Amazonka Atena to interaktywna usługa zapytań, która ułatwia bezpośrednią analizę danych Usługa Amazon Simple Storage (Amazon S3) przy użyciu standardowego SQL. Zespoły operacyjne w chmurze mogą z nich korzystać AWS Zarządzanie tożsamością i dostępem (IAM) w celu centralnego zarządzania dostępem do mechanizmu Athena. Upraszcza to administrację, umożliwiając zespołowi zarządzającemu kontrolowanie dostępu użytkowników do grup roboczych Athena z centralnie zarządzanej usługi Azure AD połączonej z lokalną usługą Active Directory. Ta konfiguracja zmniejsza obciążenie zespołów operacyjnych w chmurze podczas zarządzania użytkownikami IAM. Athena obsługuje federację z usługą federacyjną Active Directory (ADFS), PingFederate, Okta i federacją Microsoft Azure Active Directory (Azure AD).
W tym wpisie na blogu pokazano, jak skonfigurować federację AWS IAM z usługą Azure AD połączoną z lokalną usługą AD i skonfigurować dostęp na poziomie grupy roboczej Athena dla różnych użytkowników. Omówimy dwa scenariusze:
- Użytkownicy i grupy zarządzane przez usługę Azure AD oraz lokalna usługa AD.
- Lokalni użytkownicy i grupy zarządzani przez usługę Active Directory zsynchronizowani z usługą Azure AD.
Nie omawiamy sposobu konfigurowania synchronizacji między lokalną usługą AD i usługą Azure AD za pomocą połączenia z usługą Azure AD. Aby uzyskać więcej informacji na temat integracji usługi Azure AD z zarządzaną usługą AWS, zobacz Włącz usługę Office 365 z usługą Microsoft AD zarządzaną przez AWS bez synchronizacji haseł użytkowników i jak zintegrować usługę Azure AD z lokalną usługą AD, zobacz artykuł firmy Microsoft Niestandardowa instalacja Azure Active Directory Connect.
Omówienie rozwiązania
To rozwiązanie pomaga skonfigurować federację IAM z usługą Azure AD połączoną z lokalną usługą AD i skonfigurować dostęp użytkowników na poziomie grupy roboczej do usługi Athena. Dostęp do grupy roboczej można kontrolować za pomocą lokalnej grupy AD lub grupy usługi Azure AD. Rozwiązanie składa się z czterech sekcji:
- Skonfiguruj usługę Azure AD jako dostawcę tożsamości (IdP):
- Skonfiguruj usługę Azure AD jako dostawcę tożsamości SAML dla aplikacji z jednym kontem AWS.
- Skonfiguruj aplikację usługi Azure AD z delegowanymi uprawnieniami.
- Skonfiguruj swój IAM IdP i role:
- Skonfiguruj dostawcę tożsamości ufającego usłudze Azure AD.
- Skonfiguruj użytkownika IAM z uprawnieniami do odczytu.
- Skonfiguruj rolę i zasady uprawnień dla każdej grupy roboczej Athena.
- Skonfiguruj dostęp użytkowników w usłudze Azure AD:
- Skonfiguruj automatyczne udostępnianie roli uprawnień.
- Skonfiguruj dostęp użytkownika do roli grupy roboczej Athena.
- Dostęp do Ateny:
- Uzyskaj dostęp do usługi Athena za pomocą internetowej witryny Microsoft Portal Moje aplikacje.
- Uzyskaj dostęp do Ateny za pomocą Środowisko pracy SQL/J bezpłatne, niezależne od systemu DBMS, wieloplatformowe narzędzie do obsługi zapytań SQL.
Poniższy schemat ilustruje architekturę rozwiązania.
Przepływ pracy rozwiązania obejmuje następujące kroki:
- Stacja robocza dewelopera łączy się z usługą Azure AD za pośrednictwem sterownika SQL Workbench/j JDBC Athena, aby zażądać tokenu SAML (dwuetapowy proces OAuth).
- Usługa Azure AD wysyła ruch uwierzytelniający z powrotem do lokalnego za pośrednictwem agenta przekazywanego usługi Azure AD lub programu ADFS.
- Agent przekazujący usługi Azure AD lub program ADFS łączy się z lokalnym kontrolerem domeny i uwierzytelnia użytkownika.
- Agent przekazujący lub program ADFS wysyła token powodzenia do usługi Azure AD.
- Usługa Azure AD konstruuje token SAML zawierający przypisaną rolę IAM i wysyła go do klienta.
