Amazon Atina verileri doğrudan analiz etmeyi kolaylaştıran etkileşimli bir sorgulama hizmetidir. Amazon Basit Depolama Hizmeti (Amazon S3) standart SQL kullanarak. Bulut operasyon ekipleri kullanabilir AWS Kimlik ve Erişim Yönetimi Athena'ya erişimi merkezi olarak yönetmek için (IAM) federasyonu. Bu, yöneten bir ekibin şirket içi bir Active Directory'ye bağlı, merkezi olarak yönetilen bir Azure AD'den Athena çalışma gruplarına kullanıcı erişimini denetlemesine izin vererek yönetimi basitleştirir. Bu kurulum, IAM kullanıcılarını yönetirken bulut operasyon ekiplerinin genel gider deneyimini azaltır. Athena, Active Directory Federasyon Hizmeti (ADFS), PingFederate, Okta ve Microsoft Azure Active Directory (Azure AD) federasyonu ile federasyonu destekler.
Bu blog gönderisi, şirket içi AD'ye bağlı Azure AD ile AWS IAM federasyonunun nasıl kurulacağını ve farklı kullanıcılar için Athena çalışma grubu düzeyinde erişimin nasıl yapılandırılacağını gösterir. İki senaryoyu ele alacağız:
- Azure AD tarafından yönetilen kullanıcılar ve gruplar ile şirket içi AD.
- Şirket içi Active Directory tarafından yönetilen kullanıcılar ve gruplar, Azure AD ile eşitlendi.
Azure AD bağlantısı yardımıyla şirket içi AD ile Azure AD arasında eşitlemenin nasıl ayarlanacağını ele almıyoruz. Azure AD'yi AWS Managed AD ile entegre etme hakkında daha fazla bilgi için bkz. Office 365'i AWS Managed Microsoft AD ile kullanıcı parolası senkronizasyonu olmadan etkinleştirin ve Azure AD'yi şirket içi bir AD ile nasıl entegre edeceğinizi öğrenmek için Microsoft makalesine bakın Azure Active Directory Connect'in özel yüklemesi.
Çözüme genel bakış
Bu çözüm, şirket içi AD'ye bağlı Azure AD ile IAM federasyonunu yapılandırmanıza ve kullanıcılar için Athena çalışma grubu düzeyinde erişimi yapılandırmanıza yardımcı olur. Çalışma grubuna erişimi şirket içi bir AD grubu veya Azure AD grubu tarafından kontrol edebilirsiniz. Çözüm dört bölümden oluşur:
- Azure AD'yi kimlik sağlayıcınız (IdP) olarak ayarlayın:
- Bir AWS tek hesap uygulaması için SAML IdP'niz olarak Azure AD'yi kurun.
- Azure AD uygulamasını temsilci izinlerle yapılandırın.
- IAM IdP'nizi ve rollerinizi ayarlayın:
- Azure AD'ye güvenen bir IdP ayarlayın.
- Rol okuma iznine sahip bir IAM kullanıcısı ayarlayın.
- Her Athena çalışma grubu için bir IAM rolü ve politikaları ayarlayın.
- Azure AD'de kullanıcı erişimini ayarlayın:
- Otomatik IAM rolü sağlamayı ayarlayın.
- Athena çalışma grubu rolüne kullanıcı erişimini ayarlayın.
- Athena'ya erişin:
- Web tabanlı Microsoft'u kullanarak Athena'ya erişin Uygulamalarım portalı.
- kullanarak Athena'ya erişin SQL Çalışma Tezgahı/J ücretsiz, DBMS'den bağımsız, platformlar arası bir SQL sorgulama aracı.
Aşağıdaki şemada, çözümün mimarisi gösterilmektedir.
Çözüm iş akışı aşağıdaki adımları içerir:
- Geliştirici iş istasyonu, bir SAML belirteci (iki adımlı OAuth işlemi) istemek için bir SQL Workbench/j JDBC Athena sürücüsü aracılığıyla Azure AD'ye bağlanır.
- Azure AD, kimlik doğrulama trafiğini bir Azure AD doğrudan geçiş aracısı veya ADFS aracılığıyla şirket içine geri gönderir.
- Azure AD geçiş aracısı veya ADFS, şirket içi DC'ye bağlanır ve kullanıcının kimliğini doğrular.
- Geçiş aracısı veya ADFS, Azure AD'ye bir başarı belirteci gönderir.
