Amazonska Atena je interaktivna poizvedovalna storitev, ki olajša analizo podatkov neposredno v Preprosta storitev shranjevanja Amazon (Amazon S3) z uporabo standardnega SQL. Skupine za delovanje v oblaku lahko uporabljajo AWS upravljanje identitete in dostopa (IAM) za centralno upravljanje dostopa do Athene. To poenostavlja administracijo, tako da vodilni skupini omogoča nadzor uporabniškega dostopa do delovnih skupin Athena iz centralno upravljanega Azure AD, povezanega z lokalnim imenikom Active Directory. Ta nastavitev zmanjša obremenitev delovnih skupin v oblaku pri upravljanju uporabnikov IAM. Athena podpira federacijo s storitvijo Active Directory Federation Service (ADFS), PingFederate, Okta in federacijo Microsoft Azure Active Directory (Azure AD).
Ta objava v spletnem dnevniku ponazarja, kako nastaviti zvezo AWS IAM z Azure AD, povezanim z lokalnim AD, in konfigurirati dostop Athena na ravni delovne skupine za različne uporabnike. Zajeli bomo dva scenarija:
- Uporabniki in skupine, ki jih upravlja Azure AD, in lokalni AD.
- Uporabniki in skupine, ki jih upravlja imenik Active Directory, so sinhronizirani z Azure AD.
Ne pokrivamo, kako nastaviti sinhronizacijo med lokalnim AD in Azure AD s pomočjo povezave Azure AD. Za več informacij o tem, kako integrirati Azure AD z AWS Managed AD, glejte Omogočite Office 365 z AWS Managed Microsoft AD brez sinhronizacije uporabniškega gesla in kako integrirati Azure AD z lokalnim AD, glejte Microsoftov članek Namestitev po meri Azure Active Directory Connect.
Pregled rešitev
Ta rešitev vam pomaga konfigurirati zvezo IAM z Azure AD, povezanim z lokalnim AD, in konfigurirati dostop Athena na ravni delovne skupine za uporabnike. Dostop do delovne skupine lahko nadzirate s skupino AD na mestu uporabe ali skupino Azure AD. Rešitev je sestavljena iz štirih delov:
- Nastavite Azure AD kot ponudnika identitete (IdP):
- Nastavite Azure AD kot vaš SAML IdP za aplikacijo z enim računom AWS.
- Konfigurirajte aplikacijo Azure AD z delegiranimi dovoljenji.
- Nastavite IDP in vloge:
- Nastavite IdP, ki zaupa Azure AD.
- Nastavite uporabnika IAM z dovoljenjem za vlogo branja.
- Nastavite vlogo IAM in pravilnike za vsako delovno skupino Athena.
- Nastavite uporabniški dostop v Azure AD:
- Nastavite samodejno zagotavljanje vloge IAM.
- Nastavite uporabniški dostop do vloge delovne skupine Athena.
- Dostop do Athene:
- Do Athene dostopajte s spletnim Microsoftom Portal My Apps.
- Do Athene dostopajte z uporabo SQL Workbench/J brezplačno orodje za poizvedovanje SQL, neodvisno od DBMS.
Naslednji diagram prikazuje arhitekturo rešitve.
Potek dela rešitve vključuje naslednje korake:
- Delovna postaja razvijalca se poveže z Azure AD prek gonilnika SQL Workbench/j JDBC Athena, da zahteva žeton SAML (postopek OAuth v dveh korakih).
- Azure AD pošilja promet za preverjanje pristnosti nazaj na mesto uporabe prek posrednika za prehod Azure AD ali ADFS.
- Prehodni agent Azure AD ali ADFS se poveže z lokalnim DC in overi uporabnika.
- Prehodni agent ali ADFS pošlje žeton uspeha v Azure AD.
- Azure AD izdela žeton SAML, ki vsebuje dodeljeno vlogo IAM, in ga pošlje odjemalcu.
- Odjemalec se poveže z Storitev AWS Security Token (AWS STS) in predstavi žeton SAML za prevzem vloge Athena ter ustvari začasne poverilnice.
