"
]
}
]
}
```
------
# Verwenden Sie CalledVia Kontexttasten für Athena
Wenn ein [Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) eine [Anfrage](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-request) an stellt AWS, AWS sammelt er die Anforderungsinformationen in einem *Anforderungskontext, der die Anfrage* auswertet und autorisiert. Sie können das `Condition`-Element einer JSON-Richtlinie verwenden, um Schlüssel im Anforderungskontext mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben. *Globale Bedingungskontextschlüssel* sind Bedingungsschlüssel mit einem `aws:`-Präfix.
## Über den aws:CalledVia-Kontextschlüssel
Sie können den globalen Bedingungskontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia) verwenden, um die Services in der Richtlinie mit den Services zu vergleichen, die Anforderungen im Auftrag des IAM-Prinzipals (Benutzer oder Rolle) gestellt haben. Wenn ein Principal eine Anfrage an einen stellt AWS-Service, verwendet dieser Dienst möglicherweise die Anmeldeinformationen des Prinzipals, um nachfolgende Anfragen an andere Dienste zu stellen. Der Schlüssel `aws:CalledVia` enthält eine geordnete Liste aller Services in der Kette, die im Auftrag des Auftraggebers Anforderungen ausgegeben haben.
Indem Sie einen Dienstprinzipalnamen für den `aws:CalledVia` Kontextschlüssel angeben, können Sie den Kontextschlüssel AWS-Service spezifisch machen. Sie können beispielsweise den Bedingungsschlüssel `aws:CalledVia` verwenden, um Anfragen auf die von Athena gestellten zu beschränken. Um den Bedingungsschlüssel `aws:CalledVia` in einer Richtlinie mit Athena zu verwenden, geben Sie den Athena-Serviceprinzipalnamen `athena.amazonaws.com` wie im folgenden Beispiel an.
```
...
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
...
```
Sie können den `aws:CalledVia`-Kontextschlüssel verwenden, um sicherzustellen, dass Aufrufer nur dann Zugriff auf eine Ressource (wie eine Lambda-Funktion) haben, wenn sie die Ressource von Athena aus aufrufen.
**Anmerkung**
Der Kontextschlüssel `aws:CalledVia` ist nicht mit dem Feature zur Weitergabe vertrauenswürdiger Identitäten kompatibel.
## Fügen Sie einen CalledVia Kontextschlüssel für den Zugriff auf Lambda-Funktionen hinzu
Athena erfordert, dass der Aufrufer über `lambda:InvokeFunction`-Berechtigungen verfügt, um die mit der Abfrage verknüpfte Lambda-Funktion aufzurufen. Die folgende Anweisung gibt an, dass der Benutzer Lambda-Funktionen nur von Athena aufrufen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:OneAthenaLambdaFunction",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
Das folgende Beispiel zeigt das Hinzufügen der vorherigen Anweisung zu einer Richtlinie, die es einem Benutzer ermöglicht, eine Verbundabfrage auszuführen und zu lesen. Prinzipale, die diese Aktionen ausführen dürfen, können Abfragen ausführen, die Athena-Kataloge angeben, die einer Verbunddatenquelle zugeordnet sind. Der Prinzipal kann jedoch nicht auf die zugeordnete Lambda-Funktion zugreifen, es sei denn, die Funktion wird über Athena aufgerufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"athena:StartQueryExecution",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkGroupName",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action":
[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket"
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
Weitere Informationen über globale Bedingungskontextschlüssel `CalledVia` finden Sie unter [AWS -Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
# Zugriff auf den Athena-Daten-Connector für externen Hive-Metastore zulassen
Die Beispiele für Berechtigungsrichtlinien in diesem Thema veranschaulichen die erforderlichen zulässigen Aktionen und die Ressourcen, für die sie zulässig sind. Untersuchen Sie diese Richtlinien sorgfältig und ändern Sie sie entsprechend Ihren Anforderungen, bevor Sie IAM-Identitäten ähnliche Berechtigungsrichtlinien anfügen.
