثينا.
- الوصول إلى أثينا:
- قم بالوصول إلى أثينا باستخدام برنامج Microsoft المستند إلى الويب بوابة تطبيقاتي.
- الوصول إلى أثينا باستخدام منضدة SQL / J. أداة استعلام SQL مجانية ومستقلة عن نظام DBMS ومتعددة المنصات.
يوضح الرسم البياني التالي بنية الحل.
يتضمن سير عمل الحل الخطوات التالية:
- تتصل محطة عمل المطور بـ Azure AD عبر برنامج تشغيل SQL Workbench / j JDBC Athena لطلب رمز SAML المميز (عملية OAuth المكونة من خطوتين).
- يرسل Azure AD حركة مرور المصادقة مرة أخرى إلى أماكن العمل عبر وكيل تمرير Azure AD أو ADFS.
- يتصل وكيل المرور Azure AD أو ADFS بـ DC المحلي ويقوم بمصادقة المستخدم.
- يرسل وكيل التمرير أو ADFS رمزًا مميزًا للنجاح إلى Azure AD.
- يُنشئ Azure AD رمز SAML المميز الذي يحتوي على دور IAM المعين ويرسله إلى العميل.
- يتصل العميل بـ خدمة رمز الأمان من AWS (AWS STS) ويقدم رمز SAML المميز لتولي دور أثينا وإنشاء بيانات اعتماد مؤقتة.
- ترسل AWS STS بيانات اعتماد مؤقتة إلى العميل.
- يستخدم العميل بيانات الاعتماد المؤقتة للاتصال بأثينا.
المتطلبات الأساسية المسبقة
يجب أن تفي بالمتطلبات التالية قبل تكوين الحل:
- على جانب Azure AD ، أكمل ما يلي:
- قم بإعداد خادم Azure AD Connect والمزامنة مع AD المحلي
- قم بإعداد تمريري Azure AD أو اتحاد Microsoft ADFS بين Azure AD و AD المحلي
- إنشاء ثلاثة مستخدمين (
user1
,user2
,user3
) وثلاث مجموعات (athena-admin-adgroup
,athena-datascience-adgroup
,athena-developer-adgroup
) لثلاث مجموعات عمل خاصة بأثينا
- على جانب أثينا ، قم بإنشاء ثلاث مجموعات عمل أثينا:
athena-admin-workgroup
,athena-datascience-workgroup
,athena-developer-workgroup
لمزيد من المعلومات حول استخدام نماذج مجموعات عمل أثينا ، راجع بحيرة بيانات عامة لتحليل بيانات COVID-19.
قم بإعداد Azure AD
سنغطي في هذا القسم تفاصيل تكوين Azure AD لـ Athena في اشتراك Microsoft Azure. سنقوم بشكل أساسي بتسجيل التطبيق وتكوين الاتحاد وتفويض إذن التطبيق وإنشاء سر التطبيق.
عيِّن Azure AD باعتباره SAML IdP لتطبيق AWS أحادي الحساب
لإعداد Azure AD باعتباره SAML IdP ، أكمل الخطوات التالية:
- تسجيل الدخول إلى بوابة Azure باستخدام بيانات اعتماد المسؤول العام في Azure AD.
- اختار أزور أكتيف ديركتوري.
- اختار تطبيقات المؤسسة.
- اختار تطبيق جديد.
- البحث عن
Amazon
في شريط البحث. - اختار الوصول إلى حساب AWS الفردي.
- في حالة اسم، أدخل
Athena-App
. - اختار خلق.
- في مجلة كيف تبدأ القسم، تحت قم بإعداد تسجيل الدخول الفردي، اختر إبداء الأن.
- في حالة حدد طريقة تسجيل دخول واحدة، اختر SAML.
- في حالة تكوين SAML الأساسي، اختر تحرير.
- في حالة المعرف (معرف الكيان)، أدخل
https://signin.aws.amazon.com/saml#1
. - اختار حفظ.
- تحت شهادة توقيع SAML، ل بيانات تعريف الاتحاد XML، اختر تحميل.
هذا الملف مطلوب لتهيئة IAM IdP الخاص بك في القسم التالي. احفظ هذا الملف على جهازك المحلي لاستخدامه لاحقًا عند تكوين IAM على AWS.
قم بتكوين تطبيق Azure AD باستخدام الأذونات المفوضة
لتكوين تطبيق Azure AD ، أكمل الخطوات التالية:
- اختار أزور أكتيف ديركتوري.
- اختار تسجيلات التطبيق و جميع التطبيقات.
- ابحث عن واختر تطبيق أثينا.
- لاحظ قيم معرف التطبيق (العميل) و معرف الدليل (المستأجر).
