Amazonase Athena on interaktiivne päringuteenus, mis hõlbustab andmete otse analüüsimist Amazoni lihtne salvestusteenus (Amazon S3), kasutades standardset SQL-i. Pilveoperatsiooni meeskonnad saavad kasutada AWS-i identiteedi- ja juurdepääsuhaldus (IAM) föderatsioon, et hallata keskselt juurdepääsu Athenale. See lihtsustab haldust, võimaldades juhtmeeskonnal juhtida kasutajate juurdepääsu Athena töörühmadele tsentraalselt hallatava Azure AD kaudu, mis on ühendatud kohapealse Active Directoryga. See seadistus vähendab pilveoperatsioonimeeskondade kulusid IAM-i kasutajate haldamisel. Athena toetab liitmist Active Directory föderatsiooniteenuse (ADFS), PingFederate, Okta ja Microsoft Azure Active Directory (Azure AD) föderatsiooniga.
See ajaveebi postitus illustreerib, kuidas seadistada AWS IAM-i föderatsiooni koos Azure AD-ga, mis on ühendatud asutusesisese AD-ga, ja konfigureerida Athena töörühma tasemel juurdepääsu erinevatele kasutajatele. Me käsitleme kahte stsenaariumi:
- Azure AD haldas kasutajaid ja rühmi ning kohapealset AD-d.
- Kohapealne Active Directory hallatavad kasutajad ja rühmad on Azure AD-ga sünkroonitud.
Me ei käsitle, kuidas seadistada asutusesisese AD ja Azure AD vahel sünkroonimist Azure AD Connecti abil. Lisateavet selle kohta, kuidas integreerida Azure AD AWS-i hallatud AD-ga, vt Lubage Office 365 koos AWS-i hallatava Microsoft AD-ga ilma kasutaja parooli sünkroonimiseta ja kuidas integreerida Azure AD asutusesisese AD-ga, vaadake Microsofti artiklit Azure Active Directory Connecti kohandatud installimine.
Lahenduse ülevaade
See lahendus aitab teil konfigureerida IAM-i liitmist Azure AD-ga, mis on ühendatud asutusesisese AD-ga, ja konfigureerida kasutajatele Athena töörühmataseme juurdepääsu. Saate juhtida juurdepääsu töörühmale kohapealse AD-rühma või Azure AD-rühma kaudu. Lahendus koosneb neljast osast:
- Seadistage Azure AD oma identiteedipakkujana (IdP):
- Seadistage Azure AD oma SAML-i IDP-na AWS-i ühe konto rakenduse jaoks.
- Konfigureerige Azure AD rakendus delegeeritud õigustega.
- Seadistage oma IAM IDP ja rollid:
- Seadistage Azure AD-i usaldav IdP.
- Seadistage lugemisrolli loaga IAM-i kasutaja.
- Seadistage iga Athena töörühma jaoks IAM-i roll ja eeskirjad.
- Seadistage Azure AD-s kasutaja juurdepääs:
- Seadistage automaatne IAM-i rollide ettevalmistamine.
- Seadistage kasutaja juurdepääs Athena töörühma rollile.
- Juurdepääs Athenale:
- Juurdepääs Athenale veebipõhise Microsofti abil Minu rakenduste portaal.
- Juurdepääs Athenale kasutades SQL Workbench/J tasuta DBMS-ist sõltumatu platvormideülene SQL-päringutööriist.
Järgnev diagramm illustreerib lahenduse arhitektuuri.
Lahenduse töövoog sisaldab järgmisi samme.
- Arendaja tööjaam loob ühenduse Azure AD-ga SQL Workbench/j JDBC Athena draiveri kaudu, et taotleda SAML-luba (kaheastmeline OAuthi protsess).
- Azure AD saadab Azure AD läbipääsuagendi või ADFS-i kaudu autentimisliikluse tagasi asutusesisesesse.
- Azure AD läbipääsuagent ehk ADFS loob ühenduse kohapealse DC-ga ja autentib kasutaja.
- Läbipääsuagent ehk ADFS saadab Azure AD-le edumärgi.