+ [Example Policy to Allow an IAM Principal to Query Data Using Athena Data Connector for External Hive Metastore](#hive-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena Data Connector for External Hive Metastore](#hive-creating-iam)
**Example – Erlauben Sie einem IAM-Prinzipal, Daten mit dem Athena-Daten-Connector für externen Hive-Metastore abzufragen**
Die folgende Richtlinie ist den IAM-Prinzipalen zusätzlich zur Richtlinie [AWS verwaltete Richtlinie: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) angefügt, die vollen Zugriff auf Athena-Aktionen gewährt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:layer:MyAthenaLambdaLayer:*"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"
}
]
}
```
**Erläuterung der Berechtigungen**
| Erlaubte Aktionen | Erklärung |
| --- | --- |
| "s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
| `s3`Aktionen ermöglichen das Lesen von und Schreiben in die als angegebene Ressource`"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"`, wobei der Spill-Bucket *MyLambdaSpillLocation* identifiziert wird, der in der Konfiguration der aufgerufenen Lambda-Funktion oder Funktionen angegeben ist. Die *arn:aws:lambda:\$1:*MyAWSAcctId*:layer:*MyAthenaLambdaLayer*:\$1* Ressourcen-ID ist nur erforderlich, wenn Sie eine Lambda-Schicht verwenden, um benutzerdefinierte Laufzeitabhängigkeiten zu erstellen, um die Größe von Funktionsartefakten bei der Bereitstellung zu reduzieren. Der `*` in der letzten Position ist ein Platzhalter für die Ebenenversion. |
| "lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
| Ermöglicht Abfragen, die im Block angegebenen AWS Lambda Funktionen aufzurufen. Resource Beispiel: where arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction MyAthenaLambdaFunction gibt den Namen einer Lambda-Funktion an, die aufgerufen werden soll. Es können mehrere Funktionen angegeben werden, wie im Beispiel gezeigt. |
**Example – Erlauben Sie einem IAM-Prinzipal, einen Athena-Daten-Connector für externen Hive-Metastore zu erstellen**
Die folgende Richtlinie ist den IAM-Prinzipalen zusätzlich zur Richtlinie [AWS verwaltete Richtlinie: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) angefügt, die vollen Zugriff auf Athena-Aktionen gewährt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:ListFunctions",
"lambda:GetLayerVersion",
"lambda:InvokeFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:PublishLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:UpdateFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:DeleteFunctionConcurrency"
],
"Resource": "arn:aws:lambda:*:111122223333: function: MyAthenaLambdaFunctionsPrefix*"
}
]
}
```
**Erläuterung der Berechtigungen**
Ermöglicht Abfragen, die AWS Lambda Funktionen für die im Block angegebenen AWS Lambda Funktionen aufzurufen. `Resource` Beispiel: where `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction` *MyAthenaLambdaFunction* gibt den Namen einer Lambda-Funktion an, die aufgerufen werden soll. Es können mehrere Funktionen angegeben werden, wie im Beispiel gezeigt.
# Gewährung von Lambda-Funktionszugriff auf externe Hive-Metastores
Um eine Lambda-Funktion in Ihrem Konto aufzurufen, müssen Sie eine Rolle mit den folgenden Berechtigungen erstellen:
+ `AWSLambdaVPCAccessExecutionRole` – Die Berechtigung [AWS Lambda -Ausführungsrolle](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) für die Verwaltung von Elastic-Network-Schnittstellen, die Ihre Funktion mit einer VPC verbinden. Stellen Sie sicher, dass es eine ausreichende Anzahl von Netzwerkschnittstellen und IP-Adressen gibt.
+ `AmazonAthenaFullAccess`— Die [AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy)verwaltete Richtlinie gewährt vollen Zugriff auf Athena.
+ Eine Amazon-S3-Richtlinie, die der Lambda-Funktion das Schreiben zu S3 und Athena das Lesen aus S3 ermöglicht.
Die folgende Richtlinie definiert beispielsweise die Berechtigung für den Überlaufspeicherort `s3:\\mybucket\spill`.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [
"s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/spill" ] } ] }
```
------
Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten Methoden von IAM befolgen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Lambda-Funktionen erstellen
Für die Erstellung einer Lambda-Funktion in Ihrem Konto sind Funktionsentwicklungsberechtigungen oder die Rolle `AWSLambdaFullAccess` erforderlich. Weitere Informationen finden Sie unter [Identitätsbasierte IAM-Richtlinien für AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-identity-based.html).
Da Athena die AWS Serverless Application Repository zur Erstellung von Lambda-Funktionen verwendet, sollte der Superuser oder Administrator, der Lambda-Funktionen erstellt, auch über IAM-Richtlinien verfügen, um Athena-Verbundabfragen [zuzulassen](federated-query-iam-access.md).
## Berechtigungen für Katalogregistrierung und Metadaten-API-Operationen konfigurieren
[Für den API-Zugriff auf die Katalogregistrierung und Metadatenvorgänge können Sie die verwaltete Richtlinie verwenden. AmazonAthenaFullAccess ](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) Wenn Sie die `AmazonAthenaFullAccess`-Richtlinie nicht verwenden, müssen Sie Ihren Athena-Richtlinien die folgenden API-Operationen hinzufügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:CreateDataCatalog",
"athena:UpdateDataCatalog",
"athena:DeleteDataCatalog",
"athena:GetDatabase",
"athena:ListDatabases",
"athena:GetTableMetadata",
"athena:ListTableMetadata"
],
"Resource": [
"*"
]
}
]
}
```
------
## Lambda-Funktion regionenübergreifend aufrufen
Athena ruft standardmäßig Lambda-Funktionen auf, die in derselben Region definiert sind. Um eine Lambda-Funktion in einer AWS-Region anderen Region als der Region aufzurufen, in der Sie Athena-Abfragen ausführen, verwenden Sie den vollständigen ARN der Lambda-Funktion.
Das folgende Beispiel zeigt, wie ein Katalog in der Region Europa (Frankfurt) eine Lambda-Funktion in der Region USA Ost (Nord-Virginia) angeben kann, um Daten aus dem Hive-Metastore in der Region Europa (Frankfurt) abzurufen.
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
Wenn Sie den vollständigen ARN auf diese Weise angeben, kann Athena die Lambda-Funktion `external-hms-service-new` für `us-east-1` aufrufen, um die Hive-Metastore-Daten aus `eu-central-1` abzurufen.
