"
]
}
]
}
```
------
# Uso de las claves de contexto CalledVia para Athena
Cuando una [entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) hace una [solicitud](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-request) a AWS, AWS recopila la información de la solicitud en un *contexto de solicitud* que la evalúa y la autoriza. Puede utilizar el elemento `Condition` de una política JSON para comparar las claves de la solicitud de contexto con los valores de claves que especifique en su política. *Las claves de contexto de condición globales* son claves de condición con un prefijo `aws:`.
## Acerca de la clave de contexto aws:CalledVia
Puede utilizar la clave de contexto de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia) para comparar los servicios de la política con los servicios que realizaron solicitudes en nombre de la entidad principal de IAM (usuario o rol). Cuando una entidad principal hace una solicitud a un Servicio de AWS, ese servicio puede utilizar las credenciales de la entidad principal para hacer solicitudes posteriores a otros servicios. La clave `aws:CalledVia` contiene una lista ordenada de cada servicio de la cadena que realizó solicitudes en nombre de la entidad principal.
Al especificar el nombre de una entidad principal del servicio para la clave de contexto `aws:CalledVia`, puede hacer que la clave de contexto sea específica del Servicio de AWS. Por ejemplo, puede utilizar la clave de condición `aws:CalledVia` para limitar las solicitudes únicamente a las realizadas desde Athena. Para utilizar la clave de condición `aws:CalledVia` en una política con Athena, especifica el nombre de la entidad principal de servicio de Athena `athena.amazonaws.com`, como en el siguiente ejemplo.
```
...
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
...
```
Puede utilizar la clave de contexto `aws:CalledVia` para asegurarse de que las personas que llaman solo tengan acceso a un recurso (como una función de Lambda) si llaman al recurso desde Athena.
**nota**
La clave de contexto `aws:CalledVia` no es compatible con la característica de propagación de identidades fiables.
## Incorporación de una clave de contexto CalledVia para el acceso a las funciones de Lambda
Athena requiere que la persona que llama tenga permisos `lambda:InvokeFunction` para invocar la función de Lambda asociada a la consulta. La siguiente declaración especifica que el usuario solo puede invocar funciones de Lambda desde Athena.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:OneAthenaLambdaFunction",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
En el siguiente ejemplo, se muestra la adición de la instrucción anterior a una política que permite a un usuario ejecutar y leer una consulta federada. Las entidades principales a las que se les permite realizar estas acciones pueden ejecutar consultas que especifican catálogos de Athena asociados a un origen de datos federado. Sin embargo, la entidad principal no puede acceder a la función de Lambda asociada a menos que la función se invoque través de Athena.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"athena:StartQueryExecution",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkGroupName",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action":
[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket"
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
Para obtener más información acerca de las claves de condición `CalledVia`, consulte [claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
# Permiso de acceso al conector de datos de Athena para el metastore externo de Hive
Los ejemplos de políticas de permisos de este tema muestran las acciones permitidas necesarias y los recursos para las que están permitidas. Examine estas políticas detenidamente y modifíquelas de acuerdo con sus requisitos antes de adjuntar políticas de permisos similares a las identidades de IAM.
+ [Example Policy to Allow an IAM Principal to Query Data Using Athena Data Connector for External Hive Metastore](#hive-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena Data Connector for External Hive Metastore](#hive-creating-iam)
**Example : permitir que una entidad principal de IAM consulte datos con el conector de datos de Athena para un almacén de metadatos externo de Hive**
La siguiente política se conecta a las entidades principales de IAM, además de [AWSPolítica administrada de : AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy), que concede acceso completo a las acciones de Athena.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:layer:MyAthenaLambdaLayer:*"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"
}
]
}
```
**Explicación de permisos**
| Acciones permitidas | Explicación |
| --- | --- |
| "s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
| Las acciones de `s3` que permiten leer y escribir en el recurso especificado como `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"`, donde *MyLambdaSpillLocation* identifica el bucket de desbordamiento que se especifica en la configuración de la función o funciones de Lambda que se invocan. El identificador de recursos *arn:aws:lambda:\$1:*MyAWSAcctId*:layer:*MyAthenaLambdaLayer*:\$1* es necesario solo si utiliza una capa Lambda para crear dependencias de tiempo de ejecución personalizadas para reducir el tamaño del artefacto de la función en el momento de la implementación. `*` en la última posición es un comodín para la versión de capa. |
| "lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
| Permite que las consultas invoquen las funciones AWS Lambda especificadas en el bloque Resource. Por ejemplo, arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction, donde MyAthenaLambdaFunction especifica el nombre de una función de Lambda que se va a invocar. Se pueden especificar varias funciones como se muestra en el ejemplo. |
**Example : permitir que una entidad principal de IAM cree un conector de datos de Athena para un almacén de metadatos externo de Hive**
La siguiente política se conecta a las entidades principales de IAM, además de [AWSPolítica administrada de : AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy), que concede acceso completo a las acciones de Athena.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:ListFunctions",
"lambda:GetLayerVersion",
"lambda:InvokeFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:PublishLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:UpdateFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:DeleteFunctionConcurrency"
],
"Resource": "arn:aws:lambda:*:111122223333: function: MyAthenaLambdaFunctionsPrefix*"
}
]
}
```
**Explicación de permisos**
Permite que las consultas invoquen las funciones AWS Lambda para las funciones de AWS Lambda especificadas en el bloque `Resource`. Por ejemplo, `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction`, donde *MyAthenaLambdaFunction* especifica el nombre de una función de Lambda que se va a invocar. Se pueden especificar varias funciones como se muestra en el ejemplo.
# Permitir a la función de Lambda el acceso a los almacenes de metadatos externos de Hive
Para invocar una función de Lambda en su cuenta, debe crear un rol que tenga los siguientes permisos:
+ `AWSLambdaVPCAccessExecutionRole`: un permiso [de rol de ejecución de AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) para administrar interfaces de red elásticas que conectan la función a una VPC. Asegúrese de disponer de un número suficiente de interfaces de red y direcciones IP disponibles.
+ `AmazonAthenaFullAccess`: la política administrada [AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) concede acceso total a Athena.
+ Una política de Amazon S3 para permitir que la función de Lambda escriba en S3 y para permitir que Athena lea desde S3.
Por ejemplo, la siguiente política define el permiso para la ubicación del desbordamiento `s3:\\mybucket\spill`.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [
"s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/spill" ] } ] }
```
------
Siempre que utilice políticas de IAM, asegúrese de seguir las prácticas recomendadas de IAM. Para más información, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Creación de funciones de Lambda
Para crear una función de Lambda en su cuenta, se requieren permisos de desarrollo de funciones o el rol `AWSLambdaFullAccess`. Para obtener más información, consulte [Políticas de IAM basadas en identidades para AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-identity-based.html).
Dado que Athena utiliza el AWS Serverless Application Repository para crear funciones de Lambda, el superusuario o administrador que crea funciones de Lambda también debe tener políticas de IAM para [permitir consultas federadas de Athena](federated-query-iam-access.md).
