Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden Sie Athena, um Daten abzufragen, die registriert sind bei AWS Lake Formation
[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html) ermöglicht es Ihnen, Zugriffsrichtlinien auf Datenbank-, Tabellen- und Spaltenebene zu definieren und durchzusetzen, wenn Sie Athena-Abfragen verwenden, um Daten zu lesen, die in Amazon S3 gespeichert sind oder über föderierte Datenquellen abgerufen werden. Lake Formation bietet eine Autorisierungs- und Governance-Schicht für Daten, die in Amazon S3 oder föderierten Datenkatalogen gespeichert sind. Sie können in Lake Formation eine Hierarchie von Berechtigungen verwenden, um Berechtigungen zum Lesen von Datenkatalogobjekten wie Datenbanken, Tabellen und Spalten zu erteilen oder zu widerrufen. Lake Formation vereinfacht die Verwaltung von Berechtigungen und ermöglicht Ihnen die Implementierung einer detaillierten Zugriffskontrolle (FGAC) für Ihre Daten.
Mit Athena können Sie sowohl Daten abfragen, die in Lake Formation registriert sind, als auch Daten, die nicht in Lake Formation registriert sind.
Sie gelten, wenn Sie Athena verwenden, um Quelldaten aus Amazon-S3-Standorten oder Datenkataloge abzufragen, die in Lake Formation registriert sind. Lake-Formation-Berechtigungen gelten auch, wenn Sie Datenbanken und Tabellen erstellen, die auf registrierte Amazon-S3-Datenspeicherorte oder Datenkataloge verweisen.
Lake-Formation-Berechtigungen gelten weder beim Schreiben von Objekten noch beim Abfragen von Daten oder Metadaten, die nicht bei Lake Formation registriert sind. Für Quelldaten und Metadaten, die nicht bei Lake Formation registriert sind, wird der Zugriff durch IAM-Berechtigungsrichtlinien und AWS Glue -aktionen bestimmt. Athena Abfrageergebnisorte in Amazon S3 können nicht bei Lake Formation registriert werden, und IAM-Berechtigungsrichtlinien für Amazon S3 steuern den Zugriff. Darüber hinaus gelten die Berechtigungen für Lake Formation nicht für den Athena-Abfrageverlauf. Sie können Athena-Workgroups verwenden, um den Zugriff auf den Abfrageverlauf zu steuern.
Weitere Informationen zu Lake Formation finden Sie unter [Lake Formation FAQs](https://aws.amazon.com/lake-formation/faqs/) und im [AWS Lake Formation Developer Guide](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html).
## Lake-Formation-Berechtigungen auf vorhandene Datenbanken und Tabellen anwenden
Wenn Sie noch nicht mit Athena vertraut sind und den Zugriff auf Abfragedaten mit Lake Formation konfigurieren, müssen Sie keine IAM-Richtlinien konfigurieren, damit Benutzer Daten lesen und Metadaten erstellen können. Sie können Berechtigungen mit Lake Formation verwalten.
Das Registrieren von Daten in Lake Formation und das Aktualisieren von IAM-Berechtigungsrichtlinien ist nicht erforderlich. Wenn Daten nicht bei Lake Formation registriert sind, können Athena-Benutzer mit entsprechenden Berechtigungen weiterhin Daten abfragen, die nicht bei Lake Formation registriert sind.
Wenn Sie bestehende Athena-Benutzer haben, die Amazon S3-Daten abfragen und nicht bei Lake Formation registriert sind, können Sie die IAM-Berechtigungen für Amazon S3 — und die AWS Glue Data Catalog, falls zutreffend — aktualisieren, sodass Sie Lake Formation Formation-Berechtigungen verwenden können, um den Benutzerzugriff zentral zu verwalten. Wenn Sie die Berechtigung zum Lesen von Amazon-S3-Datenverzeichnissen erhalten möchten, können Sie ressourcen- und identitätsbasierte Richtlinien aktualisieren, um Amazon-S3-Berechtigungen zu ändern. Wenn Sie für den Zugriff auf Metadaten Richtlinien auf Ressourcenebene für eine detaillierte Zugriffskontrolle konfiguriert haben, können Sie stattdessen Lake Formation Formation-Berechtigungen verwenden AWS Glue, um den Zugriff zu verwalten.
*Weitere Informationen finden Sie unter [Konfigurieren Sie den Zugriff auf Datenbanken und Tabellen in der AWS Glue Data Catalog](fine-grained-access-to-glue-resources.md) und [Upgrading AWS Glue Data Permissions to the AWS Lake Formation Model](https://docs.aws.amazon.com/lake-formation/latest/dg/upgrade-glue-lake-formation.html) im Developer Guide.AWS Lake Formation *
**Topics**
+ [Lake-Formation-Berechtigungen auf vorhandene Datenbanken und Tabellen anwenden](#lf-athena-apply-lf-permissions-to-existing-databases-and-tables)
+ [Wie funktioniert dere Datenzugriff](lf-athena-access.md)
+ [Überlegungen und Einschränkungen](lf-athena-limitations.md)
+ [Kontoübergreifender Zugriff](lf-athena-limitations-cross-account.md)
+ [Benutzerberechtigungen verwalten](lf-athena-user-permissions.md)
+ [Verwenden Sie Lake-Formation und JDBC oder ODBC für Verbundszugriff](security-athena-lake-formation-jdbc.md)
# So greift Athena auf Daten zu, die bei Lake Formation angemeldet sind
Der in diesem Abschnitt beschriebene Zugriffs-Workflow gilt nur, wenn Sie Athena-Abfragen für Amazon-S3-Standorte, Datenkataloge oder Metadatenobjekte ausführen, die in Lake Formation registriert sind. Weitere Informationen finden Sie unter [Anmelden eines Data Lake](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html) im *AWS Lake Formation -Entwicklerhandbuch*. Zusätzlich zur Registrierung von Daten wendet der Lake Formation-Administrator Lake Formation Formation-Berechtigungen an, die den Zugriff auf Metadaten im Datenkatalog oder den Datenstandort in Amazon S3 gewähren oder entziehen. AWS Glue Data Catalog Weitere Informationen finden Sie unter [Sicherheit und Zugriffskontrolle für Metadaten und Daten](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions) im *AWS Lake Formation -Entwicklerhandbuch*.
Jedes Mal, wenn ein Athena-Prinzipal (Benutzer, Gruppe oder Rolle) eine Abfrage zu Daten ausführt, die mit Lake Formation registriert wurden, überprüft Lake Formation, ob der Prinzipal über die entsprechenden Lake-Formation-Berechtigungen für die Datenbank, Tabelle und den Speicherort der Datenquelle für die Abfrage verfügt. Wenn der Prinzipal Zugriff hat, *vergibt* Lake Formation temporäre Anmeldeinformationen an Athena, und die Abfrage wird ausgeführt.
Das folgende Diagramm zeigt, wie der Verkauf von Anmeldeinformationen in Athena auf der query-by-query Grundlage einer hypothetischen `SELECT` Abfrage in einer Tabelle mit einem Amazon S3 S3-Standort oder Datenkatalog funktioniert, der in Lake Formation registriert ist:
![\[Ablauf für die Ausgabe von Anmeldeinformationen für eine Abfrage in einer Athena-Tabelle.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/lake-formation-athena-security.png)
1. Ein Prinzipal führt eine `SELECT`-Abfrage in Athena aus.
1. Athena analysiert die Abfrage und überprüft die Lake-Formation-Berechtigungen, um festzustellen, ob dem Prinzipal Zugriff auf die Tabelle und die Tabellenspalten gewährt wurde.
1. Wenn der Prinzipal Zugriff hat, fordert Athena Anmeldeinformationen von Lake Formation an. Wenn der Prinzipal *keinen* Zugriff hat, gibt Athena einen Fehler für „Zugriff verweigert“ aus.
1. Lake Formation gibt Athena Anmeldeinformationen aus, die beim Lesen von Daten aus Amazon S3 oder Katalog verwendet werden können, zusammen mit der Liste der zulässigen Spalten.
1. Athena verwendet die temporären Anmeldeinformationen von Lake Formation, um die Daten aus Amazon S3 oder Katalog abzufragen. Nachdem die Abfrage abgeschlossen ist, verwirft Athena die Anmeldeinformationen.
# Überlegungen und Einschränkungen zum Abfragen von bei Lake Formation registrierten Daten
Beachten Sie Folgendes, wenn Sie Athena verwenden, um in Lake Formation registrierte Daten abzufragen. Weitere Informationen finden Sie unter [Bekannte Probleme für AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/limitations.html) im *AWS Lake Formation -Entwicklerhandbuch*.
**Topics**
+ [Spaltenmetadaten, die in einigen Fällen für Benutzer ohne Datenberechtigungen für Spalten sichtbar sind](#lf-athena-limitations-column-metadata)
+ [Arbeiten mit Lake-Formation-Berechtigungen für Ansichten](#lf-athena-limitations-permissions-to-views)
+ [Iceberg-DDL-Support](#lf-athena-limitations-iceberg-ddl-operations)
+ [Differenzierte Zugriffskontrolle von Lake Formation und Athena-Arbeitsgruppen](#lf-athena-limitations-fine-grained-access-control)
+ [Athena-Abfrageergebnisse-Speicherort in Amazon S3 nicht bei Lake Formation registriert](#lf-athena-limitations-query-results-location)
+ [Verwenden von Athena-Workgroups zum Einschränken des Zugriffs auf den Abfrageverlauf](#lf-athena-limitations-use-workgroups-to-limit-access-to-query-history)
+ [CSE KMS Amazon S3, das bei Lake Formation registriert ist, kann in Athena nicht abgefragt werden](#lf-athena-limitations-cse-kms)
+ [Speicherorte für partitionierte Daten, die bei Lake Formation registriert sind, müssen sich in Tabellen-Unterverzeichnissen befinden](#lf-athena-limitations-partioned-data-locations)
+ [Erstellen von CTAS (Table As Select)-Abfragen erfordern Amazon-S3-Schreibberechtigungen](#lf-athena-limitations-ctas-queries)
+ [Die DESCRIBE-Berechtigung ist für die Standarddatenbank erforderlich](#lf-athena-limitations-describe-default)
## Spaltenmetadaten sind mit Avro und Benutzerdefiniert unter bestimmten Umständen für nicht autorisierte Benutzer sichtbar SerDe
Die Autorisierung auf Lake-Formation-Spaltenebene verhindert, dass ein Benutzer auf Daten in Spalten zugreift, für die er keine Lake-Formation-Berechtigungen besitzt. In bestimmten Situationen können Benutzer jedoch auf Metadaten zugreifen, die alle Spalten in der Tabelle beschreiben, einschließlich der Spalten, für deren Daten sie keine Berechtigungen besitzen.