**Anmerkung**
Der Katalog sollte in derselben Datei registriert sein AWS-Region , die Sie zum Ausführen von Athena-Abfragen verwenden.
## Lambda-Funktion über Konten hinweg aufrufen
Manchmal benötigen Sie möglicherweise Zugriff auf einen Hive-Metastore über ein anderes Konto. Um beispielsweise einen Hive-Metastore auszuführen, könnten Sie ein anderes Konto verwenden als das, das Sie für Athena-Abfragen verwenden. Verschiedene Gruppen oder Teams führen den Hive-Metastore möglicherweise mit unterschiedlichen Konten in ihrer VPC aus. Vielleicht möchten Sie auch auf Metadaten in verschiedenen Hive-Metastores in verschiedenen Gruppen oder Teams zugreifen.
Athena verwendet die [AWS Lambda -Unterstützung für den kontenübergreifenden Zugriff](https://aws.amazon.com/blogs/compute/easy-authorization-of-aws-lambda-functions/), um einen kontenübergreifenden Zugriff für Hive-Metastores zu ermöglichen.
**Anmerkung**
Beachten Sie, dass der kontenübergreifende Zugriff für Athena normalerweise den kontenübergreifenden Zugriff für Metadaten und Daten in Amazon S3 impliziert.
Stellen Sie sich das folgende Szenario vor:
+ Konto `111122223333` richtet die Lambda-Funktion `external-hms-service-new` für us-east-1 in Athena ein, um auf einen Hive-Metastore zuzugreifen, der auf einem EMR-Cluster ausgeführt wird.
+ Konto `111122223333` möchte dem Konto 444455556666 Zugriff auf die Hive-Metastore-Daten erteilen.
Um `444455556666` Kontozugriff auf die Lambda-Funktion zu gewähren`external-hms-service-new`, `111122223333` verwendet account den folgenden AWS CLI `add-permission` Befehl. Der Befehl wurde zur besseren Lesbarkeit formatiert.
```
$ aws --profile perf-test lambda add-permission
--function-name external-hms-service-new
--region us-east-1
--statement-id Id-ehms-invocation2
--action "lambda:InvokeFunction"
--principal arn:aws:iam::444455556666:user/perf1-test
{
"Statement": "{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}"
}
```
Um die Lambda-Berechtigung zu überprüfen, verwenden Sie den Befehl `get-policy` wie im folgenden Beispiel gezeigt. Der Befehl wurde zur besseren Lesbarkeit formatiert.
```
$ aws --profile perf-test lambda get-policy
--function-name arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
--region us-east-1
{
"RevisionId": "711e93ea-9851-44c8-a09f-5f2a2829d40f",
"Policy": "{\"Version\":\"2012-10-17\",
\"Id\":\"default\",
\"Statement\":[{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}]}"
}
```
Nach der Hinzufügung der Berechtigung können Sie einen vollständigen ARN der Lambda-Funktion für `us-east-1` wie den folgenden verwenden, wenn Sie den Katalog `ehms` definieren:
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
Weitere Informationen zu regionsübergreifenden Aufrufen finden Sie unter [Lambda-Funktion regionenübergreifend aufrufen](#hive-metastore-iam-access-lambda-cross-region-invocation) weiter oben in diesem Thema.
### Kontenübergreifenden Zugriff auf Daten gewähren
Bevor Sie Athena-Abfragen ausführen können, müssen Sie einen kontenübergreifenden Zugriff auf die Daten in Amazon S3 gewähren. Sie können dafür eine der folgenden Möglichkeiten auswählen:
+ Aktualisieren Sie die Richtlinie für Zugriffskontrolllisten des Amazon-S3-Buckets mit einer [kanonischen Benutzer-ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html).
+ Fügen Sie der Amazon-S3-Bucket-Richtlinie den kontenübergreifenden Zugriff hinzu.
Sie könnten beispielsweise der Amazon-S3-Bucket-Richtlinie im Konto die folgende Richtlinie `111122223333` die folgende Richtlinie hinzufügen, damit das Konto `444455556666` Daten aus dem angegebenen Amazon-S3-Speicherort lesen kann.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect":
"Allow", "Principal": { "AWS":
"arn:aws:iam::444455556666:user/perf1-test"
}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::athena-test/lambda/dataset/*" } ]
}
```
------
**Anmerkung**
Möglicherweise müssen Sie den kontenübergreifenden Zugriff auf Amazon S3 nicht nur in Bezug auf Ihre Daten, sondern auch in Bezug auf Ihren Amazon-S3-Überlaufspeicherort gewähren. Ihre Lambda-Funktion speichert zusätzliche Daten am Überlaufspeicherort, wenn die Größe des Antwortobjekts einen bestimmten Schwellenwert überschreitet. Ein Beispiel für eine Richtlinie finden Sie am Anfang dieses Themas.
Im aktuellen Beispiel kann nach Gewährung des kontenübergreifenden Zugriffs für `444455556666,` das Konto `444455556666` den Katalog `ehms` im eigenen `account` verwenden, um im Konto `111122223333` definierte Tabellen abzufragen.
