amazon Athena là một dịch vụ truy vấn tương tác giúp phân tích dữ liệu trực tiếp dễ dàng hơn trong Dịch vụ lưu trữ đơn giản của Amazon (Amazon S3) sử dụng SQL tiêu chuẩn. Nhóm vận hành đám mây có thể sử dụng Quản lý truy cập và nhận dạng AWS (IAM) để quản lý tập trung quyền truy cập vào Athena. Điều này đơn giản hóa việc quản trị bằng cách cho phép nhóm quản lý kiểm soát quyền truy cập của người dùng vào các nhóm làm việc Athena từ Azure AD được quản lý tập trung được kết nối với Active Directory tại chỗ. Thiết lập này làm giảm trải nghiệm chung của nhóm vận hành đám mây khi quản lý người dùng IAM. Athena hỗ trợ liên kết với liên kết Dịch vụ Liên kết Active Directory (ADFS), PingFederate, Okta và Microsoft Azure Active Directory (Azure AD).
Bài đăng trên blog này minh họa cách thiết lập liên kết AWS IAM với Azure AD được kết nối với AD tại chỗ và định cấu hình quyền truy cập cấp nhóm làm việc Athena cho những người dùng khác nhau. Chúng tôi sẽ bao gồm hai kịch bản:
- Người dùng và nhóm được quản lý Azure AD cũng như AD tại chỗ.
- Người dùng và nhóm được quản lý tại chỗ Thư mục hoạt động được đồng bộ hóa với Azure AD.
Chúng tôi không đề cập đến cách thiết lập đồng bộ hóa giữa AD tại chỗ và Azure AD với sự trợ giúp của kết nối Azure AD. Để biết thêm thông tin về cách tích hợp Azure AD với AWS Managed AD , hãy xem Kích hoạt Office 365 với AWS Managed Microsoft AD mà không cần đồng bộ hóa mật khẩu người dùng và cách tích hợp Azure AD với AD tại chỗ , hãy xem bài viết của Microsoft Cài đặt tùy chỉnh Azure Active Directory Connect.
Tổng quan về giải pháp
Giải pháp này giúp bạn định cấu hình liên kết IAM với Azure AD được kết nối với AD tại chỗ và định cấu hình quyền truy cập cấp nhóm làm việc Athena cho người dùng. Bạn có thể kiểm soát quyền truy cập vào nhóm làm việc bằng nhóm AD tại chỗ hoặc nhóm Azure AD. Giải pháp bao gồm bốn phần:
- Thiết lập Azure AD làm nhà cung cấp danh tính (IdP) của bạn:
- Thiết lập Azure AD làm SAML IdP cho ứng dụng một tài khoản AWS.
- Định cấu hình ứng dụng Azure AD với quyền được ủy quyền.
- Thiết lập IAM IdP và vai trò của bạn:
- Thiết lập IdP tin cậy Azure AD.
- Thiết lập người dùng IAM với quyền đọc vai trò.
- Thiết lập vai trò và chính sách IAM cho từng nhóm làm việc Athena.
- Thiết lập quyền truy cập của người dùng trong Azure AD:
- Thiết lập cung cấp vai trò IAM tự động.
- Thiết lập quyền truy cập của người dùng vào vai trò nhóm làm việc Athena.
- Truy cập Athena:
- Truy cập Athena bằng Microsoft dựa trên web Cổng ứng dụng của tôi.
- Truy cập Athena bằng cách sử dụng SQL Workbench / J một công cụ truy vấn SQL đa nền tảng, độc lập với DBMS, miễn phí.
Sơ đồ sau minh họa kiến trúc của giải pháp.
Quy trình giải pháp bao gồm các bước sau:
- Máy trạm của nhà phát triển kết nối với Azure AD thông qua trình điều khiển SQL Workbench/j JDBC Athena để yêu cầu mã thông báo SAML (quy trình OAuth hai bước).
- Azure AD gửi lưu lượng xác thực trở lại tại chỗ thông qua tác nhân chuyển tiếp Azure AD hoặc ADFS.
- Tác nhân chuyển tiếp Azure AD hoặc ADFS kết nối với DC tại chỗ và xác thực người dùng.
- Tác nhân chuyển tiếp hoặc ADFS gửi mã thông báo thành công tới Azure AD.
- Azure AD tạo mã thông báo SAML chứa vai trò IAM được chỉ định và gửi cho khách hàng.
- Máy khách kết nối với Dịch vụ mã thông báo bảo mật AWS (AWS STS) và xuất trình mã thông báo SAML để đảm nhận vai trò Athena và tạo thông tin xác thực tạm thời.