Dies tritt auf, wenn Spaltenmetadaten in Tabelleneigenschaften für Tabellen gespeichert werden, die entweder das Apache Avro-Speicherformat oder einen benutzerdefinierten Serializer/Deserializer (SerDe) verwenden, in dem das Tabellenschema zusammen mit der Definition in den Tabelleneigenschaften definiert ist. SerDe Wenn Sie Athena mit Lake Formation verwenden, empfehlen wir, den Inhalt der Tabelleneigenschaften zu überprüfen, die Sie in Lake Formation registrieren, und nach Möglichkeit die in den Tabelleneigenschaften gespeicherten Informationen zu begrenzen, um zu verhindern, dass vertrauliche Metadaten für Benutzer sichtbar sind.
## Lake Formation und Aussichten verstehen
Für bei Lake Formation registrierte Daten kann ein Athena-Benutzer nur dann ein `VIEW` erstellen, wenn er über Lake-Formation-Berechtigungen für die Tabellen, Spalten und Amazon-S3-Quelldatenspeicherorte verfügt, auf denen `VIEW` basiert. Nachdem ein `VIEW` in Athena erstellt wurde, können die Berechtigungen für Lake Formation auf das `VIEW` angewendet werden. Berechtigungen auf Spaltenebene sind für einen `VIEW` nicht verfügbar. Benutzer mit Lake-Formation-Berechtigungen für einen `VIEW` aber ohne Berechtigungen für die Tabelle und Spalten, auf denen die Ansicht basiert, können den `VIEW` nicht zur Datenabfrage verwenden. Benutzer mit dieser Berechtigungskombination können jedoch Anweisungen wie `DESCRIBE VIEW`, `SHOW CREATE VIEW` und `SHOW COLUMNS` verwenden, um `VIEW`-Metadaten anzuzeigen. Stellen Sie daher sicher, dass Sie die Lake-Formation-Berechtigungen für jeden `VIEW` an den zugrunde liegenden Tabellenberechtigungen ausrichten. Zellfilter, die für eine Tabelle definiert sind, gelten nicht für einen `VIEW` für diese Tabelle. Die Namen der Ressourcenlinks müssen den gleichen Namen wie die Ressource im Ausgangskonto haben. Bei der Arbeit mit Ansichten in einer kontoübergreifenden Konfiguration gibt es zusätzliche Einschränkungen. Weitere Informationen zum Einrichten von Berechtigungen für freigegebene Ansichten über Konten hinweg finden Sie unter [Kontoübergreifenden Zugriff auf den Datenkatalog konfigurieren](lf-athena-limitations-cross-account.md).
## Iceberg-DDL-Support
Athena unterstützt derzeit keine DDL-Operationen auf Iceberg-Tabellen, deren Standort bei Lake Formation registriert ist. Der Versuch, eine DDL-Abfrage für eine dieser Iceberg-Tabellen auszuführen, kann zu einem Amazon-S3-Fehler „Zugriff verweigert“ führen oder mit einem Abfrage-Timeout fehlschlagen. DDL-Operationen an Iceberg-Tabellen erfordern, dass der Benutzer direkten Amazon-S3-Zugriff auf den Speicherort der Iceberg-Tabelle hat.
## Differenzierte Zugriffskontrolle von Lake Formation und Athena-Arbeitsgruppen
Benutzer in derselben Athena-Arbeitsgruppe können die Daten anzeigen, die die differenzierte Zugriffskontrolle von Lake Formation so konfiguriert hat, dass sie für die Arbeitsgruppe zugänglich sind. Weitere Informationen zur Verwendung der differenzierten Zugriffskontrolle in Lake Formation finden Sie unter [Verwaltung der differenzierten Zugriffskontrolle mithilfe von AWS Lake Formation](https://aws.amazon.com/blogs/big-data/manage-fine-grained-access-control-using-aws-lake-formation/) im *AWS -Big-Data-Blog*.
## Athena-Abfrageergebnisse-Speicherort in Amazon S3 nicht bei Lake Formation registriert
Die Abfrageergebnisorte in Amazon S3 für Athena können nicht bei Lake Formation registriert werden. Lake-Formation-Berechtigungen beschränken den Zugriff auf diese Standorte nicht. Wenn Sie den Zugriff nicht einschränken, können Athena-Benutzer auf Abfrageergebnisdateien und Metadaten zugreifen, wenn sie keine Lake-Formation-Berechtigungen für die Daten haben. Um dies zu vermeiden, sollten Sie Arbeitsgruppen verwenden, um den Speicherort für Abfrageergebnisse anzugeben und die Arbeitsgruppenmitgliedschaft mit den Lake-Formation-Berechtigungen auszurichten. Anschließend können Sie IAM-Berechtigungsrichtlinien verwenden, um den Zugriff auf Abfrageergebnisspeicherorte zu beschränken. Weitere Informationen zu Abfrageergebnissen finden Sie unter [Arbeiten mit Abfrageergebnissen und aktuellen Abfragen](querying.md).
## Verwenden von Athena-Workgroups zum Einschränken des Zugriffs auf den Abfrageverlauf
Der Abfrageverlauf von Athena stellt eine Liste gespeicherter Abfragen und vollständiger Abfragezeichenfolgen bereit. Sofern Sie nicht Arbeitsgruppen verwenden, um den Zugriff auf Abfrageverläufe zu trennen, können Athena-Benutzer, die nicht zum Abfragen von Daten in Lake Formation berechtigt sind, Abfragezeichenfolgen anzeigen, die für diese Daten ausgeführt werden, einschließlich Spaltennamen, Auswahlkriterien usw. Es wird empfohlen, Arbeitsgruppen zu verwenden, um Abfrageverläufe zu trennen und Athena-Arbeitsgruppenmitgliedschaft mit Lake-Formation-Berechtigungen auszurichten, um den Zugriff zu beschränken. Weitere Informationen finden Sie unter [Verwendung von Arbeitsgruppen zur Kontrolle des Abfragenzugriffs und der Kosten](workgroups-manage-queries-control-costs.md).
## Abfrage von CSE\$1KMS-verschlüsselten Tabellen, die bei Lake Formation registriert sind
OTF-Tabellen (Open Table Format) wie Apache Iceberg, die die folgenden Eigenschaften aufweisen, können mit Athena nicht abgefragt werden:
+ Die Tabellen basieren auf Amazon-S3-Datenstandorten, die bei Lake Formation registriert sind.
+ Die Objekte in Amazon S3 werden mithilfe der clientseitigen Verschlüsselung (CSE) verschlüsselt.
+ Die Verschlüsselung verwendet vom Kunden verwaltete Schlüssel (). AWS KMS `CSE_KMS`
Um Nicht-OTF-Tabellen abzufragen, die mit einem `CSE_KMS` Schlüssel verschlüsselt sind, fügen Sie der Richtlinie des AWS KMS Schlüssels, den Sie für die CSE-Verschlüsselung verwenden, den folgenden Block hinzu. **ist der ARN des AWS KMS Schlüssels, der die Daten verschlüsselt. **ist der ARN der IAM-Rolle, die den Amazon S3 S3-Standort in Lake Formation registriert.
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "kms:Decrypt",
"Resource": "",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": ""
}
}
}
```
## Speicherorte für partitionierte Daten, die bei Lake Formation registriert sind, müssen sich in Tabellen-Unterverzeichnissen befinden
Bei Lake Formation registrierte partitionierte Tabellen müssen über partitionierte Daten in Verzeichnissen verfügen, die Unterverzeichnisse der Tabelle in Amazon S3 sind. Beispielsweise kann eine Tabelle mit dem Speicherort `s3://amzn-s3-demo-bucket/mytable` und den Partitionen `s3://amzn-s3-demo-bucket/mytable/dt=2019-07-11`, `s3://amzn-s3-demo-bucket/mytable/dt=2019-07-12` usw. in Lake Formation registriert und mit Athena abgefragt werden. Andererseits kann eine Tabelle mit dem Speicherort `s3://amzn-s3-demo-bucket/mytable` und Partitionen in `s3://amzn-s3-demo-bucket/dt=2019-07-11`, `s3://amzn-s3-demo-bucket/dt=2019-07-12` usw. nicht in Lake Formation registriert werden. Da solche Partitionen keine Unterverzeichnisse von `s3://amzn-s3-demo-bucket/mytable` sind, können sie auch nicht von Athena gelesen werden.
## Erstellen von CTAS (Table As Select)-Abfragen erfordern Amazon-S3-Schreibberechtigungen
Create Table As Statements (CTAS) erfordern Schreibzugriff auf den Amazon-S3-Speicherort von Tabellen. Um CTAS-Abfragen für bei Lake Formation registrierte Daten auszuführen, müssen Athena-Benutzer zusätzlich zu den entsprechenden Lake-Formation-Berechtigungen zum Lesen der Datenstandorte über IAM-Berechtigungen zum Schreiben in die Tabelle von Amazon-S3-Standorten verfügen. Weitere Informationen finden Sie unter [Erstellen einer Tabelle aus Abfrageergebnissen (CTAS)](ctas.md).
## Die DESCRIBE-Berechtigung ist für die Standarddatenbank erforderlich
Die Lake Formation `DESCRIBE`-Genehmigung ist für die `default`-Datenbank erforderlich, damit Lake Formation sie sehen kann. Der folgende AWS CLI Beispielbefehl erteilt dem Benutzer `datalake_user1` im AWS Konto `111122223333` die `DESCRIBE` Berechtigung für die `default` Datenbank.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Database": {"Name":"default"}}
```
Weitere Informationen finden Sie unter [BESCHREIBEN](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html#perm-describe) im *AWS Lake Formation Entwicklerhandbuch*.
# Kontoübergreifenden Zugriff auf den Datenkatalog konfigurieren
Um auf einen Datenkatalog in einem anderen Konto zuzugreifen, können Sie das kontenübergreifende AWS Glue -Feature von Athena verwenden oder den kontenübergreifenden Zugriff in Lake Formation einrichten.
## Option A: Kontoübergreifenden Zugriff auf den Datenkatalog in Athena konfigurieren
Sie können die kontoübergreifende AWS Glue Katalogfunktion von Athena verwenden, um den Katalog in Ihrem Konto zu registrieren. Diese Funktion ist nur in Athena-Engine-Version 2 und späteren Versionen verfügbar und auf die Verwendung in derselben Region zwischen Konten beschränkt. Weitere Informationen finden Sie unter [Einen Datenkatalog von einem anderen Konto aus registrieren](data-sources-glue-cross-account.md).