- Azure AD, atanan IAM rolünü içeren bir SAML belirteci oluşturur ve bunu istemciye gönderir.
- İstemci bağlanır AWS Security Token Hizmeti (AWS STS) ve Athena rolünü üstlenmek için SAML belirtecini sunar ve geçici kimlik bilgileri oluşturur.
- AWS STS, istemciye geçici kimlik bilgileri gönderir.
- İstemci, Athena'ya bağlanmak için geçici kimlik bilgilerini kullanır.
Önkoşullar
Çözümü yapılandırmadan önce aşağıdaki gereksinimleri karşılamanız gerekir:
- Azure AD tarafında aşağıdakileri tamamlayın:
- Azure AD Connect sunucusunu kurun ve şirket içi AD ile eşitleyin
- Azure AD ile şirket içi AD arasında Azure AD geçişi veya Microsoft ADFS federasyonunu kurun
- Üç kullanıcı oluşturun (
user1
,user2
,user3
) ve üç grup (athena-admin-adgroup
,athena-datascience-adgroup
,athena-developer-adgroup
) ilgili üç Athena çalışma grubu için
- Athena tarafında, üç Athena çalışma grubu oluşturun:
athena-admin-workgroup
,athena-datascience-workgroup
,athena-developer-workgroup
Örnek Athena çalışma gruplarını kullanma hakkında daha fazla bilgi için bkz. COVID-19 verilerinin analizi için herkese açık bir veri gölü.
Azure AD'yi kurun
Bu bölümde, Microsoft Azure aboneliğinde Athena için Azure AD yapılandırma ayrıntılarını ele alacağız. Temel olarak bir uygulamayı kaydedeceğiz, federasyonu yapılandıracağız, uygulama iznini devredeceğiz ve Uygulama sırrı oluşturacağız.
Bir AWS tek hesap uygulaması için Azure AD'yi SAML IdP olarak ayarlayın
Azure AD'yi SAML IdP'niz olarak ayarlamak için aşağıdaki adımları tamamlayın:
- Adresinde oturum açın Azure Portalı Azure AD genel yönetici kimlik bilgileriyle.
- Klinik Azure Active Directory.
- Klinik Kurumsal uygulamalar.
- Klinik Yeni uygulama.
- Aramak
Amazon
Arama çubuğunda - Klinik AWS Tek Hesap Erişimi.
- İçin Adı, girmek
Athena-App
. - Klinik Oluşturun.
- içinde Başlamak bölümünde, altında Tek oturum açmayı ayarla, seçmek BAŞLAYIN.
- İçin Çoklu oturum açma yöntemi seçin, seçmek SAML.
- İçin Temel SAML Yapılandırması, seçmek Düzen.
- İçin Tanımlayıcı (Varlık Kimliği), girmek
https://signin.aws.amazon.com/saml#1
. - Klinik İndirim.
- Altında SAML İmza Sertifikası, Için Federasyon Meta Verileri XML'i, seçmek İndir.
Bu dosya, bir sonraki bölümde IAM IdP'nizi yapılandırmak için gereklidir. AWS'de IAM'yi yapılandırırken daha sonra kullanmak üzere bu dosyayı yerel makinenize kaydedin.
Azure AD uygulamanızı temsilci izinlerle yapılandırın
Azure AD uygulamanızı yapılandırmak için aşağıdaki adımları tamamlayın:
- Klinik Azure Active Directory.
- Klinik Uygulama kayıtları ve Tüm Uygulamalar.
- Ara ve seç Athena-Uygulaması.
- için değerleri not edin Uygulama (müşteri) kimliği ve Dizin (kiracı) kimliği.
Athena'ya bağlandığınızda JDBC bağlantısında bu değerlere ihtiyacınız var.
- Altında API İzinleri, seçmek İzin ekle.
- Klinik Microsoft Grafiği ve Yetki verilen izinler.
- İçin İzinleri seçin, aramak
user.read
. - İçin kullanıcı, seçmek Kullanıcı.Oku.
- Klinik İzin ekle.
- Klinik Yönetici onayı ver ve Evet.
- Klinik Doğrulama ve platform ekle.
- Klinik Mobil ve Masaüstü uygulamaları.
- Altında Özel yönlendirme URI'leri, girmek
http://localhost/athena
. - Klinik yapılandırma.
- Klinik Sertifikalar ve sırlar ve Yeni müşteri sırrı.
- Bir açıklama girin.
- İçin Bitiş tarihi, seçmek .
