אמזונה אתנה הוא שירות שאילתות אינטראקטיבי המקל על ניתוח הנתונים ישירות פנימה שירות אחסון פשוט של אמזון (Amazon S3) באמצעות SQL סטנדרטי. צוותי תפעול בענן יכולים להשתמש AWS זהות וניהול גישה פדרציה (IAM) לניהול מרכזי של גישה לאתנה. זה מפשט את הניהול על ידי מתן אפשרות לצוות מנהל לשלוט בגישה של משתמשים לקבוצות עבודה של Athena מ-Azure AD מנוהל מרכזי המחובר ל-Active Directory מקומי. הגדרה זו מפחיתה את חוויית התקורה של צוותי תפעול ענן בעת ניהול משתמשי IAM. Athena תומכת בפדרציה עם הפדרציה של Active Directory Federation Service (ADFS), PingFederate, Okta ו-Microsoft Azure Active Directory (Azure AD).
פוסט זה בבלוג ממחיש כיצד להגדיר פדרציית AWS IAM עם Azure AD מחוברת ל-AD מקומית ולהגדיר גישה ברמת קבוצת העבודה של Athena עבור משתמשים שונים. אנחנו הולכים לכסות שני תרחישים:
- משתמשים וקבוצות מנוהלים Azure AD, ו-AD מקומי.
- משתמשים וקבוצות מנוהלים ב-Active Directory מקומיים המסונכרנים עם Azure AD.
אנחנו לא מכסים כיצד להגדיר סנכרון בין AD מקומי ו-Azure AD בעזרת Azure AD connect. למידע נוסף על אופן שילוב Azure AD עם AD מנוהלת AWS, ראה הפעל את Office 365 עם AWS מנוהל Microsoft AD ללא סנכרון סיסמת משתמש וכיצד לשלב את Azure AD עם AD מקומי , עיין במאמר של Microsoft התקנה מותאמת אישית של Azure Active Directory Connect.
סקירת פתרונות
פתרון זה עוזר לך להגדיר פדרציית IAM עם Azure AD מחובר ל-AD מקומי ולהגדיר גישה ברמת קבוצת העבודה של Athena למשתמשים. אתה יכול לשלוט בגישה לקבוצת העבודה על ידי קבוצת AD מקומית או קבוצת Azure AD. הפתרון מורכב מארבעה חלקים:
- הגדר את Azure AD כספק הזהות שלך (IdP):
- הגדר את Azure AD בתור SAML IdP שלך עבור אפליקציית AWS עם חשבון יחיד.
- הגדר את אפליקציית Azure AD עם האצלת הרשאות.
- הגדר את IAM IdP ואת התפקידים שלך:
- הגדר IdP הנותן אמון ב-Azure AD.
- הגדר משתמש IAM עם הרשאת תפקיד קריאה.
- הגדר תפקיד ומדיניות IAM עבור כל קבוצת עבודה של Athena.
- הגדר גישת משתמש ב-Azure AD:
- הגדר הקצאת תפקידים אוטומטית של IAM.
- הגדר גישת משתמש לתפקיד קבוצת העבודה של Athena.
- גישה לאתנה:
- גש אל Athena באמצעות Microsoft מבוסס האינטרנט פורטל האפליקציות שלי.
- גש לאתנה באמצעות SQL Workbench / J כלי שאילתות SQL חוצה פלטפורמות בחינם, בלתי תלוי ב-DBMS.
התרשים הבא ממחיש את הארכיטקטורה של הפיתרון.
זרימת העבודה של הפתרון כוללת את השלבים הבאים:
- תחנת העבודה של המפתח מתחברת ל-Azure AD באמצעות מנהל התקן SQL Workbench/j JDBC Athena כדי לבקש אסימון SAML (תהליך OAuth דו-שלבי).
- Azure AD שולח תעבורת אימות חזרה ל-on-premises באמצעות סוכן מעבר של Azure AD או ADFS.
- סוכן המעבר של Azure AD או ADFS מתחבר ל-DC מקומי ומאמת את המשתמש.
- סוכן המעבר או ADFS שולח אסימון הצלחה ל-Azure AD.
- Azure AD בונה אסימון SAML המכיל את תפקיד IAM שהוקצה ושולחת אותו ללקוח.
