Amazon Athena on interaktiivinen kyselypalvelu, joka helpottaa tietojen analysointia suoraan sisään Amazonin yksinkertainen tallennuspalvelu (Amazon S3) tavallisella SQL:llä. Pilvipalvelutiimit voivat käyttää AWS-henkilöllisyyden ja käyttöoikeuksien hallinta (IAM) liitto, joka hallinnoi keskitetysti pääsyä Athenaan. Tämä yksinkertaistaa hallintaa sallimalla hallintotiimin hallita käyttäjien pääsyä Athena-työryhmiin keskitetysti hallitusta Azure AD:sta, joka on yhdistetty paikalliseen Active Directoryyn. Tämä asennus vähentää pilvipalvelutiimien ylimääräistä kokemusta IAM-käyttäjien hallinnassa. Athena tukee liittämistä Active Directory Federation Servicen (ADFS), PingFederaten, Oktan ja Microsoft Azure Active Directory (Azure AD) -federaation kanssa.
Tämä blogiteksti havainnollistaa, kuinka AWS IAM -liittoutuminen määritetään paikalliseen AD:hen yhdistetyllä Azure AD:lla ja Athenen työryhmätason käyttöoikeudet määritetään eri käyttäjille. Aiomme kattaa kaksi skenaariota:
- Azure AD hallinnoi käyttäjiä ja ryhmiä sekä paikallista AD:ta.
- On-prem Active Directory -hallitut käyttäjät ja ryhmät synkronoidaan Azure AD:hen.
Emme käsittele synkronoinnin määrittämistä paikallisen AD:n ja Azure AD:n välillä Azure AD connectin avulla. Lisätietoja Azure AD:n integroimisesta AWS-hallittuun AD:hen on kohdassa Ota käyttöön Office 365 ja AWS Managed Microsoft AD ilman käyttäjän salasanan synkronointia ja kuinka Azure AD integroidaan paikalliseen AD:hen, katso Microsoftin artikkeli Azure Active Directory Connectin mukautettu asennus.
Ratkaisun yleiskatsaus
Tämä ratkaisu auttaa sinua määrittämään IAM-federaation, jossa Azure AD on yhdistetty paikalliseen AD:hen, ja määrittää Athena-työryhmätason käyttöoikeudet käyttäjille. Voit hallita pääsyä työryhmään joko paikallisen AD-ryhmän tai Azure AD -ryhmän avulla. Ratkaisu koostuu neljästä osasta:
- Määritä Azure AD identiteetin tarjoajaksi (IdP):
- Määritä Azure AD SAML IdP:ksi yhden tilin AWS-sovellukselle.
- Määritä Azure AD -sovellus delegoiduilla käyttöoikeuksilla.
- Määritä IAM-tunnuksesi ja roolisi:
- Määritä IdP, joka luottaa Azure AD:hen.
- Määritä IAM-käyttäjä, jolla on lukuoikeus.
- Määritä jokaiselle Athena-työryhmälle IAM-rooli ja -käytännöt.
- Määritä käyttäjien käyttöoikeudet Azure AD:ssa:
- Määritä automaattinen IAM-roolin hallinta.
- Määritä käyttäjien käyttöoikeudet Athena-työryhmän rooliin.
- Pääsy Athenaan:
- Käytä Athenaa web-pohjaisen Microsoftin avulla Omat sovellukset -portaali.
- Käytä Athenaa käyttämällä SQL Workbench/J ilmainen, DBMS-riippumaton, monialustainen SQL-kyselytyökalu.
Seuraava kaavio kuvaa ratkaisun arkkitehtuuria.
Ratkaisun työnkulku sisältää seuraavat vaiheet:
- Kehittäjätyöasema muodostaa yhteyden Azure AD:hen SQL Workbench/j JDBC Athena -ohjaimen kautta pyytääkseen SAML-tunnusta (kaksivaiheinen OAuth-prosessi).
- Azure AD lähettää todennusliikenteen takaisin paikan päällä Azure AD -läpivientiagentin tai ADFS:n kautta.
- Azure AD -läpivientiagentti tai ADFS muodostaa yhteyden paikalliseen DC:hen ja todentaa käyttäjän.
- Välitysagentti tai ADFS lähettää onnistumistunnuksen Azure AD:lle.
- Azure AD rakentaa SAML-tunnuksen, joka sisältää määritetyn IAM-roolin, ja lähettää sen asiakkaalle.