## Configuración de permisos para el registro del catálogo y las operaciones de la API de metadatos
Para el acceso a la API para el registro del catálogo y las operaciones de metadatos, puede usar la [política administrada AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy). Si no utiliza la política `AmazonAthenaFullAccess`, agregue las siguientes operaciones de la API a sus políticas de Athena:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:CreateDataCatalog",
"athena:UpdateDataCatalog",
"athena:DeleteDataCatalog",
"athena:GetDatabase",
"athena:ListDatabases",
"athena:GetTableMetadata",
"athena:ListTableMetadata"
],
"Resource": [
"*"
]
}
]
}
```
------
## Llamada a una función de Lambda en todas las regiones
De forma predeterminada, Athena invoca funciones de Lambda definidas en la misma región. Para invocar una función de Lambda en una Región de AWS diferente a la región en la que está ejecutando las consultas de Athena, utilice el ARN completo de la función de Lambda.
En el siguiente ejemplo, se muestra cómo un catálogo en la región de Europa (Fráncfort) puede especificar una función de Lambda en la región Este de EE. UU. (Norte de Virginia) para obtener datos del metastore de Hive en la región de Europa (Fráncfort).
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
Cuando se especifica el ARN completo de esta manera, Athena puede llamar a la función de Lambda `external-hms-service-new` en `us-east-1` para obtener los datos de metaalmacén de Hive de `eu-central-1`.
**nota**
El catálogo debe estar registrado en la misma Región de AWS que utiliza para ejecutar las consultas de Athena.
## Llamada a una función de Lambda entre cuentas
A veces es posible que necesite acceso a una metaalmacén de Hive desde una cuenta diferente. Por ejemplo, para ejecutar un metastore de Hive, podría usar una cuenta diferente de la que utiliza para las consultas de Athena. Diferentes grupos o equipos pueden ejecutar el metaalmacén de Hive con distintas cuentas dentro de su VPC. O es posible que desee acceder a metadatos de distintos metaalmacenes de Hive de distintos grupos o equipos.
Athena utiliza el [soporte de AWS Lambda para el acceso entre cuentas](https://aws.amazon.com/blogs/compute/easy-authorization-of-aws-lambda-functions/) para habilitar el acceso entre cuentas para metaalmacenes de Hive.
**nota**
Tenga en cuenta que el acceso entre cuentas para Athena normalmente implica el acceso entre cuentas tanto para metadatos como para datos en Amazon S3.
Imagine la siguiente situación:
+ La cuenta `111122223333` configura la función de Lambda `external-hms-service-new` en us-east-1 en Athena para acceder a un metaalmacén de Hive que se ejecuta en un clúster de EMR.
+ La cuenta `111122223333` quiere permitir que la cuenta 444455556666 acceda a los datos del metaalmacén de Hive.
Para conceder a la cuenta `444455556666` acceso a la función de Lambda `external-hms-service-new`, la cuenta `111122223333` utiliza el siguiente comando AWS CLI de `add-permission`. El comando se ha formateado para fines de legibilidad.
```
$ aws --profile perf-test lambda add-permission
--function-name external-hms-service-new
--region us-east-1
--statement-id Id-ehms-invocation2
--action "lambda:InvokeFunction"
--principal arn:aws:iam::444455556666:user/perf1-test
{
"Statement": "{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}"
}
```
Para verificar el permiso de Lambda, utilice el comando `get-policy`, como en el siguiente ejemplo. El comando se ha formateado para fines de legibilidad.
```
$ aws --profile perf-test lambda get-policy
--function-name arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
--region us-east-1
{
"RevisionId": "711e93ea-9851-44c8-a09f-5f2a2829d40f",
"Policy": "{\"Version\":\"2012-10-17\",
\"Id\":\"default\",
\"Statement\":[{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}]}"
}
```
Después de agregar el permiso, puede usar un ARN completo de la función de Lambda de `us-east-1` como el siguiente al definir el catálogo `ehms`:
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
Para obtener información acerca de la invocación entre regiones, consulte [Llamada a una función de Lambda en todas las regiones](#hive-metastore-iam-access-lambda-cross-region-invocation) anteriormente en este tema.
### Concesión de acceso entre cuentas a los datos
Antes de poder ejecutar consultas de Athena, debe conceder acceso entre cuentas a los datos de Amazon S3. Puedes hacerlo de una de las siguientes formas:
+ Actualice la política de lista de control de acceso del bucket de Amazon S3 con un [ID de usuario canónico](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html).
+ Agregue acceso entre cuentas a la política de bucket de Amazon S3.
Por ejemplo, agregue la siguiente política a la política de bucket de Amazon S3 en la cuenta `111122223333` para permitir que la cuenta `444455556666` lea datos de la ubicación de Amazon S3 especificada.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect":
"Allow", "Principal": { "AWS":
"arn:aws:iam::444455556666:user/perf1-test"
}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::athena-test/lambda/dataset/*" } ]
}
```
------
**nota**
Es posible que tenga que conceder acceso entre cuentas a Amazon S3 no solo a sus datos, sino también a su ubicación de desbordamiento de Amazon S3. Su función de Lambda desborda datos adicionales a la ubicación de desbordamiento cuando el tamaño del objeto de respuesta supera un umbral determinado. Consulte al principio de este tema para obtener una política de ejemplo.
En el ejemplo actual, después de conceder acceso entre cuentas a `444455556666,` `444455556666` puede utilizar el catálogo `ehms` en su propia `account` para consultar tablas definidas en la cuenta `111122223333`.
En el siguiente ejemplo, el perfil de SQL Workbench `perf-test-1` es para la cuenta `444455556666`. La consulta utiliza el catálogo `ehms` para acceder al metaalmacén de Hive y a los datos de Amazon S3 en la cuenta `111122223333`.
![\[Acceso al metaalmacén de Hive y a datos de Amazon S3 a través de cuentas en SQL Workbench.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/hive-metastore-iam-access-lambda-1.png)
# Permisos necesarios para crear el conector y el catálogo de Athena
Para invocar Athena `CreateDataCatalog` debe crear un rol que tenga los siguientes permisos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"glue:TagResource",
"glue:GetConnection",
"glue:CreateConnection",
"glue:DeleteConnection",
"glue:UpdateConnection",
"serverlessrepo:CreateCloudFormationTemplate",
"serverlessrepo:GetCloudFormationTemplate",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:CreateChangeSet",
"cloudformation:DescribeAccountLimits",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate",
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:EstimateTemplateCost",
"cloudformation:ListImports",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:TagResource",
"lambda:ListFunctions",
"lambda:GetAccountSettings",
"lambda:ListEventSourceMappings",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:AddPermission",
"lambda:ListTags",
"lambda:GetAlias",
"lambda:GetPolicy",
"lambda:ListAliases",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"secretsmanager:ListSecrets",
"glue:GetCatalogs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:DeleteRolePolicy",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:CreateRole",
"iam:TagRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:PassRole",
"iam:ListRoles",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:GetPolicy",
"iam:UpdateRole"
],
"Resource": [
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
}
]
}
```
------
# Permiso de acceso a la consulta federada de Athena: políticas de ejemplo
Los ejemplos de políticas de permisos de este tema muestran las acciones permitidas necesarias y los recursos para las que están permitidas. Examine estas políticas detenidamente y modifíquelas de acuerdo con sus requisitos antes de adjuntarlas a las identidades de IAM.