Wenn für den Datenkatalog, der gemeinsam genutzt werden soll, eine Ressourcenrichtlinie konfiguriert ist AWS Glue, muss diese aktualisiert werden, um Zugriff auf den Datenkatalog zu gewähren AWS Resource Access Manager und Konto B Berechtigungen zur Nutzung des Datenkatalogs von Konto A zu gewähren.
Weitere Informationen finden Sie unter [Kontenübergreifenden Zugriff auf AWS Glue Datenkataloge konfigurieren](security-iam-cross-account-glue-catalog-access.md).
## Option B: Kontoübergreifenden Zugriff in Lake Formation konfigurieren
AWS Lake Formation ermöglicht die Verwendung eines einzigen Kontos zur Verwaltung eines zentralen Datenkatalogs. Sie können dieses Feature verwenden, um den [kontoübergreifenden Zugriff](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-cross-account.html) auf Datenkatalog-Metadaten und zugrunde liegende Daten zu implementieren. Beispielsweise kann ein Besitzerkonto einem anderen (Empfänger-)Konto `SELECT` die Berechtigung für eine Tabelle erteilen.
Damit eine freigegebene Datenbank oder Tabelle im Athena-Abfrage-Editor angezeigt wird, [erstellen Sie in Lake Formation einen Ressourcenlink](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html) zur freigegebenen Datenbank oder Tabelle. Wenn das Empfängerkonto in Lake Formation die Tabelle des Besitzers abfragt, wird das Datenzugriffsereignis den Protokollen sowohl für das Empfängerkonto als auch für das Besitzerkonto [CloudTrail](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-logging.html)hinzugefügt.
Beachten Sie bei freigegebenen Ansichten die folgenden Punkte:
+ Abfragen werden auf Zielressourcen-Links ausgeführt, nicht in der Quelltabelle oder -Ansicht, und dann wird die Ausgabe für das Zielkonto freigegeben.
+ Es reicht nicht aus, nur die Ansicht zu teilen. Alle Tabellen, die an der Erstellung der Ansicht beteiligt sind, müssen Teil der kontoübergreifenden Freigabe sein.
+ Der Name des auf den freigegebenen Ressourcen erstellten Ressourcenlinks muss mit dem Namen der Ressource im Eigentümerkonto übereinstimmen. Wenn der Name nicht übereinstimmt, wird eine Fehlermeldung wie Fehler beim Analysieren der gespeicherten Ansicht 'awsdatacatalog' angezeigt. *my-lf-resource-link*. *my-lf-view*': Zeile 3:3: Schema *schema\$1name* existiert nicht tritt auf.
Weitere Informationen zum kontenübergreifenden Zugriff in Lake Formation finden Sie in den folgenden Ressourcen im *AWS Lake Formation -Entwicklerhandbuch*:
[Kontenübergreifender Zugriff](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-cross-account.html)
[Funktionsweise von Ressourcenverbindungen in Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html)
[Kontoübergreifende Protokollierung CloudTrail ](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-logging.html)
# Lake-Formation- und Athena-Benutzerberechtigungen verwalten
Lake Formation verkauft Anmeldeinformationen, um Amazon-S3-Datenspeicher oder Verbundkataloge abzufragen, die bei Lake Formation registriert sind. Wenn Sie zuvor IAM-Richtlinien verwendet haben, um Berechtigungen zum Lesen von Katalogen oder Datenspeicherorten in Amazon S3 zu gewähren oder zu verweigern, können Sie stattdessen Lake-Formation-Berechtigungen verwenden. Allerdings sind weiterhin andere IAM-Berechtigungen erforderlich.
Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten Methoden von IAM befolgen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
In den folgenden Abschnitten werden die Berechtigungen zusammengefasst, die erforderlich sind, um die in Lake Formation registrierten Daten mithilfe von Athena abzufragen. Weitere Informationen finden Sie unter [Sicherheit in AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/security.html) im *AWS Lake Formation -Entwicklerhandbuch*.
**Topics**
+ [Identitätsbasierte Berechtigungen für Lake Formation und Athena](#lf-athena-user-permissions-identity-based)
+ [Amazon-S3-Berechtigungen für Speicherorte von Athena-Abfrageergebnissen](#lf-athena-user-permissions-query-results-locations)
+ [Athena-Workgoup-Mitgliedschaften zum Abfragen des Verlaufs](#lf-athena-user-permissions-workgroup-memberships-query-history)
+ [Lake-Formation-Berechtigungen für Daten](#lf-athena-user-permissions-data)
+ [IAM-Berechtigungen zum Schreiben in Amazon-S3-Speicherorte](#lf-athena-user-permissions-s3-write)
+ [Berechtigungen für verschlüsselte Daten, Metadaten und Athena-Abfrageergebnisse](#lf-athena-user-permissions-encrypted)
+ [Ressourcenbasierte Berechtigungen für Amazon-S3-Buckets in externen Konten (optional)](#lf-athena-user-permissions-s3-cross-account)
## Identitätsbasierte Berechtigungen für Lake Formation und Athena
Jeder, der Athena zum Abfragen von bei Lake Formation registrierten Daten verwendet, muss über eine IAM-Berechtigungsrichtlinie verfügen, die die `lakeformation:GetDataAccess`-Aktion zulässt. [AWS verwaltete Richtlinie: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) erlaubt diese Aktion. Wenn Sie eingebundenen Richtlinien verwenden, stellen Sie sicher, dass Sie die Berechtigungsrichtlinien aktualisieren, um diese Aktion zuzulassen.
In Lake Formation hat ein *Data-Lake-Administrator* Berechtigungen zum Erstellen von Metadatenobjekten wie Datenbanken und Tabellen, Erteilen von Lake-Formation-Berechtigungen an andere Benutzer und Registrieren neuer Amazon-S3-Speicherorte oder Datenkataloge. Zur Registrierung neuer Standorte sind Berechtigungen für die serviceverknüpfte Rolle für Lake Formation erforderlich. Weitere Informationen finden Sie unter [Erstellen eines Data-Lake-Administrators](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) und [Servicegebundene Rollenberechtigungen für Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/service-linked-roles.html#service-linked-role-permissions) im *AWS Lake Formation -Entwicklerhandbuch*.
Ein Lake-Formation-Benutzer kann Athena verwenden, um Datenbanken, Tabellen, Tabellenspalten und zugrunde liegende Amazon-S3-Datenspeicher oder Datenkataloge basierend auf den Lake-Formation-Berechtigungen abzufragen, die ihm von Data-Lake-Administratoren erteilt wurden. Benutzer können keine Datenbanken oder Tabellen erstellen oder neue Amazon-S3-Speicherorte bei Lake Formation registrieren. Weitere Informationen finden Sie unter [Erstellen eines Data Lake-Benutzers](https://docs.aws.amazon.com/lake-formation/latest/dg/cloudtrail-tut-create-lf-user.html) im *AWS Lake Formation -Entwicklerhandbuch*.
In Athena steuern identitätsbasierte Berechtigungsrichtlinien, einschließlich derer für Athena-Arbeitsgruppen, weiterhin den Zugriff auf Athena-Aktionen für Amazon-Web-Services-Kontobenutzer. Darüber hinaus kann der Verbundzugriff über die SAML-basierte Authentifizierung bereitgestellt werden, die mit Athena-Treibern verfügbar ist. Weitere Informationen finden Sie unter [Verwendung von Arbeitsgruppen zur Kontrolle des Abfragenzugriffs und der Kosten](workgroups-manage-queries-control-costs.md), [Verwenden Sie IAM-Richtlinien, um Arbeitsgruppen-Zugriff zu steuern](workgroups-iam-policy.md) und [Verbund-Zugriff auf die Athena-API aktivieren](access-federation-saml.md).
Weitere Informationen finden Sie unter [Erteilen von Lake Formation-Berechtigungen](https://docs.aws.amazon.com/lake-formation/latest/dg/lake-formation-permissions.html) im *AWS Lake Formation -Entwicklerhandbuch*.
## Amazon-S3-Berechtigungen für Speicherorte von Athena-Abfrageergebnissen
Die Abfrageergebnisorte in Amazon S3 für Athena können nicht bei Lake Formation registriert werden. Lake-Formation-Berechtigungen beschränken den Zugriff auf diese Standorte nicht. Wenn Sie den Zugriff nicht einschränken, können Athena-Benutzer auf Abfrageergebnisdateien und Metadaten zugreifen, wenn sie keine Lake-Formation-Berechtigungen für die Daten haben. Um dies zu vermeiden, sollten Sie Arbeitsgruppen verwenden, um den Speicherort für Abfrageergebnisse anzugeben und die Arbeitsgruppenmitgliedschaft mit den Lake-Formation-Berechtigungen auszurichten. Anschließend können Sie IAM-Berechtigungsrichtlinien verwenden, um den Zugriff auf Abfrageergebnisspeicherorte zu beschränken. Weitere Informationen zu Abfrageergebnissen finden Sie unter [Arbeiten mit Abfrageergebnissen und aktuellen Abfragen](querying.md).
## Athena-Workgoup-Mitgliedschaften zum Abfragen des Verlaufs
Der Abfrageverlauf von Athena stellt eine Liste gespeicherter Abfragen und vollständiger Abfragezeichenfolgen bereit. Sofern Sie nicht Arbeitsgruppen verwenden, um den Zugriff auf Abfrageverläufe zu trennen, können Athena-Benutzer, die nicht zum Abfragen von Daten in Lake Formation berechtigt sind, Abfragezeichenfolgen anzeigen, die für diese Daten ausgeführt werden, einschließlich Spaltennamen, Auswahlkriterien usw. Es wird empfohlen, Arbeitsgruppen zu verwenden, um Abfrageverläufe zu trennen und Athena-Arbeitsgruppenmitgliedschaft mit Lake-Formation-Berechtigungen auszurichten, um den Zugriff zu beschränken. Weitere Informationen finden Sie unter [Verwendung von Arbeitsgruppen zur Kontrolle des Abfragenzugriffs und der Kosten](workgroups-manage-queries-control-costs.md).
## Lake-Formation-Berechtigungen für Daten
Zusätzlich zu der Grundberechtigung zur Verwendung von Lake Formation müssen Athena-Benutzer über Lake-Formation-Berechtigungen verfügen, um auf die von ihnen abgefragten Ressourcen zuzugreifen. Diese Berechtigungen werden von einem Lake-Formation-Administrator erteilt und verwaltet. Weitere Informationen finden Sie unter [Sicherheit und Zugriffskontrolle für Metadaten und Daten](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions) im *AWS Lake Formation -Entwicklerhandbuch*.