Im folgenden Beispiel ist das SQL Workbench-Profil `perf-test-1` für das Konto `444455556666` angegeben. Die Abfrage verwendet den Katalog `ehms`, um auf den Hive-Metastore und die Amazon-S3-Daten im Konto `111122223333` zuzugreifen.
![\[Kontenübergreifender Zugriff auf Hive-Metastore und Amazon-S3-Daten in SQL Workbench.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/hive-metastore-iam-access-lambda-1.png)
# Berechtigungen erforderlich zum Erstellen des Connectors und des Athena-Katalogs
Um Athena `CreateDataCatalog` aufzurufen, müssen Sie eine Rolle mit den folgenden Berechtigungen erstellen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"glue:TagResource",
"glue:GetConnection",
"glue:CreateConnection",
"glue:DeleteConnection",
"glue:UpdateConnection",
"serverlessrepo:CreateCloudFormationTemplate",
"serverlessrepo:GetCloudFormationTemplate",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:CreateChangeSet",
"cloudformation:DescribeAccountLimits",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate",
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:EstimateTemplateCost",
"cloudformation:ListImports",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:TagResource",
"lambda:ListFunctions",
"lambda:GetAccountSettings",
"lambda:ListEventSourceMappings",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:AddPermission",
"lambda:ListTags",
"lambda:GetAlias",
"lambda:GetPolicy",
"lambda:ListAliases",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"secretsmanager:ListSecrets",
"glue:GetCatalogs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:DeleteRolePolicy",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:CreateRole",
"iam:TagRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:PassRole",
"iam:ListRoles",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:GetPolicy",
"iam:UpdateRole"
],
"Resource": [
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
}
]
}
```
------
# Zugriff auf Athena Federated Query zulassen: Beispiel-Richtlinien
Die Beispiele für Berechtigungsrichtlinien in diesem Thema veranschaulichen die erforderlichen zulässigen Aktionen und die Ressourcen, für die sie zulässig sind. Untersuchen Sie diese Richtlinien sorgfältig und ändern Sie sie entsprechend Ihren Anforderungen, bevor Sie diese an IAM-Identitäten anfügen.
Weitere Informationen zum Anfügen von Richtlinien an IAM-Identitäten finden Sie unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ [Example policy to allow an IAM principal to run and return results using Athena Federated Query](#fed-using-iam)
+ [Example Policy to Allow an IAM Principal to Create a Data Source Connector](#fed-creating-iam)
**Example – Ausführen und Zurückgeben von Ergebnissen durch einen IAM-Prinzipal mithilfe von Athena Federated Query zulassen**
Die folgende identitätsbasierte Berechtigungsrichtlinie ermöglicht Aktionen, die ein Benutzer oder ein anderer IAM-Prinzipal erfordert, um Athena Federated Query zu verwenden. Prinzipale, die diese Aktionen ausführen dürfen, können Abfragen ausführen, die Athena-Kataloge angeben, die einer Verbunddatenquelle zugeordnet sind.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Athena",
"Effect": "Allow",
"Action": [
"athena:GetDataCatalog",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkgroupName",
"arn:aws:athena:us-east-1:111122223333:datacatalog/DataCatalogName"
]
},
{
"Sid": "ListAthenaWorkGroups",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "Lambda",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyLambdaSpillBucket",
"arn:aws:s3:::MyLambdaSpillBucket/*",
"arn:aws:s3:::MyQueryResultsBucket",
"arn:aws:s3:::MyQueryResultsBucket/*"
]
}
]
}
```
**Erläuterung der Berechtigungen**
| Erlaubte Aktionen | Erklärung |
| --- | --- |
| "athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| Athena-Berechtigungen, die zum Ausführen von Verbundabfragen erforderlich sind. |
| "athena:GetDataCatalog",
"athena:GetQueryExecution,"
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| Athena-Berechtigungen, die zum Ausführen von Verbundansichtsabfragen erforderlich sind. Die Aktion `GetDataCatalog` ist erforderlich für Ansichten. |
| "lambda:InvokeFunction"
| Ermöglicht Abfragen, die AWS Lambda Funktionen für die im Resource Block angegebenen AWS Lambda Funktionen aufzurufen. Beispiel: where arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction MyAthenaLambdaFunction gibt den Namen einer Lambda-Funktion an, die aufgerufen werden soll. Es können mehrere Funktionen angegeben werden, wie im Beispiel gezeigt. |
| "s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
