Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Weitergabe von vertrauenswürdigen Identitäten mit Amazon Athena-Treibern verwenden
Weitergabe von vertrauenswürdigen Identitäten bietet eine neue Authentifizierungsoption für Organisationen, die die Verwaltung von Datenberechtigungen zentralisieren und Anfragen auf der Grundlage ihrer IdP-Identität über Dienstgrenzen hinweg autorisieren möchten. Mit IAM Identity Center können Sie einen vorhandenen IdP für die Verwaltung von Benutzern und Gruppen konfigurieren und AWS Lake Formation damit detaillierte Zugriffsberechtigungen für Katalogressourcen für diese IdP-Identitäten definieren. Athena unterstützt die Weitergabe von Identitäten bei der Abfrage von Daten, um den Datenzugriff durch IdP-Identitäten zu überprüfen und Ihre Organisation bei der Einhaltung gesetzlicher Vorschriften und Compliance-Anforderungen zu unterstützen.
Sie können Verbindungen zu Java Database Connectivity (JDBC)- oder Open Database Connectivity (ODBC)-Treibern mit Single Sign-On-Funktionen über IAM Identity Center herstellen. Wenn Sie über Tools wie PowerBI, Tableau oder DBeaver auf Athena zugreifen, werden Ihre Identität und Berechtigungen automatisch über IAM Identity Center an Athena weitergegeben. Das bedeutet, dass Ihre individuellen Datenzugriffsberechtigungen direkt bei der Datenabfrage durchgesetzt werden, ohne dass separate Authentifizierungsschritte oder die Verwaltung von Anmeldeinformationen erforderlich sind.
Für Administratoren zentralisiert diese Feature die Zugriffskontrolle über IAM Identity Center und Lake Formation und gewährleistet so eine konsistente Durchsetzung von Berechtigungen für alle unterstützten Analysetools, die eine Verbindung zu Athena herstellen. Stellen Sie zunächst sicher, dass Ihre Organisation IAM Identity Center als Identitätsquelle konfiguriert hat, und richten Sie die entsprechenden Datenzugriffsberechtigungen für Ihre Benutzer ein.
**Topics**
+ [Wichtige Definitionen](#using-trusted-identity-propagation-key-definitions)
+ [Überlegungen](#using-trusted-identity-propagation-considerations)
+ [Voraussetzungen](#using-trusted-identity-propagation-prerequisites)
+ [Athena zum IAM Identity Center verbinden](using-trusted-identity-propagation-setup.md)
+ [Konfigurieren und implementieren Sie Ressourcen mit AWS CloudFormation](using-trusted-identity-propagation-cloudformation.md)
## Wichtige Definitionen
1. **Anwendungsrolle — Rolle** zum Austauschen von Token und zum Abrufen des ARN für arbeitsgruppen- und kundenverwaltete AWS IAM Identity Center-Anwendungen.
1. **Zugriffsrolle** – Rolle, die mit Athena-Treibern verwendet werden soll, um Kundenworkflows mit identitätserweiterte Anmeldeinformationen auszuführen. Das bedeutet, dass diese Rolle für den Zugriff auf nachgelagerte Dienste erforderlich ist.
1. **Vom Kunden verwaltete Anwendung** – Die AWS IAM Identity Center-Anwendung. Weitere Informationen finden Sie unter [Vom Kunden verwaltete Anwendung](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html).
## Überlegungen
1. Diese Feature funktioniert nur in Regionen, in denen Athena allgemein mit Weitergabe vertrauenswürdiger Identitäten verfügbar ist. Weitere Informationen zur Verfügbarkeit finden Sie unter [Überlegungen und Einschränkungen](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html).
1. Die JDBC- und ODBC-Treiber unterstützen die Verbreitung vertrauenswürdiger Identitäten mit IAM-fähigen Arbeitsgruppen.
1. Sie können sowohl JDBC als auch ODBC entweder als eigenständige Treiber oder mit jedem BI- oder SQL-Tool mit Weitergabe vertrauenswürdiger Identitäten mithilfe dieses Authentifizierungs-Plug-ins verwenden.