- AWS STS gửi thông tin đăng nhập tạm thời cho khách hàng.
- Máy khách sử dụng thông tin xác thực tạm thời để kết nối với Athena.
Điều kiện tiên quyết
Bạn phải đáp ứng các yêu cầu sau trước khi định cấu hình giải pháp:
- Về phía Azure AD, hãy hoàn tất các bước sau:
- Thiết lập máy chủ Azure AD Connect và đồng bộ hóa với AD tại chỗ
- Thiết lập chuyển tiếp Azure AD hoặc liên kết Microsoft ADFS giữa Azure AD và AD tại chỗ
- Tạo ba người dùng (
user1
,user2
,user3
) và ba nhóm (athena-admin-adgroup
,athena-datascience-adgroup
,athena-developer-adgroup
) cho ba nhóm làm việc Athena tương ứng
- Về phía Athena, tạo ba nhóm làm việc Athena:
athena-admin-workgroup
,athena-datascience-workgroup
,athena-developer-workgroup
Để biết thêm thông tin về cách sử dụng các nhóm làm việc Athena mẫu, hãy xem Hồ dữ liệu công khai để phân tích dữ liệu COVID-19.
Thiết lập Azure AD
Trong phần này, chúng tôi sẽ đề cập chi tiết cấu hình Azure AD cho Athena trong đăng ký Microsoft Azure. Về cơ bản, chúng tôi sẽ đăng ký một ứng dụng, định cấu hình liên kết, ủy quyền cho ứng dụng và tạo Bí mật ứng dụng.
Đặt Azure AD làm IdP SAML cho ứng dụng một tài khoản AWS
Để thiết lập Azure AD làm IdP SAML của bạn, hãy hoàn thành các bước sau:
- Đăng nhập vào Cổng Azure với thông tin xác thực quản trị viên toàn cầu Azure AD.
- Chọn Azure Active Directory.
- Chọn Ứng dụng doanh nghiệp.
- Chọn Ứng dụng mới.
- Tìm kiếm
Amazon
trong thanh tìm kiếm. - Chọn Truy cập một tài khoản AWS.
- Trong tên, nhập
Athena-App
. - Chọn Tạo.
- Trong tạp chí Bắt đầu phần, dưới Thiết lập đăng nhập một lần trên, chọn Bắt đầu.
- Trong Chọn phương thức đăng nhập một lần, chọn SAML.
- Trong Cấu hình SAML cơ bản, chọn Chỉnh sửa.
- Trong Định danh (ID thực thể), đi vào
https://signin.aws.amazon.com/saml#1
. - Chọn Lưu.
- Theo Chứng chỉ ký SAML, Cho XML siêu dữ liệu liên kết, chọn Tải về.
Cần có tệp này để định cấu hình IAM IdP của bạn trong phần tiếp theo. Lưu tệp này trên máy cục bộ của bạn để sử dụng sau khi định cấu hình IAM trên AWS.
Định cấu hình ứng dụng Azure AD của bạn với các quyền được ủy quyền
Để định cấu hình ứng dụng Azure AD của bạn, hãy hoàn tất các bước sau:
- Chọn Azure Active Directory.
- Chọn Đăng ký ứng dụng và Tất cả các ứng dụng.
- Tìm kiếm và lựa chọn Ứng dụng Athena.
- Lưu ý các giá trị cho ID ứng dụng (khách hàng) và ID thư mục (đối tượng thuê).
Bạn cần những giá trị này trong kết nối JDBC khi bạn kết nối với Athena.
- Theo Quyền API, chọn Thêm một quyền.
- Chọn Đồ thị Microsoft và Quyền được ủy quyền.
- Trong Chọn quyền, tìm kiếm
user.read
. - Trong người sử dang, chọn Người dùng. Đọc.
- Chọn Thêm quyền.
- Chọn Cấp sự đồng ý của quản trị viên và Có.
- Chọn Xác thực và Thêm một nền tảng.
- Chọn Ứng dụng di động và máy tính để bàn.
- Theo URI chuyển hướng tùy chỉnh, đi vào
http://localhost/athena
. - Chọn Thiết lập.
- Chọn Chứng chỉ & bí mật và Bí mật khách hàng mới.
- Nhập mô tả.
- Trong hết hạn, chọn 24 tháng.
- Sao chép giá trị bí mật máy khách để sử dụng khi định cấu hình kết nối JDBC.