Para obtener información sobre cómo adjuntar políticas a identidades de IAM, consulte [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la [Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ [Example policy to allow an IAM principal to run and return results using Athena Federated Query](#fed-using-iam)
+ [Example Policy to Allow an IAM Principal to Create a Data Source Connector](#fed-creating-iam)
**Example : permitir que una entidad principal de IAM ejecute y devuelva resultados mediante la consulta federada de Athena**
La siguiente política de permisos basada en identidad permite acciones que un usuario u otra entidad principal de IAM necesita para utilizar la consulta federada de Athena. Las entidades principales a las que se les permite realizar estas acciones pueden ejecutar consultas que especifican catálogos de Athena asociados a un origen de datos federado.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Athena",
"Effect": "Allow",
"Action": [
"athena:GetDataCatalog",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkgroupName",
"arn:aws:athena:us-east-1:111122223333:datacatalog/DataCatalogName"
]
},
{
"Sid": "ListAthenaWorkGroups",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "Lambda",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyLambdaSpillBucket",
"arn:aws:s3:::MyLambdaSpillBucket/*",
"arn:aws:s3:::MyQueryResultsBucket",
"arn:aws:s3:::MyQueryResultsBucket/*"
]
}
]
}
```
**Explicación de permisos**
| Acciones permitidas | Explicación |
| --- | --- |
| "athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| Permisos de Athena necesarios para ejecutar consultas federadas. |
| "athena:GetDataCatalog",
"athena:GetQueryExecution,"
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| Permisos de Athena necesarios para ejecutar consultas de vistas federadas. La acción `GetDataCatalog` es obligatoria para las vistas. |
| "lambda:InvokeFunction"
| Permite que las consultas invoquen las funciones AWS Lambda para las funciones de AWS Lambda especificadas en el bloque Resource. Por ejemplo, arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction, donde MyAthenaLambdaFunction especifica el nombre de una función de Lambda que se va a invocar. Se pueden especificar varias funciones, como se muestra en el ejemplo. |
| "s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
| Los permisos `s3:ListBucket` y `s3:GetBucketLocation` son necesarios para acceder al bucket de resultados de la consulta para las entidades principales de IAM que ejecutan `StartQueryExecution`. `s3:PutObject`, `s3:ListMultipartUploadParts` y `s3:AbortMultipartUpload` permiten escribir los resultados de la consulta en todas las subcarpetas del bucket de resultados de la consulta según lo especificado por el identificador de recursos `arn:aws:s3:::MyQueryResultsBucket/*`, donde *MyQueryResultsBucket* es el bucket de resultados de la consulta de Athena. Para obtener más información, consulte [Trabajo con resultados de la consulta y consultas recientes](querying.md). `s3:GetObject` permite leer los resultados de la consulta y el historial de consultas para el recurso especificado como `arn:aws:s3:::MyQueryResultsBucket`, donde *MyQueryResultsBucket* es el bucket de resultados de la consulta de Athena. `s3:GetObject` también permite leer desde el recurso especificado como `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"`, donde *MyLambdaSpillPrefix* se especifica en la configuración de la función o funciones de Lambda invocadas. |
**Example : permitir que una entidad principal de IAM cree un conector de origen de datos**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**Explicación de permisos**
| Acciones permitidas | Explicación |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| Permita la creación y administración de las funciones de Lambda enumeradas como recursos. En el ejemplo, se utiliza un prefijo de nombre en el identificador de recurso `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*`, donde `MyAthenaLambdaFunctionsPrefix` es un prefijo compartido utilizado en el nombre de un grupo de funciones de Lambda para que no sea necesario especificarlas individualmente como recursos. Puede especificar uno o más recursos de funciones de Lambda. |
| "s3:GetObject"
| Permite la lectura de un bucket que AWS Serverless Application Repository requiere según lo especificado por el identificador de recurso arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1. Este bucket puede ser específico de su cuenta. |
| "cloudformation:*"
| Permite la creación y administración de las pilas de CloudFormation especificadas por el recurso `MyCFStackPrefix`. Estas pilas y conjuntos de pilas indican la forma en la que AWS Serverless Application Repository implementa los conectores y las UDF. |
| "serverlessrepo:*"
| Permite buscar, ver, publicar y actualizar aplicaciones en AWS Serverless Application Repository, especificado por el identificador de recurso arn:aws:serverlessrepo:\$1:\$1:applications/\$1. |
| "ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
| Permite que la función de Lambda creada obtenga acceso a la imagen ECR del conector de federación. |
# Permiso de acceso a las UDF de Athena: políticas de ejemplo
Los ejemplos de políticas de permisos de este tema muestran las acciones permitidas necesarias y los recursos para las que están permitidas. Examine estas políticas detenidamente y modifíquelas de acuerdo con sus requisitos antes de adjuntar políticas de permisos similares a las identidades de IAM.