## IAM-Berechtigungen zum Schreiben in Amazon-S3-Speicherorte
Die Lake-Formation-Berechtigungen für Amazon S3 beinhalten nicht die Möglichkeit, in Amazon S3 zu schreiben. Create Table As Statements (CTAS) erfordern Schreibzugriff auf den Amazon-S3-Speicherort von Tabellen. Um CTAS-Abfragen für bei Lake Formation registrierte Daten auszuführen, müssen Athena-Benutzer zusätzlich zu den entsprechenden Lake-Formation-Berechtigungen zum Lesen der Datenstandorte über IAM-Berechtigungen zum Schreiben in die Tabelle von Amazon-S3-Standorten verfügen. Weitere Informationen finden Sie unter [Erstellen einer Tabelle aus Abfrageergebnissen (CTAS)](ctas.md).
## Berechtigungen für verschlüsselte Daten, Metadaten und Athena-Abfrageergebnisse
Zugrunde liegende Quelldaten in Amazon S3 und Metadaten im Katalog, der bei Lake Formation registriert ist, können verschlüsselt werden. Es gibt keine Änderung an der Art und Weise, wie die Verschlüsselung von Abfrageergebnissen von Athena verarbeitet wird, wenn Athena zum Abfragen von Daten verwendet wird, die in Lake Formation registriert sind. Weitere Informationen finden Sie unter [Verschlüsseln Sie die in Amazon S3 gespeicherten Athena-Abfrageergebnisse](encrypting-query-results-stored-in-s3.md).
+ **Verschlüsseln von Quelldaten** – Die Verschlüsselung von Amazon-S3-Datenspeicherorten-Quelldaten wird unterstützt. Athena-Benutzer, die verschlüsselte Amazon-S3-Standorte abfragen, die bei Lake Formation registriert sind, benötigen Berechtigungen zum Verschlüsseln und Entschlüsseln von Daten. Weitere Informationen zu Anforderungen finden Sie unter [Unterstützte Verschlüsselungsoptionen der Amazon S3](encryption.md#encryption-options-S3-and-Athena) und [Berechtigungen für verschlüsselte Daten in Amazon S3](encryption.md#permissions-for-encrypting-and-decrypting-data).
+ **Verschlüsseln von Metadaten** — Das Verschlüsseln von Metadaten in AWS Glue Data Catalog wird unterstützt. Für Prinzipale, die Athena verwenden, müssen identitätsbasierte Richtlinien die Aktionen `"kms:GenerateDataKey"`, `"kms:Decrypt"` und `"kms:Encrypt"` für den Schlüssel zulassen, mit dem Metadaten verschlüsselt werden. Weitere Informationen finden Sie unter [Verschlüsseln Ihres Datenkatalogs](https://docs.aws.amazon.com/glue/latest/dg/encrypt-glue-data-catalog.html) im *Entwicklerhandbuch für AWS Glue * und [Konfigurieren Sie den Zugriff von Athena auf verschlüsselte Metadaten in AWS Glue Data Catalog](access-encrypted-data-glue-data-catalog.md).
## Ressourcenbasierte Berechtigungen für Amazon-S3-Buckets in externen Konten (optional)
Um einen Amazon-S3-Datenspeicherort in einem anderen Konto abzufragen, muss eine ressourcenbasierte IAM-Richtlinie (Bucket-Richtlinie) den Zugriff auf den Speicherort ermöglichen. Weitere Informationen finden Sie unter [Kontoübergreifender Zugriff auf Amazon-S3-Buckets in Athena konfigurieren](cross-account-permissions.md).
Informationen zum Zugriff auf Kataloge in einem anderen Konto finden Sie unter [Option A: Kontoübergreifenden Zugriff auf den Datenkatalog in Athena konfigurieren](lf-athena-limitations-cross-account.md#lf-athena-limitations-cross-account-glue).
# Verwenden Sie Lake-Formation und JDBC- oder ODBC-Treibern für den Verbundzugriff auf Athena
Die Athena JDBC- und ODBC-Treiber unterstützen den SAML 2.0-basierten Verbund mit Athena mithilfe von Identitätsanbietern von Okta und Microsoft Active Directory Federation Services (AD FS). Durch die Integration von Amazon Athena mit AWS Lake Formation aktivieren Sie die SAML-basierte Authentifizierung für Athena mit Unternehmensanmeldedaten. Mit Lake Formation und AWS Identity and Access Management (IAM) können Sie eine feinkörnige Zugriffskontrolle auf Spaltenebene über die Daten aufrechterhalten, die dem SAML-Benutzer zur Verfügung stehen. Mit den Athena-JDBC- und ODBC-Treibern ist ein Verbundzugriff für den Werkzeug- oder programmatischen Zugriff verfügbar.
Um Athena für den Zugriff auf eine von Lake Formation kontrollierte Datenquelle zu verwenden, müssen Sie den SAML 2.0-basierten Verbund aktivieren, indem Sie Ihre Identitätsanbieter- (IdP) - und AWS Identity and Access Management (IAM) -Rollen konfigurieren. Die detaillierten Schritte finden Sie unter [Tutorial: Konfigurieren Sie den Verbundzugriffs für Okta-Benutzer auf Athena mithilfe von Lake-Formation und JDBC](security-athena-lake-formation-jdbc-okta-tutorial.md).
## Voraussetzungen
Um Amazon Athena und Lake Formation für den Verbundzugriff zu verwenden, müssen Sie die folgenden Anforderungen erfüllen:
+ Sie verwalten Ihre Unternehmensidentitäten mit einem vorhandenen SAML-basierten Identitätsanbieter wie Okta oder Microsoft Active Directory Federation Services (AD FS).
+ Sie verwenden den als Metadatenspeicher AWS Glue Data Catalog .
+ Sie definieren und verwalten Berechtigungen in Lake Formation, um auf Datenbanken, Tabellen und Spalten in AWS Glue Data Catalog zuzugreifen. Weitere Informationen finden Sie im [AWS Lake Formation -Entwicklerhandbuch](https://docs.aws.amazon.com/lake-formation/latest/dg/).
+ Sie verwenden Version 2.0.14 oder höher des [Athena-JDBC-Treibers](https://docs.aws.amazon.com/athena/latest/ug/connect-with-jdbc.html) oder Version 1.1.3 oder höher des [Athena-ODBC-Treibers](connect-with-odbc.md).
## Überlegungen und Einschränkungen
Wenn Sie den Athena JDBC- oder ODBC-Treiber und Lake Formation verwenden, um den Verbundzugriff auf Athena zu konfigurieren, beachten Sie folgende Punkte:
+ Derzeit unterstützen der Athena-JDBC-Treiber und ODBC-Treiber die Identitätsanbieter Okta und Microsoft Active Directory Federation Services AD FS (AD FS). Obwohl der Athena JDBC-Treiber über eine generische SAML-Klasse verfügt, die erweitert werden kann, um andere Identitätsanbieter zu verwenden, kann die Unterstützung für benutzerdefinierte Erweiterungen, die die Verwendung anderer Identitätsanbieter (IdPs) mit Athena ermöglichen, eingeschränkt sein.
+ Der Verbundzugriff mithilfe der JDBC- und ODBC-Treiber ist nicht mit dem Feature zur Weitergabe vertrauenswürdiger Identitäten von IAM Identity Center kompatibel.
+ Derzeit können Sie die Athena-Konsole nicht verwenden, um die Unterstützung für IdP - und SAML-Verwendung mit Athena zu konfigurieren. Um diese Unterstützung zu konfigurieren, verwenden Sie den Identitätsanbieter von Drittanbietern, die Verwaltungskonsolen Lake Formation und IAM sowie den JDBC- oder ODBC-Treiberclient.
+ Sie sollten die [SAML-2.0-Spezifikation](https://www.oasis-open.org/standards#samlv2.0) und ihre Funktionsweise mit Ihrem Identitätsanbieter verstehen, bevor Sie Ihren Identitätsanbieter und SAML für die Verwendung mit Lake Formation und Athena konfigurieren.
+ SAML-Anbieter und die Athena JDBC- und ODBC-Treiber werden von Drittanbietern bereitgestellt, sodass der Support bei Problemen im Zusammenhang mit ihrer Verwendung möglicherweise eingeschränkt ist. AWS
**Topics**
+ [Voraussetzungen](#security-athena-lake-formation-jdbc-prerequisites)
+ [Überlegungen und Einschränkungen](#security-athena-lake-formation-jdbc-considerations-and-limitations)
+ [Tutorial: Konfigurieren Sie den Verbundzugriffs für Okta-Benutzer auf Athena mithilfe von Lake-Formation und JDBC](security-athena-lake-formation-jdbc-okta-tutorial.md)
# Tutorial: Konfigurieren Sie den Verbundzugriffs für Okta-Benutzer auf Athena mithilfe von Lake-Formation und JDBC
Dieses Tutorial zeigt Ihnen, wie Sie Okta AWS Lake Formation, AWS Identity and Access Management Berechtigungen und den Athena JDBC-Treiber konfigurieren, um die SAML-basierte Verbundnutzung von Athena zu ermöglichen. Lake Formation bietet eine differenzierte Zugriffssteuerung über die Daten, die in Athena für den SAML-basierten Benutzer verfügbar sind. Um diese Konfiguration einzurichten, verwendet das Tutorial die Okta-Entwicklerkonsole, die AWS IAM- und Lake Formation Formation-Konsolen sowie das Workbench/J SQL-Tool.
**Voraussetzungen**
In diesem Tutorial wird davon ausgegangen, dass Sie Folgendes gemacht haben:
+ Erstellt ein Amazon-Web-Services-Konto. Um ein Konto zu erstellen, besuchen Sie die [Amazon-Web-Services-Homepage](https://aws.amazon.com/).
+ [Einrichten eines Speicherorts für Abfrageergebnisse](query-results-specify-location.md) für Athena in Amazon S3.
+ [Registrierte einen Amazon-S3-Daten-Bucket-Standort](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html) bei Lake Formation.
+ Definiert eine [Datenbank](https://docs.aws.amazon.com/glue/latest/dg/define-database.html) und [Tabellen](https://docs.aws.amazon.com/glue/latest/dg/tables-described.html) im [AWS Glue Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html), die auf Ihre Daten in Amazon S3 verweisen.
+ Wenn Sie noch keine Tabelle definiert haben, [führen Sie entweder einen AWS Glue Crawler](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html) aus oder [verwenden Sie Athena, um eine Datenbank und eine oder mehrere Tabellen für die Daten zu definieren](work-with-data.md), auf die Sie zugreifen möchten.
+ In diesem Tutorial wird eine Tabelle verwendet, die auf dem [Datensatz für NYC-Taxifahrten](https://registry.opendata.aws/nyc-tlc-trip-records-pds/) basiert, der in der [Registry der offenen Daten auf AWS](https://registry.opendata.aws/) verfügbar ist. Das Tutorial verwendet den Datenbanknamen `tripdb` und den Tabellennamen `nyctaxi`.