- הלקוח מתחבר ל שירות אסימון האבטחה AWS (AWS STS) ומציג את אסימון ה-SAML כדי לקבל את התפקיד של Athena ומייצר אישורים זמניים.
- AWS STS שולח אישורים זמניים ללקוח.
- הלקוח משתמש באישורים הזמניים כדי להתחבר לאתנה.
תנאים מוקדמים
עליך לעמוד בדרישות הבאות לפני הגדרת הפתרון:
- בצד Azure AD, השלם את הפעולות הבאות:
- הגדר את שרת Azure AD Connect וסנכרן עם AD מקומי
- הגדר את המעבר של Azure AD או הפדרציה של Microsoft ADFS בין Azure AD ל-AD מקומית
- צור שלושה משתמשים (
user1
,user2
,user3
) ושלוש קבוצות (athena-admin-adgroup
,athena-datascience-adgroup
,athena-developer-adgroup
) עבור שלוש קבוצות עבודה בהתאמה
- בצד אתנה, צור שלוש קבוצות עבודה של אתנה:
athena-admin-workgroup
,athena-datascience-workgroup
,athena-developer-workgroup
למידע נוסף על שימוש בקבוצות עבודה לדוגמה של Athena, ראה אגם נתונים ציבורי לניתוח נתוני COVID-19.
הגדר את Azure AD
בסעיף זה נסקור את פרטי התצורה של Azure AD עבור Athena במנוי Microsoft Azure. בעיקר נרשום אפליקציה, נגדיר את הפדרציה, האציל הרשאת אפליקציה וניצור סוד אפליקציה.
הגדר את Azure AD כ-SAML IdP עבור אפליקציית AWS עם חשבון יחיד
כדי להגדיר את Azure AD בתור SAML IdP שלך, בצע את השלבים הבאים:
- היכנס ל- פורטל תכלת עם אישורי ניהול גלובליים של Azure AD.
- לבחור Azure Active Directory.
- לבחור יישומים ארגוניים.
- לבחור אפליקציה חדשה.
- חיפוש
Amazon
בסרגל החיפוש. - לבחור AWS גישה לחשבון יחיד.
- בעד שם, להיכנס
Athena-App
. - לבחור צור
- ב תחילת העבודה סעיף, תחת הגדר כניסה יחידה, בחר התחל כאן.
- בעד בחר שיטת כניסה יחידה, בחר SAML.
- בעד תצורת SAML בסיסית, בחר לַעֲרוֹך.
- בעד מזהה (מזהה ישות), להיכנס
https://signin.aws.amazon.com/saml#1
. - לבחור שמור.
- תַחַת תעודת חתימה SAML, עבור מטא נתונים של הפדרציה XML, בחר הורדה.
קובץ זה נדרש כדי להגדיר את IAM IdP שלך בסעיף הבא. שמור קובץ זה במחשב המקומי שלך לשימוש מאוחר יותר בעת הגדרת IAM ב-AWS.
הגדר את אפליקציית Azure AD שלך עם האצלת הרשאות
כדי להגדיר את אפליקציית Azure AD שלך, בצע את השלבים הבאים:
- לבחור Azure Active Directory.
- לבחור רישומים לאפליקציות ו כל היישומים.
- חפש ובחר אתנה-אפליקציה.
- שימו לב לערכים עבור מזהה יישום (לקוח) ו מזהה ספרייה (דייר)..
אתה צריך את הערכים האלה בחיבור JDBC כשאתה מתחבר לאטהנה.
- תַחַת הרשאות API, בחר הוסף הרשאה.
- לבחור גרף של מיקרוסופט ו האצלת הרשאות.
- בעד בחר הרשאות, לחפש אחר
user.read
. - בעד משתמש, בחר משתמש.קרא.
- לבחור הוסף הרשאה.
- לבחור הענק הסכמת מנהל ו יש.
- לבחור אימות ו הוסף פלטפורמה.
- לבחור אפליקציות לנייד ולשולחן העבודה.
- תַחַת כתובות URI מותאמות אישית, להיכנס
http://localhost/athena
. - לבחור גדר.
- לבחור תעודות וסודות ו סוד לקוח חדש.
- הזן תיאור.
- בעד פג תוקף, בחר 24 חודשים.
- העתק את ערך סוד הלקוח לשימוש בעת הגדרת חיבור JDBC.