+ [Example Policy to Allow an IAM Principal to Run and Return Queries that Contain an Athena UDF Statement](#udf-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena UDF](#udf-creating-iam)
**Example : permitir que una entidad principal de IAM ejecute y devuelva consultas que contengan una instrucción UDF de Athena**
La siguiente política de permisos basada en identidad permite acciones que un usuario u otra entidad principal de IAM necesitan para ejecutar consultas que usan instrucciones UDF de Athena.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"lambda:InvokeFunction",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts",
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:athena:*:MyAWSAcctId:workgroup/MyAthenaWorkGroup",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:lambda:*:MyAWSAcctId:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:MyAWSAcctId:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
}
]
}
```
**Explicación de permisos**
| Acciones permitidas | Explicación |
| --- | --- |
| "athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
| Permisos de Athena necesarios para ejecutar consultas en el grupo de trabajo de `MyAthenaWorkGroup`. |
| "s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload"
| `s3:PutObject` y `s3:AbortMultipartUpload` permiten escribir los resultados de la consulta en todas las subcarpetas del bucket de resultados de la consulta según lo especificado por el identificador de recursos `arn:aws:s3:::MyQueryResultsBucket/*`, donde *MyQueryResultsBucket* es el bucket de resultados de la consulta de Athena. Para obtener más información, consulte [Trabajo con resultados de la consulta y consultas recientes](querying.md). `s3:GetObject` permite leer los resultados de la consulta y el historial de consultas para el recurso especificado como `arn:aws:s3:::MyQueryResultsBucket`, donde *MyQueryResultsBucket* es el bucket de resultados de la consulta de Athena. Para obtener más información, consulte [Trabajo con resultados de la consulta y consultas recientes](querying.md). `s3:GetObject` también permite leer desde el recurso especificado como `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"`, donde *MyLambdaSpillPrefix* se especifica en la configuración de la función o funciones de Lambda invocadas. |
| "lambda:InvokeFunction"
| Permite que las consultas invoquen las funciones AWS Lambda especificadas en el bloque Resource. Por ejemplo, arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction, donde MyAthenaLambdaFunction especifica el nombre de una función de Lambda que se va a invocar. Se pueden especificar varias funciones como se muestra en el ejemplo. |
**Example : permitir que una entidad principal de IAM cree una UDF de Athena**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**Explicación de permisos**
| Acciones permitidas | Explicación |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| Permita la creación y administración de las funciones de Lambda enumeradas como recursos. En el ejemplo, se utiliza un prefijo de nombre en el identificador de recurso `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*`, donde *MyAthenaLambdaFunctionsPrefix* es un prefijo compartido utilizado en el nombre de un grupo de funciones de Lambda para que no sea necesario especificarlas individualmente como recursos. Puede especificar uno o más recursos de funciones de Lambda. |
| "s3:GetObject"
| Permite la lectura de un bucket que AWS Serverless Application Repository requiere según lo especificado por el identificador de recurso arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1. |
| "cloudformation:*"
| Permite la creación y administración de las pilas de CloudFormation especificadas por el recurso *MyCFStackPrefix*. Estas pilas y conjuntos de pilas indican la forma en la que AWS Serverless Application Repository implementa los conectores y las UDF. |
| "serverlessrepo:*"
| Permite buscar, ver, publicar y actualizar aplicaciones en AWS Serverless Application Repository, especificado por el identificador de recurso arn:aws:serverlessrepo:\$1:\$1:applications/\$1. |
# Permiso de acceso para ML con Athena
Las entidades principales de IAM que ejecutan consultas de ML de Athena deben tener permiso para realizar la acción `sagemaker:invokeEndpoint` para los puntos de conexión de SageMaker que utilizan. Incluya una instrucción de política similar a la siguiente en las políticas de permisos basadas en identidad asociadas a identidades de usuario. Además, adjunte [AWSPolítica administrada de : AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy), que proporciona acceso completo a las acciones de Athena, o una política insertada modificada que permite un subconjunto de acciones.
Reemplace `arn:aws:sagemaker:region:AWSAcctID:ModelEndpoint` en el ejemplo por el ARN o los ARN de los puntos de conexión del modelo que se utilizarán en las consultas. Para obtener más información, consulte [Acciones, recursos y claves de condición de SageMaker IA](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html) en la *Referencia de autorizaciones de servicio*.
```
{
"Effect": "Allow",
"Action": [
"sagemaker:invokeEndpoint"
],
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default"
}
```
Siempre que utilice políticas de IAM, compruebe que sigue las mejores prácticas IAM. Para más información, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
# Habilitación del acceso federado a la API de Athena
En esta sección se trata el acceso federado que permite a un usuario o aplicación cliente en la organización llamar a operaciones de la API de Amazon Athena. En este caso, los usuarios de la organización no tienen acceso directo a Athena. En su lugar, administra credenciales de usuario fuera de AWS en Microsoft Active Directory. Active Directory es compatible con [SAML 2.0](https://wiki.oasis-open.org/security) (Lenguaje de marcado para confirmaciones de seguridad 2.0).
Para autenticar a los usuarios en este escenario, utilice el controlador JDBC u ODBC con compatibilidad con SAML.2.0 para obtener acceso a Active Directory Federation Services (AD FS) 3.0 y permitir que una aplicación cliente llame las operaciones de la API de Athena.
Para obtener más información sobre la compatibilidad con SAML 2.0 en AWS, consulte [Acerca de la federación SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) en la *Guía del usuario de IAM*.
**nota**
El acceso federado a la API de Athena es compatible con un determinado tipo de proveedor de identidades (IdP), el Active Directory Federation Service (ADFS 3.0), que forma parte de Windows Server. El acceso de federación no es compatible con la característica de propagación de identidades fiables del IAM Identity Center. El acceso se establece a través de las versiones de los controladores JDBC u ODBC que admiten SAML 2.0. Para obtener más información, consulte [Conexión a Amazon Athena con JDBC](connect-with-jdbc.md) y [Conexión a Amazon Athena con ODBC](connect-with-odbc.md).
**Topics**
+ [
## Antes de empezar
](#access-federation-before-you-begin)
+ [
## Descripción del proceso de autenticación
](#access-federation-diagram)
+ [
## Procedimiento: habilitación del acceso federado a la API de Athena basado en SAML
](#access-federation-procedure)
## Antes de empezar
Antes de comenzar, complete los siguientes requisitos previos:
+ Dentro de su organización, instale y configure ADFS 3.0 como proveedor de identidad.
+ Instale y configure las últimas versiones disponibles de los controladores JDBC u ODBC en los clientes que se utilizan para obtener acceso a Athena. El controlador debe incluir compatibilidad con el acceso federado compatible con SAML 2.0. Para obtener más información, consulte [Conexión a Amazon Athena con JDBC](connect-with-jdbc.md) y [Conexión a Amazon Athena con ODBC](connect-with-odbc.md).
## Descripción del proceso de autenticación
El siguiente diagrama ilustra el proceso de autenticación para el acceso federado a la API de Athena.
![\[Diagrama del acceso federado a la API de Athena.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/athena-saml-based-federation.png)
1. Un usuario de su organización utiliza una aplicación cliente con el controlador JDBC u ODBC para solicitar autenticación del proveedor de identidad de su organización. El proveedor de identidad es ADFS 3.0.
1. El proveedor de identidad autentica al usuario en función de Active Directory, que es el almacén de identidades de la organización.
1. El proveedor de identidad construye una aserción de SAML con información sobre el usuario y envía dicha aserción a la aplicación cliente a través del controlador JDBC u ODBC.
1. El controlador JDBC u ODBC llama a la operación API AWS Security Token Service [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html), transfiriéndole los siguientes parámetros:
+ El ARN del proveedor SAML.
+ El ARN del rol que suponer
+ La aserción SAML del proveedor de identidades
Para obtener más información, consulte [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) en la *Referencia de la API de AWS Security Token Service*.
1. La respuesta de la API a la aplicación cliente a través del controlador JDBC u ODBC incluye credenciales de seguridad temporales.
1. La aplicación cliente utiliza credenciales de seguridad temporales para llamar a las operaciones de la API de Athena, lo que permite a los usuarios obtener acceso a las operaciones de la API de Athena.
## Procedimiento: habilitación del acceso federado a la API de Athena basado en SAML
El procedimiento establece una relación de confianza entre el proveedor de identidad de la organización y su cuenta de AWS para habilitar el acceso federado basado en SAML a la operación API de Amazon Athena.