- AWS STS odjemalcu pošlje začasne poverilnice.
- Odjemalec uporablja začasne poverilnice za povezavo z Atheno.
Predpogoji
Preden konfigurirate rešitev, morate izpolniti naslednje zahteve:
- Na strani Azure AD izvedite naslednje:
- Nastavite strežnik Azure AD Connect in sinhronizirajte z lokalnim AD
- Nastavite prehod Azure AD ali zvezo Microsoft ADFS med Azure AD in lokalnim AD
- Ustvari tri uporabnike (
user1
,user2
,user3
) in tri skupine (athena-admin-adgroup
,athena-datascience-adgroup
,athena-developer-adgroup
) za tri ustrezne delovne skupine Athena
- Na strani Athene ustvarite tri delovne skupine Athena:
athena-admin-workgroup
,athena-datascience-workgroup
,athena-developer-workgroup
Za več informacij o uporabi vzorčnih delovnih skupin Athena glejte Javno podatkovno jezero za analizo podatkov o COVID-19.
Nastavite Azure AD
V tem razdelku bomo obravnavali podrobnosti konfiguracije Azure AD za Atheno v naročnini na Microsoft Azure. V glavnem bomo registrirali aplikacijo, konfigurirali zvezo, delegirali dovoljenje za aplikacijo in ustvarili skrivnost aplikacije.
Nastavite Azure AD kot SAML IdP za aplikacijo z enim računom AWS
Če želite nastaviti Azure AD kot SAML IdP, dokončajte naslednje korake:
- Prijavite se v Portal Azure s poverilnicami globalnega skrbnika Azure AD.
- Izberite Azurni Active Directory.
- Izberite Podjetniške aplikacije.
- Izberite Nova aplikacija.
- Išči
Amazon
v iskalni vrstici. - Izberite Dostop do enega računa AWS.
- za ime, vpišite
Athena-App
. - Izberite Ustvari.
- v Začetek oddelek, pod Nastavite enotno prijavo, izberite Začnite.
- za Izberite način enotne prijave, izberite SAML.
- za Osnovna konfiguracija SAML, izberite Uredi.
- za Identifikator (ID subjekta), vnesite
https://signin.aws.amazon.com/saml#1
. - Izberite Shrani.
- Pod SAML podpisni certifikatZa Federacijski metapodatki XML, izberite Prenos.
Ta datoteka je potrebna za konfiguracijo vašega IAM IdP v naslednjem razdelku. Shranite to datoteko na vaš lokalni računalnik, da jo uporabite pozneje pri konfiguraciji IAM na AWS.
Konfigurirajte svojo aplikacijo Azure AD z delegiranimi dovoljenji
Če želite konfigurirati aplikacijo Azure AD, izvedite naslednje korake:
- Izberite Azurni Active Directory.
- Izberite Registracije aplikacij in Vse aplikacije.
- Poiščite in izberite Athena-App.
- Upoštevajte vrednosti za ID aplikacije (odjemalca). in ID imenika (najemnika)..
Te vrednosti potrebujete v povezavi JDBC, ko se povežete z Atheno.
- Pod Dovoljenja za API, izberite Dodajte dovoljenje.
- Izberite Microsoft Graph in Delegirana dovoljenja.
- za Izberite dovoljenja, Išči
user.read
. - za uporabnik, izberite Uporabnik.Preberi.
- Izberite Dodajte dovoljenje.
- Izberite Podeli soglasje skrbnika in Da.
- Izberite Preverjanje pristnosti in Dodajte platformo.
- Izberite Mobilne in namizne aplikacije.
- Pod URI preusmeritve po meri, vnesite
http://localhost/athena
. - Izberite Konfiguracija.
- Izberite Certifikati in skrivnosti in Nova skrivnost stranke.
- Vnesite opis.
- za Poteče, izberite 24 mesecev.
- Kopirajte skrivno vrednost odjemalca za uporabo pri konfiguriranju povezave JDBC.