**Topics**
+ [Schritt 1: Erstellen eines Okta-Kontos](#security-athena-lake-formation-jdbc-okta-tutorial-step-1-create-an-okta-account)
+ [Schritt 2: Hinzufügen von Benutzern und Gruppen zu Okta](#security-athena-lake-formation-jdbc-okta-tutorial-step-2-set-up-an-okta-application-for-saml-authentication)
+ [Schritt 3: Einrichten einer Okta-Anwendung für SAML-Authentifizierung](#security-athena-lake-formation-jdbc-okta-tutorial-step-3-set-up-an-okta-application-for-saml-authentication)
+ [Schritt 4: Erstellen Sie einen AWS SAML-Identitätsanbieter und eine IAM-Rolle für den Zugriff auf Lake Formation](#security-athena-lake-formation-jdbc-okta-tutorial-step-4-create-an-aws-saml-identity-provider-and-lake-formation-access-IAM-role)
+ [Schritt 5: IAM-Rolle und SAML-Identitätsanbieter zur Okta-Anwendung hinzufügen](#security-athena-lake-formation-jdbc-okta-tutorial-step-5-update-the-okta-application-with-the-aws-role-and-saml-identity-provider)
+ [Schritt 6: Erteilen Sie Benutzer- und Gruppenberechtigungen über AWS Lake Formation](#security-athena-lake-formation-jdbc-okta-tutorial-step-6-grant-permissions-through-aws-lake-formation)
+ [Schritt 7: Überprüfen des Zugriffs über den Athena-JDBC-Client](#security-athena-lake-formation-jdbc-okta-tutorial-step-7-verify-access-through-athena-jdbc-client)
+ [Schlussfolgerung](#security-athena-lake-formation-jdbc-okta-tutorial-conclusion)
+ [Zugehörige Ressourcen](#security-athena-lake-formation-jdbc-okta-tutorial-related-resources)
## Schritt 1: Erstellen eines Okta-Kontos
In diesem Tutorial wird Okta als SAML-basierten Identitätsanbieter verwendet. Wenn Sie noch kein Okta-Konto besitzen, können Sie ein kostenloses erstellen. Ein Okta-Konto ist erforderlich, damit Sie eine Okta-Anwendung für die SAML-Authentifizierung erstellen können.
**So erstellen Sie ein Okta-Konto**
1. Um Okta zu verwenden, navigieren Sie zur [Anmeldeseite für Okta-Entwickler](https://developer.okta.com/signup/) und erstellen Sie ein kostenloses Okta-Testkonto. Der Developer Edition Service ist bis zu den von Okta unter [developer.okta.com/pricing](https://developer.okta.com/pricing) angegebenen Grenzen kostenlos.
1. Wenn Sie die Aktivierungs-E-Mail erhalten, aktivieren Sie Ihr Konto.
Ihnen wird ein Okta-Domain-Name zugewiesen. Speichern Sie den Domain-Namen als Referenz. Später verwenden Sie den Domainnamen (**) in der JDBC-Zeichenfolge, die eine Verbindung zu Athena herstellt.
## Schritt 2: Hinzufügen von Benutzern und Gruppen zu Okta
In diesem Schritt verwenden Sie die Okta-Konsole, um die folgenden Aufgaben auszuführen:
+ Erstellen Sie zwei Okta-Benutzer.
+ Erstellen von zwei Okta-Gruppen
+ Fügen Sie jeder Okta-Gruppe einen Okta-Benutzer hinzu.
**So fügen Sie Okta Benutzer hinzu**
1. Nachdem Sie Ihr Okta-Konto aktiviert haben, melden Sie sich als Administrator bei der zugewiesenen Okta-Domain an.
1. Wählen Sie im linken Navigationsbereich **Verzeichnis** und dann **Personen** aus.
1. Wählen Sie **Person hinzufügen**, um einen neuen Benutzer hinzuzufügen, der über den JDBC-Treiber auf Athena zugreift.
![\[Wählen Sie Person hinzufügen aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-3.png)
1. Geben Sie im Dialogfeld **Person hinzufügen** die erforderlichen Informationen ein.
+ Geben Sie die Werte für **Vorname** und **Nachname** ein. In diesem Tutorial wird ein *athena-okta-user* verwendet.
+ Geben Sie einen **Benutzernamen** und eine **primäre E-Mail-Adresse** ein. In diesem Tutorial wird ein *athena-okta-user@anycompany.com* verwendet.
+ Wählen Sie für **Passwort** die Option **Von Administrator festgelegt** aus und geben Sie dann ein Passwort ein. In diesem Tutorial wird die Option für **Benutzer muss Kennwort bei der ersten Anmeldung ändern** deaktiviert; Ihre Sicherheitsanforderungen können variieren.
![\[Hinzufügen eines Benutzers zur Okta-Anwendung\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4.png)
1. Wählen Sie **Save and Add Another** (Speichern und weitere hinzufügen).
1. Geben Sie die Informationen für einen anderen Benutzer ein. In diesem Beispiel wird der Business Analyst-Benutzer hinzugefügt. *athena-ba-user@anycompany.com*
![\[Hinzufügen eines Benutzers zur Okta-Anwendung\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4a.png)
1. Wählen Sie **Save** (Speichern) aus.
Im folgenden Verfahren gewähren Sie über den Athena-JDBC-Treiber Zugriff für zwei Okta-Gruppen, indem Sie eine Gruppe „Business Analysts“ und eine Gruppe „Entwickler“ hinzufügen.
**So fügen Sie Okta-Gruppen hinzu**
1. Wählen Sie im Okta-Navigationsbereich **Verzeichnis** und dann **Gruppen** aus.
1. Wählen Sie auf der Seite **Gruppen** die Option **Gruppe hinzufügen** aus.
![\[Wählen Sie Add Group (Gruppe hinzufügen).\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4c.png)
1. Geben Sie im Dialogfeld **Gruppe hinzufügen** die erforderlichen Informationen ein.
+ Geben Sie unter **Name** *lf-business-analyst* ein.
+ Geben Sie als **Gruppenbeschreibung** den Wert ein*Business Analysts*.
![\[Hinzufügen einer Okta-Gruppe\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4d.png)
1. Wählen Sie **Add Group** (Gruppe hinzufügen).
1. Wählen Sie auf der Seite **Gruppen** erneut **Gruppe hinzufügen** aus. Dieses Mal geben Sie Informationen für die Entwicklergruppe ein.
1. Geben Sie die erforderlichen Informationen ein.
+ Geben Sie unter **Name** *lf-developer* ein.
+ Geben Sie als **Gruppenbeschreibung** ein*Developers*.
1. Wählen Sie **Add Group** (Gruppe hinzufügen).
Nachdem Sie zwei Benutzer und zwei Gruppen haben, können Sie jeder Gruppe einen Benutzer hinzufügen.
**So fügen Sie Benutzer Gruppen hinzu**
1. Wählen Sie auf der Seite **Gruppen** die soeben erstellte **lf-developer**-Gruppe aus. Sie fügen dieser Gruppe einen der Okta-Benutzer hinzu, die Sie als Entwickler erstellt haben.
![\[Wählen Sie lf-developer.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4f.png)
1. Wählen Sie **Manage People** (Verwalten von Personen).
![\[Wählen Sie Manage People (Verwalten von Personen).\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4g.png)
1. Wählen Sie in der Liste „**Keine Mitglieder**“ die Option aus **athena-okta-user**.
![\[Wählen Sie einen Benutzer aus, der zur Mitgliederliste hinzugefügt werden soll.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4h.png)
Der Eintrag für den Benutzer wird von der Liste **Keine Mitglieder** links in die Liste **Mitglieder** rechts verschoben.
![\[Okta-Benutzer zu einer Okta-Gruppe hinzugefügt.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4i.png)
1. Wählen Sie **Save** (Speichern) aus.
1. Wählen Sie **Zurück zur Gruppe** oder wählen Sie **Verzeichnis** und dann** Gruppen** aus.
1. Wählen Sie die **lf-business-analyst**Gruppe aus.
1. Wählen Sie **Manage People** (Verwalten von Personen).
1. Fügen Sie die **athena-ba-user**zur **Mitgliederliste** der **lf-business-analyst**Gruppe hinzu und wählen Sie dann **Speichern** aus.
1. Wählen Sie **Zurück zur Gruppe** oder wählen Sie **Verzeichnis**, **Gruppen**.
Auf der Seite **Gruppen** wird jetzt angezeigt, dass jede Gruppe einen Okta-Benutzer hat.
![\[Jeder Okta-Gruppe in der Okta-Konsole wurde ein Benutzer hinzugefügt.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4j.png)
## Schritt 3: Einrichten einer Okta-Anwendung für SAML-Authentifizierung
In diesem Schritt verwenden Sie die Okta-Entwicklerkonsole, um die folgenden Aufgaben auszuführen:
+ Fügen Sie eine SAML-Anwendung zur Verwendung mit AWS hinzu.
+ Weisen Sie die Anwendung dem Okta-Benutzer zu.
+ Weisen Sie die Anwendung einer Okta-Gruppe zu.
+ Laden Sie die resultierenden Metadaten des Identitätsanbieters zur späteren Verwendung mit AWS herunter.
**So fügen Sie eine Anwendung für die SAML-Authentifizierung hinzu**
1. Wählen Sie im Okta-Navigationsbereich **Anwendungen**, **Anwendungen**, damit Sie eine Okta-Anwendung für die SAML-Authentifizierung bei Athena konfigurieren können.
1. Klicken Sie auf **Browse App Catalog** (Durchsuchen von App-Katalog).
1. Geben Sie in das Suchfeld **Redshift** ein.
1. Wählen Sie **Amazon Web Services Redshift**. Die Okta-Anwendung in diesem Tutorial verwendet die vorhandene SAML-Integration für Amazon Redshift.
![\[Wählen Sie Amazon Web Services Redshift.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-7.png)
1. Wählen Sie auf der Seite **Amazon Web Services Redshift** **Hinzufügen** aus, um eine SAML-basierte Anwendung für Amazon Redshift zu erstellen.
![\[Wählen Sie Hinzufügen, um eine SAML-basierte Anwendung zu erstellen.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-8.png)
1. Geben Sie für **Anwendungsmarkierung** `Athena-LakeFormation-Okta` ein und wählen Sie dann **Fertig** aus.
![\[Geben Sie einen Namen für die Okta-Anwendung ein.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-9.png)
Nachdem Sie nun eine Okta-Anwendung erstellt haben, können Sie sie den von Ihnen erstellten Benutzern und Gruppen zuweisen.
