Amazon Athena adalah layanan kueri interaktif yang mempermudah analisis data secara langsung Layanan Penyimpanan Sederhana Amazon (Amazon S3) menggunakan SQL standar. Tim operasi cloud dapat menggunakan Identitas AWS dan Manajemen Akses (IAM) federasi untuk mengelola akses ke Athena secara terpusat. Hal ini menyederhanakan administrasi dengan mengizinkan tim pengatur untuk mengontrol akses pengguna ke grup kerja Athena dari Azure AD yang dikelola secara terpusat yang tersambung ke Direktori Aktif lokal. Penyiapan ini mengurangi pengalaman overhead oleh tim operasi cloud saat mengelola pengguna IAM. Athena mendukung federasi dengan Active Directory Federation Service (ADFS), PingFederate, Okta, dan federasi Microsoft Azure Active Directory (Azure AD).
Postingan blog ini mengilustrasikan cara menyiapkan federasi IAM AWS dengan Azure AD yang terhubung ke AD lokal dan mengonfigurasi akses tingkat grup kerja Athena untuk pengguna yang berbeda. Kami akan membahas dua skenario:
- Azure AD mengelola pengguna dan grup, serta AD lokal.
- Pengguna dan grup terkelola Direktori aktif lokal yang disinkronkan ke Azure AD.
Kami tidak membahas cara menyiapkan sinkronisasi antara AD lokal dan Azure AD dengan bantuan sambungan Azure AD. Untuk informasi selengkapnya tentang cara mengintegrasikan Azure AD dengan AWS Managed AD , lihat Aktifkan Office 365 dengan AWS Managed Microsoft AD tanpa sinkronisasi kata sandi pengguna dan cara mengintegrasikan Azure AD dengan AD lokal, lihat artikel Microsoft Instalasi kustom Azure Active Directory Connect.
Ikhtisar solusi
Solusi ini membantu Anda mengonfigurasi federasi IAM dengan Azure AD yang terhubung ke AD lokal dan mengonfigurasi akses tingkat grup kerja Athena untuk pengguna. Anda dapat mengontrol akses ke grup kerja dengan grup AD lokal atau grup Azure AD. Solusinya terdiri dari empat bagian:
- Siapkan Azure AD sebagai penyedia identitas (IdP) Anda:
- Siapkan Azure AD sebagai SAML IdP Anda untuk aplikasi akun tunggal AWS.
- Konfigurasikan aplikasi Azure AD dengan izin yang didelegasikan.
- Siapkan IdP dan peran IAM Anda:
- Siapkan IdP yang memercayai Azure AD.
- Siapkan pengguna IAM dengan izin peran baca.
- Siapkan peran dan kebijakan IAM untuk setiap kelompok kerja Athena.
- Siapkan akses pengguna di Azure AD:
- Siapkan penyediaan peran IAM otomatis.
- Siapkan akses pengguna ke peran grup kerja Athena.
- Akses Athena:
- Akses Athena menggunakan Microsoft berbasis web Portal Aplikasi Saya.
- Akses Athena menggunakan Meja Kerja SQL/J alat kueri SQL lintas platform yang bebas DBMS dan bebas.
Diagram berikut menggambarkan arsitektur solusi.
Alur kerja solusi mencakup langkah-langkah berikut:
- Stasiun kerja pengembang terhubung ke Azure AD melalui driver SQL Workbench/j JDBC Athena untuk meminta token SAML (proses OAuth dua langkah).
- Azure AD mengirimkan lalu lintas autentikasi kembali ke lokal melalui agen pass-through Azure AD atau ADFS.
- Agen pass-through Azure AD atau ADFS terhubung ke DC lokal dan mengautentikasi pengguna.
- Agen pass-through atau ADFS mengirimkan token sukses ke Azure AD.
- Azure AD membuat token SAML yang berisi peran IAM yang ditetapkan dan mengirimkannya ke klien.
- Klien terhubung ke Layanan Token Keamanan AWS (AWS STS) dan menyajikan token SAML untuk menjalankan peran Athena dan menghasilkan kredensial sementara.