Nastavite IAM IdP in vloge
V tem razdelku bomo obravnavali konfiguracijo IAM v računu AWS. V glavnem bomo ustvarili uporabnika IAM, vloge in politike.
Nastavite IdP, ki zaupa Azure AD
Če želite nastaviti IdP, ki zaupa Azure AD, dokončajte naslednje korake:
- Na konzoli IAM izberite Ponudniki identitete v podoknu za krmarjenje.
- Izberite Dodajte ponudnika.
- za Vrsta ponudnika, izberite SAML.
- za Ime ponudnika, vnesite
AzureADAthenaProvider
. - za Dokument z metapodatki, naložite datoteko, preneseno s portala Azure.
- Izberite Dodajte ponudnika.
Nastavite uporabnika IAM z dovoljenjem za vlogo branja
Če želite nastaviti uporabnika IAM, izvedite naslednje korake:
- Na konzoli IAM izberite uporabniki v podoknu za krmarjenje.
- Izberite Dodaj uporabnika.
- za uporabniško ime, vnesite
ReadRoleUser
. - za Vrsta dostopatako, da izberete Programski dostop.
- Izberite Naprej: Dovoljenja.
- za Nastavite dovoljenja, izberite Neposredno priložite obstoječe politike.
- Izberite Ustvari pravilnik.
- Izberite JSON in vnesite naslednji pravilnik, ki omogoča dostop za branje za oštevilčenje vlog v IAM:
- Izberite Naprej: Oznake.
- Izberite Naprej: Pregled.
- za Ime, vnesite
readrolepolicy
. - Izberite Ustvari pravilnik.
- o Dodaj uporabnika zavihek, poiščite in izberite vlogo
readrole
. - Izberite Naprej: oznake.
- Izberite Naprej: Pregled.
- Izberite Ustvarite uporabnika.
- Prenesite datoteko .csv, ki vsebuje ID ključa za dostop in tajni ključ za dostop.
Te uporabljamo pri konfiguraciji samodejnega zagotavljanja Azure AD.
Nastavite vlogo IAM in pravilnike za vsako delovno skupino Athena
Če želite nastaviti vloge in pravilnike IAM za vaše delovne skupine Athena, dokončajte naslednje korake:
- Na konzoli IAM izberite vloge v podoknu za krmarjenje.
- Izberite Ustvari vlogo.
- za Izberite vrsto zaupanja vrednega subjekta, izberite federacija SAML 2.0.
- za Ponudnik SAML, izberite AzureADAthenaProvider.
- Izberite Dovoli programski dostop in dostop do upravljalne konzole AWS.
- Pod Stanje, izberite Ključne.
- Izberite SAML:aud.
- za Stanjetako, da izberete StringEquals.
- za vrednost, vnesite
http://localhost/athena
. - Izberite Naprej: Dovoljenja.
- Izberite Ustvari pravilnik.
- Izberite JSON in vnesite naslednji pravilnik (navedite ARN vaše delovne skupine):
Politika omogoča popoln dostop do delovne skupine Athena. Temelji na Politika, ki jo upravlja AWS AmazonAthenaFullAccess
in pravilnik delovne skupine.
- Izberite Naprej: Oznake.
- Izberite Naprej: Pregled.
- za Ime, vnesite
athenaworkgroup1policy
. - Izberite Ustvari pravilnik.
- o Ustvari vlogo zavihek, iskanje
athenaworkgroup1policy
in izberite pravilnik. - Izberite Naprej: Oznake.
- Izberite Naprej: Pregled.
- Izberite Ustvari vlogo.
- za Ime, vnesite
athenaworkgroup1role
. - Izberite Ustvari vlogo.
Nastavite uporabniški dostop v Azure AD
V tem razdelku bomo nastavili samodejno zagotavljanje in dodelili uporabnike aplikaciji s portala Microsoft Azure.
Nastavite samodejno zagotavljanje vloge IAM
Če želite nastaviti samodejno zagotavljanje vloge IAM, dokončajte naslednje korake:
- Prijavite se v Portal Azure s poverilnicami globalnega skrbnika Azure AD.