- Asiakas ottaa yhteyden AWS-suojaustunnuspalvelu (AWS STS) ja esittää SAML-tunnuksen ottaakseen Athena-roolin ja luo väliaikaiset valtuustiedot.
- AWS STS lähettää tilapäiset tunnistetiedot asiakkaalle.
- Asiakas käyttää väliaikaisia tunnistetietoja yhteyden muodostamiseen Athenaan.
Edellytykset
Sinun on täytettävä seuraavat vaatimukset ennen ratkaisun määrittämistä:
- Suorita Azure AD -puolella seuraavat toimet:
- Määritä Azure AD Connect -palvelin ja synkronoi paikallisen AD:n kanssa
- Määritä Azure AD -läpivienti tai Microsoft ADFS -liittoutuminen Azure AD:n ja paikallisen AD:n välille
- Luo kolme käyttäjää (
user1
,user2
,user3
) ja kolme ryhmää (athena-admin-adgroup
,athena-datascience-adgroup
,athena-developer-adgroup
) kolmelle vastaavalle Athena-työryhmälle
- Luo Athena-puolelle kolme Athena-työryhmää:
athena-admin-workgroup
,athena-datascience-workgroup
,athena-developer-workgroup
Katso lisätietoja Athena-mallityöryhmien käyttämisestä Julkinen datajärvi COVID-19-tietojen analysointiin.
Määritä Azure AD
Tässä osiossa käsittelemme Microsoft Azure -tilauksen Athenan Azure AD -määritystietoja. Pääasiassa rekisteröimme sovelluksen, määritämme liittämisen, delegoimme sovelluksen käyttöoikeudet ja luomme sovelluksen salaisuuden.
Aseta Azure AD SAML IdP:ksi yhden tilin AWS-sovellukselle
Voit määrittää Azure AD:n SAML IdP:ksi suorittamalla seuraavat vaiheet:
- Kirjaudu sisään Azure-portaali Azure AD:n maailmanlaajuisilla järjestelmänvalvojan tunnistetiedoilla.
- Valita Azure Active Directory.
- Valita Enterprise-sovellukset.
- Valita Uusi sovellus.
- Etsi
Amazon
hakupalkissa. - Valita AWS yhden tilin käyttöoikeus.
- varten nimi, astua
Athena-App
. - Valita Luoda.
- In Päästä alkuun kohta, alla Määritä kertakirjautuminen, valitse Aloita.
- varten Valitse kertakirjautumistapa, valitse SAML.
- varten SAML-perusasetukset, valitse Muokata.
- varten Tunniste (kokonaisuuden tunnus), tulla sisään
https://signin.aws.amazon.com/saml#1
. - Valita Säästä.
- Alle SAML-allekirjoitussertifikaattiVarten Federation Metadata XML, valitse Lataa.
Tämä tiedosto tarvitaan IAM-tunnuksesi määrittämiseen seuraavassa osiossa. Tallenna tämä tiedosto paikalliselle koneellesi käytettäväksi myöhemmin, kun määrität IAM:ia AWS:ssä.
Määritä Azure AD -sovelluksesi delegoiduilla käyttöoikeuksilla
Voit määrittää Azure AD -sovelluksesi suorittamalla seuraavat vaiheet:
- Valita Azure Active Directory.
- Valita Sovellusten rekisteröinnit ja Kaikki sovellukset.
- Etsi ja valitse Athena-sovellus.
- Huomaa arvot kohteelle Sovelluksen (asiakas) tunnus ja Hakemiston (vuokralaisen) tunnus.
Tarvitset nämä arvot JDBC-yhteydessä, kun muodostat yhteyden Atheneen.
- Alle API-käyttöoikeudet, valitse Lisää lupa.
- Valita Microsoft Graph ja Delegoidut käyttöoikeudet.
- varten Valitse käyttöoikeudet, etsiä
user.read
. - varten käyttäjä, valitse Käyttäjä.Lue.
- Valita Lisää lupa.
- Valita Anna järjestelmänvalvojan suostumus ja Kyllä.
- Valita Authentication ja Lisää alusta.
- Valita Mobiili- ja työpöytäsovellukset.
- Alle Muokatut uudelleenohjauksen URI:t, tulla sisään
http://localhost/athena
. - Valita Configure.
- Valita Sertifikaatit ja salaisuudet ja Uusi asiakassalaisuus.
- Kirjoita kuvaus.
- varten Vanhenee, valitse 24 kuukautta.
- Kopioi asiakkaan salaisuusarvo käytettäväksi JDBC-yhteyden määrittämisessä.
