آمازون آتنا یک سرویس پرس و جو تعاملی است که تجزیه و تحلیل مستقیم داده ها را آسان تر می کند سرویس ذخیره سازی ساده آمازون (Amazon S3) با استفاده از SQL استاندارد. تیم های عملیات ابری می توانند استفاده کنند هویت AWS و مدیریت دسترسی فدراسیون (IAM) برای مدیریت مرکزی دسترسی به آتنا. این امر با اجازه دادن به یک تیم حاکم برای کنترل دسترسی کاربر به گروههای کاری Athena از یک Azure AD با مدیریت مرکزی متصل به یک Active Directory داخلی، مدیریت را ساده میکند. این راهاندازی تجربه سربار تیمهای عملیات ابری را هنگام مدیریت کاربران IAM کاهش میدهد. آتنا از فدراسیون با خدمات فدراسیون اکتیو دایرکتوری (ADFS)، PingFederate، Okta و فدراسیون Microsoft Azure Active Directory (Azure AD) پشتیبانی می کند.
این پست وبلاگ نحوه راه اندازی فدراسیون AWS IAM با Azure AD متصل به AD داخلی و پیکربندی دسترسی در سطح گروه کاری Athena برای کاربران مختلف را نشان می دهد. ما قصد داریم دو سناریو را پوشش دهیم:
- Azure AD مدیریت کاربران و گروهها و AD داخلی.
- On-prem Active Directory کاربران و گروههای همگامسازی شده با Azure AD.
ما نحوه تنظیم همگام سازی بین AD داخلی و Azure AD را با کمک اتصال Azure AD پوشش نمی دهیم. برای اطلاعات بیشتر در مورد نحوه ادغام Azure AD با AWS Managed AD، ببینید Office 365 را با AWS Managed Microsoft AD بدون همگام سازی رمز عبور کاربر فعال کنید و نحوه ادغام Azure AD با یک AD در محل، به مقاله مایکروسافت مراجعه کنید نصب سفارشی Azure Active Directory Connect.
بررسی اجمالی راه حل
این راه حل به شما کمک می کند فدراسیون IAM را با Azure AD متصل به AD داخل محل پیکربندی کنید و دسترسی در سطح گروه کاری Athena را برای کاربران پیکربندی کنید. شما می توانید دسترسی به گروه کاری را توسط یک گروه AD درون محل یا گروه AD Azure کنترل کنید. راه حل شامل چهار بخش است:
- Azure AD را به عنوان ارائه دهنده هویت خود (IdP) تنظیم کنید:
- Azure AD را به عنوان SAML IdP خود برای یک برنامه تک حسابی AWS تنظیم کنید.
- برنامه Azure AD را با مجوزهای تفویض شده پیکربندی کنید.
- IAM IdP و نقشهای خود را تنظیم کنید:
- یک IdP با اعتماد به Azure AD راه اندازی کنید.
- یک کاربر IAM با مجوز خواندن نقش تنظیم کنید.
- برای هر گروه کاری آتنا یک نقش و خط مشی IAM تنظیم کنید.
- تنظیم دسترسی کاربر در Azure AD:
- تنظیم خودکار نقش IAM را تنظیم کنید.
- دسترسی کاربر به نقش گروه کاری آتنا را تنظیم کنید.
- دسترسی به آتنا:
- با استفاده از مایکروسافت مبتنی بر وب به آتنا دسترسی پیدا کنید پورتال My Apps.
- با استفاده از آتنا دسترسی داشته باشید SQL Workbench/J یک ابزار پرس و جوی رایگان، مستقل از DBMS و کراس پلتفرم SQL.
نمودار زیر معماری راه حل را نشان می دهد.
گردش کار راه حل شامل مراحل زیر است:
- ایستگاه کاری توسعهدهنده از طریق درایور SQL Workbench/j JDBC Athena به Azure AD متصل میشود تا یک توکن SAML درخواست کند (فرایند OAuth دو مرحلهای).
