아마존 아테나 데이터를 보다 쉽게 직접 분석할 수 있는 대화형 쿼리 서비스입니다. 아마존 단순 스토리지 서비스 (Amazon S3) 표준 SQL을 사용합니다. 클라우드 운영 팀이 사용할 수 있는 AWS 자격 증명 및 액세스 관리 (IAM) 페더레이션을 통해 Athena에 대한 액세스를 중앙에서 관리합니다. 이를 통해 관리 팀이 온프레미스 Active Directory에 연결된 중앙 관리형 Azure AD에서 Athena 작업 그룹에 대한 사용자 액세스를 제어할 수 있으므로 관리가 간소화됩니다. 이 설정은 IAM 사용자를 관리할 때 클라우드 운영 팀의 오버헤드 경험을 줄입니다. Athena는 ADFS(Active Directory Federation Service), PingFederate, Okta 및 Microsoft Azure Active Directory(Azure AD) 페더레이션과의 페더레이션을 지원합니다.
이 블로그 게시물은 온프레미스 AD에 연결된 Azure AD로 AWS IAM 페더레이션을 설정하고 다양한 사용자에 대해 Athena 작업 그룹 수준 액세스를 구성하는 방법을 보여줍니다. 우리는 두 가지 시나리오를 다룰 것입니다:
- Azure AD 관리 사용자 및 그룹, 온-프레미스 AD.
- Azure AD에 동기화된 온-프레미스 Active Directory 관리 사용자 및 그룹입니다.
Azure AD 연결을 사용하여 온-프레미스 AD와 Azure AD 간의 동기화를 설정하는 방법은 다루지 않습니다. Azure AD를 AWS Managed AD와 통합하는 방법에 대한 자세한 내용은 를 참조하십시오. 사용자 암호 동기화 없이 AWS Managed Microsoft AD로 Office 365 활성화 Azure AD를 온-프레미스 AD와 통합하는 방법은 Microsoft 문서를 참조하세요. Azure Active Directory Connect의 사용자 지정 설치.
솔루션 개요
이 솔루션은 온프레미스 AD에 연결된 Azure AD와 IAM 페더레이션을 구성하고 사용자에 대한 Athena 작업 그룹 수준 액세스를 구성하는 데 도움이 됩니다. 온-프레미스 AD 그룹 또는 Azure AD 그룹으로 작업 그룹에 대한 액세스를 제어할 수 있습니다. 솔루션은 XNUMX개의 섹션으로 구성됩니다.
- Azure AD를 ID 공급자(IdP)로 설정합니다.
- Azure AD를 AWS 단일 계정 앱의 SAML IdP로 설정합니다.
- 위임된 권한으로 Azure AD 앱을 구성합니다.
- IAM IdP 및 역할을 설정합니다.
- Azure AD를 신뢰하는 IdP를 설정합니다.
- 읽기 역할 권한이 있는 IAM 사용자를 설정합니다.
- 각 Athena 작업 그룹에 대한 IAM 역할 및 정책을 설정합니다.
- Azure AD에서 사용자 액세스를 설정합니다.
- 자동 IAM 역할 프로비저닝을 설정합니다.
- Athena 작업 그룹 역할에 대한 사용자 액세스를 설정합니다.
- Athena에 액세스:
- 웹 기반 Microsoft를 사용하여 Athena에 액세스 내 앱 포털.
- 다음을 사용하여 Athena에 액세스 SQL 워크 벤치 / J 무료, DBMS 독립적인 교차 플랫폼 SQL 쿼리 도구입니다.
다음 다이어그램은 솔루션의 아키텍처를 보여줍니다.
솔루션 워크플로에는 다음 단계가 포함됩니다.
- 개발자 워크스테이션은 SQL Workbench/j JDBC Athena 드라이버를 통해 Azure AD에 연결하여 SAML 토큰을 요청합니다(XNUMX단계 OAuth 프로세스).
- Azure AD는 Azure AD 통과 에이전트 또는 ADFS를 통해 인증 트래픽을 다시 온-프레미스로 보냅니다.
- Azure AD 통과 에이전트 또는 ADFS는 온-프레미스 DC에 연결하고 사용자를 인증합니다.
- 통과 에이전트 또는 ADFS는 Azure AD에 성공 토큰을 보냅니다.
- Azure AD는 할당된 IAM 역할을 포함하는 SAML 토큰을 생성하고 클라이언트로 보냅니다.