- JDBC bağlantısını yapılandırırken kullanılacak istemci gizli değerini kopyalayın.
IAM IdP'yi ve rolleri ayarlayın
Bu bölümde AWS hesabında IAM yapılandırmasını ele alacağız. Esas olarak bir IAM kullanıcısı, Roller ve politikalar oluşturacağız.
Azure AD'ye güvenen bir IdP kurun
Azure AD'ye güvenen IdP'nizi ayarlamak için aşağıdaki adımları tamamlayın:
- IAM konsolunda, Kimlik sağlayıcılar Gezinti bölmesinde.
- Klinik Sağlayıcı ekle.
- İçin Sağlayıcı Tipi, seçmek SAML.
- İçin Sağlayıcı Adı, girmek
AzureADAthenaProvider
. - İçin Meta Veri Belgesi, Azure Portal'dan indirilen dosyayı karşıya yükleyin.
- Klinik Sağlayıcı ekle.
Rol okuma iznine sahip bir IAM kullanıcısı oluşturun
IAM kullanıcınızı ayarlamak için aşağıdaki adımları tamamlayın:
- IAM konsolunda, Kullanıcılar Gezinti bölmesinde.
- Klinik Kullanıcı Ekle.
- İçin kullanıcı adı, girmek
ReadRoleUser
. - İçin Erişim türüseçin Programlı erişim.
- Klinik Sonraki: İzinler.
- İçin İzinleri ayarlama, seçmek Mevcut politikaları doğrudan ekleyin.
- Klinik Politika oluştur.
- seç JSON ve IAM'de rolleri numaralandırmak için okuma erişimi sağlayan aşağıdaki politikayı girin:
- Klinik Sonraki: Etiketler.
- Klinik Sonraki: İnceleme.
- İçin Name, girmek
readrolepolicy
. - Klinik Politika oluştur.
- Üzerinde Kullanıcı Ekle sekmesinde rolü arayın ve seçin
readrole
. - Klinik Sonraki: etiketler.
- Klinik Sonraki: İnceleme.
- Klinik Kullanıcı oluştur.
- Erişim anahtarı kimliğini ve gizli erişim anahtarını içeren .csv dosyasını indirin.
Azure AD otomatik sağlamayı yapılandırırken bunları kullanırız.
Her Athena çalışma grubu için bir IAM rolü ve politikaları ayarlayın
Athena çalışma gruplarınız için IAM rolleri ve politikaları ayarlamak üzere aşağıdaki adımları tamamlayın:
- IAM konsolunda, Roller Gezinti bölmesinde.
- Klinik Rol oluştur.
- İçin Güvenilir varlık türünü seçin, seçmek SAML 2.0 federasyonu.
- İçin SAML sağlayıcısı, seçmek AzureADAthenaSağlayıcı.
- Klinik Programlı ve AWS Yönetim Konsolu erişimine izin ver.
- Altında Şart, seçmek anahtar.
- seç SAML:ses.
- İçin Şartseçin DizeEşittir.
- İçin Özellik, girmek
http://localhost/athena
. - Klinik Sonraki: İzinler.
- Klinik Politika oluştur.
- Klinik JSON ve aşağıdaki politikayı girin (çalışma grubunuzun ARN'sini sağlayın):
İlke, Athena çalışma grubuna tam erişim sağlar. dayalı AWS tarafından yönetilen politika AmazonAthenaFullAccess
ve çalışma grubu örnek politikaları.
- Klinik Sonraki: Etiketler.
- Klinik Sonraki: İnceleme.
- İçin Name, girmek
athenaworkgroup1policy
. - Klinik Politika oluştur.
- Üzerinde Rol oluştur sekmesi, ara
athenaworkgroup1policy
ve ilkeyi seçin. - Klinik Sonraki: Etiketler.
- Klinik Sonraki: İnceleme.
- Klinik Rol oluştur.
- İçin Name, girmek
athenaworkgroup1role
. - Klinik Rol oluştur.
Azure AD'de kullanıcı erişimini ayarlama
Bu bölümde Otomatik sağlamayı ayarlayacağız ve kullanıcıları Microsoft Azure portalından uygulamaya atayacağız.
Otomatik IAM rolü sağlamayı ayarlayın
Otomatik IAM rolü sağlamayı ayarlamak için aşağıdaki adımları tamamlayın:
- Adresinde oturum açın Azure Portalı Azure AD genel yönetici kimlik bilgileriyle.