- Azure AD ترافیک احراز هویت را از طریق یک Azure AD agent pass-through یا ADFS به داخل محل ارسال می کند.
- Azure AD pass-through agent یا ADFS به DC داخلی متصل می شود و کاربر را احراز هویت می کند.
- عامل عبور یا ADFS یک رمز موفقیت به Azure AD ارسال می کند.
- Azure AD یک توکن SAML حاوی نقش IAM اختصاص داده شده می سازد و آن را برای مشتری ارسال می کند.
- مشتری به سرویس رمز امنیتی AWS (AWS STS) و توکن SAML را برای به عهده گرفتن نقش Athena ارائه میکند و اعتبارنامههای موقت تولید میکند.
- AWS STS اعتبارنامه های موقت را برای مشتری ارسال می کند.
- مشتری از اعتبارنامه های موقت برای اتصال به آتنا استفاده می کند.
پیش نیازها
قبل از پیکربندی راه حل باید شرایط زیر را برآورده کنید:
- در سمت Azure AD، موارد زیر را تکمیل کنید:
- سرور Azure AD Connect را راه اندازی کنید و با AD داخلی همگام سازی کنید
- راه اندازی Azure AD pass-through یا Microsoft ADFS Federation بین Azure AD و On-premises AD
- ایجاد سه کاربر (
user1
,user2
,user3
) و سه گروه (athena-admin-adgroup
,athena-datascience-adgroup
,athena-developer-adgroup
) برای سه گروه کاری آتنا مربوطه
- در سمت آتنا، سه گروه کاری آتنا ایجاد کنید:
athena-admin-workgroup
,athena-datascience-workgroup
,athena-developer-workgroup
برای اطلاعات بیشتر در مورد استفاده از نمونه گروه های کاری آتنا، مراجعه کنید یک دریاچه داده عمومی برای تجزیه و تحلیل داده های COVID-19.
Azure AD را راه اندازی کنید
در این بخش جزئیات پیکربندی Azure AD را برای Athena در اشتراک Microsoft Azure پوشش خواهیم داد. ما عمدتاً یک برنامه را ثبت می کنیم، فدراسیون را پیکربندی می کنیم، مجوز برنامه را واگذار می کنیم و مخفی برنامه را تولید می کنیم.
Azure AD را به عنوان SAML IdP برای یک برنامه تک حسابی AWS تنظیم کنید
برای راه اندازی Azure AD به عنوان SAML IdP، مراحل زیر را انجام دهید:
- ورود به سیستم پورتال لاجوردی با اعتبارنامه مدیریت جهانی Azure AD.
- را انتخاب کنید Azure Active Directory.
- را انتخاب کنید برنامه های سازمانی.
- را انتخاب کنید برنامه جدید.
- جستجو برای
Amazon
در نوار جستجو - را انتخاب کنید دسترسی تک حسابی AWS.
- برای نام، را وارد کنید
Athena-App
. - را انتخاب کنید ایجاد کنید.
- در شروع شدن بخش، زیر راه اندازی یک علامت در، انتخاب کنید شروع به کار.
- برای یک روش ورود به سیستم را انتخاب کنید، انتخاب کنید SAML.
- برای پیکربندی پایه SAML، انتخاب کنید ویرایش کنید.
- برای شناسه (شناسه نهاد)، وارد
https://signin.aws.amazon.com/saml#1
. - را انتخاب کنید ذخیره.
- تحت گواهی امضای SAML، برای XML فراداده فدراسیون، انتخاب کنید دانلود.
این فایل برای پیکربندی IAM IdP شما در بخش بعدی مورد نیاز است. این فایل را در دستگاه محلی خود ذخیره کنید تا بعداً هنگام پیکربندی IAM در AWS از آن استفاده کنید.
برنامه Azure AD خود را با مجوزهای تفویض شده پیکربندی کنید
برای پیکربندی برنامه Azure AD خود، مراحل زیر را انجام دهید:
- را انتخاب کنید Azure Active Directory.