- Azure AD koostab määratud IAM-i rolli sisaldava SAML-märgi ja saadab selle kliendile.
- Klient loob ühenduse AWS-i turvamärgi teenus (AWS STS) ja esitab SAML-i märgi, et võtta Athena roll ja genereerida ajutised mandaadid.
- AWS STS saadab kliendile ajutised mandaadid.
- Klient kasutab Athenaga ühenduse loomiseks ajutisi mandaate.
Eeldused
Enne lahenduse konfigureerimist peate täitma järgmised nõuded.
- Azure AD poolel tehke järgmist.
- Seadistage Azure AD Connecti server ja sünkroonige asutusesisese AD-ga
- Azure AD läbipääsu või Microsoft ADFS-i föderatsiooni seadistamine Azure AD ja kohapealse AD vahel
- Loo kolm kasutajat (
user1
,user2
,user3
) ja kolm rühma (athena-admin-adgroup
,athena-datascience-adgroup
,athena-developer-adgroup
) kolme vastava Athena töörühma jaoks
- Looge Athena poolel kolm Athena töörühma:
athena-admin-workgroup
,athena-datascience-workgroup
,athena-developer-workgroup
Athena näidistöörühmade kasutamise kohta lisateabe saamiseks vt Avalik andmejärv COVID-19 andmete analüüsimiseks.
Seadistage Azure AD
Selles jaotises käsitleme Microsoft Azure'i tellimuse Athena Azure AD konfiguratsiooni üksikasju. Peamiselt registreerime rakenduse, konfigureerime föderatsiooni, delegeerime rakenduse loa ja loome rakenduse saladuse.
Määrake Azure AD AWS-i ühe konto rakenduse jaoks SAML-i IDP-ks
Azure AD seadistamiseks SAML-i IDP-na toimige järgmiselt.
- Logige sisse Azure portaal Azure AD globaalse administraatori mandaadiga.
- Vali Azure Active Directory.
- Vali Ettevõtte rakendused.
- Vali Uus taotlus.
- Otsi
Amazon
otsinguribal. - Vali AWS-i ühe konto juurdepääs.
- eest nimi, sisestama
Athena-App
. - Vali Loo.
- aasta Alustamine jaotis all Ühekordse sisselogimise seadistamine, vali Alustamine.
- eest Valige ühekordse sisselogimise meetod, vali SAML.
- eest SAML-i põhikonfiguratsioon, vali Muuda
- eest Identifikaator (üksuse ID), sisenema
https://signin.aws.amazon.com/saml#1
. - Vali Säästa.
- alla SAML-i allkirjastamise sertifikaatJaoks Föderatsiooni metaandmete XML, vali Lae.
See fail on vajalik teie IAM-i IDP konfigureerimiseks järgmises jaotises. Salvestage see fail oma kohalikku arvutisse, et seda hiljem AWS-is IAM-i konfigureerimisel kasutada.
Konfigureerige oma Azure AD rakendus delegeeritud õigustega
Azure AD rakenduse konfigureerimiseks toimige järgmiselt.
- Vali Azure Active Directory.
- Vali Rakenduste registreerimised ja Kõik rakendused.
- Otsige ja valige Athena rakendus.
- Pange tähele väärtused Rakenduse (kliendi) ID ja Kataloogi (üürniku) ID.
Neid väärtusi vajate JDBC-ühenduses, kui loote ühenduse Athenaga.
- alla API load, vali Lisage luba.
- Vali Microsofti graafik ja Delegeeritud load.
- eest Valige load, otsima
user.read
. - eest Kasutaja, vali Kasutaja.Loe.
- Vali Lisa luba.
- Vali Andke administraatori nõusolek ja Jah.
- Vali Autentimine ja Lisage platvorm.
- Vali Mobiili- ja lauaarvutirakendused.
- alla Kohandatud ümbersuunamise URI-d, sisenema
http://localhost/athena
. - Vali Seadistamine.
- Vali Sertifikaadid ja saladused ja Uue kliendi saladus.
- Sisestage kirjeldus.