- AWS STS mengirimkan kredensial sementara ke klien.
- Klien menggunakan kredensial sementara untuk terhubung ke Athena.
Prasyarat
Anda harus memenuhi persyaratan berikut sebelum mengonfigurasi solusi:
- Di sisi Azure AD, selesaikan hal berikut:
- Siapkan server Azure AD Connect dan sinkronkan dengan AD lokal
- Siapkan pass-through Azure AD atau federasi Microsoft ADFS antara Azure AD dan AD lokal
- Buat tiga pengguna (
user1
,user2
,user3
) dan tiga kelompok (athena-admin-adgroup
,athena-datascience-adgroup
,athena-developer-adgroup
) untuk tiga kelompok kerja Athena masing-masing
- Di sisi Athena, buat tiga kelompok kerja Athena:
athena-admin-workgroup
,athena-datascience-workgroup
,athena-developer-workgroup
Untuk informasi selengkapnya tentang penggunaan contoh grup kerja Athena, lihat Danau data publik untuk analisis data COVID-19.
Siapkan Azure AD
Di bagian ini, kami akan membahas detail konfigurasi Azure AD untuk Athena dalam langganan Microsoft Azure. Terutama kami akan mendaftarkan aplikasi, mengonfigurasi federasi, mendelegasikan izin aplikasi, dan menghasilkan rahasia Aplikasi.
Tetapkan Azure AD sebagai SAML IdP untuk aplikasi akun tunggal AWS
Untuk menyiapkan Azure AD sebagai IdP SAML Anda, selesaikan langkah-langkah berikut:
- Masuk ke Portal Azure dengan kredensial admin global Azure AD.
- Pilih Azure Active Directory.
- Pilih Aplikasi perusahaan.
- Pilih Aplikasi baru.
- Pencarian untuk
Amazon
di bilah pencarian. - Pilih Akses Akun Tunggal AWS.
- Untuk nama, Enter
Athena-App
. - Pilih Buat.
- Dalam majalah Mulai bagian, di bawah Siapkan sistem masuk tunggal, pilih Get started.
- Untuk Pilih metode sistem masuk tunggal, pilih SAML.
- Untuk Konfigurasi SAML Dasar, pilih Edit.
- Untuk Pengenal (ID Entitas), Masuk
https://signin.aws.amazon.com/saml#1
. - Pilih Save.
- Bawah Sertifikat Penandatanganan SAML, Untuk XML Metadata Federasi, pilih Unduh.
File ini diperlukan untuk mengonfigurasi IAM IdP Anda di bagian selanjutnya. Simpan file ini di mesin lokal Anda untuk digunakan nanti saat mengonfigurasi IAM di AWS.
Konfigurasikan aplikasi Azure AD Anda dengan izin yang didelegasikan
Untuk mengonfigurasi aplikasi Azure AD Anda, selesaikan langkah-langkah berikut:
- Pilih Azure Active Directory.
- Pilih Pendaftaran aplikasi dan Semua Aplikasi.
- Cari dan pilih Aplikasi Athena.
- Perhatikan nilai untuk ID aplikasi (klien) dan ID Direktori (penyewa).
Anda memerlukan nilai ini di koneksi JDBC saat Anda terhubung ke Athena.
- Bawah Izin API, pilih Tambahkan izin.
- Pilih Microsoft Graph dan Izin yang didelegasikan.
- Untuk Pilih izin, pencarian untuk
user.read
. - Untuk Pengguna, pilih Pengguna.Baca.
- Pilih Tambahkan izin.
- Pilih Berikan persetujuan admin dan Yes.
- Pilih Otentikasi dan Tambahkan platform.
- Pilih Aplikasi seluler dan Desktop.
- Bawah URI pengalihan khusus, Masuk
http://localhost/athena
. - Pilih Konfigurasi.
- Pilih Sertifikat & rahasia dan Rahasia klien baru.
- Masukkan deskripsi.
- Untuk Kedaluwarsa, pilih 24 bulan lagi.