הגדר את IAM IdP ואת התפקידים
בסעיף זה נסקור את תצורת IAM בחשבון AWS. בעיקר ניצור משתמש IAM, תפקידים ומדיניות.
הגדר IdP הנותן אמון ב-Azure AD
כדי להגדיר את ה-IDP הנותן אמון ב-Azure AD, בצע את השלבים הבאים:
- במסוף IAM בחר ספקי זהות בחלונית הניווט.
- לבחור הוסף ספק.
- בעד סוג ספק, בחר SAML.
- בעד שם ספק, להיכנס
AzureADAthenaProvider
. - בעד מסמך מטא נתונים, העלה את הקובץ שהורד מ-Azure Portal.
- לבחור הוסף ספק.
הגדר משתמש IAM עם הרשאת תפקיד קריאה
כדי להגדיר את משתמש IAM שלך, בצע את השלבים הבאים:
- במסוף IAM בחר משתמש בחלונית הניווט.
- לבחור הוסף משתמש.
- בעד כינוי, להיכנס
ReadRoleUser
. - בעד סוג גישה, בחר גישה תכנתית.
- לבחור הבא: הרשאות.
- בעד הגדר הרשאות, בחר צרף ישירות מדיניות קיימת.
- לבחור צור מדיניות.
- בחר JSON והזן את המדיניות הבאה, המעניקה גישת קריאה לספירת תפקידים ב-IAM:
- לבחור הבא: תגיות.
- לבחור הבא: סקירה.
- בעד שם, להיכנס
readrolepolicy
. - לבחור צור מדיניות.
- על הוסף משתמש לשונית, חפש ובחר את התפקיד
readrole
. - לבחור הבא: תגיות.
- לבחור הבא: סקירה.
- לבחור צור משתמש.
- הורד את קובץ ה-.csv המכיל את מזהה מפתח הגישה ומפתח הגישה הסודי.
אנו משתמשים באלה בעת הגדרת התצורה האוטומטית של Azure AD.
הגדר תפקיד ומדיניות IAM עבור כל קבוצת עבודה של Athena
כדי להגדיר תפקידים ומדיניות IAM עבור קבוצות העבודה של Athena, בצע את השלבים הבאים:
- במסוף IAM בחר תפקידים בחלונית הניווט.
- לבחור צור תפקיד.
- בעד בחר סוג יישות מהימנה, בחר פדרציית SAML 2.0.
- בעד ספק SAML, בחר AzureADAthenaProvider.
- לבחור אפשר גישה פרוגרמטית וגישה למסוף הניהול של AWS.
- תַחַת מַצָב, בחר מפתח.
- בחר SAML:aud.
- בעד מַצָב, בחר StringEquals.
- בעד ערך, להיכנס
http://localhost/athena
. - לבחור הבא: הרשאות.
- לבחור צור מדיניות.
- לבחור JSON והזן את המדיניות הבאה (ספק את ה-ARN של קבוצת העבודה שלך):
המדיניות מעניקה גישה מלאה לקבוצת העבודה של אתנה. זה מבוסס על מדיניות מנוהלת AWS AmazonAthenaFullAccess
ו מדיניות לדוגמה של קבוצת עבודה.
- לבחור הבא: תגיות.
- לבחור הבא: סקירה.
- בעד שם, להיכנס
athenaworkgroup1policy
. - לבחור צור מדיניות.
- על צור תפקיד לשונית, חפש
athenaworkgroup1policy
ובחר את המדיניות. - לבחור הבא: תגיות.
- לבחור הבא: סקירה.
- לבחור צור תפקיד.
- בעד שם, להיכנס
athenaworkgroup1role
. - לבחור צור תפקיד.
הגדר גישת משתמש ב- Azure AD
בסעיף זה נגדיר הקצאה אוטומטית ונקצה משתמשים לאפליקציה מ-Microsoft Azure Portal.
הגדר הקצאת תפקידים אוטומטית של IAM
כדי להגדיר הקצאת תפקידים אוטומטית של IAM, בצע את השלבים הבאים:
- היכנס ל- פורטל תכלת עם אישורי ניהול גלובליים של Azure AD.
- לבחור Azure Active Directory.
- לבחור יישומים ארגוניים ולבחור אתנה-אפליקציה.
- לבחור הקצאת חשבונות משתמש.