- eest Aegub, vali 24 kuud.
- Kopeerige kliendi salajane väärtus, mida kasutada JDBC-ühenduse konfigureerimisel.
Seadistage IAM-i IDP ja rollid
Selles jaotises käsitleme IAM-i konfiguratsiooni AWS-i kontol. Peamiselt loome IAM-i kasutaja, rollid ja eeskirjad.
Seadistage Azure AD-i usaldav IdP
Azure AD-i usaldava IdP seadistamiseks toimige järgmiselt.
- Valige IAM-konsoolil Identiteedi pakkujad navigeerimispaanil.
- Vali Lisa teenusepakkuja.
- eest Pakkuja tüüp, vali SAML.
- eest Pakkuja nimi, sisenema
AzureADAthenaProvider
. - eest Metaandmete dokument, laadige üles Azure Portaalist alla laaditud fail.
- Vali Lisa teenusepakkuja.
Seadistage lugemisrolli loaga IAM-i kasutaja
IAM-i kasutaja seadistamiseks toimige järgmiselt.
- Valige IAM-konsoolil kasutajad navigeerimispaanil.
- Vali Lisa kasutaja.
- eest kasutajanimi, sisenema
ReadRoleUser
. - eest Juurdepääsu tüüpvalige Programmiline juurdepääs.
- Vali Järgmine: load.
- eest Seadistage õigused, vali Manustage olemasolevad eeskirjad otse.
- Vali Loo poliitika.
- valima JSON ja sisestage järgmine reegel, mis annab lugemisõiguse IAM-is rollide loetlemiseks:
- Vali Järgmine: sildid.
- Vali Järgmine: ülevaade.
- eest Nimi, sisenema
readrolepolicy
. - Vali Loo poliitika.
- Kohta Lisa kasutaja otsige ja valige roll
readrole
. - Vali Järgmine: sildid.
- Vali Järgmine: ülevaade.
- Vali Loo kasutaja.
- Laadige alla .csv-fail, mis sisaldab juurdepääsuvõtme ID-d ja salajast juurdepääsuvõtit.
Kasutame neid Azure AD automaatse ettevalmistamise seadistamisel.
Seadistage iga Athena töörühma jaoks IAM-i roll ja eeskirjad
Athena töörühmade jaoks IAM-i rollide ja poliitikate seadistamiseks tehke järgmist.
- Valige IAM-konsoolil rollid navigeerimispaanil.
- Vali Loo roll.
- eest Valige usaldusväärse üksuse tüüp, vali SAML 2.0 föderatsioon.
- eest SAML-i pakkuja, vali AzureADAthenaProvider.
- Vali Lubage juurdepääs programmilisele ja AWS-i halduskonsoolile.
- alla Tingimus, vali Võti.
- valima SAML:aud.
- eest Tingimusvalige StringEquals.
- eest Väärtus, sisenema
http://localhost/athena
. - Vali Järgmine: load.
- Vali Loo poliitika.
- Vali JSON ja sisestage järgmine poliitika (esitage oma töörühma ARN):
Reegel annab täieliku juurdepääsu Athena töörühmale. See põhineb AWS-i hallatud poliitika AmazonAthenaFullAccess
ja töörühma näidispoliitikad.
- Vali Järgmine: sildid.
- Vali Järgmine: ülevaade.
- eest Nimi, sisenema
athenaworkgroup1policy
. - Vali Loo poliitika.
- Kohta Loo roll vahekaart, otsige
athenaworkgroup1policy
ja valige poliitika. - Vali Järgmine: sildid.
- Vali Järgmine: ülevaade.
- Vali Loo roll.
- eest Nimi, sisenema
athenaworkgroup1role
. - Vali Loo roll.
Seadistage Azure AD-s kasutaja juurdepääs
Selles jaotises seadistame automaatse ettevalmistamise ja määrame kasutajad rakendusele Microsoft Azure'i portaalist.
Seadistage automaatne IAM-i rollide ettevalmistamine
IAM-i rollide automaatse varustamise seadistamiseks toimige järgmiselt.