**Para habilitar el acceso federado a la API de Athena:**
1. En su organización, registre AWS como proveedor de servicios (SP) en su proveedor de identidad. Este proceso se conoce como *relación de confianza*. Para obtener más información, consulte [Configuración de una relación de confianza para usuario autenticado en el proveedor de identidades SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html) en la *Guía del usuario de IAM*. Como parte de esta tarea, siga estos pasos:
1. Obtenga el documento de metadatos de SAML de muestra de esta URL: [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml).
1. En el proveedor de identidad de la organización (ADFS), puede generar un archivo XML de metadatos equivalente que describa su proveedor de identidad como proveedor de identidad de AWS. El archivo de metadatos debe incluir el nombre de emisor, una fecha de creación, una fecha de vencimiento y claves que AWS utiliza para validar las respuestas de autenticación (aserciones) de la organización.
1. En la consola de IAM, cree una entidad de proveedor de identidad SAML. Para obtener más información, consulte [Creación de proveedores de identidad SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) en la *Guía del usuario de IAM*. Como parte de este paso, haga lo siguiente:
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Cargue el documento de metadatos de SAML producido por el proveedor de identidad (ADFS) en el paso 1 de este procedimiento.
1. En la consola de IAM, cree uno o varios roles de IAM para su proveedor de identidad. Para obtener más información, consulte [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*. Como parte de este paso, haga lo siguiente:
+ En la política de permisos del rol, enumere las acciones que pueden realizar los usuarios de la organización en AWS.
+ En la política de confianza del rol, establezca la entidad de proveedor de SAML que creó en el Paso 2 de este procedimiento como principal.
Esto establece una relación de confianza entre la organización y AWS.
1. En el proveedor de identidad de la organización (ADFS), defina aserciones que asignen usuarios o grupos de la organización a los roles de IAM. El mapeo de usuarios y grupos a los roles de IAM también se conoce como *regla de reclamación*. Tenga en cuenta que los distintos usuarios y grupos de la organización pueden asignarse a diferentes roles de IAM.
Para obtener información sobre cómo configurar la asignación en ADFS, consulte la publicación de blog: [Enabling Federation to AWS Using Windows Active Directory, ADFS, and SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) (Habilitación de la federación por medio de Windows Active Directory, ADFS y SAML 2.0).
1. Instale y configure el controlador JDBC u ODBC con compatibilidad con SAML 2.0. Para obtener más información, consulte [Conexión a Amazon Athena con JDBC](connect-with-jdbc.md) y [Conexión a Amazon Athena con ODBC](connect-with-odbc.md).
1. Especifique la cadena de conexión de la aplicación al controlador JDBC u ODBC. Para obtener más información acerca de la cadena de conexión que su aplicación debe utilizar, consulte el tema *“Uso del proveedor de credenciales de los servicios de federación de Active Directory (ADFS)”* en la *Guía de instalación y configuración del controlador JDBC*, o un tema similar en la *Guía de instalación y configuración del controlador ODBC* disponible como descarga en formato PDF en los temas [Conexión a Amazon Athena con JDBC](connect-with-jdbc.md) y [Conexión a Amazon Athena con ODBC](connect-with-odbc.md).
A continuación se ofrece el resumen general de configuración de la cadena de conexión para los controladores:
1. En la `AwsCredentialsProviderClass configuration`, establezca `com.simba.athena.iamsupport.plugin.AdfsCredentialsProvider` para indicar que desea utilizar la autenticación basada en SAML 2.0 a través del proveedor de identidad ADFS.
1. Para `idp_host`, proporcione el nombre de host del servidor de proveedor de identidad de ADFS.
1. Para `idp_port`, proporcione el número de puerto en el que escucha el proveedor de identidad ADFS para la solicitud de aserción de SAML.
1. Para `UID` y `PWD`, proporcione las credenciales de usuario de dominio de AD. Cuando se utiliza el controlador en Windows, si no se proporcionan `UID` y `PWD`, el controlador intenta obtener las credenciales de usuario del usuario que ha iniciado sesión en el equipo Windows.
1. Opcionalmente, configure `ssl_insecure` en `true`. En este caso, el controlador no comprueba la autenticidad del certificado SSL para el servidor de proveedor de identidad ADFS. Es necesario definirlo en `true` si no se ha configurado que el controlador confíe en el certificado SSL del proveedor de identidad ADFS.
1. Para habilitar el mapeo de un grupo o usuario de dominio de Active Directory en uno o varios roles de IAM (tal como se indicó en el paso 4 de este procedimiento), en el `preferred_role` de la conexión JDBC u ODBC, especifique el rol de IAM (ARN) que suponer para la conexión del controlador. Especificar `preferred_role` es opcional y es útil si el rol no es el primero indicado en la regla de reclamación.
Como resultado de este procedimiento, se producen las siguientes acciones:
1. El controlador ODBC o JDBC de llama a la API [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) de AWS STS, y le pasa las aserciones, como se muestra en el paso 4 del [Diagrama de la arquitectura](#access-federation-diagram).
1. AWS se asegurará de que la solicitud para suponer que rol procede del proveedor de identidad al que se hace referencia en la entidad del proveedor SAML.
1. Si la solicitud se realiza correctamente, la operación de la API [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) de AWS STS devuelve un conjunto de credenciales de seguridad temporales, que su aplicación cliente utiliza para realizar solicitudes firmadas a Athena.
La aplicación ahora tiene información sobre el usuario actual y puede acceder a Athena mediante programación.
# Registro y supervisión de Athena
Para detectar incidentes, recibir alertas cuando ocurran y responder a ellas, utilice estas opciones con Amazon Athena:
+ **Monitoreo de Athena con AWS CloudTrail**: [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/) proporciona un registro de las medidas adoptadas por un usuario, rol o Servicio de AWS en Athena. Captura las llamadas desde la consola de Athena y las llamadas de código a las operaciones de la API de Athena como eventos. Esto le permite determinar la solicitud que se envió a Athena, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo la realizó y detalles adicionales. Para obtener más información, consulte [Registro de las llamadas a la API de Amazon Athena con AWS CloudTrail](monitor-with-cloudtrail.md).
También puede usar Athena para consultar los archivos de registro de CloudTrail no solo para Athena, sino también para otros Servicios de AWS. Para obtener más información, consulte [Consulta de registros de AWS CloudTrail](cloudtrail-logs.md).
+ **Supervise el uso de Athena con CloudTrail y Amazon Quick**: [Amazon Quick](https://aws.amazon.com/quicksight/) es un servicio de inteligencia empresarial totalmente administrado y basado en la nube que le permite crear paneles interactivos a los que la organización puede acceder desde cualquier dispositivo. Para ver un ejemplo de una solución en la que se utiliza CloudTrail y Amazon Quick a fin de supervisar el uso de Athena, consulte la publicación del blog de macrodatos de AWS [“How Realtor.com monitors Amazon Athena usage with AWS CloudTrail and Quick”](https://aws.amazon.com/blogs/big-data/analyzing-amazon-athena-usage-by-teams-within-a-real-estate-company/).