| Die `s3:ListBucket` und `s3:GetBucketLocation` Berechtigungen sind erforderlich, um auf den Abfrageausgabe-Bucket für IAM-Prinzipale zuzugreifen, die `StartQueryExecution` ausführen. `s3:PutObject``s3:ListMultipartUploadParts`, und `s3:AbortMultipartUpload` ermöglichen das Schreiben von Abfrageergebnissen in alle Unterordner des Abfrageergebnis-Buckets, wie durch die `arn:aws:s3:::MyQueryResultsBucket/*` Ressourcen-ID angegeben, wobei sich der Athena-Abfrageergebnis-Bucket *MyQueryResultsBucket* befindet. Weitere Informationen finden Sie unter [Arbeiten mit Abfrageergebnissen und aktuellen Abfragen](querying.md). `s3:GetObject`ermöglicht das Lesen von Abfrageergebnissen und dem Abfrageverlauf für die angegebene Ressource`arn:aws:s3:::MyQueryResultsBucket`, wo sich der Athena-Abfrageergebnis-Bucket *MyQueryResultsBucket* befindet. `s3:GetObject`ermöglicht auch das Lesen von der Ressource, die als angegeben *MyLambdaSpillPrefix* ist`"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"`, wo dies in der Konfiguration der aufgerufenen Lambda-Funktion oder der aufgerufenen Funktionen angegeben ist. |
**Example – Erlauben Sie einem IAM-Prinzipal, einen Datenquellen-Connector zu erstellen**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**Erläuterung der Berechtigungen**
| Erlaubte Aktionen | Erklärung |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| Erlauben der Erstellung und Verwaltung von Lambda-Funktionen, die als Ressourcen aufgeführt sind. In diesem Beispiel wird ein Namenspräfix in der Ressourcenkennung `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*` verwendet, wobei `MyAthenaLambdaFunctionsPrefix` ein gemeinsames Präfix ist, das im Namen einer Gruppe von -Funktionen verwendet wird, sodass diese nicht einzeln als Ressourcen angegeben werden müssen. Sie können eine oder mehrere Lambda-Funktionsressourcen angeben. |
| "s3:GetObject"
| Ermöglicht das Lesen eines Buckets, der die in der Ressourcen-ID angegebenen Anforderungen AWS Serverless Application Repository benötigt. arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1 Dieser Bucket kann spezifisch für Ihr Konto sein. |
| "cloudformation:*"
| Ermöglicht die Erstellung und Verwaltung von CloudFormation Stacks, die durch die Ressource `MyCFStackPrefix` spezifiziert werden. Mit diesen Stacks und Stacksets werden Konnektoren und bereitgestellt. AWS Serverless Application Repository UDFs |
| "serverlessrepo:*"
| Ermöglicht das Suchen, Anzeigen, Veröffentlichen und Aktualisieren von Anwendungen in der AWS Serverless Application Repository, die durch die Ressourcen-ID angegeben sind. arn:aws:serverlessrepo:\$1:\$1:applications/\$1 |
| "ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
| Ermöglicht der erstellten Lambda-Funktion den Zugriff auf das ECR-Image des Verbund-Connectors. |
# Zugriff auf Athena zulassen UDFs: Beispielrichtlinien
Die Beispiele für Berechtigungsrichtlinien in diesem Thema veranschaulichen die erforderlichen zulässigen Aktionen und die Ressourcen, für die sie zulässig sind. Untersuchen Sie diese Richtlinien sorgfältig und ändern Sie sie entsprechend Ihren Anforderungen, bevor Sie IAM-Identitäten ähnliche Berechtigungsrichtlinien anfügen.
+ [Example Policy to Allow an IAM Principal to Run and Return Queries that Contain an Athena UDF Statement](#udf-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena UDF](#udf-creating-iam)
**Example – Erlauben Sie einem IAM-Prinzipal, Abfragen auszuführen und zurückzugeben, die eine Athena-UDF-Anweisung enthalten**
Die folgende identitätsbasierte Berechtigungsrichtlinie erlaubt Aktionen, die ein Benutzer oder ein anderer IAM-Prinzipal benötigt, um Abfragen auszuführen, die Athena-UDF-Anweisungen verwenden.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"lambda:InvokeFunction",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts",
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:athena:*:MyAWSAcctId:workgroup/MyAthenaWorkGroup",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:lambda:*:MyAWSAcctId:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:MyAWSAcctId:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
}
]
}
```
**Erläuterung der Berechtigungen**
| Erlaubte Aktionen | Erklärung |
| --- | --- |
| "athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
| Athena-Berechtigungen, die zum Ausführen von Abfragen in der `MyAthenaWorkGroup`-Arbeitsgruppe erforderlich sind. |
| "s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload"
| `s3:PutObject`und `s3:AbortMultipartUpload` ermöglichen das Schreiben von Abfrageergebnissen in alle Unterordner des Abfrageergebnis-Buckets, wie durch die `arn:aws:s3:::MyQueryResultsBucket/*` Ressourcen-ID angegeben, wobei sich der Athena-Abfrageergebnis-Bucket *MyQueryResultsBucket* befindet. Weitere Informationen finden Sie unter [Arbeiten mit Abfrageergebnissen und aktuellen Abfragen](querying.md). `s3:GetObject`ermöglicht das Lesen von Abfrageergebnissen und dem Abfrageverlauf für die angegebene Ressource`arn:aws:s3:::MyQueryResultsBucket`, wo sich der Athena-Abfrageergebnis-Bucket *MyQueryResultsBucket* befindet. Weitere Informationen finden Sie unter [Arbeiten mit Abfrageergebnissen und aktuellen Abfragen](querying.md). `s3:GetObject`ermöglicht auch das Lesen von der Ressource, die als angegeben *MyLambdaSpillPrefix* ist`"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"`, wo dies in der Konfiguration der aufgerufenen Lambda-Funktion oder der aufgerufenen Funktionen angegeben ist. |