Thiết lập IAM IdP và vai trò
Trong phần này, chúng tôi sẽ đề cập đến cấu hình IAM trong tài khoản AWS. Về cơ bản, chúng tôi sẽ tạo người dùng IAM, Vai trò và chính sách.
Thiết lập IdP tin tưởng Azure AD
Để thiết lập IdP tin cậy Azure AD của bạn, hãy hoàn thành các bước sau:
- Trên bảng điều khiển IAM, chọn Nhà cung cấp danh tính trong khung điều hướng.
- Chọn Thêm nhà cung cấp.
- Trong Loại nhà cung cấp, chọn SAML.
- Trong Tên nhà cung cấp, đi vào
AzureADAthenaProvider
. - Trong Tài liệu siêu dữ liệu, tải lên tệp được tải xuống từ Azure Portal.
- Chọn Thêm nhà cung cấp.
Thiết lập người dùng IAM với quyền đọc vai trò
Để thiết lập người dùng IAM của bạn, hãy hoàn thành các bước sau:
- Trên bảng điều khiển IAM, chọn Người dùng trong khung điều hướng.
- Chọn Thêm người dùng.
- Trong Tên người dùng, đi vào
ReadRoleUser
. - Trong Loại truy cập, lựa chọn Quyền truy cập có lập trình.
- Chọn Tiếp theo: Quyền.
- Trong Đặt quyền, chọn Đính kèm các chính sách hiện có trực tiếp.
- Chọn Tạo chính sách.
- Chọn JSON và nhập chính sách sau, chính sách này cho phép đọc quyền truy cập liệt kê các vai trò trong IAM:
- Chọn Tiếp theo: Thẻ.
- Chọn Tiếp theo: Đánh giá.
- Trong Họ tên, đi vào
readrolepolicy
. - Chọn Tạo chính sách.
- trên Thêm người dùng tab, tìm kiếm và chọn vai trò
readrole
. - Chọn Tiếp theo: thẻ.
- Chọn Tiếp theo: Đánh giá.
- Chọn Tạo người dùng.
- Tải xuống tệp .csv chứa ID khóa truy cập và khóa truy cập bí mật.
Chúng tôi sử dụng những thứ này khi định cấu hình cấp phép tự động Azure AD.
Thiết lập vai trò và chính sách IAM cho từng nhóm làm việc Athena
Để thiết lập vai trò và chính sách IAM cho nhóm làm việc Athena của bạn, hãy hoàn thành các bước sau:
- Trên bảng điều khiển IAM, chọn Vai trò trong khung điều hướng.
- Chọn Tạo vai trò.
- Trong Chọn loại thực thể đáng tin cậy, chọn Liên kết SAML 2.0.
- Trong Nhà cung cấp SAML, chọn AzureADAthenaNhà cung cấp.
- Chọn Cho phép truy cập Bảng điều khiển quản lý AWS có lập trình và.
- Theo Điều kiện, chọn Key.
- Chọn SAML: kiểm tra.
- Trong Điều kiện, lựa chọn Chuỗi bằng.
- Trong Giá trị, đi vào
http://localhost/athena
. - Chọn Tiếp theo: Quyền.
- Chọn Tạo chính sách.
- Chọn JSON và nhập chính sách sau (cung cấp ARN của nhóm làm việc của bạn):
Chính sách cấp toàn quyền truy cập vào nhóm làm việc Athena. Nó dựa trên Chính sách do AWS quản lý AmazonAthenaFullAccess
và chính sách ví dụ về nhóm làm việc.
- Chọn Tiếp theo: Thẻ.
- Chọn Tiếp theo: Đánh giá.
- Trong Họ tên, đi vào
athenaworkgroup1policy
. - Chọn Tạo chính sách.
- trên Tạo vai trò tab, tìm kiếm
athenaworkgroup1policy
và chọn chính sách. - Chọn Tiếp theo: Thẻ.
- Chọn Tiếp theo: Đánh giá.
- Chọn Tạo vai trò.
- Trong Họ tên, đi vào
athenaworkgroup1role
. - Chọn Tạo vai trò.
Thiết lập quyền truy cập của người dùng trong Azure AD
Trong phần này, chúng tôi sẽ thiết lập Tự động cung cấp và chỉ định người dùng cho ứng dụng từ cổng thông tin Microsoft Azure.
Thiết lập cung cấp vai trò IAM tự động
Để thiết lập cung cấp vai trò IAM tự động, hãy hoàn thành các bước sau:
- Đăng nhập vào Cổng Azure với thông tin xác thực quản trị viên toàn cầu Azure AD.
- Chọn Azure Active Directory.