+ **Utilizar Amazon EventBridge con Athena**: Amazon EventBridge proporciona una transmisión casi en tiempo real de eventos de sistema que describen cambios en los recursos de AWS. EventBridge descubre los cambios operativos a medida que ocurren, responde a ellos y toma medidas correctivas según sea necesario al enviar mensajes para responder al entorno, activar funciones, realizar cambios y registrar información de estado. Los eventos se emiten en la medida de lo posible. Para obtener más información, consulte [Introducción a Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) en la *Guía del usuario de Amazon EventBridge*.
+ **Utilice grupos de trabajo para separar usuarios, equipos, aplicaciones o cargas de trabajo y establecer límites de consulta y controlar los costos de las consultas**: puede ver métricas relacionadas con las consultas en Amazon CloudWatch, controlar los costos de las consultas mediante la configuración de los límites de la cantidad de datos escaneados, crear umbrales y desencadenar acciones, como alarmas de Amazon SNS, cuando se superan estos umbrales. Para obtener más información, consulte [Uso de grupos de trabajo para controlar el acceso a las consultas y los costos](workgroups-manage-queries-control-costs.md). Utilice permisos de IAM de nivel de recursos para controlar el acceso a un grupo de trabajo específico. Para obtener más información, consulte [Uso de políticas de IAM para el control del acceso al grupo de trabajo](workgroups-iam-policy.md) y [Uso de CloudWatch y EventBridge para la supervisión de consultas y la administración de costos](workgroups-control-limits.md).
**Topics**
+ [
# Registro de las llamadas a la API de Amazon Athena con AWS CloudTrail
](monitor-with-cloudtrail.md)
# Registro de las llamadas a la API de Amazon Athena con AWS CloudTrail
Athena está integrada con AWS CloudTrail, un servicio que proporciona un registro de las acciones del usuario, el rol o un Servicio de AWS en Athena.
CloudTrail captura todas las llamadas a la API de Athena como eventos. Las llamadas capturadas incluyen las llamadas desde la consola de Athena y las llamadas desde el código a las operaciones de la API de Athena. Si crea un registro de seguimiento, puede habilitar la entrega continua de eventos de CloudTrail a un bucket de Amazon S3, incluidos los eventos para Athena. Si no configura un registro de seguimiento, puede ver los eventos más recientes en la consola de CloudTrail en el **Historial de eventos**.
Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Athena, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo la realizó y los detalles adicionales.
Para obtener más información sobre CloudTrail, consulte la [Guía del usuario de AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Puede usar Athena para consultar archivos de registro de CloudTrail desde Athena en sí y desde otros Servicios de AWS. Para obtener más información, consulte [Consulta de registros de AWS CloudTrail](cloudtrail-logs.md), [El SerDe JSON de Hive](hive-json-serde.md) y la publicación del Blog de macrodatos de AWS [Utilizar instrucciones CTAS con Amazon Athena para reducir los costos y mejorar el rendimiento](https://aws.amazon.com/blogs/big-data/using-ctas-statements-with-amazon-athena-to-reduce-cost-and-improve-performance/), que utiliza CloudTrail para proporcionar información sobre el uso de Athena.
## Acerca de la información de Athena en CloudTrail
CloudTrail se habilita en su cuenta de Amazon Web Services cuando crea la cuenta. Cuando se produce una actividad en Athena, esa actividad se registra en un evento de CloudTrail junto con otros eventos de servicio de AWS en el **Historial de eventos**. Puede ver, buscar y descargar los últimos eventos de la cuenta de Amazon Web Services. Para obtener más información, consulte [Viewing events with CloudTrail event history](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para mantener un registro continuo de eventos en la cuenta de Amazon Web Services, incluidos los eventos de Athena, cree un registro de seguimiento. Un *registro de seguimiento* permite a CloudTrail enviar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las Regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de Amazon S3 especificado. También es posible configurar otros Servicios de AWS para analizar en profundidad y actuar en función de los datos de eventos recopilados en los registros de CloudTrail. Para más información, consulte los siguientes temas:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Servicios e integraciones compatibles con CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de registro de CloudTrail de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [Recibir archivos de registro de CloudTrail de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
CloudTrail registra todas las acciones de Athena, que están documentadas en la [Referencia de la API de Amazon Athena](https://docs.aws.amazon.com/athena/latest/APIReference/). Por ejemplo, las llamadas a las acciones [StartQueryExecution](https://docs.aws.amazon.com/athena/latest/APIReference/API_StartQueryExecution.html) y [GetQueryResults](https://docs.aws.amazon.com/athena/latest/APIReference/API_StartQueryExecution.html) generan entradas en los archivos de registro de CloudTrail.
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con credenciales de usuario de AWS Identity and Access Management (IAM) o credenciales de usuario raíz.
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro Servicio de AWS.
Para obtener más información, consulte [Elemento userIdentity de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Comprensión de las entradas de archivos de registro de Athena
Un registro de seguimiento es una configuración que permite la entrega de eventos como archivos de registros en un bucket de Amazon S3 que especifique. Los archivos de registro de CloudTrail pueden contener una o varias entradas de registro. Un evento representa una solicitud específica realizada desde un origen cualquiera y contiene información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. Los archivos de registro de CloudTrail no rastrean el orden en la pila de las llamadas públicas a la API, por lo que estas no aparecen en ningún orden específico.
**nota**
Para evitar la divulgación involuntaria de información confidencial, la entrada `queryString` en los registros `StartQueryExecution` y `CreateNamedQuery` tiene un valor de `***OMITTED***`. Este comportamiento es así por diseño. Para acceder a la cadena de consulta real, puede utilizar la API [GetQueryExecution](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetQueryExecution.html) de Athena y pasar el valor de `responseElements.queryExecutionId` del registro de CloudTrail.