## Voraussetzungen
1. Sie müssen eine IAM Identity Center-Instanz AWS aktiviert haben. Weitere Informationen finden Sie unter [Was Ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html).
1. Sie müssen über einen funktionierenden externen Identitätsanbieter verfügen und die Benutzer oder Gruppen müssen im AWS IAM Identity Center vorhanden sein. Sie können Ihre Benutzer oder Gruppen automatisch entweder manuell oder mit SCIM bereitstellen. Weitere Informationen finden Sie unter [Bereitstellung eines externen Identitätsanbieters in IAM Identity Center mithilfe von SCIM](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html).
1. Sie müssen Benutzern oder Gruppen Lake Formation Formation-Berechtigungen für Kataloge, Datenbanken und Tabellen gewähren. Weitere Informationen finden Sie unter [Verwendung von Athena zum Abfragen von Daten mit Lake Formation](https://docs.aws.amazon.com/athena/latest/ug/security-athena-lake-formation.html).
1. Sie benötigen ein funktionierendes BI-Tool oder einen SQL-Client, um Athena-Abfragen mit dem JDBC- oder ODBC-Treiber ausführen zu können.
# Athena zum IAM Identity Center verbinden
Im folgenden Abschnitt wird beschrieben, wie Athena mit IAM Identity Center verbunden wird.
## Vertrauenswürdigen Token-Aussteller einrichten
Folgen Sie dem Leitfaden [Einrichten eines vertrauenswürdigen Token-Ausstellers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html) um einen vertrauenswürdigen Token-Aussteller einzurichten. Dadurch wird ein AWS IAM Identity Center erstellt.
**Anmerkung**
Wählen Sie als **Anbietertyp** **OpenID Connect** aus. Geben Sie unter **Anbieter-URL** die Aussteller-URL Ihres Identitätsanbieters ein. Geben Sie für **Zielgruppe** die Client-ID an, die vom Identitätsanbieter für Ihre App ausgestellt wurde.
Kopieren Sie den Anwendungsressourcennamen (ARN) für den AWS IAM-Identitätsanbieter. Weitere Informationen finden Sie unter [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html).
## IAM-Rollen einrichten
### IAM-Anwendungsrolle einrichten
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im linken Navigationsbereich **Rollen** und dann **Rolle erstellen** aus.
1. Für **Vertrauenstyp der Entität** wählen Sie **Benutzerdefinierte Vertrauensrichtlinie**, wie folgt:
1. Fügen Sie für **Verbunds-Prinzipal** den ARN für den AWS IAM-Identitätsanbieter hinzu, den Sie bei der Einrichtung eines vertrauenswürdigen Token-Ausstellers kopiert haben.
1. Fügen Sie für die Richtlinienbedingung die Zielgruppe Ihres externen Verbund-Identitätsanbieters hinzu.
1. Fügen Sie die folgende Inline-Richtlinie hinzu, um dem Benutzer Zugriff auf [CreateTokenWithIAM [ListTagsForResource](https://docs.aws.amazon.com/athena/latest/APIReference/API_ListTagsForResource.html)](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html), und [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)Berechtigungen zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListTags*",
"sso:ListTags*"
],
"Resource": "*"
}
]
}
```
------
**Anmerkung**
`CreateTokenWithIam`-Berechtigungen werden in der vom Kunden verwalteten IAM Identity Center-Anwendung erteilt.
1. Kopieren Sie den ARN für die Anwendungsrolle.
### IAM-Zugriffsrolle einrichten
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im linken Navigationsbereich **Rollen** und dann **Rolle erstellen** aus.
1. Für **Vertrauenstyp der Entität** wählen Sie **Benutzerdefinierte Vertrauensrichtlinie**, wie folgt:
1. Fügen Sie für **Verbund-Prinzipal** den ARN für AWS IAM Identity Center hinzu, den Sie bei der Einrichtung eines vertrauenswürdigen Token-Ausstellers kopiert haben.
1. Fügen Sie für **AWS Prinzipal** den ARN für die AWS IAM-Anwendungsrolle hinzu, den Sie bei der Einrichtung der IAM-Anwendungsrolle kopiert haben.