Määritä IAM IdP ja roolit
Tässä osiossa käsittelemme IAM-määrityksiä AWS-tilillä. Pääasiassa luomme IAM-käyttäjän, roolit ja käytännöt.
Määritä IdP, joka luottaa Azure AD:hen
Voit määrittää IdP:n luottavaisen Azure AD:n suorittamalla seuraavat vaiheet:
- Valitse IAM-konsolista Henkilöllisyyden tarjoajat navigointipaneelissa.
- Valita Lisää palveluntarjoaja.
- varten Palveluntarjoajan tyyppi, valitse SAML.
- varten Palveluntarjoajan nimi, tulla sisään
AzureADAthenaProvider
. - varten Metatietoasiakirja, lataa Azure Portalista ladattu tiedosto.
- Valita Lisää palveluntarjoaja.
Määritä IAM-käyttäjä, jolla on lukuoikeus
Määritä IAM-käyttäjäsi suorittamalla seuraavat vaiheet:
- Valitse IAM-konsolista käyttäjät navigointipaneelissa.
- Valita Lisää käyttäjä.
- varten käyttäjätunnus, tulla sisään
ReadRoleUser
. - varten Pääsyn tyyppivalitse Ohjelmallinen pääsy.
- Valita Seuraava: Luvat.
- varten Aseta käyttöoikeudet, valitse Liitä olemassa olevat käytännöt suoraan.
- Valita Luo käytäntö.
- valita JSON ja kirjoita seuraava käytäntö, joka antaa lukuoikeudet IAM:n roolien luettelemiseen:
- Valita Seuraava: Tunnisteet.
- Valita Seuraava: Arvostelu.
- varten Nimi, tulla sisään
readrolepolicy
. - Valita Luo käytäntö.
- On Add user -välilehti, etsi ja valitse rooli
readrole
. - Valita Seuraava: tunnisteet.
- Valita Seuraava: Arvostelu.
- Valita Luo käyttäjä.
- Lataa .csv-tiedosto, joka sisältää pääsyavaimen tunnuksen ja salaisen pääsyavaimen.
Käytämme näitä määrittäessämme Azure AD:n automaattista hallintaa.
Määritä jokaiselle Athena-työryhmälle IAM-rooli ja -käytännöt
Voit määrittää IAM-rooleja ja käytäntöjä Athena-työryhmillesi suorittamalla seuraavat vaiheet:
- Valitse IAM-konsolista Roolit navigointipaneelissa.
- Valita Luo rooli.
- varten Valitse luotettavan entiteetin tyyppi, valitse SAML 2.0 -liitto.
- varten SAML-palveluntarjoaja, valitse AzureADAthenaProvider.
- Valita Salli ohjelmallinen ja AWS-hallintakonsolin käyttö.
- Alle Kunto, valitse avain.
- valita SAML:aud.
- varten Kuntovalitse StringEquals.
- varten Arvo, tulla sisään
http://localhost/athena
. - Valita Seuraava: Luvat.
- Valita Luo käytäntö.
- Valita JSON ja syötä seuraava käytäntö (anna työryhmäsi ARN):
Käytäntö antaa täyden pääsyn Athena-työryhmään. Se perustuu AWS-hallittu käytäntö AmazonAthenaFullAccess
ja työryhmän esimerkkikäytännöt.
- Valita Seuraava: Tunnisteet.
- Valita Seuraava: Arvostelu.
- varten Nimi, tulla sisään
athenaworkgroup1policy
. - Valita Luo käytäntö.
- On Luo rooli välilehti, etsi
athenaworkgroup1policy
ja valitse käytäntö. - Valita Seuraava: Tunnisteet.
- Valita Seuraava: Arvostelu.
- Valita Luo rooli.
- varten Nimi, tulla sisään
athenaworkgroup1role
. - Valita Luo rooli.
Määritä käyttäjien käyttöoikeudet Azure AD:ssa
Tässä osiossa määritämme automaattisen hallinnan ja määritämme käyttäjiä sovellukseen Microsoft Azure -portaalista.
Määritä automaattinen IAM-roolin hallinta
Voit määrittää automaattisen IAM-roolin hallinnan suorittamalla seuraavat vaiheet:
- Kirjaudu sisään Azure-portaali Azure AD:n maailmanlaajuisilla järjestelmänvalvojan tunnistetiedoilla.
- Valita Azure Active Directory.
- Valita Enterprise-sovellukset Ja valitse Athena-sovellus.