- Klient łączy się z Usługa tokena bezpieczeństwa AWS (AWS STS) i przedstawia token SAML, aby przyjąć rolę Athena i wygenerować tymczasowe dane uwierzytelniające.
- AWS STS wysyła tymczasowe poświadczenia do klienta.
- Klient używa tymczasowych poświadczeń, aby połączyć się z usługą Athena.
Wymagania wstępne
Przed skonfigurowaniem rozwiązania musisz spełnić następujące wymagania:
- Po stronie usługi Azure AD wykonaj następujące czynności:
- Skonfiguruj serwer Azure AD Connect i zsynchronizuj go z lokalną usługą AD
- Skonfiguruj przekazywanie usługi Azure AD lub federację Microsoft ADFS między usługą Azure AD a lokalną usługą AD
- Utwórz trzech użytkowników (
user1
,user2
,user3
) i trzy grupy (athena-admin-adgroup
,athena-datascience-adgroup
,athena-developer-adgroup
) dla trzech odpowiednich grup roboczych Athena
- Po stronie Athena utwórz trzy grupy robocze Athena:
athena-admin-workgroup
,athena-datascience-workgroup
,athena-developer-workgroup
Więcej informacji na temat korzystania z przykładowych grup roboczych Athena można znaleźć w artykule Publiczne jezioro danych do analizy danych dotyczących COVID-19.
Skonfiguruj usługę Azure AD
W tej sekcji omówimy szczegóły konfiguracji usługi Azure AD dla usługi Athena w ramach subskrypcji Microsoft Azure. Głównie zarejestrujemy aplikację, skonfigurujemy federację, delegujemy uprawnienia aplikacji i wygenerujemy klucz aplikacji.
Ustaw usługę Azure AD jako dostawcę tożsamości SAML dla aplikacji z jednym kontem AWS
Aby skonfigurować usługę Azure AD jako dostawcę tożsamości SAML, wykonaj następujące kroki:
- Zaloguj się do Portal Azure z poświadczeniami administratora globalnego usługi Azure AD.
- Dodaj Azure Active Directory.
- Dodaj Aplikacje korporacyjne.
- Dodaj Nowa aplikacja.
- w szukaniu
Amazon
na pasku wyszukiwania. - Dodaj Dostęp do jednego konta AWS.
- W razie zamówieenia projektu imię i nazwisko, wchodzić
Athena-App
. - Dodaj Utwórz.
- W Pierwsze kroki sekcja, pod Skonfiguruj jednokrotne logowaniewybierz Rozpocznij.
- W razie zamówieenia projektu Wybierz metodę pojedynczego logowaniawybierz SAML.
- W razie zamówieenia projektu Podstawowa konfiguracja SAMLwybierz Edytować.
- W razie zamówieenia projektu Identyfikator (identyfikator podmiotu), wchodzić
https://signin.aws.amazon.com/saml#1
. - Dodaj Zapisz.
- Pod Certyfikat podpisywania SAML, Dla XML metadanych Federacjiwybierz Do pobrania.
Ten plik jest wymagany do skonfigurowania IAM IdP w następnej sekcji. Zapisz ten plik na komputerze lokalnym, aby użyć go później podczas konfigurowania IAM w AWS.
Skonfiguruj aplikację usługi Azure AD z delegowanymi uprawnieniami
Aby skonfigurować aplikację usługi Azure AD, wykonaj następujące kroki:
- Dodaj Azure Active Directory.
- Dodaj Rejestracje aplikacji i Wszystkie aplikacje.
- Wyszukaj i wybierz Aplikacja Athena.
- Zanotuj wartości dla Identyfikator aplikacji (klienta) i Identyfikator katalogu (dzierżawcy).
Te wartości będą potrzebne w połączeniu JDBC podczas łączenia się z usługą Athena.
- Pod Uprawnienia APIwybierz Dodaj uprawnienia.
- Dodaj Microsoft Graph i Delegowane uprawnienia.
- W razie zamówieenia projektu Wybierz uprawnienia, Szukaj
user.read
. - W razie zamówieenia projektu Użytkownikwybierz Użytkownik. Przeczytaj.
- Dodaj Dodaj uprawnienia.
- Dodaj Udziel zgody administratora i Tak.
- Dodaj Uwierzytelnianie i Dodaj platformę.
- Dodaj Aplikacje mobilne i desktopowe.
- Pod Niestandardowe identyfikatory URI przekierowań, wchodzić
http://localhost/athena
. - Dodaj Konfigurowanie.
- Dodaj Certyfikaty i tajemnice i Nowy sekret klienta.