| "lambda:InvokeFunction"
| Ermöglicht Abfragen, die im Block angegebenen AWS Lambda Funktionen aufzurufen. Resource Beispiel: where arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction MyAthenaLambdaFunction gibt den Namen einer Lambda-Funktion an, die aufgerufen werden soll. Es können mehrere Funktionen angegeben werden, wie im Beispiel gezeigt. |
**Example – Erlauben Sie einem IAM-Prinzipal, eine Athena-UDF zu erstellen**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**Erläuterung der Berechtigungen**
| Erlaubte Aktionen | Erklärung |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| Erlauben der Erstellung und Verwaltung von Lambda-Funktionen, die als Ressourcen aufgeführt sind. In diesem Beispiel wird ein Namenspräfix in der Ressourcenkennung `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*` verwendet, wobei *MyAthenaLambdaFunctionsPrefix* ein gemeinsames Präfix ist, das im Namen einer Gruppe von -Funktionen verwendet wird, sodass diese nicht einzeln als Ressourcen angegeben werden müssen. Sie können eine oder mehrere Lambda-Funktionsressourcen angeben. |
| "s3:GetObject"
| Ermöglicht das Lesen eines Buckets, der die AWS Serverless Application Repository in der Ressourcen-ID angegebenen Anforderungen erfüllt. arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1 |
| "cloudformation:*"
| Ermöglicht die Erstellung und Verwaltung von CloudFormation Stacks, die durch die Ressource *MyCFStackPrefix* spezifiziert werden. Mit diesen Stacks und Stacksets werden Konnektoren und bereitgestellt. AWS Serverless Application Repository UDFs |
| "serverlessrepo:*"
| Ermöglicht das Suchen, Anzeigen, Veröffentlichen und Aktualisieren von Anwendungen in der AWS Serverless Application Repository, die durch die Ressourcen-ID angegeben sind. arn:aws:serverlessrepo:\$1:\$1:applications/\$1 |
# Zugriff für ML mit Athena zulassen
IAM-Prinzipale, die Athena ML-Abfragen ausführen, müssen berechtigt sein, die `sagemaker:invokeEndpoint`-Aktion für Sagemaker-Endpunkte auszuführen, die sie verwenden. Fügen Sie eine Richtlinienanweisung ähnlich der folgenden in identitätsbasierte Berechtigungsrichtlinien ein, die an Benutzeridentitäten angefügt sind. Fügen Sie außerdem die [AWS verwaltete Richtlinie: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) an, die vollen Zugriff auf Athena-Aktionen gewährt, oder eine modifizierte Inline-Richtlinie, die eine Teilmenge von Aktionen ermöglicht.
Ersetzen Sie `arn:aws:sagemaker:region:AWSAcctID:ModelEndpoint` im Beispiel durch den ARN oder ARNs die Modellendpunkte, die in Abfragen verwendet werden sollen. Weitere Informationen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für SageMaker KI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html) in der *Service Authorization Reference.*
```
{
"Effect": "Allow",
"Action": [
"sagemaker:invokeEndpoint"
],
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default"
}
```
Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten IAM-Methoden befolgen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
# Verbund-Zugriff auf die Athena-API aktivieren
In diesem Abschnitt wird der föderierte Zugriff beschrieben, der Benutzern oder Client-Anwendungen in Ihrer Organisation den Aufruf von Amazon-Athena-API-Operationen ermöglicht. In diesem Fall verfügen die Benutzer Ihrer Organisation nicht über direkten Zugriff auf Athena. Stattdessen verwalten Sie Benutzeranmeldeinformationen außerhalb von AWS Microsoft Active Directory. Active Directory unterstützt [SAML 2.0](https://wiki.oasis-open.org/security) (Security Assertion Markup Language 2.0).
In diesem Fall verwenden Sie zur Authentifizierung von Benutzern den JDBC- oder ODBC-Treiber mit SAML 2.0-Unterstützung, der auf die Active Directory Federation Services (AD FS) 3.0 zugreift und Client-Anwendungen den Zugriff auf Athena-API-Operationen ermöglicht.
Weitere Informationen zur SAML 2.0-Unterstützung finden Sie unter AWS[About SAML 2.0 Federation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Der föderierte Zugriff auf die Athena-API wird für eine bestimmte Art von Identitätsanbieter (IdP) unterstützt, nämlich den Active Directory Federation Service (AD FS 3.0), der Teil von Windows Server ist. Der Verbundzugriff ist nicht mit dem Feature zur Weitergabe vertrauenswürdiger Identitäten des IAM Identity Center kompatibel. Der Zugriff wird durch die Versionen von JDBC- bzw. ODBC-Treibern hergestellt, die SAML 2.0 unterstützen. Weitere Informationen finden Sie unter [Verbindung zu Amazon Athena mit JDBC herstellen](connect-with-jdbc.md) und [Mit ODBC eine Verbindung zu Amazon Athena herstellen](connect-with-odbc.md).