- ב הפרשות סעיף, בחר התחל כאן.
- בעד מצב הקצאה, בחר מכני עם סלילה אוטומטית.
- לְהַרְחִיב אישורי מנהל ולאכלס סוד הלקוח ו אסימון סודי עם מזהה מפתח הגישה ומפתח הגישה הסודי של
ReadRoleUser
, בהתאמה. - לבחור בדיקת חיבור ו שמור.
- לבחור התחל בהקצאה.
המחזור הראשוני עשוי להימשך זמן מה, ולאחריו תפקידי IAM מאוכלסים ב-Azure AD.
הגדר גישת משתמש לתפקיד קבוצת העבודה של Athena
כדי להגדיר גישת משתמש לתפקיד קבוצת העבודה, בצע את השלבים הבאים:
- היכנס אל פורטל תכלת עם אישורי ניהול גלובליים של Azure AD.
- לבחור Azure Active Directory.
- לבחור יישומים ארגוניים ולבחור אתנה-אפליקציה.
- לבחור הקצאת משתמשים וקבוצות ו הוסף משתמש/קבוצה.
- תַחַת משתמשים וקבוצות, בחר את הקבוצה שברצונך להקצות לה הרשאת Athena. עבור פוסט זה, אנו משתמשים
athena-admin-adgroup
; לחלופין, אתה יכול לבחור משתמש1. - לבחור בחר.
- בעד בחר תפקיד, בחר את התפקיד
athenaworkgroup1role
. - לבחור בחר.
- לבחור הקצה.
גישה לאתנה
בחלק זה נדגים כיצד לגשת אל Athena ממסוף AWS ומכלי המפתחים SQL Workbench/J
גש אל Athena באמצעות הפורטל מבוסס האינטרנט של Microsoft My Apps
כדי להשתמש בפורטל Microsoft My Apps כדי לגשת אל Athena, בצע את השלבים הבאים:
- היכנס אל פורטל תכלת עם אישורי ניהול גלובליים של Azure AD.
- לבחור Azure Active Directory
- לבחור יישומים ארגוניים ולבחור אתנה-אפליקציה.
- לבחור
- מאפיין.
- העתק את הערך עבור כתובת URL של גישת משתמש.
- פתח דפדפן אינטרנט והזן את כתובת האתר.
הקישור מפנה אותך לדף התחברות של Azure.
- היכנס עם אישורי המשתמש המקומיים.
אתה מופנה מחדש אל קונסולת הניהול של AWS.
גש אל Athena באמצעות SQL Workbench/J
בארגונים בפיקוח גבוה, משתמשים פנימיים אינם מורשים להשתמש בקונסולה כדי לגשת לאטהנה. במקרים כאלה, אתה יכול להשתמש ב-SQL Workbench/J, כלי קוד פתוח המאפשר קישוריות לאטהנה באמצעות מנהל התקן JDBC.
- הורד את העדכונים האחרונים מנהל התקן אתנה JDBC (בחר את מנהל ההתקן המתאים בהתבסס על גרסת ה-Java שלך).
- להוריד ולהתקין SQL Workbench / J.
- פתח את SQL Workbench/J.
- על שלח בתפריט, בחר חיבור חלון.
- לבחור נהל דרייברים.
- בעד שם, הזן שם לנהג שלך.
- דפדף אל מיקום התיקיה שבה הורדת ופתחת את הדרייבר.
- לבחור OK.
כעת, לאחר שהגדרנו את מנהל ההתקן של Athena, הגיע הזמן להתחבר לאתנה. עליך למלא את כתובת האתר של החיבור, שם המשתמש והסיסמה.
השתמש במחרוזת החיבור הבאה כדי להתחבר לאתנה עם חשבון משתמש ללא MFA (ספק את הערכים שנאספו קודם לכן בפוסט):
כדי להתחבר באמצעות חשבון משתמש עם MFA מופעל, השתמש ב-Azure AD Credentials Provider של הדפדפן. עליך לבנות את כתובת האתר של החיבור ולמלא את שם המשתמש שם משתמש וסיסמה
השתמש במחרוזת החיבור הבאה כדי להתחבר לאתנה עם חשבון משתמש שבו MFA מופעל (ספק את הערכים שאספת קודם לכן):
החלף טקסט באדום בפרטים שנאספו מוקדם יותר במאמר.