- را انتخاب کنید ثبت نام برنامه و تمام برنامه های کاربردی.
- جستجو و انتخاب کنید آتنا-اپ.
- به مقادیر برای توجه کنید شناسه برنامه (مشتری). و شناسه دایرکتوری (مستاجر)..
هنگام اتصال به Athena به این مقادیر در اتصال JDBC نیاز دارید.
- تحت مجوزهای API، انتخاب کنید یک مجوز اضافه کنید.
- را انتخاب کنید نمودار مایکروسافت و مجوزهای تفویض شده.
- برای مجوزها را انتخاب کنیدجستجو کنید
user.read
. - برای کاربر، انتخاب کنید کاربر.بخوانید.
- را انتخاب کنید اضافه کردن مجوز.
- را انتخاب کنید اعطای رضایت مدیر و بله.
- را انتخاب کنید تصدیق و یک پلتفرم اضافه کنید.
- را انتخاب کنید اپلیکیشن های موبایل و دسکتاپ.
- تحت URIهای تغییر مسیر سفارشی، وارد
http://localhost/athena
. - را انتخاب کنید مجموعه.
- را انتخاب کنید گواهینامه ها و اسرار و راز مشتری جدید.
- توضیحات را وارد کنید
- برای تاریخ انقضا، انتخاب کنید ماه 24.
- مقدار مخفی کلاینت را برای استفاده در هنگام پیکربندی اتصال JDBC کپی کنید.
IAM IdP و نقش ها را تنظیم کنید
در این بخش به پیکربندی IAM در حساب AWS خواهیم پرداخت. ما عمدتاً یک کاربر IAM، نقش ها و خط مشی ها ایجاد خواهیم کرد.
یک IdP با اعتماد به Azure AD راه اندازی کنید
برای تنظیم IdP اعتماد Azure AD، مراحل زیر را انجام دهید:
- در کنسول IAM، را انتخاب کنید ارائه دهندگان هویت در صفحه ناوبری
- را انتخاب کنید ارائه دهنده را اضافه کنید.
- برای نوع ارائه دهنده، انتخاب کنید SAML.
- برای نام ارائه دهنده، وارد
AzureADAthenaProvider
. - برای سند فراداده، فایل دانلود شده از Azure Portal را آپلود کنید.
- را انتخاب کنید ارائه دهنده را اضافه کنید.
یک کاربر IAM با مجوز خواندن نقش تنظیم کنید
برای تنظیم کاربر IAM خود، مراحل زیر را انجام دهید:
- در کنسول IAM، را انتخاب کنید کاربران در صفحه ناوبری
- را انتخاب کنید اضافه کردن کاربر.
- برای نام کاربری، وارد
ReadRoleUser
. - برای نوع دسترسی، انتخاب کنید دسترسی برنامه ای.
- را انتخاب کنید بعدی: مجوزها.
- برای مجوزها را تنظیم کنید، انتخاب کنید خط مشی های موجود را مستقیماً ضمیمه کنید.
- را انتخاب کنید ایجاد خط مشی.
- انتخاب کنید JSON و خط مشی زیر را وارد کنید، که به خواندن نقش ها در IAM دسترسی می دهد:
- را انتخاب کنید بعدی: برچسب ها.
- را انتخاب کنید بعدی: مرور کنید.
- برای نام، وارد
readrolepolicy
. - را انتخاب کنید ایجاد خط مشی.
- بر افزودن کاربر برگه، نقش را جستجو و انتخاب کنید
readrole
. - را انتخاب کنید بعدی: برچسب ها.
- را انتخاب کنید بعدی: مرور کنید.
- را انتخاب کنید ایجاد کاربر.
- فایل csv. حاوی شناسه کلید دسترسی و کلید دسترسی مخفی را دانلود کنید.
ما از آنها هنگام پیکربندی تامین خودکار Azure AD استفاده می کنیم.