**So weisen Sie die Anwendung Benutzern und Gruppen zu**
1. Wählen Sie auf der **Anwendungsseite** die **LakeFormationAthena-Okta-Anwendung** aus.
1. Wählen Sie auf der Registerkarte **Zuweisungen** **Zuweisen**, **Personen zuweisen**.
![\[Wählen Sie Zuweisen, Personen zuordnen.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-10.png)
1. Suchen **Sie im Dialogfeld „Personen Athena-LakeFormation-Okta zuweisen**“ nach dem **athena-okta-user**Benutzer, den Sie zuvor erstellt haben.
1. Wählen Sie **Zuordnen**, um den Benutzer der Anwendung zuzuordnen.
![\[Wählen Sie Assign (Zuweisen).\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-11.png)
1. Wählen Sie **Save and Go Back** (Speichern und zurückkehren).
1. Wählen Sie **Fertig** aus.
1. **Wählen Sie auf der Registerkarte **Zuweisungen** für die **LakeFormationAthena-Okta-Anwendung** die Optionen **Zuweisen, Zu Gruppen zuweisen** aus.**
1. **Wählen Sie für „**Zuweisen**“ **lf-business-analyst**, um die **LakeFormationAthena-Okta-Anwendung** der **lf-business-analyst**Gruppe zuzuweisen, und wählen Sie dann „Fertig“.**
![\[Zuweisen einer Okta-Anwendung zu einer Okta-Benutzergruppe\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-12b.png)
Die Gruppe wird in der Liste der Gruppen für die Anwendung angezeigt.
![\[Die Okta-Anwendung wird der Okta-Gruppe zugewiesen.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-12c.png)
Jetzt können Sie die Metadaten der Identitätsanbieteranwendung für die Verwendung mit AWS herunterladen.
**So laden Sie die Anwendungsmetadaten herunter**
1. Wählen Sie die Registerkarte **Sign On** (Anmelden) der Okta-Anwendung und klicken Sie dann mit der rechten Maustaste auf **Identity Provider metadata** (Metadaten des Identitätsanbieters).
![\[Klicken Sie mit der rechten Maustaste auf Identity Provider metadata (Metadaten des Identitätsanbieters).\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-13.png)
1. Wählen Sie **Save Link As** (Link speichern unter), um die Metadaten des Identitätsanbieters im XML-Format in einer Datei zu speichern. Geben Sie ihm einen Namen, den Sie kennen (z. B. `Athena-LakeFormation-idp-metadata.xml`).
![\[Speichern der Metadaten des Identitätsanbieters\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-14.png)
## Schritt 4: Erstellen Sie einen AWS SAML-Identitätsanbieter und eine IAM-Rolle für den Zugriff auf Lake Formation
In diesem Schritt verwenden Sie die AWS Identity and Access Management (IAM) -Konsole, um die folgenden Aufgaben auszuführen:
+ Erstellen Sie einen Identitätsanbieter für AWS.
+ Erstellen Sie eine IAM-Rolle für den Lake-Formation-Zugriff.
+ Fügen Sie der Rolle die AmazonAthenaFullAccess verwaltete Richtlinie hinzu.
+ Fügen Sie der Rolle eine Richtlinie für Lake Formation und AWS Glue hinzu.
+ Fügen Sie der Rolle eine Richtlinie für Athena-Abfrageergebnisse hinzu.
**Um einen AWS SAML-Identitätsanbieter zu erstellen**
1. Melden Sie sich bei der **Amazon Web Services **Services-Kontokonsole**** als **Amazon Web Services Services-Kontoadministrator** an und navigieren Sie zur **IAM-Konsole** ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)).
1. Wählen Sie im Navigationsbereich **Identitätsanbieter** und dann **Anbieter hinzufügen** aus.
1. Geben Sie auf dem Bildschirm **Anbieter konfigurieren** die folgenden Informationen ein:
+ Wählen Sie als **Anbietertyp** **SAML** aus.
+ Geben Sie für **Anbietername** `AthenaLakeFormationOkta` ein.
+ Verwenden Sie für das **Metadatendokument** die Option **Datei auswählen**, um die heruntergeladene XML-Metadatendatei des Identitätsanbieters (IdP) hochzuladen.
1. Wählen Sie **Add provider** (Anbieter hinzufügen).
Als Nächstes erstellen Sie eine IAM-Rolle für den AWS Lake Formation Zugriff. Sie fügen der Rolle zwei Inline-Richtlinien hinzu. Eine Richtlinie gewährt Berechtigungen für den Zugriff auf Lake Formation und die AWS Glue APIs. Die andere Richtlinie bietet Zugriff auf Athena und den Speicherort der Athena-Abfrageergebnisse in Amazon S3.
**Um eine IAM-Rolle für AWS Lake Formation den Zugriff zu erstellen**
1. Wählen Sie im Navigationsbereich der IAM-Konsole **Rollen** und dann **Rolle erstellen** aus.
1. Führen Sie auf der Seite **Rolle erstellen** die folgenden Schritte aus:
![\[Konfigurieren einer IAM-Rolle für die Verwendung von SAML 2.0.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-20.png)
1. Wählen Sie für **Typ der vertrauenswürdigen Entität auswählen** die Option **SAML-2.0-Verbund** aus.
1. Wählen Sie für **SAML-Anbieter** die Option aus. **AthenaLakeFormationOkta**
1. Wählen Sie für den **SAML-Anbieter** die Option **Programmatisch und Zugriff zulassen** aus. AWS-Managementkonsole
1. Wählen Sie **Next: Permissions** (Weiter: Berechtigungen) aus.
1. Geben Sie auf der Seite **Berechtigungsrichtlinien anhängen** für **Filterrichtlinien **Athena**** ein.
1. Wählen Sie die **AmazonAthenaFullAccess**verwaltete Richtlinie aus und klicken Sie dann auf **Weiter: Tags**.
![\[Anhängen der AmazonAthenaFullAccessverwalteten Richtlinie an die IAM-Rolle.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-21.png)
1. Wählen Sie auf der Seite **Add tags** (Tags hinzufügen) die Option **Next: Review** (Weiter: Prüfen) aus.
1. Geben Sie auf der Seite **Überprüfen** in das Feld **Rollenname** einen Namen für die Rolle ein (z. B.*Athena-LakeFormation-OktaRole*), und wählen Sie dann Rolle **erstellen** aus.
![\[Geben Sie einen Namen für die IAM-Rolle ein.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-22.png)
Als Nächstes fügen Sie Inline-Richtlinien hinzu, die den Zugriff auf Lake Formation- AWS Glue APIs und Athena-Abfrageergebnisse in Amazon S3 ermöglichen.
Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten IAM-Methoden befolgen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
**Um der Rolle für Lake Formation eine Inline-Richtlinie hinzuzufügen und AWS Glue**
1. Wählen Sie aus der Liste der Rollen in der IAM-Konsole die neu erstellte `Athena-LakeFormation-OktaRole`.
1. Wählen Sie auf der Seite **Zusammenfassung** für die Rolle auf der Registerkarte **Berechtigungen** die Option **Inline-Richtlinie hinzufügen** aus.
1. Wählen Sie auf der Seite **Create policy** (Richtlinie erstellen) die Option **JSON** aus.
1. Fügen Sie eine Inline-Richtlinie wie die folgende hinzu, die Zugriff auf Lake Formation und die bietet AWS Glue APIs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateDatabase",
"glue:GetUserDefinedFunction",
"glue:GetUserDefinedFunctions"
],
"Resource": "*"
}
}
```
------
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter ** Name** einen Namen für die Richtlinie ein (z. B. **LakeFormationGlueInlinePolicy**).
1. Wählen Sie **Create Policy** (Richtlinie erstellen) aus.
**So fügen Sie der Rolle für den Speicherort der Athena Abfrageergebnisse eine Inline-Richtlinie hinzu**
1. Wählen Sie auf der Seite **Zusammenfassung** für die `Athena-LakeFormation-OktaRole`-Rolle auf der Registerkarte **Berechtigungen** die Option **Inline-Richtlinie hinzufügen** aus.
1. Wählen Sie auf der Seite **Create policy** (Richtlinie erstellen) die Option **JSON** aus.
1. Fügen Sie eine Inline-Richtlinie wie die folgende hinzu, die der Rolle Zugriff auf den Speicherort der Athena-Abfrageergebnisse ermöglicht. Ersetzen Sie die ** Platzhalter im Beispiel durch den Namen Ihres Amazon S3 S3-Buckets.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AthenaQueryResultsPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
}
]
}
```
------
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter ** Name** einen Namen für die Richtlinie ein (z. B. **AthenaQueryResultsInlinePolicy**).
1. Wählen Sie **Create Policy** (Richtlinie erstellen) aus.
Als Nächstes kopieren Sie den ARN der Lake Formation-Zugriffsrolle und den ARN des von Ihnen erstellten SAML-Anbieters. Diese sind erforderlich, wenn Sie die Okta-SAML-Anwendung im nächsten Abschnitt des Lernprogramms konfigurieren.
**So kopieren Sie den Rollen-ARN und den SAML-Identitätsanbieter-ARN**
1. Wählen Sie in der IAM-Konsole auf der Seite **Zusammenfassung** für die `Athena-LakeFormation-OktaRole`-Rolle das Symbol **In Zwischenablage kopieren** neben **Rollen-ARN** aus. Der ARN hat das folgende Format:
```
arn:aws:iam:::role/Athena-LakeFormation-OktaRole
```
1. Speichern Sie den vollständigen ARN sicher für einen späteren Verweis.
1. Wählen Sie im Navigationsbereich der IAM-Konsole **Identitätsanbieter** aus.
1. Wählen Sie den **AthenaLakeFormationOkta**Anbieter.
1. Wählen Sie auf der Seite **Zusammenfassung** neben **Anbieter-ARN** das Symbol **In Zwischenablage kopieren** aus. Der ARN sollte wie folgt aussehen:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta
```
1. Speichern Sie den vollständigen ARN sicher für einen späteren Verweis.
## Schritt 5: IAM-Rolle und SAML-Identitätsanbieter zur Okta-Anwendung hinzufügen
In diesem Schritt kehren Sie zur Okta-Entwicklerkonsole zurück und führen die folgenden Aufgaben aus:
+ Fügen Sie der Okta-Anwendung Benutzer- und Gruppen-Lake-Formation-URL-Attribute hinzu.
+ Fügen Sie der Okta-Anwendung den ARN für den Identitätsanbieter und den ARN für die IAM-Rolle hinzu.
+ Kopieren Sie die Okta-Anwendungs-ID. Die Okta-Anwendungs-ID ist im JDBC-Profil erforderlich, das eine Verbindung zu Athena herstellt.