כאשר החיבור נוצר, אתה יכול להריץ שאילתות נגד אתנה.
תצורת פרוקסי
אם אתה מתחבר לאתנה דרך שרת proxy, ודא ששרת ה-proxy מאפשר יציאה 444. ה-API של סטרימינג של ערכת התוצאות משתמש ביציאה 444 בשרת Athena לתקשורת יוצאת. הגדר את ProxyHost
מאפיין לכתובת ה-IP או שם המארח של שרת ה-proxy שלך. הגדר את ProxyPort
מאפיין למספר יציאת ה-TCP שבה משתמש שרת ה-proxy כדי להאזין לחיבורי לקוח. ראה את הקוד הבא:
<br> סיכום
בפוסט זה, הגדרנו פדרציית IAM עם Azure AD מחוברת ל-AD מקומית והגדרנו גישה פרטנית לקבוצת עבודה של Athena. בדקנו גם כיצד לגשת אל Athena דרך המסוף באמצעות פורטל האינטרנט של Microsoft My Apps וכלי SQL Workbench/J. דנו גם איך החיבור עובד על פרוקסי. ניתן למנף את אותה תשתית פדרציה גם עבור תצורת מנהל התקן ODBC. אתה יכול גם להשתמש בהוראות בפוסט זה כדי להגדיר Azure IdP מבוסס SAML כדי לאפשר גישה מאוחדת לקבוצות עבודה של Athena.
על המחבר
נירה קומאר הוא מנהל חשבון טכני ראשי לשירותים פיננסיים ב-AWS, שם הוא עוזר ללקוחות לתכנן, לתכנן, לבנות, לתפעל ולתמוך בעומסי עבודה ב-AWS בצורה מאובטחת וחסונה. יש לו למעלה מ-20 שנות ניסיון IT מגוון בתחומי ארכיטקטורה ארגונית, ענן ווירטואליזציה, אבטחה, IAM, ארכיטקטורת פתרונות ומערכות מידע וטכנולוגיות. בזמנו הפנוי הוא נהנה להדריך, להדריך, לטייל, לצפות בסרטים דוקומנטריים עם בנו ולקרוא כל יום משהו אחר.
- '
- &
- 100
- 11
- 420
- 7
- 9
- גישה
- חֶשְׁבּוֹן
- פעולה
- פעיל
- של Active Directory
- Ad
- מנהל
- תעשיות
- מאפשר
- אמזון בעברית
- אנליזה
- API
- האפליקציה
- יישומים
- אפליקציות
- ארכיטקטורה
- מאמר
- אימות
- AWS
- תכלת
- בלוג
- דפדפן
- לִבנוֹת
- מקרים
- ענן
- קוד
- תקשורת
- הקשר
- חיבורי
- קישוריות
- הסכמה
- תקופת הקורונה
- אישורים
- בין פלטפורמה
- לקוחות
- נתונים
- אגם דאטה
- יְוֹם
- dc
- עיצוב
- מפתח
- סרטים תיעודיים
- נהג
- מִפְעָל
- ניסיון
- שדות
- כספי
- שירותים פיננסיים
- חופשי
- מלא
- גלוֹבָּלִי
- מענקים
- קְבוּצָה
- איך
- איך
- HTTPS
- IAM
- זהות
- מידע
- תשתית
- אינטראקטיבי
- IP
- כתובת IP
- IT
- Java
- מפתח
- האחרון
- רמה
- קשר
- מקומי
- מיקום
- נראה
- ניהול
- משרד חוץ
- מיקרוסופט
- סלולרי
- ניווט
- משרד 365
- ארגונים
- סיסמה
- חיבור
- מדיניות
- מדיניות
- כניסה
- מנהל
- רכוש
- פרוקסי
- ציבורי
- קריאה
- הפניה
- דרישות
- משאב
- הפעלה
- חיפוש
- אבטחה
- שירותים
- סט
- פָּשׁוּט
- שלה
- SQL
- הצהרה
- אחסון
- נהירה
- מִנוּיים
- הצלחה
- תמיכה
- תומך
- מערכות
- טכני
- טכנולוגיות
- זמני
- זמן
- אסימון
- תְנוּעָה
- משתמשים
- ערך
- אינטרנט
- דפדפן אינטרנט
- זרימת עבודה
- עובד
- שנים