تحتاج إلى هذه القيم في اتصال JDBC عند الاتصال بـ Athena.
- تحت أذونات API، اختر أضف إذنًا.
- اختار Microsoft Graph و الأذونات المفوضة.
- في حالة حدد الأذونات، البحث عن
user.read
. - في حالة مستخدم، اختر المستخدم اقرأ.
- اختار إضافة إذن.
- اختار منح موافقة المسؤول و نعم.
- اختار التحقّق من المُستخدم و أضف منصة.
- اختار تطبيقات الجوال وسطح المكتب.
- تحت عناوين URL لإعادة التوجيه المخصصة، أدخل
http://localhost/athena
. - اختار ضبط.
- اختار الشهادات والأسرار و سر العميل الجديد.
- أدخل وصفًا.
- في حالة تنتهي، اختر اشتراك شهرين.
- قم بنسخ قيمة سرية الوحدة التابعة لاستخدامها عند توصيف وصلة JDBC.
قم بإعداد IAM IdP والأدوار
سنغطي في هذا القسم تكوين IAM في حساب AWS. سننشئ بشكل أساسي مستخدم IAM وأدواره وسياساته.
قم بإعداد IdP يثق في Azure AD
لإعداد ثقة IdP في Azure AD ، أكمل الخطوات التالية:
- في وحدة تحكم IAM ، اختر موفرو الهوية في جزء التنقل.
- اختار إضافة مزود.
- في حالة نوع المزود، اختر SAML.
- في حالة اسم المزود، أدخل
AzureADAthenaProvider
. - في حالة وثيقة البيانات الوصفية، قم بتحميل الملف الذي تم تنزيله من Azure Portal.
- اختار إضافة مزود.
قم بإعداد مستخدم IAM لديه إذن قراءة الدور
لإعداد مستخدم IAM الخاص بك ، أكمل الخطوات التالية:
- في وحدة تحكم IAM ، اختر المستخدمين في جزء التنقل.
- اختار إضافة مستخدم.
- في حالة اسم المستخدم، أدخل
ReadRoleUser
. - في حالة نوع الوصول، حدد الوصول الآلي.
- اختار التالي: أذونات.
- في حالة تعيين أذونات، اختر إرفاق السياسات الحالية مباشرة.
- اختار إنشاء سياسة.
- أختار JSON وأدخل السياسة التالية ، والتي تمنح حق الوصول للقراءة لتعداد الأدوار في IAM:
- اختار التالي: العلامات.
- اختار التالي: مراجعة.
- في حالة الاسم، أدخل
readrolepolicy
. - اختار إنشاء سياسة.
- على إضافة مستخدم علامة التبويب ، ابحث عن الدور واختره
readrole
. - اختار التالي: العلامات.
- اختار التالي: مراجعة.
- اختار خلق المستخدم.
- قم بتنزيل ملف .csv الذي يحتوي على معرف مفتاح الوصول ومفتاح الوصول السري.
نستخدمها عند تكوين التزويد التلقائي لـ Azure AD.
قم بإعداد دور وسياسات IAM لكل مجموعة عمل أثينا
لإعداد أدوار وسياسات IAM لمجموعات عمل Athena ، أكمل الخطوات التالية:
- في وحدة تحكم IAM ، اختر الأدوار في جزء التنقل.
- اختار خلق دور.
- في حالة حدد نوع الكيان الموثوق به، اختر اتحاد SAML 2.0.
- في حالة مزود SAML، اختر AzureADAthenaProvider.
- اختار السماح بالوصول البرمجي ووصول وحدة الإدارة في AWS.
- تحت الحالة، اختر القفل.
- أختار SAML: AUD.
- في حالة الحالة، حدد StringEquals.
- في حالة القيم، أدخل
http://localhost/athena
. - اختار التالي: أذونات.
- اختار إنشاء سياسة.
- اختار JSON وأدخل السياسة التالية (قدم ARN لمجموعة العمل الخاصة بك):
تمنح السياسة حق الوصول الكامل إلى مجموعة عمل أثينا. إنه يعتمد على سياسة AWS المُدارة AmazonAthenaFullAccess
و سياسات مثال مجموعة العمل.
- اختار التالي: العلامات.
- اختار التالي: مراجعة.
- في حالة الاسم، أدخل
athenaworkgroup1policy
. - اختار إنشاء سياسة.
- على خلق دور علامة التبويب ، ابحث عن
athenaworkgroup1policy
وحدد السياسة. - اختار التالي: العلامات.
- اختار التالي: مراجعة.
- اختار خلق دور.
- في حالة الاسم، أدخل
athenaworkgroup1role
. - اختار خلق دور.
قم بإعداد وصول المستخدم في Azure AD
في هذا القسم ، سنقوم بإعداد التوفير التلقائي وتعيين المستخدمين للتطبيق من بوابة Microsoft Azure.