**So fügen Sie der Okta-Anwendung Benutzer- und Gruppen-URL-Attribute für Lake Formation hinzu**
1. Melden Sie sich bei der Okta-Entwicklerkonsole an.
1. Wählen Sie die Registerkarte **Anwendungen** und dann die `Athena-LakeFormation-Okta`-Anwendung aus.
1. Wählen Sie auf der Registerkarte **Sign On** (Anmelden) für die Anwendung und dann **Edit** (Bearbeiten).
![\[Bearbeiten Sie die Okta-Anwendung.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-24.png)
1. Wählen Sie **Attribute (optional)**, um es zu erweitern.
![\[Hinzufügen eines Benutzer-Lake-Formation-URL-Attributs zur Okta-Anwendung.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-25.png)
1. Fügen Sie für **Attributanweisungen (optional)** das folgende Attribut hinzu:
+ Geben Sie unter **Name** **https://lakeformation.amazon.com/SAML/Attributes/Username** ein.
+ Geben Sie für **Wert** **user.login** ein
1. Fügen Sie unter **Gruppenattributanweisungen (optional)** das folgende Attribut hinzu:
+ Geben Sie unter **Name** **https://lakeformation.amazon.com/SAML/Attributes/Groups** ein.
+ Geben Sie für **Namensformat** **Basic** ein
+ Wählen Sie für **Filter** die Option **Entspricht Regex** und geben Sie dann **.\$1** in das Filterfeld ein.
![\[Hinzufügen eines Gruppenattributs der Lake Formation zur Okta-Anwendung.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-25a.png)
1. Scrollen Sie nach unten zum Abschnitt **Erweiterte Anmeldeeinstellungen**, in dem Sie der Okta-Anwendung den Identitätsanbieter und die IAM-Rolle ARNs hinzufügen.
**Um die Rolle ARNs für den Identitätsanbieter und die IAM-Rolle zur Okta-Anwendung hinzuzufügen**
1. Geben Sie für **Idp-ARN und Rollen-ARN** den AWS Identitätsanbieter-ARN und den Rollen-ARN als kommagetrennte Werte im Format**, ein. ** Die kombinierte Zeichenfolge sollte wie folgt aussehen:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta,arn:aws:iam:::role/Athena-LakeFormation-OktaRole
```
![\[Eingabe des Identitätsanbieter-ARN und des IAM-Rollen-ARN in der Okta-Anwendung.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-26.png)
1. Wählen Sie **Save** (Speichern) aus.
Als Nächstes kopieren Sie die Okta-Anwendungs-ID. Sie benötigen dies später für die JDBC-Zeichenfolge, die sich mit Athena verbindet.
**So suchen und kopieren Sie die Okta-Anwendung-ID**
1. Wählen Sie das Symbol **Allgemein** der Okta-Anwendung.
![\[Wählen Sie das Symbol Allgemein der Okta-Anwendung.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-27.png)
1. Scrollen Sie nach unten zum Abschnitt **App-Einbettungslink**.
1. Kopieren Sie von **Embed Link** (Link einbetten) aus den Okta-Anwendungs-ID-Teil der URL und speichern Sie ihn sicher. Die Okta-Anwendungs-ID ist der Teil der URL nach `amazon_aws_redshift/`, aber vor dem nächsten Schrägstrich. Wenn die URL beispielsweise `amazon_aws_redshift/aaa/bbb` enthält, lautet die Anwendungs-ID `aaa`.
![\[Kopieren Sie die ID der Okta-Anwendung.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-28.png)
**Anmerkung**
Sie können den Einbettungslink nicht verwenden, um sich direkt bei der Athena-Konsole anzumelden, um Datenbanken anzuzeigen. Die Lake-Formation-Berechtigungen für SAML-Benutzer und -Gruppen werden nur erkannt, wenn Sie den JDBC- oder ODBC-Treiber verwenden, um Anfragen an Athena zu senden. Um die Datenbanken anzuzeigen, können Sie das Workbench/J SQL-Tool verwenden, das den JDBC-Treiber verwendet, um eine Verbindung zu Athena herzustellen. Das Workbench/J SQL-Tool wird unter behandelt. [Schritt 7: Überprüfen des Zugriffs über den Athena-JDBC-Client](#security-athena-lake-formation-jdbc-okta-tutorial-step-7-verify-access-through-athena-jdbc-client)
## Schritt 6: Erteilen Sie Benutzer- und Gruppenberechtigungen über AWS Lake Formation
In diesem Schritt verwenden Sie die Lake-Formation-Konsole, um dem SAML-Benutzer und der SAML-Gruppe Berechtigungen für eine Tabelle zu erteilen. Sie können folgende Aufgaben ausführen:
+ Geben Sie den ARN des Okta SAML-Benutzers und die zugehörigen Benutzerberechtigungen für die Tabelle an.
+ Geben Sie den ARN der Okta SAML-Gruppe und die zugehörigen Gruppenberechtigungen für die Tabelle an.
+ Überprüfen Sie die Berechtigungen, die Sie erteilt haben.
**So erteilen Sie dem Okta-Benutzer Berechtigungen in Lake Formation**
1. Melden Sie sich als Data-Lake-Administrator bei der AWS-Managementkonsole an.
1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Wählen Sie im Navigationsbereich **Tabellen** aus, und wählen Sie dann die Tabelle aus, für die Sie Berechtigungen erteilen möchten. Dieses Tutorial verwendet die `nyctaxi`-Tabelle aus der `tripdb`-Datenbank.
![\[Wählen Sie die Tabelle aus, für die Sie Berechtigungen erteilen möchten.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-29.png)
1. Wählen Sie unter **Aktionen** die Option **Gewähren** aus.
![\[Wählen Sie Gewähren.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-30.png)
1. Geben Sie im Dialogfeld **Berechtigungen gewähren** die folgenden Informationen ein:
1. Geben Sie unter **SAML- und Amazon Quick-Benutzer und -Gruppen** den Okta-SAML-Benutzer-ARN im folgenden Format ein:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta:user/@
```
1. Wählen Sie für **Spalten** für **Filtertyp auswählen** und optional **Spalten einschließen** oder **Spalten ausschließen** aus.
1. Verwenden Sie das Dropdown-Menü **Eine oder mehrere Spalten auswählen** unter dem Filter, um die Spalten anzugeben, die Sie für den Benutzer ein- oder ausschließen möchten.
1. Wählen Sie für **Tabellenberechtigungen** die Option **Auswählen** aus. Dieses Tutorial gewährt nur die `SELECT`-Berechtigung; Ihre Anforderungen können variieren.
![\[Erteilen von Berechtigungen auf Tabellen- und Spaltenebene an einen Okta-Benutzer.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-31.png)
1. Wählen Sie **Gewähren**.
Jetzt führen Sie ähnliche Schritte für die Okta-Gruppe aus.
**So erteilen Sie Berechtigungen in Lake Formation für die Okta-Gruppe**
1. Stellen Sie auf der Seite **Tabellen** der Lake-Formation-Konsole sicher, dass die **nyctaxi**-Tabelle noch ausgewählt ist.
1. Wählen Sie unter **Aktionen** die Option **Gewähren** aus.
1. Geben Sie im Dialogfeld **Berechtigungen gewähren** die folgenden Informationen ein:
1. Geben Sie unter **SAML- und Amazon Quick-Benutzer und -Gruppen** den Okta-SAML-Gruppen-ARN im folgenden Format ein:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta:group/lf-business-analyst
```
1. Wählen Sie für **Spalten**, **Filtertyp auswählen**, **Spalten einschließen** aus.
1. Wählen Sie für **Eine oder mehrere Spalten auswählen** die ersten drei Spalten der Tabelle aus.
1. Wählen Sie für **Tabellenberechtigungen** die zu erteilenden spezifischen Zugriffsberechtigungen aus. Dieses Tutorial gewährt nur die `SELECT`-Berechtigung; Ihre Anforderungen können variieren.
![\[Erteilen von Tabellenberechtigungen für eine Okta-Gruppe\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-31b.png)
1. Wählen Sie **Gewähren**.
1. Um die von Ihnen erteilten Berechtigungen zu überprüfen, wählen Sie **Aktionen**, **Berechtigungen anzeigen**.
![\[Wählen Sie Berechtigungen anzeigen aus, um die erteilten Berechtigungen zu überprüfen.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-32.png)
Auf der Seite mit den **Datenberechtigungen** für die `nyctaxi` Tabelle werden die Berechtigungen für **athena-okta-user**und die Gruppe angezeigt. **lf-business-analyst**
![\[Anzeigen der Berechtigungen, die dem Okta-Benutzer und der Gruppe erteilt wurden.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-33.png)
## Schritt 7: Überprüfen des Zugriffs über den Athena-JDBC-Client
Jetzt können Sie einen JDBC-Client verwenden, um eine Testverbindung mit Athena als Okta-SAML-Benutzer durchzuführen.
In diesem Abschnitt führen Sie die folgenden Aufgaben aus:
+ Vorbereiten des Testclients – Laden Sie den Athena-JDBC-Treiber herunter, installieren Sie SQL Workbench und fügen Sie den Treiber zu Workbench hinzu. In diesem Lernprogramm wird SQL Workbench verwendet, um über Okta-Authentifizierung auf Athena zuzugreifen und Lake-Formation-Berechtigungen zu überprüfen.
+ In SQL Workbench:
+ Erstellen Sie eine Verbindung für den Athena-Okta-Benutzer.
+ Führen Sie Testabfragen als Athena-Okta-Benutzer aus.
+ Erstellen und testen Sie eine Verbindung für den Benutzer des Business Analyst.
+ Fügen Sie in der Okta-Konsole den Business-Analyst-Benutzer der Entwicklergruppe hinzu.
+ Konfigurieren Sie in der Lake-Formation-Konsole Tabellenberechtigungen für die Entwicklergruppe.
+ Führen Sie in SQL Workbench Testabfragen als Business-Analyst-Benutzer aus und überprüfen Sie, wie sich die Änderung der Berechtigungen auf die Ergebnisse auswirkt.
**So bereiten Sie den Test-Client vor**
1. Laden Sie den Lake-Formation-kompatiblen Athena-JDBC-Treiber (2.0.14 oder höher) von [Verbindung zu Amazon Athena mit JDBC herstellen](connect-with-jdbc.md) herunter und extrahieren Sie ihn.
1. Laden Sie das kostenlose [SQL Workbench/J](https://www.sql-workbench.eu/index.html) SQL-Abfragetool herunter und installieren Sie es, das unter einer modifizierten Apache-2.0-Lizenz verfügbar ist.