1. Fügen Sie die folgende **Inline-Richtlinie** hinzu, um Zugriff für Treiber-Workflows zu gewähren:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:ListWorkGroups",
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateTable",
"glue:GetTable",
"glue:GetTables",
"glue:UpdateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:DeleteTableVersion",
"glue:BatchDeleteTableVersion",
"glue:CreatePartition",
"glue:BatchCreatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"glue:UpdatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess"
],
"Resource": "*"
}
]
}
```
------
1. Kopieren Sie den ARN für die Zugriffsrolle.
## Konfigurieren Sie die AWS IAM Identity Center vom Kunden verwaltete Anwendung
Um eine vom Kunden verwaltete Anwendung zu konfigurieren, folgen Sie den Schritten unter [Einrichten von kundenverwalteten OAuth 2.0-Anwendungen für vertrauenswürdige Identitätsverbreitung](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.html) mit den folgenden Überlegungen für Athena.
+ Für **Tags**, fügen Sie die folgenden Schlüssel/Wert-Paare hinzu:
+ **Schlüssel** – **AthenaDriverOidcAppArn**
+ **Wert** — **AccessRoleARN**, der bei der Einrichtung der IAM-Zugriffsrolle kopiert wurde.
+ Fügen Sie bei der [Angabe von Anmeldeinformationen](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.html#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials) den ARN für die AWS IAM-Anwendungsrolle hinzu, den Sie bei der Einrichtung der IAM-Anwendungsrolle kopiert haben.
+ Wählen Sie für **Anwendungen, die Anfragen empfangen können,** **AWS-Lake-Formation-AWS-Glue-Datenkatalog-**.
+ ******Wenn **Access-Bereiche gelten sollen, wählen Sie **lakeformation:query für IAM-fähige Arbeitsgruppen oder lakeformation:query, athena:workgroup:read\$1write** und s3:access\$1grants:read\$1write** für Identity Center-fähige Arbeitsgruppen aus.******
## Arbeitsgruppenzuordnung konfigurieren
1. Wählen Sie im Navigationsbereich der Athena-Konsole **Workgroups** (Arbeitsgruppen) aus.
1. Wählen Sie eine Arbeitsgruppe aus der Liste aus und öffnen Sie die Registerkarte **Tags**.
1. Wählen Sie **Tags verwalten** und geben Sie Folgendes ein:
1. **Schlüssel** – `AthenaDriverOidcAppArn`
1. **Wert** – ARN für die AWS IAM Identity Center -Anwendung.
1. Wählen Sie **Speichern**.
Sobald Administratoren die einmalige Einrichtung abgeschlossen haben, können sie wichtige Verbindungsdetails an ihre Benutzer verteilen. Benutzer benötigen diese fünf obligatorischen Parameter, um SQL-Workloads auszuführen:
1. **ApplicationRoleARN** — Der ARN der Anwendungsrolle
1. **JwtWebIdentityToken**— Das JWT-Token zur Identitätsprüfung
1. **workgroupARN** – Der ARN der Athena-Arbeitsgruppe
1. **JwtRoleSessionName**— Der Sitzungsname für die JWT-Rolle
1. **CredentialsProvider**— Die Konfiguration des Anbieters für Anmeldeinformationen
**Anmerkung**
Wir haben die Konfiguration der Verbindungszeichenfolge durch strategisches Markieren vereinfacht. Durch die korrekte Kennzeichnung sowohl der Athena-Arbeitsgruppe als auch der vom AWS IAM Identity Center Kunden verwalteten Anwendung entfällt die Notwendigkeit, dass Benutzer und angeben müssen. `AccessRoleArn` `CustomerIdcApplicationArn` Das Plugin erledigt dies automatisch, indem es die Anwendungsrolle verwendet, um die erforderlichen Tags zu finden und die entsprechenden ARN-Werte für seinen Workflow abzurufen.
Administratoren können Benutzer weiterhin dazu veranlassen, `AccessRoleArn` oder `CustomerIdcApplicationArn` in der Verbindungszeichenfolge anzugeben, indem sie die Berechtigungen für die Anwendungsrolle nach Bedarf anpassen.