- Salin nilai rahasia klien untuk digunakan saat mengonfigurasi koneksi JDBC.
Siapkan IdP dan peran IAM
Di bagian ini kami akan membahas konfigurasi IAM di akun AWS. Terutama kami akan membuat pengguna IAM, Peran dan kebijakan.
Siapkan IdP yang memercayai Azure AD
Untuk menyiapkan IdP Anda yang memercayai Azure AD, selesaikan langkah-langkah berikut:
- Di konsol IAM, pilih Penyedia identitas di panel navigasi.
- Pilih Tambahkan penyedia.
- Untuk Jenis Penyedia, pilih SAML.
- Untuk Nama Penyedia, Masuk
AzureADAthenaProvider
. - Untuk Dokumen Metadata, unggah file yang diunduh dari Portal Azure.
- Pilih Tambahkan penyedia.
Siapkan pengguna IAM dengan izin peran baca
Untuk menyiapkan pengguna IAM Anda, selesaikan langkah-langkah berikut:
- Di konsol IAM, pilih pengguna di panel navigasi.
- Pilih Tambahkan pengguna.
- Untuk user name, Masuk
ReadRoleUser
. - Untuk Jenis akses, pilih Akses terprogram.
- Pilih Berikutnya: Izin.
- Untuk Tetapkan izin, pilih Lampirkan kebijakan yang ada secara langsung.
- Pilih Buat kebijakan.
- Pilih JSON dan masukkan kebijakan berikut, yang memberikan akses baca untuk menghitung peran di IAM:
- Pilih Berikutnya: Tag.
- Pilih Berikutnya: Ulasan.
- Untuk Nama, Masuk
readrolepolicy
. - Pilih Buat kebijakan.
- pada Tambahkan pengguna tab, cari dan pilih peran
readrole
. - Pilih Berikutnya: tag.
- Pilih Berikutnya: Ulasan.
- Pilih Buat pengguna.
- Unduh file .csv yang berisi ID kunci akses dan kunci akses rahasia.
Kami menggunakan ini saat mengonfigurasi penyediaan otomatis Azure AD.
Siapkan peran dan kebijakan IAM untuk setiap kelompok kerja Athena
Untuk menyiapkan peran dan kebijakan IAM untuk grup kerja Athena Anda, selesaikan langkah-langkah berikut:
- Di konsol IAM, pilih Peran di panel navigasi.
- Pilih Buat peran.
- Untuk Pilih jenis entitas tepercaya, pilih Federasi SAML 2.0.
- Untuk penyedia SAML, pilih Penyedia AzureADAthena.
- Pilih Izinkan akses terprogram dan AWS Management Console.
- Bawah Kondisi, pilih kunci.
- Pilih SAML: aud.
- Untuk Kondisi, pilih StringEqual.
- Untuk Nilai, Masuk
http://localhost/athena
. - Pilih Berikutnya: Izin.
- Pilih Buat kebijakan.
- Pilih JSON dan masukkan kebijakan berikut (berikan ARN dari grup kerja Anda):
Kebijakan tersebut memberikan akses penuh ke kelompok kerja Athena. Ini didasarkan pada kebijakan yang dikelola AWS AmazonAthenaFullAccess
dan kebijakan contoh kelompok kerja.
- Pilih Berikutnya: Tag.
- Pilih Berikutnya: Ulasan.
- Untuk Nama, Masuk
athenaworkgroup1policy
. - Pilih Buat kebijakan.
- pada Buat peran tab, cari
athenaworkgroup1policy
dan pilih kebijakan. - Pilih Berikutnya: Tag.
- Pilih Berikutnya: Ulasan.
- Pilih Buat peran.
- Untuk Nama, Masuk
athenaworkgroup1role
. - Pilih Buat peran.
Siapkan akses pengguna di Azure AD
Di bagian ini kami akan menyiapkan penyediaan otomatis dan menetapkan pengguna ke aplikasi dari portal Microsoft Azure.