- 클라이언트가 연결 AWS 보안 토큰 서비스 (AWS STS) 및 SAML 토큰을 제공하여 Athena 역할을 수임하고 임시 자격 증명을 생성합니다.
- AWS STS는 임시 자격 증명을 클라이언트에 보냅니다.
- 클라이언트는 임시 자격 증명을 사용하여 Athena에 연결합니다.
사전 조건
솔루션을 구성하기 전에 다음 요구 사항을 충족해야 합니다.
- Azure AD 측에서 다음을 완료합니다.
- Azure AD Connect 서버 설정 및 온-프레미스 AD와 동기화
- Azure AD와 온-프레미스 AD 간에 Azure AD 통과 또는 Microsoft ADFS 페더레이션 설정
- 세 명의 사용자 생성(
user1
,user2
,user3
) 및 세 그룹(athena-admin-adgroup
,athena-datascience-adgroup
,athena-developer-adgroup
) 각각의 Athena 작업 그룹 XNUMX개
- Athena 측에서 세 개의 Athena 작업 그룹을 만듭니다.
athena-admin-workgroup
,athena-datascience-workgroup
,athena-developer-workgroup
샘플 Athena 작업 그룹 사용에 대한 자세한 내용은 다음을 참조하십시오. 코로나19 데이터 분석을 위한 공공 데이터 레이크.
Azure AD 설정
이 섹션에서는 Microsoft Azure 구독의 Athena에 대한 Azure AD 구성 세부 정보를 다룹니다. 주로 앱을 등록하고, 연합을 구성하고, 앱 권한을 위임하고, 앱 암호를 생성합니다.
Azure AD를 AWS 단일 계정 앱에 대한 SAML IdP로 설정
Azure AD를 SAML IdP로 설정하려면 다음 단계를 완료하세요.
- 에 로그인 Azure 포털 Azure AD 전역 관리자 자격 증명을 사용합니다.
- 왼쪽 메뉴에서 Azure Active Directory.
- 왼쪽 메뉴에서 엔터프라이즈 애플리케이션.
- 왼쪽 메뉴에서 새로운 응용 프로그램.
- 에 대한 검색
Amazon
검색 창에 - 왼쪽 메뉴에서 AWS 단일 계정 액세스.
- 럭셔리 , 이름 입력
Athena-App
. - 왼쪽 메뉴에서 만듭니다.
- . 시작 가이드 섹션 아래 싱글 사인온 설정선택한다.
시작하기.
- 럭셔리 SSO(Single Sign-On) 방법 선택선택한다.
SAML.
- 럭셔리 기본 SAML 구성선택한다.
편집하다.
- 럭셔리 식별자(엔티티 ID), 입력
https://signin.aws.amazon.com/saml#1
. - 왼쪽 메뉴에서 찜하기.
- $XNUMX Million 미만 SAML 서명 인증서에 대한 연합 메타데이터 XML선택한다. 다운로드.
이 파일은 다음 섹션에서 IAM IdP를 구성하는 데 필요합니다. 나중에 IAM on AWS를 구성할 때 사용할 수 있도록 이 파일을 로컬 시스템에 저장하십시오.
위임된 권한으로 Azure AD 앱 구성
Azure AD 앱을 구성하려면 다음 단계를 완료하세요.
- 왼쪽 메뉴에서 Azure Active Directory.
- 왼쪽 메뉴에서 앱 등록 과 모든 응용 프로그램.
- 검색 및 선택 아테나 앱.
- 에 대한 값 참고 애플리케이션 (클라이언트) ID 과 디렉터리 (테넌트) ID.
Athena에 연결할 때 JDBC 연결에 이러한 값이 필요합니다.
- $XNUMX Million 미만 API 권한선택한다. 권한 추가.
- 왼쪽 메뉴에서 Microsoft Graph 과 위임된 권한.
- 럭셔리 권한 선택, 검색
user.read
. - 럭셔리 사용자선택한다. 사용자.읽기.
- 왼쪽 메뉴에서 권한 추가.
- 왼쪽 메뉴에서 관리자 동의 부여 과 가능.
- 왼쪽 메뉴에서 인증 과 플랫폼 추가.
- 왼쪽 메뉴에서 모바일 및 데스크탑 애플리케이션.
- $XNUMX Million 미만 사용자 지정 리디렉션 URI, 입력
http://localhost/athena
. - 왼쪽 메뉴에서 구성.
- 왼쪽 메뉴에서 인증서 및 비밀 과 새 클라이언트 비밀번호.