- Valita Luo käyttäjätilit.
- In provisioinnin osiossa, valitse Aloita.
- varten Käyttöönottotila, valitse automaattisesti.
- Laajentaa Järjestelmänvalvojan tunnistetiedot ja asuttaa asiakkaan salaisuus ja Salainen Token käyttöavaimen tunnuksella ja salaisella pääsyavaimella
ReadRoleUser
Vastaavasti. - Valita Test Connection ja Säästä.
- Valita Aloita hallinta.
Alkujakson valmistuminen voi kestää jonkin aikaa, minkä jälkeen IAM-roolit täytetään Azure AD:ssa.
Määritä käyttäjien käyttöoikeudet Athena-työryhmän rooliin
Voit määrittää käyttöoikeudet työryhmärooliin suorittamalla seuraavat vaiheet:
- Kirjaudu sisään Azure-portaali Azure AD:n maailmanlaajuisilla järjestelmänvalvojan tunnistetiedoilla.
- Valita Azure Active Directory.
- Valita Enterprise-sovellukset Ja valitse Athena-sovellus.
- Valita Määritä käyttäjiä ja ryhmiä ja Lisää käyttäjä/ryhmä.
- Alle Käyttäjät ja ryhmät, valitse ryhmä, jolle haluat antaa Athena-käyttöoikeuden. Tässä viestissä käytämme
athena-admin-adgroup
; vaihtoehtoisesti voit valita käyttäjä1. - Valita valita.
- varten Valitse rooli, valitse rooli
athenaworkgroup1role
. - Valita valita.
- Valita luovuttaa.
Pääsy Athenaan
Tässä osiossa esittelemme, kuinka voit käyttää Athenaa AWS-konsolista ja kehittäjätyökalusta SQL Workbench/J
Käytä Athenaa verkkopohjaisen Microsoft My Apps -portaalin avulla
Jos haluat käyttää Microsoft My Apps -portaalia Athenen käyttämiseen, suorita seuraavat vaiheet:
- Kirjaudu sisään Azure-portaali Azure AD:n maailmanlaajuisilla järjestelmänvalvojan tunnistetiedoilla.
- Valita Azure Active Directory
- Valita Enterprise-sovellukset Ja valitse Athena-sovellus.
- Valita
- Kiinteistöt.
- Kopioi kohteen arvo Käyttäjän pääsyn URL-osoite.
- Avaa verkkoselain ja kirjoita URL-osoite.
Linkki ohjaa sinut Azure-kirjautumissivulle.
- Kirjaudu sisään paikallisilla käyttäjätunnuksilla.
Sinut ohjataan AWS-hallintakonsoli.
Käytä Athenaa SQL Workbench/J:n avulla
Tiukasti säännellyissä organisaatioissa sisäiset käyttäjät eivät saa käyttää konsolia käyttääkseen Athenetta. Tällaisissa tapauksissa voit käyttää SQL Workbench/J:tä, avoimen lähdekoodin työkalua, joka mahdollistaa yhteyden muodostamisen Athenaan JDBC-ohjaimen avulla.
- Lataa uusin Athena JDBC-ohjain (valitse sopiva ohjain Java-versiosi perusteella).
- Lataa ja asenna SQL Workbench/J.
- Avaa SQL Workbench/J.
- On filee valikosta, valitse Yhdistä ikkuna.
- Valita Hallitse ohjaimia.
- varten Nimi, anna kuljettajallesi nimi.
- Selaa kansioon, johon latasit ja purit ohjaimen.
- Valita OK.
Nyt kun olemme määrittäneet Athena-ohjaimen, on aika muodostaa yhteys Athenaan. Sinun on täytettävä yhteyden URL-osoite, käyttäjänimi ja salasana.
Käytä seuraavaa yhteysmerkkijonoa muodostaaksesi yhteyden Athenaan käyttäjätilillä ilman MFA:ta (anna aiemmin viestissä kerätyt arvot):
Voit muodostaa yhteyden käyttämällä MFA-toimintoa käyttävää käyttäjätiliä selaimen Azure AD Credentials Provider -palvelun avulla. Sinun on luotava yhteyden URL-osoite ja täytettävä käyttäjänimi Käyttäjätunnus ja salasana
Käytä seuraavaa yhteysmerkkijonoa muodostaaksesi yhteyden Athenaan käyttäjätilillä, jossa MFA on käytössä (anna aiemmin keräämäsi arvot):
Korvaa punaisella merkitty teksti aiemmin artikkelissa kerätyillä tiedoilla.