Siapkan penyediaan peran IAM otomatis
Untuk menyiapkan penyediaan peran IAM otomatis, selesaikan langkah-langkah berikut:
- Masuk ke Portal Azure dengan kredensial admin global Azure AD.
- Pilih Azure Active Directory.
- Pilih Aplikasi Perusahaan Dan pilihlah Aplikasi Athena.
- Pilih Penyediaan Akun Pengguna.
- Dalam majalah Provisioning bagian, pilih Get started.
- Untuk Mode Penyediaan, pilih secara otomatis.
- Lihat lebih lanjut Kredensial admin dan mengisi rahasia klien dan Token Rahasia dengan ID kunci akses dan kunci akses rahasia
ReadRoleUser
, Masing-masing. - Pilih uji koneksi dan Save.
- Pilih Mulai penyediaan.
Siklus awal dapat memakan waktu untuk diselesaikan, setelah itu peran IAM diisi di Azure AD.
Siapkan akses pengguna ke peran grup kerja Athena
Untuk menyetel akses pengguna ke peran grup kerja, selesaikan langkah-langkah berikut:
- Masuk ke Portal Azure dengan kredensial admin global Azure AD.
- Pilih Azure Active Directory.
- Pilih Aplikasi Perusahaan Dan pilihlah Aplikasi Athena.
- Pilih Tetapkan pengguna dan grup dan Tambahkan pengguna/grup.
- Bawah Pengguna dan grup, pilih grup yang ingin Anda beri izin kepada Athena. Untuk posting ini, kami menggunakan
athena-admin-adgroup
; sebagai alternatif, Anda dapat memilih user1. - Pilih Pilih.
- Untuk Pilih peran, pilih peran
athenaworkgroup1role
. - Pilih Pilih.
- Pilih Menetapkan.
Akses Athena
Di bagian ini, kami akan mendemonstrasikan cara mengakses Athena dari konsol AWS dan alat pengembang SQL Workbench/J
Akses Athena menggunakan portal Microsoft My Apps berbasis web
Untuk menggunakan portal Microsoft My Apps untuk mengakses Athena, selesaikan langkah-langkah berikut:
- Masuk ke Portal Azure dengan kredensial admin global Azure AD.
- Pilih Azure Active Directory
- Pilih Aplikasi Perusahaan Dan pilihlah Aplikasi Athena.
- Pilih
- Properties.
- Salin nilai untuk URL akses pengguna.
- Buka browser web dan masukkan URL.
Tautan mengarahkan Anda ke halaman login Azure.
- Masuk dengan kredensial pengguna lokal.
Anda dialihkan ke Konsol Manajemen AWS.
Akses Athena menggunakan SQL Workbench/J
Di organisasi dengan regulasi ketat, pengguna internal tidak diizinkan menggunakan konsol untuk mengakses Athena. Dalam kasus tersebut, Anda dapat menggunakan SQL Workbench/J, alat sumber terbuka yang memungkinkan konektivitas ke Athena menggunakan driver JDBC.
- Mendownload Pengemudi Athena JDBC (pilih driver yang sesuai berdasarkan versi Java Anda).
- Download dan menginstal Meja Kerja SQL/J.
- Buka Meja Kerja SQL/J.
- pada File menu, pilih Hubungkan Jendela.
- Pilih Kelola Driver.
- Untuk Nama, masukkan nama untuk driver Anda.
- Telusuri ke lokasi folder tempat Anda mengunduh dan membuka ritsleting driver.
- Pilih OK.
Sekarang setelah kita mengonfigurasi driver Athena, saatnya menyambung ke Athena. Anda perlu mengisi URL koneksi, nama pengguna, dan kata sandi.
Gunakan string koneksi berikut untuk terhubung ke Athena dengan akun pengguna tanpa MFA (berikan nilai yang dikumpulkan sebelumnya di pos):
Untuk terhubung menggunakan akun pengguna dengan MFA diaktifkan, gunakan browser Penyedia Kredensial AD Azure. Anda perlu membuat URL koneksi dan mengisi nama pengguna Nama pengguna dan kata sandi
Gunakan string koneksi berikut untuk terhubung ke Athena dengan akun pengguna yang mengaktifkan MFA (berikan nilai yang Anda kumpulkan sebelumnya):
Ganti teks berwarna merah dengan detail yang dikumpulkan sebelumnya di artikel.