- 설명을 입력합니다.
- 럭셔리 만료선택한다.
24 개월.
- JDBC 연결을 구성할 때 사용할 클라이언트 암호 값을 복사합니다.
IAM IdP 및 역할 설정
이 섹션에서는 AWS 계정의 IAM 구성을 다룹니다. 주로 IAM 사용자, 역할 및 정책을 생성합니다.
Azure AD를 신뢰하는 IdP 설정
Azure AD를 신뢰하는 IdP를 설정하려면 다음 단계를 완료하세요.
- IAM 콘솔에서 ID 공급자 탐색 창에서
- 왼쪽 메뉴에서 공급자 추가.
- 럭셔리 제공자 유형선택한다. SAML.
- 럭셔리 공급자 이름, 입력
AzureADAthenaProvider
. - 럭셔리 메타데이터 문서, Azure Portal에서 다운로드한 파일을 업로드합니다.
- 왼쪽 메뉴에서 공급자 추가.
읽기 역할 권한이 있는 IAM 사용자 설정
IAM 사용자를 설정하려면 다음 단계를 완료하십시오.
- IAM 콘솔에서 사용자 탐색 창에서
- 왼쪽 메뉴에서 사용자 추가.
- 럭셔리 사용자 이름, 입력
ReadRoleUser
. - 럭셔리 액세스 유형, 고르다 프로그래밍 방식의 액세스.
- 왼쪽 메뉴에서 다음 : 권한.
- 럭셔리 권한 설정선택한다. 기존 정책을 직접 첨부.
- 왼쪽 메뉴에서 정책 만들기.
- 선택 JSON IAM에서 역할을 열거할 수 있는 읽기 액세스 권한을 부여하는 다음 정책을 입력합니다.
- 왼쪽 메뉴에서 다음 : 태그.
- 왼쪽 메뉴에서 다음 : 검토.
- 럭셔리 성함, 입력
readrolepolicy
. - 왼쪽 메뉴에서 정책 만들기.
- 에 사용자 추가 탭에서 역할을 검색하고 선택합니다.
readrole
. - 왼쪽 메뉴에서 다음 : 태그.
- 왼쪽 메뉴에서 다음 : 검토.
- 왼쪽 메뉴에서 사용자 만들기.
- 액세스 키 ID와 보안 액세스 키가 포함된 .csv 파일을 다운로드합니다.
Azure AD 자동 프로비저닝을 구성할 때 이를 사용합니다.
각 Athena 작업 그룹에 대한 IAM 역할 및 정책 설정
Athena 작업 그룹에 대한 IAM 역할 및 정책을 설정하려면 다음 단계를 완료하십시오.
- IAM 콘솔에서 역할 탐색 창에서
- 왼쪽 메뉴에서 역할 만들기.
- 럭셔리 신뢰할 수있는 엔터티 유형 선택선택한다. SAML 2.0 연합.
- 럭셔리 SAML 공급자선택한다. AzureADAthena공급자.
- 왼쪽 메뉴에서 프로그래밍 방식 및 AWS Management 콘솔 액세스 허용.
- $XNUMX Million 미만 상태선택한다. 키.
- 선택 SAML:오디.
- 럭셔리 상태, 고르다 문자열 같음.
- 럭셔리 가치관, 입력
http://localhost/athena
. - 왼쪽 메뉴에서 다음 : 권한.
- 왼쪽 메뉴에서 정책 만들기.
- 왼쪽 메뉴에서 JSON 다음 정책을 입력합니다(작업 그룹의 ARN 제공).
이 정책은 Athena 작업 그룹에 대한 전체 액세스 권한을 부여합니다. 를 기반으로 합니다 AWS 관리형 정책 AmazonAthenaFullAccess
과 작업 그룹 예시 정책.
- 왼쪽 메뉴에서 다음 : 태그.
- 왼쪽 메뉴에서 다음 : 검토.
- 럭셔리 성함, 입력
athenaworkgroup1policy
. - 왼쪽 메뉴에서 정책 만들기.
- 에 역할 만들기 탭, 검색
athenaworkgroup1policy
정책을 선택합니다. - 왼쪽 메뉴에서 다음 : 태그.
- 왼쪽 메뉴에서 다음 : 검토.
- 왼쪽 메뉴에서 역할 만들기.
- 럭셔리 성함, 입력
athenaworkgroup1role
. - 왼쪽 메뉴에서 역할 만들기.