- Logige sisse Azure portaal Azure AD globaalse administraatori mandaadiga.
- Vali Azure Active Directory.
- Vali Ettevõtlusrakendused Ja vali Athena rakendus.
- Vali Kasutajakontode loomine.
- aasta Catering Valige jaotises Alustamine.
- eest Provisjonirežiim, vali Automaatne.
- Laiendama Administraatori mandaadid ja asustada kliendi saladus ja Salajane märk pääsuvõtme ID ja salajase juurdepääsuvõtmega
ReadRoleUser
, Vastavalt. - Vali Test Connection ja Säästa.
- Vali Alustage ettevalmistamist.
Esialgse tsükli lõpuleviimiseks võib kuluda veidi aega, pärast mida IAM-i rollid asustatakse Azure AD-s.
Seadistage kasutaja juurdepääs Athena töörühma rollile
Kasutaja juurdepääsu seadistamiseks töörühma rollile toimige järgmiselt.
- Logi sisse Azure portaal Azure AD globaalse administraatori mandaadiga.
- Vali Azure Active Directory.
- Vali Ettevõtlusrakendused Ja vali Athena rakendus.
- Vali Määrake kasutajad ja rühmad ja Lisa kasutaja/grupp.
- alla Kasutajad ja rühmad, valige rühm, millele soovite Athena loa määrata. Selle postituse jaoks kasutame
athena-admin-adgroup
; teise võimalusena saate valida kasutaja1. - Vali valima.
- eest Valige roll, valige roll
athenaworkgroup1role
. - Vali valima.
- Vali Määrake.
Juurdepääs Athenale
Selles jaotises demonstreerime, kuidas pääseda juurde Athenale AWS-i konsoolist ja arendajatööriistast SQL Workbench/J
Juurdepääs Athenale veebipõhise Microsoft My Appsi portaali kaudu
Microsoft My Appsi portaali kasutamiseks Athenale juurdepääsuks toimige järgmiselt.
- Logi sisse Azure portaal Azure AD globaalse administraatori mandaadiga.
- Vali Azure Active Directory
- Vali Ettevõtlusrakendused Ja vali Athena rakendus.
- Vali
- Kinnisvara.
- Kopeerige väärtus Kasutaja juurdepääsu URL.
- Avage veebibrauser ja sisestage URL.
Link suunab teid Azure'i sisselogimislehele.
- Logige sisse kohapealsete kasutajamandaatidega.
Teid suunatakse aadressile AWS-i juhtimiskonsool.
Juurdepääs Athenale, kasutades SQL Workbench/J
Tugevalt reguleeritud organisatsioonides ei ole sisekasutajatel lubatud Athenale juurdepääsuks konsooli kasutada. Sellistel juhtudel saate kasutada avatud lähtekoodiga tööriista SQL Workbench/J, mis võimaldab JDBC draiveri abil ühenduse luua Athenaga.
- Laadige hiljemalt alla Athena JDBC draiver (valige Java versiooni põhjal sobiv draiver).
- Laadige alla ja installige SQL Workbench/J.
- Avage SQL Workbench/J.
- Kohta fail menüüst valige Ühenda aken.
- Vali Juhtide haldamine.
- eest Nimi, sisestage oma juhi nimi.
- Sirvige kausta asukohta, kuhu draiver alla laadisite ja lahti pakkisite.
- Vali OK.
Nüüd, kui oleme Athena draiveri konfigureerinud, on aeg Athenaga ühendus luua. Peate sisestama ühenduse URL-i, kasutajanime ja parooli.
Kasutage Athenaga ühenduse loomiseks ilma MFA-ta kasutajakontoga järgmist ühendusstringi (esitage postituses varem kogutud väärtused):
Ühenduse loomiseks kasutajakontoga, kus MFA on lubatud, kasutage brauserit Azure AD Credentials Provider. Peate looma ühenduse URL-i ja sisestama kasutajanime Kasutajanimi ja parool
Kasutage järgmist ühendusstringi, et Athenaga ühenduse luua kasutajakontoga, millel on lubatud MFA (esitage varem kogutud väärtused):
Asendage punane tekst artiklis varem kogutud üksikasjadega.