- Izberite Azurni Active Directory.
- Izberite Podjetniške aplikacije In izberite Athena-App.
- Izberite Zagotavljanje uporabniških računov.
- v Provisioning oddelek, izberite Začnite.
- za Način zagotavljanja, izberite Samodejno.
- Razširi Poverilnice skrbnika in naseli clientsecret in Skrivni žeton z ID-jem ključa za dostop in tajnim ključem za dostop
ReadRoleUser
Oz. - Izberite Testna povezava in Shrani.
- Izberite Začni zagotavljanje.
Začetni cikel lahko traja nekaj časa, nato pa se vloge IAM zapolnijo v Azure AD.
Nastavite uporabniški dostop do vloge delovne skupine Athena
Če želite nastaviti uporabniški dostop do vloge delovne skupine, izvedite naslednje korake:
- Prijavite se v Portal Azure s poverilnicami globalnega skrbnika Azure AD.
- Izberite Azurni Active Directory.
- Izberite Podjetniške aplikacije In izberite Athena-App.
- Izberite Dodeljevanje uporabnikov in skupin in Dodajte uporabnika/skupino.
- Pod Uporabniki in skupine, izberite skupino, ki ji želite dodeliti dovoljenje Atheni. Za to objavo uporabljamo
athena-admin-adgroup
; lahko pa izberete uporabnik1. - Izberite Izberite.
- za Izberite vlogo, izberite vlogo
athenaworkgroup1role
. - Izberite Izberite.
- Izberite Dodeli.
Dostop do Athene
V tem razdelku bomo prikazali, kako dostopati do Athene iz konzole AWS in orodja za razvijalce SQL Workbench/J
Do Athene dostopajte prek spletnega portala Microsoft My Apps
Če želite uporabiti portal Microsoft My Apps za dostop do Athene, izvedite naslednje korake:
- Prijavite se v Portal Azure s poverilnicami globalnega skrbnika Azure AD.
- Izberite Azurni Active Directory
- Izberite Podjetniške aplikacije In izberite Athena-App.
- Izberite
- Nepremičnine.
- Kopirajte vrednost za URL za uporabniški dostop.
- Odprite spletni brskalnik in vnesite URL.
Povezava vas preusmeri na stran za prijavo v Azure.
- Prijavite se s poverilnicami lokalnega uporabnika.
Preusmerjeni ste na Konzola za upravljanje AWS.
Do Athene dostopajte s programom SQL Workbench/J
V strogo reguliranih organizacijah notranji uporabniki ne smejo uporabljati konzole za dostop do Athene. V takih primerih lahko uporabite SQL Workbench/J, odprtokodno orodje, ki omogoča povezljivost z Atheno z gonilnikom JDBC.
- Prenesite najnovejše Gonilnik Athena JDBC (izberite ustrezen gonilnik glede na vašo različico Jave).
- Prenesite in namestite SQL Workbench/J.
- Odprite SQL Workbench/J.
- o file izberite meni Poveži okno.
- Izberite Upravljanje gonilnikov.
- za Ime, vnesite ime svojega voznika.
- Poiščite lokacijo mape, kamor ste prenesli in razpakirali gonilnik.
- Izberite OK.
Zdaj, ko smo konfigurirali gonilnik Athena, je čas, da se povežemo z Atheno. Izpolniti morate URL povezave, uporabniško ime in geslo.
Uporabite naslednji povezovalni niz za povezavo z Atheno z uporabniškim računom brez MFA (navedite vrednosti, zbrane prej v objavi):
Če se želite povezati z uporabniškim računom z omogočenim MFA, uporabite brskalnik Azure AD Credentials Provider. Sestaviti morate URL povezave in izpolniti uporabniško ime Uporabniško ime in geslo
Uporabite naslednji povezovalni niz za povezavo z Atheno z uporabniškim računom, ki ima omogočen MFA (navedite vrednosti, ki ste jih zbrali prej):
Zamenjajte besedilo v rdeči barvi s podrobnostmi, zbranimi prej v članku.