- Klinik Azure Active Directory.
- Klinik Kurumsal Uygulamalar Ve seç Athena-Uygulaması.
- Klinik Kullanıcı Hesaplarını Sağlama.
- içinde Sağlama bölümü, seçim BAŞLAYIN.
- İçin Hazırlama Modu, seçmek Otomatik.
- Genişletmek yönetici kimlik bilgileri ve doldurmak müşteri sırrı ve Gizli Jeton erişim anahtarı kimliği ve gizli erişim anahtarı ile
ReadRoleUser
, Sırasıyla. - Klinik bağlantı testi ve İndirim.
- Klinik Temel hazırlığı başlat.
İlk döngünün tamamlanması biraz zaman alabilir ve ardından Azure AD'de IAM rolleri doldurulur.
Athena çalışma grubu rolüne kullanıcı erişimini ayarlayın
Çalışma grubu rolüne kullanıcı erişimi ayarlamak için aşağıdaki adımları tamamlayın:
- Giriş yap Azure Portalı Azure AD genel yönetici kimlik bilgileriyle.
- Klinik Azure Active Directory.
- Klinik Kurumsal Uygulamalar Ve seç Athena-Uygulaması.
- Klinik Kullanıcıları ve grupları atayın ve kullanıcı/grup ekle.
- Altında Kullanıcılar ve gruplar, Athena izni atamak istediğiniz grubu seçin. Bu yazı için kullandığımız
athena-admin-adgroup
; alternatif olarak kullanıcı1'i seçebilirsiniz. - Klinik seç.
- İçin bir rol seçin, rolü seçin
athenaworkgroup1role
. - Klinik seç.
- Klinik Atamak.
Athena'ya Erişim
Bu bölümde, AWS konsolundan ve geliştirici aracı SQL Workbench/J'den Athena'ya nasıl erişileceğini göstereceğiz.
Web tabanlı Microsoft Uygulamalarım portalını kullanarak Athena'ya erişin
Athena'ya erişmek amacıyla Microsoft Uygulamalarım portalını kullanmak için aşağıdaki adımları tamamlayın:
- Giriş yap Azure Portalı Azure AD genel yönetici kimlik bilgileriyle.
- Klinik Azure Active Directory
- Klinik Kurumsal Uygulamalar Ve seç Athena-Uygulaması.
- Klinik
- Emlaklar.
- Değerini kopyalayın Kullanıcı erişim URL'si.
- Bir web tarayıcısı açın ve URL'yi girin.
Bağlantı sizi bir Azure oturum açma sayfasına yönlendirir.
- Şirket içi kullanıcı kimlik bilgileriyle oturum açın.
Yönlendirilirsiniz AWS Yönetim Konsolu.
Athena'ya SQL Workbench/J kullanarak erişin
Üst düzeyde denetime tabi kuruluşlarda, dahili kullanıcıların Athena'ya erişmek için konsolu kullanmalarına izin verilmez. Bu gibi durumlarda, bir JDBC sürücüsü kullanarak Athena'ya bağlantı sağlayan açık kaynaklı bir araç olan SQL Workbench/J'yi kullanabilirsiniz.
- En son indir Athena JDBC sürücüsü (Java sürümünüze göre uygun sürücüyü seçin).
- Indirin ve yükleyin SQL Çalışma Tezgahı/J.
- SQL Workbench/J'yi açın.
- Üzerinde fileto menü seç Bağlantı Penceresi.
- Klinik Sürücüleri Yönet.
- İçin Name, sürücünüz için bir ad girin.
- Sürücüyü indirip açtığınız klasör konumuna göz atın.
- Klinik OK.
Athena sürücüsünü yapılandırdığımıza göre artık Athena'ya bağlanma zamanı. Bağlantı URL'sini, kullanıcı adını ve şifreyi doldurmanız gerekir.
Athena'ya MFA'sız bir kullanıcı hesabıyla bağlanmak için aşağıdaki bağlantı dizesini kullanın (gönderide daha önce toplanan değerleri sağlayın):
MFA etkinleştirilmiş bir kullanıcı hesabı kullanarak bağlanmak için Azure AD Kimlik Bilgileri Sağlayıcısı tarayıcısını kullanın. Bağlantı URL'sini oluşturmanız ve kullanıcı adı, Kullanıcı adı ve şifreyi doldurmanız gerekir.