**Topics**
+ [Bevor Sie beginnen](#access-federation-before-you-begin)
+ [Authentifizierungsprozess verstehen](#access-federation-diagram)
+ [Verfahren: SAML-basierter födeVerbund-Zugriff auf die Athena-API aktivieren](#access-federation-procedure)
## Bevor Sie beginnen
Stellen Sie vor Beginn sicher, dass die folgenden Voraussetzungen erfüllt sind:
+ Installieren und konfigurieren Sie AD FS 3.0 innerhalb Ihrer Organisation als IdP.
+ Installieren und konfigurieren Sie die neuesten verfügbaren Versionen der JDBC- oder ODBC-Treiber auf Clients, die für den Zugriff auf Athena verwendet werden. Der Treiber muss mit dem föderierten Zugriff mit SAML 2.0 kompatible Unterstützung bieten. Weitere Informationen finden Sie unter [Verbindung zu Amazon Athena mit JDBC herstellen](connect-with-jdbc.md) und [Mit ODBC eine Verbindung zu Amazon Athena herstellen](connect-with-odbc.md).
## Authentifizierungsprozess verstehen
Das folgende Diagramm zeigt den Authentifizierungsprozess des Verbundzugriffs auf die Athena-API.
![\[Das Diagramm des Verbundzugriffs auf die Athena-API.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/athena-saml-based-federation.png)
1. Ein Benutzer in Ihrer Organisation verwendet eine Client-Anwendung mit dem JDBC- oder ODBC-Treiber, um eine Authentifizierung vom Identitätsanbieter Ihrer Organisation anzufordern. Der Identitätsanbieter ist AD FS 3.0.
1. Der Identitätsanbieter authentifiziert den Benutzer anhand von Active Directory, dem Identitätsspeicher Ihrer Organisation.
1. Der Identitätsanbieter konstruiert eine SAML-Zusicherung mit Informationen über den Benutzer und sendet die Zusicherung über den JDBC- oder ODBC-Treiber an die Client-Anwendung.
1. Der JDBC- oder ODBC-Treiber ruft die AWS -Security-Token-Service [AssumeRoleWithSAML-API-Operation](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) auf und übergibt ihr die folgenden Parameter:
+ Der ARN des SAML-Anbieters
+ Den ARN der zu übernehmenden Rolle
+ Die SAML-Zusicherung des Identitätsanbieters
*Weitere Informationen finden Sie unter [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) in der API-Referenz.AWS -Security-Token-Service *
1. Die API-Antwort an die Client-Anwendung über den JDBC- oder ODBC-Treiber umfasst temporäre Sicherheitsanmeldeinformationen.
1. Die Client-Anwendung verwendet die temporären Sicherheitsanmeldeinformationen zum Aufrufen von Athena-API-Operationen, so dass Ihre Benutzer auf Athena-API-Operationen zugreifen können.
## Verfahren: SAML-basierter födeVerbund-Zugriff auf die Athena-API aktivieren
Dieses Verfahren stellt eine Vertrauensstellung zwischen dem IdP Ihrer Organisation und Ihrem AWS Konto her, um einen SAML-basierten Verbundzugriff auf den Amazon Athena Athena-API-Vorgang zu ermöglichen.
**Den föderierten Zugriff auf die Athena-API aktivieren Sie wie folgt:**
1. Registrieren Sie sich in Ihrer Organisation AWS als Service Provider (SP) in Ihrem IdP. Dieser Prozess wird als *Vertrauensstellung der vertrauenden Seite* bezeichnet. Weitere Informationen finden Sie unter [Konfigurieren des SAML 2.0-Identitätsanbieters mit der Vertrauensstellung der vertrauenden Seite](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html) im *IAM-Benutzerhandbuch*. Führen Sie als Teil dieser Aufgabe die folgenden Schritte aus:
1. Rufen Sie das Beispiel-SAML-Metadatendokument von dieser URL ab: [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml).
1. Generieren Sie im IdP (ADFS) Ihrer Organisation eine äquivalente Metadaten-XML-Datei, die Ihren IdP als Identitätsanbieter für beschreibt. AWS Ihre Metadatendatei muss den Namen des Ausstellers, das Erstellungsdatum, das Ablaufdatum und die Schlüssel enthalten, die zur Validierung der Authentifizierungsantworten (Assertionen) Ihrer Organisation AWS verwendet werden.
1. Erstellen Sie in der IAM-Konsole eine SAML-Identitätsanbieter-Entität. Weitere Informationen finden Sie unter [Erstellen von SAML-Identitätsanbietern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) im *IAM-Benutzerhandbuch*. Tun Sie im Rahmen dieses Schritts Folgendes:
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Laden Sie das SAML-Metadatendokument hoch, das der Identitätsanbieter (AD FS) im Rahmen von Schritt 1 dieses Verfahrens erstellt hat.
1. Erstellen Sie in der IAM-Konsole mindestens eine IAM-Rolle für Ihren Identitätsanbieter. Weitere Informationen finden Sie unter [Erstellen von Rollen für externe Identitätsanbieter (Verbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*. Tun Sie im Rahmen dieses Schritts Folgendes:
+ Führen Sie in der Berechtigungsrichtlinie der Rolle Aktionen auf, die Benutzer Ihrer Organisation in AWS ausführen dürfen.