Azure AD에서 사용자 액세스 설정
이 섹션에서는 자동 프로비저닝을 설정하고 Microsoft Azure Portal에서 앱에 사용자를 할당합니다.
자동 IAM 역할 프로비저닝 설정
자동 IAM 역할 프로비저닝을 설정하려면 다음 단계를 완료하십시오.
- 에 로그인 Azure 포털 Azure AD 전역 관리자 자격 증명을 사용합니다.
- 왼쪽 메뉴에서 Azure Active Directory.
- 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 선택하고 아테나 앱.
- 왼쪽 메뉴에서 사용자 계정 프로비저닝.
- . 프로 비저닝 섹션 선택 시작하기.
- 럭셔리 프로비저닝 모드선택한다.
Automatic.
- 펼치기 관리자 자격 증명 채우기 클라이언트비밀 과 비밀 토큰 액세스 키 ID와 보안 액세스 키를 사용하여
ReadRoleUser
각각. - 왼쪽 메뉴에서 연결 테스트 과 찜하기.
- 왼쪽 메뉴에서 프로비저닝 시작.
초기 주기는 완료하는 데 다소 시간이 걸릴 수 있으며, 그 후 IAM 역할이 Azure AD에 채워집니다.
Athena 작업 그룹 역할에 대한 사용자 액세스 설정
작업 그룹 역할에 대한 사용자 액세스를 설정하려면 다음 단계를 완료하십시오.
- 유튜브에서 Azure 포털 Azure AD 전역 관리자 자격 증명을 사용합니다.
- 왼쪽 메뉴에서 Azure Active Directory.
- 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 선택하고 아테나 앱.
- 왼쪽 메뉴에서 사용자 및 그룹 할당 과 사용자/그룹 추가.
- $XNUMX Million 미만 사용자 및 그룹, Athena 권한을 할당할 그룹을 선택합니다. 이 게시물에서 우리는
athena-admin-adgroup
; 또는 user1을 선택할 수 있습니다. - 왼쪽 메뉴에서 선택.
- 럭셔리 역할을 선택하십시오, 역할 선택
athenaworkgroup1role
. - 왼쪽 메뉴에서 선택.
- 왼쪽 메뉴에서 양수인.
액세스 아테나
이 섹션에서는 AWS 콘솔 및 개발자 도구 SQL Workbench/J에서 Athena에 액세스하는 방법을 보여줍니다.
웹 기반 Microsoft My Apps 포털을 사용하여 Athena에 액세스
Microsoft My Apps 포털을 사용하여 Athena에 액세스하려면 다음 단계를 완료하십시오.
- 유튜브에서 Azure 포털 Azure AD 전역 관리자 자격 증명을 사용합니다.
- 왼쪽 메뉴에서 Azure Active Directory
- 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 선택하고 아테나 앱.
- 왼쪽 메뉴에서
- 등록.
- 값 복사 사용자 액세스 URL.
- 웹 브라우저를 열고 URL을 입력합니다.
링크는 Azure 로그인 페이지로 리디렉션합니다.
- 온프레미스 사용자 자격 증명으로 로그인합니다.
귀하는 AWS 관리 콘솔.
SQL Workbench/J를 사용하여 Athena에 액세스
규제가 엄격한 조직에서 내부 사용자는 콘솔을 사용하여 Athena에 액세스할 수 없습니다. 이러한 경우 JDBC 드라이버를 사용하여 Athena에 연결할 수 있는 오픈 소스 도구인 SQL Workbench/J를 사용할 수 있습니다.
- 최신 다운로드 Athena JDBC 드라이버 (Java 버전에 따라 적절한 드라이버를 선택하십시오).
- 다운로드 및 설치 SQL 워크 벤치 / J.
- SQL Workbench/J를 엽니다.
- 에 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에 메뉴, 선택 연결 창.
- 왼쪽 메뉴에서 드라이버 관리.
- 럭셔리 성함, 드라이버 이름을 입력합니다.
- 드라이버를 다운로드하고 압축을 푼 폴더 위치를 찾습니다.
- 왼쪽 메뉴에서 OK.
이제 Athena 드라이버를 구성했으므로 Athena에 연결할 차례입니다. 연결 URL, 사용자 이름 및 암호를 입력해야 합니다.
다음 연결 문자열을 사용하여 MFA가 없는 사용자 계정으로 Athena에 연결합니다(포스트의 앞부분에서 수집한 값 제공).