برای هر گروه کاری آتنا یک نقش و خط مشی IAM تنظیم کنید
برای تنظیم نقشها و خطمشیهای IAM برای گروههای کاری Athena، مراحل زیر را انجام دهید:
- در کنسول IAM، را انتخاب کنید نقش در صفحه ناوبری
- را انتخاب کنید نقش ایجاد کنید.
- برای نوع موجودیت مورد اعتماد را انتخاب کنید، انتخاب کنید فدراسیون SAML 2.0.
- برای ارائه دهنده SAML، انتخاب کنید AzureADAthenaProvider.
- را انتخاب کنید اجازه دسترسی برنامهریزی شده و کنسول مدیریت AWS.
- تحت وضعیت، انتخاب کنید کلید.
- انتخاب کنید SAML:aud.
- برای وضعیت، انتخاب کنید StringEquals.
- برای ارزش، وارد
http://localhost/athena
. - را انتخاب کنید بعدی: مجوزها.
- را انتخاب کنید ایجاد خط مشی.
- را انتخاب کنید JSON و خط مشی زیر را وارد کنید (ARN گروه کاری خود را ارائه دهید):
این سیاست دسترسی کامل به گروه کاری آتنا را اعطا می کند. بر اساس آن است خط مشی مدیریت شده AWS AmazonAthenaFullAccess
و نمونه سیاست های گروه کاری.
- را انتخاب کنید بعدی: برچسب ها.
- را انتخاب کنید بعدی: مرور کنید.
- برای نام، وارد
athenaworkgroup1policy
. - را انتخاب کنید ایجاد خط مشی.
- بر نقش ایجاد کنید برگه، جستجو کنید
athenaworkgroup1policy
و سیاست را انتخاب کنید. - را انتخاب کنید بعدی: برچسب ها.
- را انتخاب کنید بعدی: مرور کنید.
- را انتخاب کنید نقش ایجاد کنید.
- برای نام، وارد
athenaworkgroup1role
. - را انتخاب کنید نقش ایجاد کنید.
دسترسی کاربر را در Azure AD تنظیم کنید
در این بخش، تامین خودکار را راهاندازی کرده و کاربران را به برنامه از پورتال Microsoft Azure اختصاص میدهیم.
تنظیم خودکار نقش IAM را تنظیم کنید
برای تنظیم خودکار نقش IAM، مراحل زیر را انجام دهید:
- ورود به سیستم پورتال لاجوردی با اعتبارنامه مدیریت جهانی Azure AD.
- را انتخاب کنید Azure Active Directory.
- را انتخاب کنید برنامه های سازمانی و انتخاب کنید آتنا-اپ.
- را انتخاب کنید ارائه حساب های کاربری.
- در تأمین بخش، را انتخاب کنید شروع به کار.
- برای حالت تامین، انتخاب کنید اتوماتیک.
- گسترش اعتبار مدیریت و آباد کنید راز مشتری و رمز مخفی با شناسه کلید دسترسی و کلید دسترسی مخفی از
ReadRoleUser
بود. - را انتخاب کنید پیوند و ذخیره.
- را انتخاب کنید تهیه را شروع کنید.
چرخه اولیه ممکن است مدتی طول بکشد تا تکمیل شود، پس از آن نقشهای IAM در Azure AD پر میشوند.
دسترسی کاربر به نقش گروه کاری آتنا را تنظیم کنید
برای تنظیم دسترسی کاربر به نقش گروه کاری، مراحل زیر را انجام دهید:
- وارد شوید پورتال لاجوردی با اعتبارنامه مدیریت جهانی Azure AD.
- را انتخاب کنید Azure Active Directory.
- را انتخاب کنید برنامه های سازمانی و انتخاب کنید آتنا-اپ.
- را انتخاب کنید کاربران و گروه ها را اختصاص دهید و افزودن کاربر/گروه.