Kun yhteys on muodostettu, voit suorittaa kyselyitä Athenaa vastaan.
Välityspalvelimen määritys
Jos muodostat yhteyden Athenaan välityspalvelimen kautta, varmista, että välityspalvelin sallii portin 444. Tulosjoukon streaming API käyttää porttia 444 Athena-palvelimella lähtevää viestintää varten. Aseta ProxyHost
-ominaisuus välityspalvelimesi IP-osoitteeseen tai isäntänimeen. Aseta ProxyPort
-ominaisuus sen TCP-portin numeroon, jota välityspalvelin käyttää asiakasyhteyksien kuuntelemiseen. Katso seuraava koodi:
Yhteenveto
Tässä viestissä määritimme IAM-federaation Azure AD:llä, joka on yhdistetty paikalliseen AD:hen, ja määritimme yksityiskohtaisen pääsyn Athena-työryhmään. Tarkastelimme myös, kuinka Athenaa voidaan käyttää konsolin kautta käyttämällä Microsoft My Apps -verkkoportaalia ja SQL Workbench/J -työkalua. Keskustelimme myös siitä, kuinka yhteys toimii välityspalvelimen kautta. Samaa liittoutumisinfrastruktuuria voidaan hyödyntää myös ODBC-ajurien määrityksessä. Voit myös käyttää tämän viestin ohjeita SAML-pohjaisen Azure IdP:n määrittämiseen, jotta Athena Workgroups -työryhmiä voidaan käyttää hajautettuna.
kirjailijasta
Niraj Kumar on pääasiallinen tekninen asiakaspäällikkö rahoituspalveluissa AWS:ssä, jossa hän auttaa asiakkaita suunnittelemaan, arkkitehtuuriin, rakentamaan, käyttämään ja tukemaan AWS:n työkuormia turvallisesti ja vankalla tavalla. Hänellä on yli 20 vuoden monipuolinen IT-kokemus yritysarkkitehtuurin, pilvi- ja virtualisoinnin, turvallisuuden, IAM:n, ratkaisuarkkitehtuurin sekä tietojärjestelmien ja -tekniikoiden aloilta. Vapaa-ajallaan hän nauttii mentoroinnista, valmennuksesta, retkeilystä, dokumenttien katsomisesta poikansa kanssa ja lukemisesta joka päivä jotain erilaista.
- '
- &
- 100
- 11
- 420
- 7
- 9
- pääsy
- Tili
- Toiminta
- aktiivinen
- Active Directory
- Ad
- admin
- Kaikki
- Salliminen
- Amazon
- analyysi
- api
- sovelluksen
- sovellukset
- sovellukset
- arkkitehtuuri
- artikkeli
- Authentication
- AWS
- Taivaansininen
- Uutiset ja media
- selain
- rakentaa
- tapauksissa
- pilvi
- koodi
- Yhteydenpito
- liitäntä
- Liitännät
- Liitännät
- suostumus
- Covid-19
- Valtakirja
- alustan poikki
- Asiakkaat
- tiedot
- Datajärvi
- päivä
- dc
- Malli
- Kehittäjä
- dokumentteja
- kuljettaja
- yritys
- experience
- Fields
- taloudellinen
- rahoituspalvelut
- Ilmainen
- koko
- Global
- avustukset
- Ryhmä
- Miten
- Miten
- HTTPS
- IAM
- Identiteetti
- tiedot
- Infrastruktuuri
- vuorovaikutteinen
- IP
- IP-osoite
- IT
- Jaava
- avain
- uusin
- Taso
- LINK
- paikallinen
- sijainti
- Katsoin
- johto
- UM
- Microsoft
- Puhelinnumero
- suunnistus
- Office 365
- organisaatioiden
- Salasana
- kytkeä
- politiikkaa
- politiikka
- Portal
- Pääasiallinen
- omaisuus
- valtuutettu
- julkinen
- Lukeminen
- kääntää
- vaatimukset
- resurssi
- ajaa
- Haku
- turvallisuus
- Palvelut
- setti
- Yksinkertainen
- poika
- SQL
- Lausunto
- Levytila
- streaming
- tilaus
- menestys
- tuki
- Tukee
- järjestelmät
- Tekninen
- Technologies
- tilapäinen
- aika
- symbolinen
- liikenne
- Käyttäjät
- arvo
- verkko
- Web-selain
- työnkulku
- toimii
- vuotta