Ko je povezava vzpostavljena, lahko izvajate poizvedbe proti Atheni.
Konfiguracija proxyja
Če se povezujete z Atheno prek strežnika proxy, se prepričajte, da strežnik proxy dovoljuje vrata 444. API za pretakanje nabora rezultatov uporablja vrata 444 na strežniku Athena za izhodno komunikacijo. Nastavite ProxyHost
na naslov IP ali ime gostitelja vašega proxy strežnika. Nastavite ProxyPort
lastnost na številko vrat TCP, ki jih strežnik proxy uporablja za poslušanje povezav odjemalcev. Oglejte si naslednjo kodo:
Povzetek
V tej objavi smo konfigurirali zvezo IAM z Azure AD, povezanim z lokalnim AD, in nastavili razdrobljen dostop do delovne skupine Athena. Pogledali smo tudi, kako dostopati do Athene prek konzole z uporabo spletnega portala Microsoft My Apps in orodja SQL Workbench/J. Razpravljali smo tudi o tem, kako deluje povezava prek proxyja. Isto zvezno infrastrukturo je mogoče uporabiti tudi za konfiguracijo gonilnika ODBC. Navodila v tej objavi lahko uporabite tudi za nastavitev Azure IdP, ki temelji na SAML, da omogočite zvezni dostop do Athena Workgroups.
O Author
Niraj Kumar je glavni tehnični vodja računa za finančne storitve pri AWS, kjer strankam pomaga načrtovati, arhitektirati, graditi, upravljati in podpirati delovne obremenitve v AWS na varen in robusten način. Ima več kot 20 let raznolikih IT izkušenj na področjih arhitekture podjetij, oblaka in virtualizacije, varnosti, IAM, arhitekture rešitev ter informacijskih sistemov in tehnologij. V prostem času uživa v mentorstvu, coachingu, trekingu, s sinom gleda dokumentarne filme in vsak dan prebere kaj drugega.
- '
- &
- 100
- 11
- 420
- 7
- 9
- dostop
- Račun
- Ukrep
- aktivna
- Active Directory
- Ad
- admin
- vsi
- Dovoli
- Amazon
- Analiza
- API
- aplikacija
- aplikacije
- aplikacije
- Arhitektura
- članek
- Preverjanje pristnosti
- AWS
- Azure
- Blog
- brskalnik
- izgradnjo
- primeri
- Cloud
- Koda
- Communications
- povezava
- povezave
- Povezovanje
- Soglasje
- Covid-19
- Mandatno
- platformah
- Stranke, ki so
- datum
- Data jezero
- dan
- dc
- Oblikovanje
- Razvojni
- dokumentarci
- voznik
- Podjetje
- izkušnje
- Področja
- finančna
- finančne storitve
- brezplačno
- polno
- Globalno
- nepovratna sredstva
- skupina
- Kako
- Kako
- HTTPS
- IAM
- identiteta
- Podatki
- Infrastruktura
- interaktivno
- IP
- IP naslov
- IT
- Java
- Ključne
- Zadnji
- Stopnja
- LINK
- lokalna
- kraj aktivnosti
- Pogledal
- upravljanje
- MZZ
- Microsoft
- Mobilni
- ostalo
- Urad 365
- organizacije
- Geslo
- vključiti
- politike
- politika
- Portal
- , ravnateljica
- nepremičnine
- proxy
- javnega
- reading
- preusmeriti
- Zahteve
- vir
- Run
- Iskalnik
- varnost
- Storitve
- nastavite
- Enostavno
- svoje
- SQL
- Izjava
- shranjevanje
- pretakanje
- naročnina
- uspeh
- podpora
- Podpira
- sistemi
- tehnični
- Tehnologije
- začasna
- čas
- žeton
- Prometa
- Uporabniki
- vrednost
- web
- spletni brskalnik
- potek dela
- deluje
- let