قم بإعداد التوفير التلقائي لدور IAM
لإعداد التوفير التلقائي لدور IAM ، أكمل الخطوات التالية:
- تسجيل الدخول إلى بوابة Azure باستخدام بيانات اعتماد المسؤول العام في Azure AD.
- اختار أزور أكتيف ديركتوري.
- اختار تطبيقات المؤسسة واختر تطبيق أثينا.
- اختار توفير حسابات المستخدمين.
- في مجلة تموين القسم، اختر إبداء الأن.
- في حالة وضع التزويد، اختر أوتوماتيك.
- وسع بيانات اعتماد المسؤول والسكان عملاء سرية و رمز سري باستخدام معرف مفتاح الوصول ومفتاح الوصول السري لـ
ReadRoleUser
، على التوالي. - اختار اختبار اتصال و حفظ.
- اختار ابدأ التزويد.
يمكن أن تستغرق الدورة الأولية بعض الوقت حتى تكتمل ، وبعد ذلك يتم ملء أدوار IAM في Azure AD.
قم بإعداد وصول المستخدم إلى دور مجموعة عمل أثينا
لإعداد وصول المستخدم إلى دور مجموعة العمل ، أكمل الخطوات التالية:
- سجل الدخول إلى بوابة Azure باستخدام بيانات اعتماد المسؤول العام في Azure AD.
- اختار أزور أكتيف ديركتوري.
- اختار تطبيقات المؤسسة واختر تطبيق أثينا.
- اختار تعيين المستخدمين والمجموعات و إضافة مستخدم / مجموعة.
- تحت المستخدمون والمجموعات، حدد المجموعة التي تريد تعيين إذن Athena لها. لهذا المنصب ، نستخدمه
athena-admin-adgroup
؛ بدلاً من ذلك ، يمكنك تحديد user1. - اختار أختار.
- في حالة اختر الدور، حدد الدور
athenaworkgroup1role
. - اختار أختار.
- اختار تعيين.
الوصول إلى أثينا
سنشرح في هذا القسم كيفية الوصول إلى Athena من وحدة تحكم AWS وأداة المطور SQL Workbench / J
قم بالوصول إلى أثينا باستخدام بوابة Microsoft My Apps القائمة على الويب
لاستخدام بوابة Microsoft My Apps للوصول إلى Athena ، أكمل الخطوات التالية:
- سجل الدخول إلى بوابة Azure باستخدام بيانات اعتماد المسؤول العام في Azure AD.
- اختار أزور أكتيف ديركتوري
- اختار تطبيقات المؤسسة واختر تطبيق أثينا.
- اختار
- عقارات.
- انسخ قيمة URL وصول المستخدم.
- افتح مستعرض ويب وأدخل عنوان URL.
يعيد الارتباط توجيهك إلى صفحة تسجيل دخول Azure.
- قم بتسجيل الدخول باستخدام بيانات اعتماد المستخدم المحلي.
تتم إعادة توجيهك إلى وحدة تحكم إدارة AWS.
قم بالوصول إلى Athena باستخدام SQL Workbench / J
في المؤسسات عالية التنظيم ، لا يُسمح للمستخدمين الداخليين باستخدام وحدة التحكم للوصول إلى أثينا. في مثل هذه الحالات ، يمكنك استخدام SQL Workbench / J ، وهي أداة مفتوحة المصدر تتيح الاتصال بـ Athena باستخدام برنامج تشغيل JDBC.
- تحميل أحدث أثينا سائق JDBC (اختر برنامج التشغيل المناسب بناءً على إصدار Java الخاص بك).
- تحميل وتثبيت منضدة SQL / J..
- افتح SQL Workbench / J.
- على قم بتقديم القائمة، اختر ربط النافذة.
- اختار إدارة برامج التشغيل.
- في حالة الاسم، أدخل اسمًا للسائق الخاص بك.
- استعرض للوصول إلى موقع المجلد حيث قمت بتنزيل برنامج التشغيل وفك ضغطه.
- اختار OK.
الآن بعد أن قمنا بتكوين برنامج تشغيل Athena ، حان الوقت للاتصال بـ Athena. تحتاج إلى ملء عنوان URL للاتصال واسم المستخدم وكلمة المرور.
استخدم سلسلة الاتصال التالية للاتصال بـ Athena باستخدام حساب مستخدم بدون MFA (قدم القيم التي تم جمعها مسبقًا في المنشور):
للاتصال باستخدام حساب مستخدم مع تمكين MFA ، استخدم موفر بيانات اعتماد Azure AD للمستعرض. تحتاج إلى إنشاء عنوان URL للاتصال وملء اسم المستخدم اسم المستخدم وكلمة المرور
استخدم سلسلة الاتصال التالية للاتصال بـ Athena باستخدام حساب مستخدم تم تمكين MFA (قدم القيم التي جمعتها سابقًا):
استبدل النص باللون الأحمر بالتفاصيل التي تم جمعها مسبقًا في المقالة.