+ Legen Sie in der Vertrauensrichtlinie der Rolle die SAML-Anbieter-Entity als Prinzipal fest, die Sie in Schritt 2 dieses Verfahrens erstellt haben.
Dadurch entsteht eine Vertrauensbeziehung zwischen Ihrer Organisation und. AWS
1. Definieren Sie im Identitätsanbieter Ihrer Organisation (AD FS) Zusicherungen, in denen Benutzer oder Gruppen in Ihrer Organisation den IAM-Rollen zugeordnet werden. Das Mapping von Benutzern und Gruppen zu den IAM-Rollen wird auch als *Anspruchsregel* bezeichnet. Beachten Sie, dass unterschiedliche Benutzer und Gruppen in Ihrer Organisation unterschiedlichen IAM-Rollen zugeordnet werden können.
Informationen zur Konfiguration der Zuordnung in ADFS finden Sie im Blogbeitrag: [Enabling federation to AWS using Windows Active Directory, ADFS, and SAML](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) 2.0.
1. Installieren und konfigurieren Sie den JDBC- oder ODBC-Treiber mit SAML 2.0-Unterstützung. Weitere Informationen finden Sie unter [Verbindung zu Amazon Athena mit JDBC herstellen](connect-with-jdbc.md) und [Mit ODBC eine Verbindung zu Amazon Athena herstellen](connect-with-odbc.md).
1. Geben Sie die Verbindungszeichenfolge aus Ihrer Anwendung im JDBC- bzw. ODBC-Treiber an. Weitere Informationen zu der Verbindungszeichenfolge, die Ihre Anwendung verwenden sollte, finden Sie unter dem Thema *„Verwendung des Anmeldeinformationsanbietersvon Active Directory Federation Services (ADFS)“* im *Installations- and Konfigurationshandbuch für JDBC-Treiber* bzw. einem ähnlichen Thema im *Installations- and Konfigurationshandbuch für ODBC-Treiber*, die als PDF-Downloads über die Themen [Verbindung zu Amazon Athena mit JDBC herstellen](connect-with-jdbc.md) und [Mit ODBC eine Verbindung zu Amazon Athena herstellen](connect-with-odbc.md) verfügbar sind.
Die allgemeine Zusammenfassung der Konfiguration der Verbindungszeichenfolge für die Treiber ist wie folgt:
1. Stellen Sie in `AwsCredentialsProviderClass configuration` den `com.simba.athena.iamsupport.plugin.AdfsCredentialsProvider` ein, um anzugeben, dass Sie die SAML 2.0-basierte Authentifizierung über den Identitätsanbieter AD FS nutzen möchten.
1. Geben Sie für `idp_host` den Hostnamen des AD FS-Identitätsanbieterservers an.
1. Geben Sie für `idp_port` die Nummer des Ports an, auf dem der AD FS-Identitätsanbieter auf die SAML-Zusicherungsanfrage hört.
1. Geben Sie für `UID` und `PWD` die AD-Domain-Benutzeranmeldeinformationen an. Wenn Sie den Treiber auf Windows verwenden und `UID` und `PWD` nicht angegeben sind, versucht der Treiber, die Anmeldeinformationen des Benutzers abzurufen, der an dem Windows-Computer angemeldet ist.
1. Optional können Sie für `ssl_insecure` den Wert `true` festlegen. In diesem Fall überprüft der Treiber nicht die Authentizität des SSL-Zertifikats für den ADFS-Identitätsanbieterserver. Die Einstellung auf `true` ist erforderlich, wenn das SSL-Zertifikat des Identitätsanbieters ADFS nicht vom Treiber als vertrauenswürdig konfiguriert wurde.
1. Zum Aktivieren des Mappings eines Active Directory-Domain-Benutzers bzw. einer Gruppe zu mindestens einer IAM-Rolle (wie in Schritt 4 dieses Verfahrens erwähnt) geben Sie in der `preferred_role` für die JDBC- bzw. ODBC-Verbindung die IAM-Rolle (ARN) an, die für die Treiberverbindung übernommen werden soll. Die Angabe der `preferred_role` ist optional, aber nützlich, wenn die Rolle nicht die erste in der Anspruchsregel aufgeführte Rolle ist.
Aufgrund dieses Verfahrens werden die folgenden Aktionen ausgeführt:
1. [Der JDBC- oder ODBC-Treiber ruft die AWS STS[AssumeRoleWithSAML-API](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) auf und übergibt ihr die Assertions, wie in Schritt 4 des Architekturdiagramms dargestellt.](#access-federation-diagram)
1. AWS stellt sicher, dass die Anfrage zur Übernahme der Rolle von dem IdP stammt, auf den in der SAML-Anbieterentität verwiesen wird.
1. Wenn die Anfrage erfolgreich ist, gibt der AWS STS [AssumeRoleWithSAML-API-Vorgang](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) einen Satz temporärer Sicherheitsanmeldeinformationen zurück, die Ihre Client-Anwendung verwendet, um signierte Anfragen an Athena zu stellen.
Ihre Anwendung verfügt nun über Informationen zum aktuellen Benutzer und kann programmgesteuert auf Athena zugreifen.