## Führen Sie Abfragen mithilfe von Athena-Treibern aus, die Weitergabe vertrauenswürdiger Identitäten aktiviert haben
Laden Sie die neueste Version des Treibers herunter, den Sie verwenden möchten. Weitere Informationen für JDBC-Installation finden Sie unter [Erste Schritte mit dem JDBC-Treiber 3.x](jdbc-v3-driver-getting-started.md). Sie können ODBC-Treiber entsprechend der unterstützten Plattform installieren. Weitere Informationen finden Sie unter [Erste Schritte mit dem ODBC-2.x-Treiber](odbc-v2-driver-getting-started.md). Geben Sie je nach dem Treiber, den Sie verwenden möchten, die folgenden Parameter an:
+ [Verbindungsparameter für das JDBC-Authentifizierungs-Plugin](jdbc-v3-driver-jwt-tip-credentials.md)
+ [Verbindungsparameter für das ODBC-Authentifizierungs-Plugin](odbc-v2-driver-jwt-tip.md)
**Anmerkung**
Die Weitergabe vertrauenswürdiger Identitäten mit Treibern ist erst ab Version 3.6.0 in JDBC und Version 2.0.5.0 in ODBC verfügbar.
## Verwenden Sie Athena-Treiber und vertrauenswürdige Identitätsverbreitung mit DBeaver
1. Laden Sie das neueste JDBC-Jar mit Abhängigkeiten von Athena herunter. Weitere Informationen finden Sie unter [Athena-JDBC-3.x-Treiber](jdbc-v3-driver.md).
1. Öffnen Sie die DBeaver Anwendung auf Ihrem Computer.
1. Navigieren Sie zum **Datenbank**-Menü oben auf dem Bildschirm und wählen Sie dann **Treibermanager.**
1. Wählen Sie **Neu** und dann **Bibliotheken**.
1. Fügen Sie den neuesten Treiber hinzu und wählen Sie **Klasse suchen**. Dadurch erhalten Sie einen Dateipfad wie `com.amazon.athena.jdbc.AthenaDriver`.
1. Öffnen Sie die Registerkarte **Einstellungen** und geben Sie die folgenden Felder ein
1. **Treibername** – Athena JDBC Weitergabe vertrauenswürdiger Identitäten
1. **Klassenname** – `com.amazon.athena.jdbc.AthenaDriver`
1. Wählen Sie die Option **Keine Authentifizierung**.
1. Wählen Sie **Mit einer Datenbank verbinden** und suchen Sie Athena JDBC Weitergabe vertrauenswürdiger Identitäten. Dadurch gelangen Sie zur JDBC-URL. Weitere Informationen finden Sie unter [Konfigurieren des Treibers](jdbc-v3-driver-getting-started.md#jdbc-v3-driver-configuring-the-driver).
1. Geben Sie folgende Details an
1. **Arbeitsgruppe** – Die Arbeitsgruppe, in der Sie Abfragen ausführen möchten. Informationen zu Arbeitsgruppen finden Sie unter [WorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html).
1. **Region** — Der AWS-Region Ort, an dem die Abfragen ausgeführt werden. Eine Liste der unterstützten Regionen finden Sie unter [Endpunkte und Kontingente von Amazon Athena](https://docs.aws.amazon.com/general/latest/gr/athena.html).
1. **OutputLocation**— Der Ort in Amazon S3, an dem Sie die Abfrageergebnisse speichern möchten. Informationen zum Ausgabespeicherort finden Sie unter [ResultConfiguration](https://docs.aws.amazon.com/athena/latest/APIReference/API_ResultConfiguration.html).
1. **CredentialsProvider**— Geben Sie ein`JWT_TIP`.
1. **ApplicationRoleArn**— Der ARN der Rolle, die aktiviert werden soll`AssumeRoleWithWebIdentity`. Weitere Informationen zu ARN-Rollen finden Sie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)in der AWS -Security-Token-Service API-Referenz.