- Wpisz opis.
- W razie zamówieenia projektu Wygasawybierz Miesiąc 24.
- Skopiuj wartość tajną klienta, która będzie używana podczas konfigurowania połączenia JDBC.
Skonfiguruj dostawcę tożsamości i role IAM
W tej sekcji omówimy konfigurację uprawnień na koncie AWS. Głównie utworzymy użytkownika IAM, role i zasady.
Skonfiguruj dostawcę tożsamości ufającego usłudze Azure AD
Aby skonfigurować dostawcę tożsamości ufającego usłudze Azure AD, wykonaj następujące kroki:
- W konsoli IAM wybierz Dostawcy tożsamości w okienku nawigacji.
- Dodaj Dodaj dostawcę.
- W razie zamówieenia projektu Typ dostawcywybierz SAML.
- W razie zamówieenia projektu Nazwa dostawcy, wchodzić
AzureADAthenaProvider
. - W razie zamówieenia projektu Dokument metadanych, przekaż plik pobrany z Azure Portal.
- Dodaj Dodaj dostawcę.
Skonfiguruj użytkownika IAM z uprawnieniami do odczytu
Aby skonfigurować użytkownika uprawnień, wykonaj następujące kroki:
- W konsoli IAM wybierz użytkownicy w okienku nawigacji.
- Dodaj Dodaj użytkownika.
- W razie zamówieenia projektu nazwa użytkownika, wchodzić
ReadRoleUser
. - W razie zamówieenia projektu Typ dostępu, Wybierz Dostęp programowy.
- Dodaj Dalej: Uprawnienia.
- W razie zamówieenia projektu Ustaw uprawnieniawybierz Dołącz istniejące zasady bezpośrednio.
- Dodaj Utwórz politykę.
- Wybierz JSON i wprowadź następującą politykę, która daje dostęp do odczytu w celu wyliczenia ról w IAM:
- Dodaj Dalej: Tagi.
- Dodaj Dalej: Przejrzyj.
- W razie zamówieenia projektu Imię, wchodzić
readrolepolicy
. - Dodaj Utwórz politykę.
- Na Dodaj użytkownika wyszukaj i wybierz rolę
readrole
. - Dodaj Dalej: tagi.
- Dodaj Dalej: Przejrzyj.
- Dodaj Stwórz użytkownika.
- Pobierz plik .csv zawierający identyfikator klucza dostępu i tajny klucz dostępu.
Używamy ich podczas konfigurowania automatycznej aprowizacji usługi Azure AD.
Skonfiguruj rolę i zasady uprawnień dla każdej grupy roboczej Athena
Aby skonfigurować role i zasady uprawnień dla grup roboczych Athena, wykonaj następujące kroki:
- W konsoli IAM wybierz role w okienku nawigacji.
- Dodaj Utwórz rolę.
- W razie zamówieenia projektu Wybierz typ zaufanego podmiotuwybierz Federacja SAML 2.0.
- W razie zamówieenia projektu Dostawca SAMLwybierz Dostawca AzureADAthena.
- Dodaj Zezwalaj na dostęp programistyczny i AWS Management Console.
- Pod Stanwybierz Klawisz.
- Wybierz SAML: dźwięk.
- W razie zamówieenia projektu Stan, Wybierz CiągRówny.
- W razie zamówieenia projektu wartość, wchodzić
http://localhost/athena
. - Dodaj Dalej: Uprawnienia.
- Dodaj Utwórz politykę.
- Dodaj JSON i wprowadź następującą politykę (podaj ARN swojej grupy roboczej):
Polityka zapewnia pełny dostęp do grupy roboczej Athena. Opiera się na Polityka zarządzana przez AWS AmazonAthenaFullAccess
i przykładowe zasady grupy roboczej.
- Dodaj Dalej: Tagi.
- Dodaj Dalej: Przejrzyj.
- W razie zamówieenia projektu Imię, wchodzić
athenaworkgroup1policy
. - Dodaj Utwórz politykę.
- Na Utwórz rolę wyszukaj
athenaworkgroup1policy
i wybierz politykę. - Dodaj Dalej: Tagi.
- Dodaj Dalej: Przejrzyj.
- Dodaj Utwórz rolę.
- W razie zamówieenia projektu Imię, wchodzić
athenaworkgroup1role
. - Dodaj Utwórz rolę.
Skonfiguruj dostęp użytkowników w usłudze Azure AD
W tej sekcji skonfigurujemy automatyczne udostępnianie i przypiszemy użytkowników do aplikacji z portalu Microsoft Azure.