MFA가 활성화된 사용자 계정을 사용하여 연결하려면 브라우저 Azure AD 자격 증명 공급자를 사용합니다. 연결 URL을 구성하고 사용자 이름 사용자 이름과 비밀번호를 입력해야 합니다.
다음 연결 문자열을 사용하여 MFA가 활성화된 사용자 계정으로 Athena에 연결합니다(이전에 수집한 값 제공).
빨간색 텍스트를 이 문서의 앞부분에서 수집한 세부 정보로 바꿉니다.
연결이 설정되면 Athena에 대해 쿼리를 실행할 수 있습니다.
프록시 구성
프록시 서버를 통해 Athena에 연결하는 경우 프록시 서버가 포트 444를 허용하는지 확인하십시오. 결과 집합 스트리밍 API는 포트를 사용합니다. 444 아웃바운드 통신을 위해 Athena 서버에서. 설정 ProxyHost
속성을 프록시 서버의 IP 주소 또는 호스트 이름으로 변경합니다. 설정 ProxyPort
속성을 프록시 서버가 클라이언트 연결을 수신하는 데 사용하는 TCP 포트 번호로 지정합니다. 다음 코드를 참조하십시오.
요약
이 게시물에서는 온프레미스 AD에 연결된 Azure AD로 IAM 페더레이션을 구성하고 Athena 작업 그룹에 대한 세분화된 액세스를 설정했습니다. 또한 Microsoft My Apps 웹 포털과 SQL Workbench/J 도구를 사용하여 콘솔을 통해 Athena에 액세스하는 방법도 살펴보았습니다. 또한 프록시를 통해 연결이 작동하는 방식에 대해서도 논의했습니다. ODBC 드라이버 구성에도 동일한 페더레이션 인프라를 활용할 수 있습니다. 이 게시물의 지침을 사용하여 SAML 기반 Azure IdP를 설정하여 Athena Workgroups에 대한 페더레이션 액세스를 활성화할 수도 있습니다.
저자에 관하여
니라즈 쿠마르 AWS 금융 서비스의 수석 기술 계정 관리자로, 고객이 AWS에서 안전하고 강력한 방식으로 워크로드를 설계, 설계, 구축, 운영 및 지원하도록 돕습니다. 그는 엔터프라이즈 아키텍처, 클라우드 및 가상화, 보안, IAM, 솔루션 아키텍처, 정보 시스템 및 기술 분야에서 20년 이상의 다양한 IT 경험을 보유하고 있습니다. 여가 시간에는 멘토링, 코칭, 트레킹, 아들과 함께 다큐멘터리 보기, 매일 다른 책 읽기를 즐깁니다.
- '
- &
- 100
- 11
- 420
- 7
- 9
- ACCESS
- 계정
- 동작
- 활동적인
- Active Directory의
- Ad
- 관리자
- All
- 허용
- 아마존
- 분석
- API를
- 앱
- 어플리케이션
- 앱
- 아키텍처
- 기사
- 인증
- AWS
- 하늘빛
- 블로그
- 브라우저
- 빌드
- 가지 경우
- 클라우드
- 암호
- 커뮤니케이션
- 연결
- 연결
- 입/출력 라인
- 동의
- Covid-19
- 신임장
- 크로스 플랫폼
- 고객
- 데이터
- 데이터 레이크
- 일
- dc
- 디자인
- 개발자
- 다큐멘터리
- 운전사
- Enterprise
- 경험
- Fields
- 금융
- 금융 서비스
- 무료
- 가득 찬
- 글로벌
- 보조금
- 그룹
- 방법
- How To
- HTTPS
- IAM
- 통합 인증
- 정보
- 인프라
- 대화형
- IP
- IP 주소
- IT
- 자바
- 키
- 최근
- 레벨
- LINK
- 지방의
- 위치
- 보고
- 구축
- MFA
- Microsoft
- 모바일
- 카테고리
- 사무실 365
- 조직
- 비밀번호
- 플러그인
- 정책
- 정책
- 포털
- 교장
- 재산
- 대리
- 공개
- 읽기
- 리디렉션
- 요구조건 니즈
- 의지
- 달리기
- 검색
- 보안
- 서비스
- 세트
- 단순, 간단, 편리
- 그것의
- SQL
- 성명서
- 저장
- 스트리밍
- 신청
- 성공
- SUPPORT
- 지원
- 시스템은
- 테크니컬
- 기술
- 일시적인
- 시간
- 토큰
- 교통
- 사용자
- 가치
- 웹
- 웹 브라우저
- 워크플로우
- 일
- 년