- تحت کاربران و گروه ها، گروهی را انتخاب کنید که می خواهید مجوز Athena را به آن اختصاص دهید. برای این پست استفاده می کنیم
athena-admin-adgroup
; به طور متناوب، می توانید user1 را انتخاب کنید. - را انتخاب کنید انتخاب کنید.
- برای یک نقش را انتخاب کنید، نقش را انتخاب کنید
athenaworkgroup1role
. - را انتخاب کنید انتخاب کنید.
- را انتخاب کنید اختصاص دادن.
به آتنا دسترسی پیدا کنید
در این بخش نحوه دسترسی به Athena از کنسول AWS و ابزار توسعه دهنده SQL Workbench/J را نشان خواهیم داد.
با استفاده از پورتال مایکروسافت My Apps مبتنی بر وب به آتنا دسترسی پیدا کنید
برای استفاده از پورتال Microsoft My Apps برای دسترسی به Athena، مراحل زیر را انجام دهید:
- وارد شوید پورتال لاجوردی با اعتبارنامه مدیریت جهانی Azure AD.
- را انتخاب کنید Azure Active Directory
- را انتخاب کنید برنامه های سازمانی و انتخاب کنید آتنا-اپ.
- را انتخاب کنید
- پروژه های ما.
- مقدار برای را کپی کنید آدرس دسترسی کاربر.
- یک مرورگر وب باز کنید و URL را وارد کنید.
پیوند شما را به صفحه ورود به سیستم Azure هدایت می کند.
- با اطلاعات کاربری کاربر در محل وارد شوید.
شما به مسیر هدایت می شوید کنسول مدیریت AWS.
با استفاده از SQL Workbench/J به آتنا دسترسی پیدا کنید
در سازمانهایی که به شدت تنظیم شدهاند، کاربران داخلی مجاز به استفاده از کنسول برای دسترسی به آتنا نیستند. در چنین مواردی، میتوانید از SQL Workbench/J، یک ابزار منبع باز که اتصال به Athena را با استفاده از درایور JDBC امکانپذیر میکند، استفاده کنید.
- آخرین نسخه را دانلود کنید درایور Athena JDBC (درایور مناسب را بر اساس نسخه جاوا خود انتخاب کنید).
- دانلود و نصب SQL Workbench/J.
- SQL Workbench/J را باز کنید.
- بر پرونده منو ، انتخاب کنید پنجره اتصال.
- را انتخاب کنید مدیریت درایورها.
- برای نام، یک نام برای راننده خود وارد کنید.
- به محل پوشه ای که درایور را دانلود و از حالت فشرده خارج کرده اید، جستجو کنید.
- را انتخاب کنید OK.
اکنون که درایور Athena را پیکربندی کردیم، زمان اتصال به Athena است. شما باید URL اتصال، نام کاربری و رمز عبور را پر کنید.
برای اتصال به Athena با یک حساب کاربری بدون MFA از رشته اتصال زیر استفاده کنید (مقادیر جمعآوری شده در پست قبلی را ارائه کنید):
برای اتصال با استفاده از حساب کاربری با MFA فعال، از مرورگر Azure AD Credentials Provider استفاده کنید. شما باید URL اتصال را بسازید و نام کاربری و رمز عبور را پر کنید
از رشته اتصال زیر برای اتصال به Athena با حساب کاربری که MFA فعال است استفاده کنید (مقادی که قبلاً جمع آوری کرده اید را ارائه دهید):
متن قرمز را با جزئیاتی که قبلا در مقاله جمع آوری شده است جایگزین کنید.
هنگامی که اتصال برقرار شد، می توانید پرس و جوهایی را علیه Athena اجرا کنید.