Skonfiguruj automatyczne udostępnianie roli uprawnień
Aby skonfigurować automatyczne udostępnianie roli uprawnień, wykonaj następujące kroki:
- Zaloguj się do Portal Azure z poświadczeniami administratora globalnego usługi Azure AD.
- Dodaj Azure Active Directory.
- Dodaj Aplikacje korporacyjne i wybierz Aplikacja Athena.
- Dodaj Udostępnij konta użytkowników.
- W Provisioning Sekcja, wybierz Rozpocznij.
- W razie zamówieenia projektu Tryb udostępnianiawybierz automatycznie.
- Rozszerzać Poświadczenia administratora i zaludnić tajemnica klienta i Tajny znak z identyfikatorem klucza dostępu i tajnym kluczem dostępu
ReadRoleUser
, Odpowiednio. - Dodaj Test połączenia i Zapisz.
- Dodaj Rozpocznij obsługę administracyjną.
Ukończenie początkowego cyklu może zająć trochę czasu, po czym role IAM zostaną wypełnione w usłudze Azure AD.
Skonfiguruj dostęp użytkownika do roli grupy roboczej Athena
Aby skonfigurować dostęp użytkownika do roli grupy roboczej, wykonaj następujące kroki:
- Zaloguj się do Portal Azure z poświadczeniami administratora globalnego usługi Azure AD.
- Dodaj Azure Active Directory.
- Dodaj Aplikacje korporacyjne i wybierz Aplikacja Athena.
- Dodaj Przypisz użytkowników i grupy i Dodaj użytkownika/grupę.
- Pod Użytkownicy i grupy, wybierz grupę, do której chcesz przypisać uprawnienia Athena. W tym poście używamy
athena-admin-adgroup
; alternatywnie możesz wybrać użytkownika1. - Dodaj Wybierz.
- W razie zamówieenia projektu Wybierz rolę, wybierz rolę
athenaworkgroup1role
. - Dodaj Wybierz.
- Dodaj Przydzielać.
Dojazd do Ateny
W tej sekcji pokażemy, jak uzyskać dostęp do Atheny z konsoli AWS i narzędzia programistycznego SQL Workbench/J
Uzyskaj dostęp do usługi Athena za pomocą internetowego portalu Microsoft My Apps
Aby uzyskać dostęp do usługi Athena za pomocą portalu Microsoft My Apps, wykonaj następujące kroki:
- Zaloguj się do Portal Azure z poświadczeniami administratora globalnego usługi Azure AD.
- Dodaj Azure Active Directory
- Dodaj Aplikacje korporacyjne i wybierz Aplikacja Athena.
- Dodaj
- Właściwości.
- Skopiuj wartość dla Adres URL dostępu użytkownika.
- Otwórz przeglądarkę internetową i wprowadź adres URL.
Link przekieruje Cię do strony logowania do platformy Azure.
- Zaloguj się przy użyciu poświadczeń użytkownika lokalnego.
Zostaniesz przekierowany do Konsola zarządzania AWS.
Uzyskaj dostęp do Atheny za pomocą SQL Workbench/J
W organizacjach podlegających ścisłym regulacjom użytkownicy wewnętrzni nie mogą używać konsoli w celu uzyskania dostępu do usługi Athena. W takich przypadkach można skorzystać z narzędzia SQL Workbench/J o otwartym kodzie źródłowym, które umożliwia łączność z systemem Athena za pomocą sterownika JDBC.
- Pobierz najnowsze Sterownik Athena JDBC (wybierz odpowiedni sterownik w zależności od wersji Java).
- Pobierz i zainstaluj Środowisko pracy SQL/J.
- Otwórz środowisko pracy SQL/J.
- Na filet menu, wybierz Połącz okno.
- Dodaj Zarządzaj sterownikami.
- W razie zamówieenia projektu Imię, wprowadź nazwę sterownika.
- Przejdź do lokalizacji folderu, do którego pobrałeś i rozpakowałeś sterownik.
- Dodaj OK.
Teraz, gdy skonfigurowaliśmy sterownik Athena, czas połączyć się z Atheną. Musisz podać adres URL połączenia, nazwę użytkownika i hasło.