عند إنشاء الاتصال ، يمكنك تشغيل استعلامات ضد أثينا.
تكوين الوكيل
إذا كنت تتصل بـ Athena من خلال خادم وكيل ، فتأكد من أن الخادم الوكيل يسمح بالمنفذ 444. تستخدم واجهة برمجة تطبيقات البث لمجموعة النتائج المنفذ 444 على خادم أثينا للاتصالات الصادرة. تعيين ProxyHost
الخاصية إلى عنوان IP أو اسم المضيف لخادمك الوكيل. تعيين ProxyPort
إلى رقم منفذ TCP الذي يستخدمه الخادم الوكيل للاستماع إلى اتصالات العميل. انظر الكود التالي:
نبذة عامة
في هذا المنشور ، قمنا بتكوين اتحاد IAM مع Azure AD المتصل بـ AD المحلي وقمنا بإعداد وصول دقيق إلى مجموعة عمل Athena. نظرنا أيضًا في كيفية الوصول إلى Athena من خلال وحدة التحكم باستخدام مدخل الويب لـ Microsoft My Apps وأداة SQL Workbench / J. ناقشنا أيضًا كيفية عمل الاتصال عبر وكيل. يمكن أيضًا الاستفادة من نفس البنية التحتية للاتحاد لتكوين برنامج تشغيل ODBC. يمكنك أيضًا استخدام الإرشادات الواردة في هذا المنشور لإعداد Azure IdP المستند إلى SAML لتمكين الوصول الموحد إلى Athena Workgroups.
عن المؤلف
نراج كومار هو مدير الحساب الفني الرئيسي للخدمات المالية في AWS ، حيث يساعد العملاء في تصميم أعباء العمل على AWS وتصميمها وبناءها وتشغيلها ودعمها بطريقة آمنة وقوية. يتمتع بخبرة تزيد عن 20 عامًا في مجال تكنولوجيا المعلومات في مجالات هندسة المؤسسات والسحابة والافتراضية والأمن و IAM وهندسة الحلول وأنظمة وتقنيات المعلومات. في أوقات فراغه ، يستمتع بالتوجيه والتدريب والرحلات ومشاهدة الأفلام الوثائقية مع ابنه وقراءة شيء مختلف كل يوم.
- '
- &
- 100
- 11
- 420
- 7
- 9
- الوصول
- حسابي
- اكشن
- نشط
- نشط الدليل
- Ad
- مشرف
- الكل
- السماح
- أمازون
- تحليل
- API
- التطبيق
- التطبيقات
- التطبيقات
- هندسة معمارية
- البند
- التحقّق من المُستخدم
- AWS
- Azure
- المدونة
- المتصفح
- نساعدك في بناء
- الحالات
- سحابة
- الكود
- مجال الاتصالات
- صلة
- التواصل
- الإتصال
- موافقة
- كوفيد-19
- أوراق اعتماد
- عبر منصة
- العملاء
- البيانات
- بحيرة البيانات
- يوم
- dc
- تصميم
- المطور
- أفلام وثائقية
- سائق
- مشروع
- الخبره في مجال الغطس
- مجال
- مالي
- الخدمات المالية
- مجانًا
- بالإضافة إلى
- العالمية
- منح
- تجمع
- كيفية
- كيفية
- HTTPS
- IAM
- هوية
- معلومات
- البنية التحتية
- التفاعلية
- IP
- عنوان IP
- IT
- جافا
- القفل
- آخر
- مستوى
- LINK
- محلي
- موقع
- بدا
- إدارة
- MFA
- مایکروسافت
- الجوال
- قائمة الإختيارات
- مكتب 365
- المنظمات
- كلمة المرور
- المساعد
- سياسات الخصوصية والبيع
- سياسة
- بوابة
- رئيسي
- الملكية
- الوكيل
- جمهور
- نادي القراءة
- إعادة توجيه
- المتطلبات الأساسية
- مورد
- يجري
- بحث
- أمن
- خدمات
- طقم
- الاشارات
- هي
- SQL
- ملخص الحساب
- تخزين
- متدفق
- اشتراك
- تحقيق النجاح
- الدعم
- الدعم
- أنظمة
- تقني
- التكنولوجيا
- مؤقت
- الوقت
- رمز
- حركة المرور
- المستخدمين
- قيمنا
- الويب
- متصفح الويب
- سير العمل
- أعمال
- سنوات