- Chọn Ứng dụng Doanh nghiệp Và chọn Ứng dụng Athena.
- Chọn Cung cấp tài khoản người dùng.
- Trong tạp chí Cung cấp phần, chọn Bắt đầu.
- Trong Chế độ cung cấp, chọn Tự động.
- Mở rộng Thông tin xác thực của quản trị viên và cư trú khách hàng bí mật và Mã thông báo bí mật với ID khóa truy cập và khóa truy cập bí mật của
ReadRoleUser
, Tương ứng. - Chọn Kiểm tra kết nối và Lưu.
- Chọn Bắt đầu cung cấp.
Chu trình ban đầu có thể mất một chút thời gian để hoàn thành, sau đó các vai trò IAM được điền vào Azure AD.
Thiết lập quyền truy cập của người dùng vào vai trò nhóm làm việc Athena
Để thiết lập quyền truy cập của người dùng vào vai trò nhóm làm việc, hãy hoàn thành các bước sau:
- Đăng nhập vào Cổng Azure với thông tin xác thực quản trị viên toàn cầu Azure AD.
- Chọn Azure Active Directory.
- Chọn Ứng dụng Doanh nghiệp Và chọn Ứng dụng Athena.
- Chọn Chỉ định người dùng và nhóm và Thêm người dùng/nhóm.
- Theo Người dùng và nhóm, hãy chọn nhóm mà bạn muốn gán quyền Athena. Đối với bài đăng này, chúng tôi sử dụng
athena-admin-adgroup
; cách khác, bạn có thể chọn user1. - Chọn Chọn.
- Trong Chọn một vai trò, chọn vai trò
athenaworkgroup1role
. - Chọn Chọn.
- Chọn Chỉ định.
Truy cập Athena
Trong phần này, chúng tôi sẽ trình bày cách truy cập Athena từ bảng điều khiển AWS và công cụ dành cho nhà phát triển SQL Workbench/J
Truy cập Athena bằng cổng Microsoft My Apps dựa trên web
Để sử dụng cổng Microsoft My Apps để truy cập Athena, hãy hoàn tất các bước sau:
- Đăng nhập vào Cổng Azure với thông tin xác thực quản trị viên toàn cầu Azure AD.
- Chọn Azure Active Directory
- Chọn Ứng dụng Doanh nghiệp Và chọn Ứng dụng Athena.
- Chọn
- Bất động sản.
- Sao chép giá trị cho URL truy cập của người dùng.
- Mở trình duyệt web và nhập URL.
Liên kết chuyển hướng bạn đến trang đăng nhập Azure.
- Đăng nhập bằng thông tin xác thực người dùng tại chỗ.
Bạn được chuyển hướng đến Bảng điều khiển quản lý AWS.
Truy cập Athena bằng SQL Workbench/J
Trong các tổ chức được quản lý chặt chẽ, người dùng nội bộ không được phép sử dụng bảng điều khiển để truy cập Athena. Trong những trường hợp như vậy, bạn có thể sử dụng SQL Workbench/J, một công cụ nguồn mở cho phép kết nối với Athena bằng trình điều khiển JDBC.
- Tải về mới nhất Trình điều khiển Athena JDBC (chọn trình điều khiển phù hợp dựa trên phiên bản Java của bạn).
- Tải về và cài đặt SQL Workbench / J.
- Mở Bàn làm việc SQL/J.
- trên Tập tin menu, chọn Cửa sổ kết nối.
- Chọn Quản lý trình điều khiển.
- Trong Họ tên, hãy nhập tên cho trình điều khiển của bạn.
- Duyệt đến vị trí thư mục mà bạn đã tải xuống và giải nén trình điều khiển.
- Chọn OK.
Bây giờ chúng tôi đã định cấu hình trình điều khiển Athena, đã đến lúc kết nối với Athena. Bạn cần điền vào URL kết nối, tên người dùng và mật khẩu.
Sử dụng chuỗi kết nối sau để kết nối với Athena bằng tài khoản người dùng không có MFA (cung cấp các giá trị được thu thập trước đó trong bài viết):
Để kết nối bằng tài khoản người dùng đã bật MFA, hãy sử dụng Trình cung cấp thông tin xác thực Azure AD của trình duyệt. Bạn cần xây dựng URL kết nối và điền tên người dùng Tên người dùng và mật khẩu
Sử dụng chuỗi kết nối sau để kết nối với Athena bằng tài khoản người dùng đã bật MFA (cung cấp các giá trị bạn đã thu thập trước đó):
Thay thế văn bản màu đỏ bằng các chi tiết được thu thập trước đó trong bài viết.