Kui ühendus on loodud, saate Athena vastu päringuid käivitada.
Puhverserveri konfiguratsioon
Kui loote ühenduse Athenaga puhverserveri kaudu, veenduge, et puhverserver lubaks porti 444. Tulemuskomplekti voogesituse API kasutab porti 444 Athena serveris väljamineva side jaoks. Määrake ProxyHost
atribuut teie puhverserveri IP-aadressile või hostinimele. Määrake ProxyPort
atribuut TCP-pordi numbrile, mida puhverserver kasutab kliendiühenduste kuulamiseks. Vaadake järgmist koodi:
kokkuvõte
Selles postituses konfigureerisime IAM-i föderatsiooni Azure AD-ga, mis on ühendatud kohapealse AD-ga, ja seadistasime üksikasjaliku juurdepääsu Athena töörühmale. Vaatasime ka, kuidas pääseda Athenale konsooli kaudu, kasutades Microsoft My Appsi veebiportaali ja SQL Workbench/J tööriista. Arutasime ka seda, kuidas ühendus puhverserveri kaudu toimib. Sama föderatsiooni infrastruktuuri saab kasutada ka ODBC draiveri konfigureerimiseks. Selles postituses olevaid juhiseid saate kasutada ka SAML-põhise Azure IdP seadistamiseks, et võimaldada liitjuurdepääsu Athena töörühmadele.
Teave Autor
Niraj Kumar on AWS-i finantsteenuste peamine tehniline kontohaldur, kus ta aitab klientidel AWS-i töökoormust turvalisel ja jõulisel viisil kavandada, kavandada, ehitada, käitada ja toetada. Tal on üle 20-aastane mitmekülgne IT-kogemus ettevõtte arhitektuuri, pilve ja virtualiseerimise, turvalisuse, IAM-i, lahendusarhitektuuri ning infosüsteemide ja tehnoloogiate vallas. Vabal ajal meeldib talle juhendada, juhendada, trekkida, vaadata koos pojaga dokumentaalfilme ja lugeda iga päev midagi erinevat.
- '
- &
- 100
- 11
- 420
- 7
- 9
- juurdepääs
- konto
- tegevus
- aktiivne
- Active Directory
- Ad
- admin
- Materjal: BPA ja flataatide vaba plastik
- Lubades
- Amazon
- analüüs
- API
- app
- rakendused
- apps
- arhitektuur
- artikkel
- Autentimine
- AWS
- Taevasina
- Blogi
- brauseri
- ehitama
- juhtudel
- Cloud
- kood
- Side
- ühendus
- Side
- Side
- nõusolek
- Covid-19
- volikiri
- platvormiülene
- Kliendid
- andmed
- andmejärv
- päev
- dc
- Disain
- arendaja
- dokumentaalfilme
- juht
- ettevõte
- kogemus
- Valdkonnad
- finants-
- finantsteenused
- tasuta
- täis
- Globaalne
- toetusi
- Grupp
- Kuidas
- Kuidas
- HTTPS
- IAM
- Identity
- info
- Infrastruktuur
- interaktiivne
- IP
- IP-aadress
- IT
- Java
- Võti
- hiljemalt
- Tase
- LINK
- kohalik
- liising
- Vaatasin
- juhtimine
- MFA
- Microsoft
- mobiilne
- NAVIGATSIOON
- Büroo 365
- organisatsioonid
- Parool
- plugin
- Poliitika
- poliitika
- Portal
- Peamine
- kinnisvara
- volikiri
- avalik
- Lugemine
- suunata
- Nõuded
- ressurss
- jooks
- Otsing
- turvalisus
- Teenused
- komplekt
- lihtne
- selle
- SQL
- väljavõte
- ladustamine
- streaming
- tellimine
- edu
- toetama
- Toetab
- süsteemid
- Tehniline
- Tehnoloogiad
- ajutine
- aeg
- sümboolne
- liiklus
- Kasutajad
- väärtus
- web
- veebibrauseri
- töövoog
- töötab
- aastat