Los siguientes son ejemplos de entradas de registro de CloudTrail para:
+ [StartQueryExecution (correcto)](#startqueryexecution-successful)
+ [StartQueryExecution (error)](#startqueryexecution-failed)
+ [CreateNamedQuery](#createnamedquery)
### StartQueryExecution (correcto)
```
{
"eventVersion":"1.05",
"userIdentity":{
"type":"IAMUser",
"principalId":"EXAMPLE_PRINCIPAL_ID",
"arn":"arn:aws:iam::123456789012:user/johndoe",
"accountId":"123456789012",
"accessKeyId":"EXAMPLE_KEY_ID",
"userName":"johndoe"
},
"eventTime":"2017-05-04T00:23:55Z",
"eventSource":"athena.amazonaws.com",
"eventName":"StartQueryExecution",
"awsRegion":"us-east-1",
"sourceIPAddress":"77.88.999.69",
"userAgent":"aws-internal/3",
"requestParameters":{
"clientRequestToken":"16bc6e70-f972-4260-b18a-db1b623cb35c",
"resultConfiguration":{
"outputLocation":"s3://amzn-s3-demo-bucket/test/"
},
"queryString":"***OMITTED***"
},
"responseElements":{
"queryExecutionId":"b621c254-74e0-48e3-9630-78ed857782f9"
},
"requestID":"f5039b01-305f-11e7-b146-c3fc56a7dc7a",
"eventID":"c97cf8c8-6112-467a-8777-53bb38f83fd5",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
### StartQueryExecution (error)
```
{
"eventVersion":"1.05",
"userIdentity":{
"type":"IAMUser",
"principalId":"EXAMPLE_PRINCIPAL_ID",
"arn":"arn:aws:iam::123456789012:user/johndoe",
"accountId":"123456789012",
"accessKeyId":"EXAMPLE_KEY_ID",
"userName":"johndoe"
},
"eventTime":"2017-05-04T00:21:57Z",
"eventSource":"athena.amazonaws.com",
"eventName":"StartQueryExecution",
"awsRegion":"us-east-1",
"sourceIPAddress":"77.88.999.69",
"userAgent":"aws-internal/3",
"errorCode":"InvalidRequestException",
"errorMessage":"Invalid result configuration. Should specify either output location or result configuration",
"requestParameters":{
"clientRequestToken":"ca0e965f-d6d8-4277-8257-814a57f57446",
"queryString":"***OMITTED***"
},
"responseElements":null,
"requestID":"aefbc057-305f-11e7-9f39-bbc56d5d161e",
"eventID":"6e1fc69b-d076-477e-8dec-024ee51488c4",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
### CreateNamedQuery
```
{
"eventVersion":"1.05",
"userIdentity":{
"type":"IAMUser",
"principalId":"EXAMPLE_PRINCIPAL_ID",
"arn":"arn:aws:iam::123456789012:user/johndoe",
"accountId":"123456789012",
"accessKeyId":"EXAMPLE_KEY_ID",
"userName":"johndoe"
},
"eventTime":"2017-05-16T22:00:58Z",
"eventSource":"athena.amazonaws.com",
"eventName":"CreateNamedQuery",
"awsRegion":"us-west-2",
"sourceIPAddress":"77.88.999.69",
"userAgent":"aws-cli/1.11.85 Python/2.7.10 Darwin/16.6.0 botocore/1.5.48",
"requestParameters":{
"name":"johndoetest",
"queryString":"***OMITTED***",
"database":"default",
"clientRequestToken":"fc1ad880-69ee-4df0-bb0f-1770d9a539b1"
},
"responseElements":{
"namedQueryId":"cdd0fe29-4787-4263-9188-a9c8db29f2d6"
},
"requestID":"2487dd96-3a83-11e7-8f67-c9de5ac76512",
"eventID":"15e3d3b5-6c3b-4c7c-bc0b-36a8dd95227b",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
},
```
# Validación de conformidad para
Auditores externos evalúan la seguridad y la conformidad de como parte de varios programas de conformidad de AWS. Estos incluyen SOC, PCI, FedRAMP y otros.
Para obtener una lista de Servicios de AWS en el ámbito de programas de conformidad específicos, consulte los [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/). Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
Se puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Su responsabilidad de conformidad al utilizar se determina en función de la sensibilidad de los datos, los objetivos de cumplimiento de su empresa y la legislación y los reglamentos correspondientes. AWS proporciona los siguientes recursos para ayudar con la conformidad:
+ [Guías de inicio rápido de seguridad y conformidad](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): estas guías de implementación tratan consideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS.
+ [Arquitectura de las medidas de seguridad y cumplimiento de HIPAA en Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html): en este documento técnico, se describe cómo las empresas pueden utilizar AWS para crear aplicaciones que cumplan los requisitos de la HIPAA.
+ [Recursos de conformidad de AWS](https://aws.amazon.com/compliance/resources/): este conjunto de manuales y guías podría aplicarse a su sector y ubicación.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html): este Servicio de AWS evalúa en qué medida las configuraciones de los recursos cumplen las prácticas internas, las directrices del sector y la normativa.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): este Servicio de AWS proporciona una vista integral de su estado de seguridad en AWS que lo ayuda a verificar la conformidad con los estándares y las prácticas recomendadas del sector de seguridad.
# Resiliencia en Athena
La infraestructura global de AWS se divide en Regiones de AWS y zonas de disponibilidad. Las Regiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
Para obtener más información sobre las Regiones de AWS y las zonas de disponibilidad, consulte [Infraestructura global de AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
Además de la infraestructura global de , ofrece varias características que le ayudan con sus necesidades de resiliencia y copia de seguridad de los datos.
Athena no usa servidor, por lo que no hay ninguna infraestructura que configurar ni administrar. Athena tiene alta disponibilidad y ejecuta consultas utilizando recursos informáticos en varias zonas de disponibilidad; además, enruta automáticamente las consultas de forma adecuada si no se puede obtener acceso a una zona de disponibilidad concreta. Athena utiliza Amazon S3 como su almacén de datos subyacente. De este modo, sus datos tienen alta disponibilidad y son duraderos. Amazon S3 proporciona una infraestructura duradera para almacenar datos importantes y se ha diseñado para ofrecer una durabilidad del 99,999999999 % de los objetos. Sus datos se almacenan de forma redundante en varias instalaciones y en diferentes dispositivos dentro de ellas.
# Seguridad de la infraestructura en Athena
Como se trata de un servicio administrado, está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte [Seguridad en la nube de AWS](https://aws.amazon.com/security/). Para diseñar su entorno de AWS con las prácticas recomendadas de seguridad de infraestructura, consulte [Protección de la infraestructura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) en *Portal de seguridad de AWS Well‐Architected Framework*.
Puede utilizar llamadas a la API publicadas en AWS para acceder a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Utilice políticas de política de IAM para restringir el acceso a las operaciones de Athena. Siempre que utilice políticas de IAM, asegúrese de seguir las prácticas recomendadas de IAM. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
Las [políticas administradas](security-iam-awsmanpol.md) por Athena son fáciles de utilizar y se actualizan automáticamente con las acciones necesarias a medida que el servicio evoluciona. Las políticas administradas por el cliente e insertadas le permiten ajustar las políticas especificando más acciones de Athena detalladas en la política. Conceda un acceso adecuado a la ubicación de Amazon S3 de los datos. Para obtener información detallada y casos sobre cómo otorgar acceso a Simple Storage Service (Amazon S3), consulte [Explicaciones de ejemplo: Administración de acceso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*. Para obtener más información y un ejemplo de las acciones de Amazon S3 que debe permitir, consulte el ejemplo de política de bucket en [Acceso entre cuentas](cross-account-permissions.md).
**Topics**
+ [
# Conexión a Amazon Athena mediante un punto de conexión de VPC de tipo interfaz
](interface-vpc-endpoint.md)
# Conexión a Amazon Athena mediante un punto de conexión de VPC de tipo interfaz
Puede mejorar la posición de seguridad de su VPC mediante el uso de un [punto de conexión de VPC de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) y un [punto de conexión de VPC de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/vpc-endpoint.html) en su nube privada virtual (VPC). Un punto de conexión de VPC de interfaz mejora la seguridad, ya que le permite controlar a qué destinos se puede llegar desde dentro de su VPC. Cada punto de conexión de VPC está representado por una o varias [Interfaces de red elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENI) con direcciones IP privadas en las subredes de la VPC.