Khi kết nối được thiết lập, bạn có thể chạy các truy vấn đối với Athena.
cấu hình proxy
Nếu bạn đang kết nối với Athena thông qua máy chủ proxy, hãy đảm bảo rằng máy chủ proxy cho phép cổng 444. API phát tập hợp kết quả sử dụng cổng 444 trên máy chủ Athena để liên lạc ra bên ngoài. Đặt ProxyHost
thuộc tính thành địa chỉ IP hoặc tên máy chủ của máy chủ proxy của bạn. Đặt ProxyPort
thành số cổng TCP mà máy chủ proxy sử dụng để lắng nghe kết nối máy khách. Xem đoạn mã sau:
Tổng kết
Trong bài đăng này, chúng tôi đã định cấu hình liên kết IAM với Azure AD được kết nối với AD tại chỗ và thiết lập quyền truy cập chi tiết vào nhóm làm việc Athena. Chúng tôi cũng đã xem xét cách truy cập Athena thông qua bảng điều khiển bằng cách sử dụng cổng web Microsoft My Apps và công cụ SQL Workbench/J. Chúng tôi cũng đã thảo luận về cách kết nối hoạt động qua proxy. Cơ sở hạ tầng liên kết tương tự cũng có thể được tận dụng cho cấu hình trình điều khiển ODBC. Bạn cũng có thể sử dụng hướng dẫn trong bài đăng này để thiết lập Azure IdP dựa trên SAML nhằm bật quyền truy cập có liên kết vào Nhóm làm việc Athena.
Lưu ý
Niraj Kumar là Giám đốc quản lý tài khoản kỹ thuật chính cho các dịch vụ tài chính tại AWS, nơi ông giúp khách hàng thiết kế, xây dựng kiến trúc, xây dựng, vận hành và hỗ trợ khối lượng công việc trên AWS một cách an toàn và mạnh mẽ. Ông có hơn 20 năm kinh nghiệm CNTT đa dạng trong các lĩnh vực kiến trúc doanh nghiệp, đám mây và ảo hóa, bảo mật, IAM, kiến trúc giải pháp cũng như hệ thống và công nghệ thông tin. Trong thời gian rảnh rỗi, anh ấy thích cố vấn, huấn luyện, leo núi, xem phim tài liệu với con trai và đọc một thứ gì đó khác biệt mỗi ngày.
- '
- &
- 100
- 11
- 420
- 7
- 9
- truy cập
- Tài khoản
- Hoạt động
- hoạt động
- active Directory
- Ad
- quản trị viên
- Tất cả
- Cho phép
- đàn bà gan dạ
- phân tích
- api
- ứng dụng
- các ứng dụng
- ứng dụng
- kiến trúc
- bài viết
- Xác thực
- AWS
- Azure
- Blog
- trình duyệt
- xây dựng
- trường hợp
- đám mây
- mã
- Truyền thông
- liên quan
- Kết nối
- Kết nối
- đồng ý
- Covid-19
- Credentials
- nền tảng
- khách hàng
- dữ liệu
- Hồ dữ liệu
- ngày
- dc
- Thiết kế
- Nhà phát triển
- phim tài liệu
- trình điều khiển
- Doanh nghiệp
- kinh nghiệm
- Lĩnh vực
- tài chính
- dịch vụ tài chính
- Miễn phí
- Full
- Toàn cầu
- tài trợ
- Nhóm
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- IAM
- Bản sắc
- thông tin
- Cơ sở hạ tầng
- tương tác
- IP
- Địa chỉ IP
- IT
- Java
- Key
- mới nhất
- Cấp
- LINK
- địa phương
- địa điểm thư viện nào
- nhìn
- quản lý
- MFA
- microsoft
- di động
- THÔNG TIN
- Văn phòng 365
- tổ chức
- Mật khẩu
- Plugin
- Chính sách
- điều luật
- Portal
- Hiệu trưởng
- tài sản
- Proxy
- công khai
- Reading
- chuyển hướng
- Yêu cầu
- tài nguyên
- chạy
- Tìm kiếm
- an ninh
- DỊCH VỤ
- định
- Đơn giản
- Con trai
- SQL
- Tuyên bố
- là gắn
- trực tuyến
- đăng ký
- thành công
- hỗ trợ
- Hỗ trợ
- hệ thống
- Kỹ thuật
- Công nghệ
- tạm thời
- thời gian
- mã thông báo
- giao thông
- Người sử dụng
- giá trị
- web
- trình duyệt web
- quy trình làm việc
- công trinh
- năm