Saat koneksi dibuat, Anda dapat menjalankan kueri terhadap Athena.
Konfigurasi proxy
Jika Anda terhubung ke Athena melalui server proxy, pastikan server proxy mengizinkan port 444. API streaming hasil set menggunakan port 444 di server Athena untuk komunikasi keluar. Mengatur ProxyHost
properti ke alamat IP atau nama host server proxy Anda. Mengatur ProxyPort
properti ke nomor port TCP yang digunakan server proxy untuk mendengarkan koneksi klien. Lihat kode berikut:
Kesimpulan
Dalam postingan ini, kami mengonfigurasi federasi IAM dengan Azure AD yang terhubung ke AD lokal dan menyiapkan akses granular ke grup kerja Athena. Kami juga melihat cara mengakses Athena melalui konsol menggunakan portal web Microsoft My Apps dan alat SQL Workbench/J. Kami juga membahas cara kerja koneksi melalui proxy. Infrastruktur federasi yang sama juga dapat dimanfaatkan untuk konfigurasi driver ODBC. Anda juga dapat menggunakan petunjuk dalam postingan ini untuk menyiapkan Azure IdP berbasis SAML guna mengaktifkan akses federasi ke Athena Workgroups.
tentang Penulis
Niraj Kumar adalah Manajer Akun Teknis Utama untuk layanan keuangan di AWS, di mana dia membantu pelanggan merancang, merancang, membangun, mengoperasikan, dan mendukung beban kerja di AWS dengan cara yang aman dan kuat. Dia memiliki lebih dari 20 tahun pengalaman TI yang beragam di bidang arsitektur perusahaan, cloud dan virtualisasi, keamanan, IAM, arsitektur solusi, serta sistem dan teknologi informasi. Di waktu luangnya, ia menikmati bimbingan, pembinaan, trekking, menonton film dokumenter bersama putranya, dan membaca sesuatu yang berbeda setiap hari.
- '
- &
- 100
- 11
- 420
- 7
- 9
- mengakses
- Akun
- Tindakan
- aktif
- Active Directory
- Ad
- admin
- Semua
- Membiarkan
- Amazon
- analisis
- api
- aplikasi
- aplikasi
- aplikasi
- arsitektur
- artikel
- Otentikasi
- AWS
- Biru langit
- Blog
- Browser
- membangun
- kasus
- awan
- kode
- komunikasi
- koneksi
- Koneksi
- Konektivitas
- persetujuan
- Covid-19
- Surat kepercayaan
- cross-platform
- pelanggan
- data
- Danau Data
- hari
- dc
- Mendesain
- Pengembang
- dokumenter
- pengemudi
- Enterprise
- pengalaman
- Fields
- keuangan
- jasa keuangan
- Gratis
- penuh
- Aksi
- beasiswa
- Kelompok
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTTPS
- IAM
- identitas
- informasi
- Infrastruktur
- interaktif
- IP
- Alamat IP
- IT
- Jawa
- kunci
- Terbaru
- Tingkat
- LINK
- lokal
- tempat
- tampak
- pengelolaan
- MFA
- Microsoft
- mobil
- Navigasi
- kantor 365
- organisasi
- Kata Sandi
- Plugin
- Kebijakan
- kebijaksanaan
- Portal
- Utama
- milik
- wakil
- publik
- Bacaan
- redirect
- Persyaratan
- sumber
- Run
- Pencarian
- keamanan
- Layanan
- set
- Sederhana
- putra
- SQL
- Pernyataan
- penyimpanan
- Streaming
- berlangganan
- sukses
- mendukung
- Mendukung
- sistem
- Teknis
- Teknologi
- sementara
- waktu
- token
- lalu lintas
- Pengguna
- nilai
- jaringan
- web browser
- alur kerja
- bekerja
- tahun