1. **WorkgroupArn**— Der ARN der Arbeitsgruppe, in der Abfragen ausgeführt werden. Es muss sich um dieselbe Arbeitsgruppe handeln, die im Feld **Arbeitsgruppe** angegeben wurde. Hinweise zu Arbeitsgruppen finden Sie unter. [WorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_WorkGroup.html)
1. **JwtRoleSessionName**— Der Name der Sitzung, wenn Sie JWT-Anmeldeinformationen für die Authentifizierung verwenden. Es kann ein beliebiger Name Ihrer Wahl sein.
1. **JwtWebIdentityToken**— Das JWT-Token, das von einem externen föderierten Identitätsanbieter bezogen wurde. Dieses Token wird zur Authentifizierung bei Athena verwendet.
```
jdbc:athena://Workgroup=;Region=;OutputLocation=;CredentialsProvider=JWT_TIP;ApplicationRoleArn=;WorkgroupArn=;JwtRoleSessionName=JDBC_TIP_SESSION;JwtWebIdentityToken=;
```
1. Wählen Sie **OK** und schließen Sie das Fenster. DBeaver wird nach diesem Schritt mit dem Laden Ihrer Metadaten beginnen und Sie sollten sehen, dass Ihre Kataloge, Datenbanken und Tabellen gefüllt werden.
**Anmerkung**
Wenn das Token einen JTI-Anspruch enthält und Sie **Verbindung testen** wählen, bevor Sie **OK** wählen, wird verhindert, dass derselbe JTI für den Tokenaustausch wiederverwendet wird. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen für vertrauenswürdige Token-Aussteller](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-apps-with-trusted-token-issuer.html#trusted-token-issuer-prerequisites). Um dies zu handhaben, implementiert JDBC einen In-Memory-Cache, dessen Lebenszyklus von der Haupttreiber-Instance abhängt. Für ODBC ist optional ein [Dateicache](odbc-v2-driver-jwt-tip.md#odbc-v2-driver-jwt-tip-file-cache) vorhanden, mit dem temporäre Anmeldeinformationen zwischengespeichert und wiederverwendet werden können, um die Anzahl der Webidentitätstoken zu reduzieren, die während des Sitzungslebenszyklus verwendet werden.
1. Öffnen Sie den **SQL-Abfrage-Editor** und starten Sie die Ausführung Ihrer Abfragen. Sehen Sie sich die [Cloudtrail-Protokolle](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) an, um die weitergegebene Identität des Benutzers zu überprüfen.
# Konfigurieren und implementieren Sie Ressourcen mit AWS CloudFormation
Sie können Ressourcen mithilfe von CloudFormation Vorlagen konfigurieren und bereitstellen, um Trusted Identity Propagation mit Athena-Treibern wie folgt zu verwenden.
1. Laden Sie eine CloudFormation Vorlage herunter, um die vom Kunden verwaltete IAM Identity Center-Anwendung und die Zugriffsrollen zusammen mit den Anwendungs-Tags für Arbeitsgruppe und IAM Identity Center einzurichten.
1. Führen Sie den `create-stack` AWS CLI Befehl aus, um den CloudFormation Stack bereitzustellen, der die konfigurierten Ressourcen wie folgt bereitstellt.
```
aws cloudformation create-stack \
--stack-name my-stack \
--template-url URL_of_the_file_that_contains_the_template_body \
--parameters file://params.json
```
1. Um den Status der Ressourcenbereitstellung einzusehen, navigieren Sie zur CloudFormation -Konsole. Nachdem die Clustererstellung abgeschlossen ist, sehen Sie sich die neue IAM Identity Center-Anwendung in der Identity Center-Konsole an. Sie können diese Rolle in der IAM-Konsole einsehen.
Die Tags werden sowohl in der Arbeitsgruppe als auch in der IAM Identity Center-Anwendung verknüpft.
1. Mit den erstellten Rollen und Anwendungen können Sie die Athena-Treiber sofort verwenden. Informationen zur Verwendung des JDBC-Treibers finden Sie unter [Verbindungsparameter für das JDBC-Authentifizierungs-Plugin](jdbc-v3-driver-jwt-tip-credentials.md). Informationen zur Verwendung des ODBC-Treibers finden Sie unter [Verbindungsparameter des ODBC-Authentifizierungs-Plugins.](odbc-v2-driver-jwt-tip.md)