1. Wählen Sie in SQL Workbench die Optionen **Datei** und **Treiber verwalten** aus.
![\[Wählen Sie Manage Drivers aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-1.png)
1. Führen Sie im Dialogfeld **Treiber verwalten** die folgenden Schritte aus:
1. Wählen Sie das Symbol für den neuen Treiber.
1. Geben Sie unter **Name** **Athena** ein.
1. Navigieren Sie für **Bibliothek** zu der `.jar`-Simba-Athena-JDBC-Datei, die Sie gerade heruntergeladen haben und wählen Sie sie aus.
1. Wählen Sie **OK**.
![\[Hinzufügen des Athena-JDBC-Treibers zu SQL Workbench.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-2.png)
Sie können nun eine Verbindung für den Athena-Okta-Benutzer erstellen und testen.
**So erstellen Sie eine Verbindung für den Okta-Benutzer**
1. Wählen Sie **Datei**, **Verbindungsfenster**.
![\[Wählen Sie Verbindungsfenster.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-3.png)
1. Erstellen Sie im Dialogfeld **Verbindungsprofil** eine Verbindung, indem Sie die folgenden Informationen eingeben:
+ Geben Sie im Feld Name **Athena\$1Okta\$1User\$1Connection** ein.
+ Wählen Sie als **Treiber** den Simba-Athena-JDBC-Treiber aus.
+ Führen Sie für **URL** einen der folgenden Schritte aus:
+ Um eine Verbindungs-URL zu verwenden, geben Sie eine einzeilige Verbindungszeichenfolge ein. Das folgende Beispiel fügt Zeilenumbrüche für eine bessere Lesbarkeit hinzu.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
AwsCredentialsProviderClass=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider;
user=athena-okta-user@anycompany.com;
password=password;
idp_host=okta-idp-domain;
App_ID=okta-app-id;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
+ Gehen Sie wie folgt vor, um eine AWS profilbasierte URL zu verwenden:
1. Konfigurieren Sie ein [AWS Profil](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html) mit einer AWS Anmeldeinformationsdatei wie im folgenden Beispiel.
```
[athena_lf_dev]
plugin_name=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider
idp_host=okta-idp-domain
app_id=okta-app-id
uid=athena-okta-user@anycompany.com
pwd=password
```
1. Geben Sie für **URL** eine einzeilige Verbindungszeichenfolge wie im folgenden Beispiel ein. Das Beispiel fügt Zeilenumbrüche für eine bessere Lesbarkeit hinzu.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
profile=athena_lf_dev;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
Beachten Sie, dass diese Beispiele grundlegende Darstellungen der URL sind, die zum Herstellen einer Verbindung mit Athena erforderlich ist. Eine vollständige Liste der in der URL unterstützten Parameter finden Sie in [JDBC-Dokumentation](connect-with-jdbc.md).
Das folgende Image zeigt ein SQL-Workbench-Verbindungsprofil, das eine Verbindungs-URL verwendet.
![\[Ein Verbindungsprofil in SQL Workbench.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-4.png)
Nachdem Sie eine Verbindung für den Okta-Benutzer hergestellt haben, können Sie diese testen, indem Sie einige Daten abrufen.
**So testen Sie die Verbindung für den Okta-Benutzer**
1. Wählen Sie **Test** (Testen) und überprüfen Sie dann, ob die Verbindung erfolgreich ist.
1. Führen Sie im Fenster SQL-Workbench-**Anweisung** den folgenden SQL-Befehl `DESCRIBE` aus. Stellen Sie sicher, dass alle Spalten angezeigt werden.
```
DESCRIBE "tripdb"."nyctaxi"
```
![\[Alle Spalten werden angezeigt.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-5.png)
1. Führen Sie im Fenster SQL-Workbench-**Anweisung** den folgenden SQL-Befehl `SELECT` aus. Stellen Sie sicher, dass alle Spalten angezeigt werden.
```
SELECT * FROM tripdb.nyctaxi LIMIT 5
```
![\[Stellen Sie sicher, dass alle Spalten angezeigt werden.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-6.png)
Als Nächstes überprüfen Sie **athena-ba-user**, ob der als Mitglied der **lf-business-analyst**Gruppe nur Zugriff auf die ersten drei Spalten der Tabelle hat, die Sie zuvor in Lake Formation angegeben haben.
**Um den Zugriff für die zu überprüfen **athena-ba-user****
1. Erstellen Sie in SQL Workbench im Dialogfeld **Verbindungsprofil** ein weiteres Verbindungsprofil.
+ Geben Sie als Verbindungsprofilnamen ** Athena\$1Okta\$1Group\$1Connection** ein.
+ Wählen Sie für **Treiber** den Simba-Athena-JDBC-Treiber aus.
+ Führen Sie für **URL** einen der folgenden Schritte aus:
+ Um eine Verbindungs-URL zu verwenden, geben Sie eine einzeilige Verbindungszeichenfolge ein. Das folgende Beispiel fügt Zeilenumbrüche für eine bessere Lesbarkeit hinzu.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
AwsCredentialsProviderClass=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider;
user=athena-ba-user@anycompany.com;
password=password;
idp_host=okta-idp-domain;
App_ID=okta-application-id;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
+ Gehen Sie wie folgt vor, um eine AWS profilbasierte URL zu verwenden:
1. Konfigurieren Sie ein AWS Profil mit einer Anmeldeinformationsdatei wie im folgenden Beispiel.
```
[athena_lf_ba]
plugin_name=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider
idp_host=okta-idp-domain
app_id=okta-application-id
uid=athena-ba-user@anycompany.com
pwd=password
```
1. Geben Sie für **URL** eine einzeilige Verbindungszeichenfolge wie im Folgenden ein. Das Beispiel fügt Zeilenumbrüche für eine bessere Lesbarkeit hinzu.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
profile=athena_lf_ba;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
1. Wählen Sie **Testen**, um zu bestätigen, dass die Verbindung erfolgreich ist.
1. Führen Sie im Fenster **SQL-Anweisung** dieselben `DESCRIBE`- und `SELECT`-SQL-Befehle wie zuvor aus, und überprüfen Sie die Ergebnisse.
Da **athena-ba-user**es ein Mitglied der **lf-business-analyst**Gruppe ist, werden nur die ersten drei Spalten zurückgegeben, die Sie in der Lake Formation Formation-Konsole angegeben haben.
![\[Es werden nur die ersten drei Spalten zurückgegeben.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-7.png)
![\[Daten aus den ersten drei Spalten.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-8.png)
Als nächstes kehren Sie zur Okta-Konsole zurück, um den `athena-ba-user` zur `lf-developer`-Okta-Gruppe hinzuzufügen.
**Um das athena-ba-user zur Gruppe lf-developer hinzuzufügen**
1. Melden Sie sich bei der Okta-Konsole als Administrator der zugewiesenen Okta-Domain an.
1. Wählen Sie **Verzeichnis** und dann **Gruppen** aus.
1. Wählen Sie auf der Seite Gruppen die Gruppe **lf-developer** aus.
![\[Wählen Sie die lf-developer-Gruppe.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-9.png)
1. Wählen Sie **Manage People** (Verwalten von Personen).
1. Wählen Sie aus der Liste „**Keine Mitglieder**“ die aus, **athena-ba-user**um sie der Gruppe **lf-developer** hinzuzufügen.
1. Wählen Sie **Speichern**.
Nun kehren Sie zur Lake Formation-Konsole zurück, um die Tabellenberechtigungen für die **lf-developer**-Gruppe zu konfigurieren.
**Um Tabellenberechtigungen für die zu konfigurieren lf-developer-group**
1. Melden Sie sich als Data-Lake-Administrator bei der Lake-Formation-Konsole an.
1. Wählen Sie im Navigationsbereich **Tables** (Tabellen) aus.
1. Wählen Sie die **nyctaxi**-Tabelle aus.
1. Wählen Sie **Aktionen**, **Gewähren**.
1. Geben Sie im Dialogfeld **Berechtigungen gewähren** die folgenden Informationen ein:
+ Geben Sie für **SAML- und Amazon Quick-Benutzer und -Gruppen** den Okta SAML lf-developer group ARN im folgenden Format ein:
+ Wählen Sie für **Spalten**, **Filtertyp auswählen**, **Spalten einschließen** aus.
+ Wählen Sie die Spalte **trip\$1type** aus.
+ Wählen Sie für **Tabellenberechtigungen** die Option **Auswählen** aus.
1. Wählen Sie **Gewähren**.
Jetzt können Sie SQL Workbench verwenden, um die Änderung der Berechtigungen für die **lf-developer**-Gruppe zu überprüfen. **Die Änderung sollte sich in den Daten widerspiegeln **athena-ba-user**, die jetzt Mitglied der LF-Developer-Gruppe sind.**
**Um die Änderung der Berechtigungen für zu überprüfen athena-ba-user**
1. Schließen Sie das SQL-Workbench-Programm und öffnen Sie es dann erneut.
1. Connect zum Profil für her **athena-ba-user**.
1. Geben Sie im **Anweisung**sfenster dieselben SQL-Anweisungen aus, die Sie zuvor ausgeführt haben:
Dieses Mal wird die Spalte **trip\$1type** angezeigt.
![\[Die vierte Spalte ist für die Abfrage verfügbar.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-10.png)
Da **athena-ba-user**es jetzt sowohl Mitglied von **lf-developer** als auch von **lf-business-analyst**groups ist, bestimmt die Kombination der Lake Formation Formation-Berechtigungen für diese Gruppen, welche Spalten zurückgegeben werden.
![\[Die vierte Spalte in den Datenergebnissen.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-11.png)
## Schlussfolgerung
In diesem Tutorial haben Sie die Athena-Integration AWS Lake Formation mit Okta als SAML-Anbieter konfiguriert. Sie haben Lake Formation und IAM verwendet, um die Ressourcen zu steuern, die dem SAML-Benutzer in Ihrem Data AWS Glue Lake-Datenkatalog zur Verfügung stehen.
## Zugehörige Ressourcen
Weitere Informationen finden Sie in den folgenden Ressourcen.
+ [Verbindung zu Amazon Athena mit JDBC herstellen](connect-with-jdbc.md)
+ [Verbund-Zugriff auf die Athena-API aktivieren](access-federation-saml.md)
+ [AWS Lake Formation Entwicklerhandbuch](https://docs.aws.amazon.com/lake-formation/latest/dg/)
+ [Erteilen und Widerrufen von Datenkatalog-Berechtigungen](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html) im *AWS Lake Formation -Entwicklerhandbuch*.
+ [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) im *IAM-Benutzerhandbuch*.
+ [Erstellen von IAM-SAML-Identitätsanbietern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) im *IAM-Benutzerhandbuch*.
+ [Aktivierung des Verbunds für die AWS Verwendung von Windows Active Directory, ADFS und SAML 2.0 im Security Blog](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)*.AWS *