Użyj poniższego ciągu połączenia, aby połączyć się z Atheną za pomocą konta użytkownika bez MFA (podaj wartości zebrane wcześniej w poście):
Aby nawiązać połączenie przy użyciu konta użytkownika z włączoną usługą MFA, użyj dostawcy poświadczeń usługi Azure AD w przeglądarce. Musisz skonstruować adres URL połączenia i wypełnić nazwę użytkownika. Nazwa użytkownika i hasło
Użyj poniższych parametrów połączenia, aby połączyć się z usługą Athena za pomocą konta użytkownika z włączoną usługą MFA (podaj zebrane wcześniej wartości):
Zastąp tekst zaznaczony na czerwono szczegółami zebranymi wcześniej w artykule.
Po nawiązaniu połączenia możesz uruchamiać zapytania dotyczące usługi Athena.
Konfiguracja proxy
Jeśli łączysz się z Atheną za pośrednictwem serwera proxy, upewnij się, że serwer proxy zezwala na port 444. Interfejs API przesyłania strumieniowego zestawu wyników używa portu 444 na serwerze Athena dla komunikacji wychodzącej. Ustaw ProxyHost
właściwość na adres IP lub nazwę hosta serwera proxy. Ustaw ProxyPort
właściwość na numer portu TCP używanego przez serwer proxy do nasłuchiwania połączeń klientów. Zobacz następujący kod:
Podsumowanie
W tym poście skonfigurowaliśmy federację IAM z usługą Azure AD połączoną z lokalną usługą AD i skonfigurowaliśmy szczegółowy dostęp do grupy roboczej Athena. Przyjrzeliśmy się również, jak uzyskać dostęp do Atheny za pośrednictwem konsoli przy użyciu portalu internetowego Microsoft My Apps i narzędzia SQL Workbench/J. Omówiliśmy także, jak działa połączenie przez serwer proxy. Tę samą infrastrukturę federacyjną można również wykorzystać do konfiguracji sterownika ODBC. Możesz także skorzystać z instrukcji zawartych w tym poście, aby skonfigurować usługę Azure IdP opartą na protokole SAML w celu umożliwienia dostępu federacyjnego do grup roboczych Athena.
O autorze
Niraj Kumar jest głównym menedżerem ds. technicznych ds. usług finansowych w AWS, gdzie pomaga klientom projektować, projektować, budować, obsługiwać i wspierać obciążenia w AWS w bezpieczny i niezawodny sposób. Posiada ponad 20-letnie zróżnicowane doświadczenie IT w obszarach architektury korporacyjnej, chmury i wirtualizacji, bezpieczeństwa, IAM, architektury rozwiązań oraz systemów i technologii informatycznych. W wolnym czasie lubi mentorować, trenować, wędrować, oglądać filmy dokumentalne z synem i codziennie czytać coś innego.
- '
- &
- 100
- 11
- 420
- 7
- 9
- dostęp
- Konto
- Działania
- aktywny
- Active Directory
- Ad
- Admin
- Wszystkie kategorie
- Pozwalać
- Amazonka
- analiza
- api
- Aplikacja
- aplikacje
- mobilne i webowe
- architektura
- artykuł
- Uwierzytelnianie
- AWS
- Lazur
- Blog
- przeglądarka
- budować
- Etui
- Chmura
- kod
- Komunikacja
- połączenie
- połączenia
- Łączność
- zgoda
- COVID-19
- Listy uwierzytelniające
- cross-platform
- Klientów
- dane
- Jezioro danych
- dzień
- dc
- Wnętrze
- Deweloper
- dokumentalne
- kierowca
- Enterprise
- doświadczenie
- Łąka
- budżetowy
- usługi finansowe
- Darmowy
- pełny
- Globalne
- Dotacje
- Zarządzanie
- W jaki sposób
- How To
- HTTPS
- IAM
- tożsamość
- Informacja
- Infrastruktura
- interaktywne
- IP
- Adres IP
- IT
- Java
- Klawisz
- firmy
- poziom
- LINK
- miejscowy
- lokalizacja
- wyglądał
- i konserwacjami
- MSZ
- Microsoft
- Aplikacje mobilne
- Nawigacja
- Biuro 365
- organizacji
- Hasło
- wtyczka
- polityka
- polityka
- Portal
- Główny
- własność
- pełnomocnik
- publiczny
- Czytający
- przekierowanie
- wymagania
- Zasób
- run
- Szukaj
- bezpieczeństwo
- Usługi
- zestaw
- Prosty
- syn
- SQL
- Zestawienie sprzedaży
- przechowywanie
- Streaming
- subskrypcja
- sukces
- wsparcie
- podpory
- systemy
- Techniczny
- Technologies
- tymczasowy
- czas
- żeton
- ruch drogowy
- Użytkownicy
- wartość
- sieć
- przeglądarka internetowa
- workflow
- działa
- lat