Athena'ya MFA'nın etkinleştirildiği bir kullanıcı hesabıyla bağlanmak için aşağıdaki bağlantı dizesini kullanın (daha önce topladığınız değerleri sağlayın):
Kırmızı metni, makalenin başlarında toplanan ayrıntılarla değiştirin.
Bağlantı kurulduğunda, Athena'ya karşı sorgu çalıştırabilirsiniz.
proxy yapılandırması
Athena'ya bir proxy sunucusu aracılığıyla bağlanıyorsanız, proxy sunucusunun 444 numaralı bağlantı noktasına izin verdiğinden emin olun. Sonuç kümesi akış API'si, bağlantı noktasını kullanır 444 giden iletişim için Athena sunucusunda. Yı kur ProxyHost
özelliğini, proxy sunucunuzun IP adresine veya ana bilgisayar adına değiştirin. Yı kur ProxyPort
proxy sunucusunun istemci bağlantılarını dinlemek için kullandığı TCP bağlantı noktasının numarasına özellik. Aşağıdaki koda bakın:
Özet
Bu gönderide, şirket içi AD'ye bağlı Azure AD ile IAM federasyonunu yapılandırdık ve bir Athena çalışma grubuna parçalı erişim ayarladık. Ayrıca Microsoft My Apps web portalı ve SQL Workbench/J aracını kullanarak konsol üzerinden Athena'ya nasıl erişeceğimize de baktık. Bağlantının bir proxy üzerinden nasıl çalıştığını da tartıştık. Aynı federasyon altyapısı, ODBC sürücü yapılandırması için de kullanılabilir. Athena Çalışma Gruplarına birleşik erişimi etkinleştirmek üzere SAML tabanlı Azure IdP'yi ayarlamak için bu gönderideki talimatları da kullanabilirsiniz.
Yazar Hakkında
Niraj Kumar AWS'de finansal hizmetler için Baş Teknik Hesap Yöneticisidir ve burada müşterilerin AWS'deki iş yüklerini güvenli ve sağlam bir şekilde tasarlamasına, tasarlamasına, oluşturmasına, çalıştırmasına ve desteklemesine yardımcı olur. Kurumsal mimari, bulut ve sanallaştırma, güvenlik, IAM, çözüm mimarisi ve bilgi sistemleri ve teknolojileri alanlarında 20 yılı aşkın farklı BT deneyimine sahiptir. Boş zamanlarında mentorluk yapmaktan, koçluk yapmaktan, trekking yapmaktan, oğluyla belgesel izlemekten ve her gün farklı bir şeyler okumaktan hoşlanıyor.
- '
- &
- 100
- 11
- 420
- 7
- 9
- erişim
- Hesap
- Action
- aktif
- Active Directory
- Ad
- Gizem
- Türkiye
- Izin
- Amazon
- analiz
- api
- uygulamayı yükleyeceğiz
- uygulamaları
- uygulamalar
- mimari
- göre
- Doğrulama
- AWS
- masmavi
- Blog
- tarayıcı
- inşa etmek
- durumlarda
- bulut
- kod
- İletişim
- bağ
- Bağlantılar
- Bağlantı
- rıza
- Covid-19
- Tanıtım
- çapraz platform
- Müşteriler
- veri
- Veri Gölü
- gün
- dc
- Dizayn
- Geliştirici
- belgeseller
- sürücü
- kuruluş
- deneyim
- Alanlar
- mali
- finansal hizmetler
- Ücretsiz
- tam
- Küresel
- yardımlar
- grup
- Ne kadar
- Nasıl Yapılır
- HTTPS
- IAM
- Kimlik
- bilgi
- Altyapı
- interaktif
- IP
- IP Adresi
- IT
- Java
- anahtar
- son
- seviye
- LINK
- yerel
- yer
- baktı
- yönetim
- MFA
- Microsoft
- Telefon
- Navigasyon
- Ofis 365
- organizasyonlar
- Şifre
- fişe takmak
- politikaları
- politika
- Portal
- Anapara
- özellik
- vekil
- halka açık
- Okuma
- yönlendirme
- Yer Alan Kurallar
- kaynak
- koşmak
- Ara
- güvenlik
- Hizmetler
- set
- Basit
- ama
- SQL
- Açıklama
- hafızası
- akış
- abone
- başarı
- destek
- Destekler
- Sistemler
- Teknik
- Teknolojileri
- geçici
- zaman
- simge
- trafik
- kullanıcılar
- değer
- ağ
- web tarayıcı
- iş akışı
- çalışır
- yıl