پیکربندی پروکسی
اگر از طریق یک سرور پراکسی به Athena متصل میشوید، مطمئن شوید که سرور پراکسی پورت 444 را مجاز میکند. API جریان مجموعه نتایج از پورت استفاده میکند. 444 در سرور آتنا برای ارتباطات خروجی. را تنظیم کنید ProxyHost
ویژگی به آدرس IP یا نام میزبان سرور پروکسی شما. را تنظیم کنید ProxyPort
ویژگی شماره پورت TCP که سرور پروکسی برای گوش دادن به اتصالات کلاینت استفاده می کند. کد زیر را ببینید:
خلاصه
در این پست، فدراسیون IAM را با Azure AD متصل به AD در محل پیکربندی کردیم و دسترسی گرانول را به یک گروه کاری Athena تنظیم کردیم. ما همچنین نحوه دسترسی آتنا را از طریق کنسول با استفاده از پورتال وب Microsoft My Apps و ابزار SQL Workbench/J بررسی کردیم. ما همچنین درباره نحوه عملکرد اتصال از طریق یک پروکسی صحبت کردیم. از همین زیرساخت فدراسیون نیز می توان برای پیکربندی درایور ODBC استفاده کرد. همچنین میتوانید از دستورالعملهای این پست برای راهاندازی Azure IdP مبتنی بر SAML برای فعال کردن دسترسی فدرال به گروههای کاری Athena استفاده کنید.
درباره نویسنده
نیراج کومار مدیر حساب فنی اصلی برای خدمات مالی در AWS است، جایی که به مشتریان در طراحی، معمار، ساخت، بهره برداری و پشتیبانی از حجم کاری در AWS به شیوه ای ایمن و قوی کمک می کند. او بیش از 20 سال تجربه متنوع فناوری اطلاعات در زمینه های معماری سازمانی، ابر و مجازی سازی، امنیت، IAM، معماری راه حل، و سیستم ها و فناوری های اطلاعاتی دارد. او در اوقات فراغت خود از مربیگری، مربیگری، پیاده روی، تماشای مستند با پسرش و خواندن هر روز چیزهای متفاوت لذت می برد.
- '
- &
- 100
- 11
- 420
- 7
- 9
- دسترسی
- حساب
- عمل
- فعال
- اکتیو دایرکتوری
- Ad
- مدیر سایت
- معرفی
- اجازه دادن
- آمازون
- تحلیل
- API
- نرم افزار
- برنامه های کاربردی
- برنامه های
- معماری
- مقاله
- تصدیق
- AWS
- لاجوردی
- بلاگ
- مرورگر
- ساختن
- موارد
- ابر
- رمز
- ارتباطات
- ارتباط
- اتصالات
- اتصال
- رضایت
- Covid-19
- مجوزها و اعتبارات
- کراس پلت فرم
- مشتریان
- داده ها
- دریاچه دریاچه
- روز
- dc
- طرح
- توسعه دهنده
- فیلم های مستند
- راننده
- سرمایه گذاری
- تجربه
- زمینه
- مالی
- خدمات مالی
- رایگان
- کامل
- جهانی
- کمک های مالی
- گروه
- چگونه
- چگونه
- HTTPS
- IAM
- هویت
- اطلاعات
- شالوده
- تعاملی
- IP
- IP آدرس
- IT
- جاوه
- کلید
- آخرین
- سطح
- ارتباط دادن
- محلی
- محل
- نگاه
- مدیریت
- MFA
- مایکروسافت
- موبایل
- جهت یابی
- دفتر 365
- سازمان های
- کلمه عبور
- پلاگین
- سیاست
- سیاست
- پورتال
- اصلی
- ویژگی
- پروکسی
- عمومی
- مطالعه
- تغییر مسیر
- مورد نیاز
- منابع
- دویدن
- جستجو
- تیم امنیت لاتاری
- خدمات
- تنظیم
- ساده
- آن
- SQL
- بیانیه
- ذخیره سازی
- جریان
- اشتراک، ابونمان
- موفقیت
- پشتیبانی
- پشتیبانی از
- سیستم های
- فنی
- فن آوری
- موقت
- زمان
- رمز
- ترافیک
- کاربران
- ارزش
- وب
- مرورگر وب
- گردش کار
- با این نسخهها کار
- سال