El punto de conexión de VPC de tipo interfaz conecta directamente la VPC con Athena sin necesidad de puerta de enlace de Internet, dispositivos NAT, conexiones de VPN ni conexiones de Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con la API de Athena.
Para utilizar Athena a través de la VPC, debe conectarse desde una instancia que está dentro de la VPC o conectar su red privada a la VPC a través de una red privada virtual (VPN) de Amazon o Direct Connect. Para obtener más información sobre Amazon VPN, consulte [Conexiones VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. Para obtener información sobre AWS Direct Connect, consulte [Creación de una conexión](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) en la *Guía del usuario de Direct Connect*.
Athena admite puntos de conexión de VPC en todas las Regiones de AWS en las que estén disponibles [Amazon VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) y [Athena](https://docs.aws.amazon.com/general/latest/gr/rande.html#athena).
Puede crear un punto de conexión de VPC de tipo interfaz para conectarse a Athena mediante Consola de administración de AWS o comandos de AWS Command Line Interface (AWS CLI). Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).
Después de crear un punto de conexión de VPC de tipo interfaz, si habilita nombres de host de [DNS privados](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) para el punto de conexión, el punto de conexión predeterminado de Athena (https://athena.*Región*.amazonaws.com) se resuelve en el punto de conexión de VPC.
Si no habilita nombres de host de DNS privados, Amazon VPC proporciona un nombre de punto de conexión de DNS que puede utilizar en el siguiente formato:
```
VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com
```
Para obtener más información, consulte [Puntos de conexión de VPC de tipo interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) en la *Guía del usuario de Amazon VPC*.
Athena admite la realización de llamadas a todas sus [acciones de API](https://docs.aws.amazon.com/athena/latest/APIReference/API_Operations.html) dentro de su VPC.
## Crear una política de punto de conexión de VPC para Athena
Puede crear una política para los puntos de conexión de VPC de Amazon para Athena a fin de especificar restricciones como las siguientes:
+ **Entidad principal**: la entidad principal que puede realizar acciones.
+ **Acciones**: las acciones que se pueden realizar.
+ **Recursos**: los recursos en los que se pueden llevar a cabo las acciones.
+ **Solo identidades de confianza**: utilice la condición `aws:PrincipalOrgId` para restringir el acceso solo a las credenciales que forman parte de su organización de AWS. Esto puede ayudar a evitar el acceso no previsto por parte de entidades principales no deseadas.
+ **Solo recursos de confianza**: utilice la condición `aws:ResourceOrgId` para evitar el acceso a recursos no deseados.
+ **Solo identidades y recursos de confianza**: cree una política combinada para un punto de conexión de VPC que ayude a evitar el acceso a entidades principales y recursos no deseados.
Para obtener más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC* y el [Apéndice 2: ejemplos de políticas de puntos de conexión de VPC](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/appendix-2-vpc-endpoint-policy-examples.html) en el documento técnico de AWS *Creación de un perímetro de datos en AWS*.
**Example Política de punto de conexión de VPC**
En el siguiente ejemplo se permiten las solicitudes por identidades de la organización a los recursos de la organización y se permiten las solicitudes por parte de las entidades principales del servicio de AWS.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "my-org-id",
"aws:ResourceOrgID": "my-org-id"
}
}
},
{
"Sid": "AllowRequestsByAWSServicePrincipals",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
Siempre que utilice políticas de IAM, compruebe que sigue las mejores prácticas IAM. Para más información, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Acerca de los puntos de conexión de VPC en subredes compartidas
No puede crear, describir, modificar ni eliminar puntos de conexión de VPC en subredes que se compartan con usted. No obstante, puede usar los puntos de conexión de VPC en las subredes que se compartan con usted. Para obtener información sobre el uso compartido de VPC, consulte [Compartir su VPC con otras cuentas](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) en la *Guía del usuario de Amazon VPC*.
# Configuración y análisis de vulnerabilidades en Athena
Athena no tiene servidor, por lo que no hay una infraestructura para configurar o administrar. AWS gestiona las tareas de seguridad básicas como el sistema operativo (SO) invitado y la aplicación de parches en la base de datos, la configuración del firewall y la recuperación de desastres. Estos procedimientos han sido revisados y certificados por los terceros pertinentes. Para obtener más detalles, consulte los siguientes recursos de AWS:
+ [Modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Prácticas recomendadas para seguridad, identidad y conformidad](https://aws.amazon.com/architecture/security-identity-compliance/)
# Uso de Athena para consultar datos registrados en AWS Lake Formation
[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html) permite definir y aplicar políticas de acceso a nivel de base de datos, tabla y columna cuando se utilizan consultas de Athena para leer datos almacenados en Amazon S3 o a los que se obtiene acceso a través de orígenes de datos federados. Lake Formation proporciona un nivel de autorización y gobernanza sobre los datos almacenados en Amazon S3 o en catálogos de datos federados. Es posible utilizar una jerarquía de permisos en Lake Formation para conceder o revocar permisos para leer objetos del catálogo de datos como bases de datos, tablas y columnas. Lake Formation simplifica la administración de permisos y le permite implementar un control de acceso detallado (FGAC, fine-grained access control) para los datos.
Se puede utilizar Athena para consultar tanto los datos registrados en Lake Formation como los datos que no están registrados en Lake Formation.
Los permisos de Lake Formation se aplican cuando se utiliza Athena para consultar datos de origen desde ubicaciones de Amazon S3 o catálogos de datos registrados en Lake Formation. Los permisos de Lake Formation también se aplican cuando se crean bases de datos y tablas que apuntan a catálogos de datos o ubicaciones de datos de Amazon S3 registrados.
Los permisos de Lake Formation no se aplican cuando se escriben objetos, ni cuando se consultan datos o metadatos que no están registrados en Lake Formation. En el caso de los datos y metadatos de origen que no están registrados en Lake Formation, las políticas de permisos de IAM y las acciones de AWS Glue determinan el acceso. Las ubicaciones de resultados de consultas de Athena en Amazon S3 no se pueden registrar con Lake Formation y las políticas de permisos de IAM para el acceso de control de Amazon S3. Además, los permisos de Lake Formation no se aplican al historial de consultas de Athena. Puede utilizar grupos de trabajo de Athena para controlar el acceso al historial de consultas.
Para obtener más información acerca de Lake Formation, consulte [Preguntas frecuentes sobre Lake Formation](https://aws.amazon.com/lake-formation/faqs/) en la [Guía para desarrolladores de AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html).
## Aplicación de permisos de Lake Formation a bases de datos y tablas existentes
Si es nuevo en Athena y utiliza Lake Formation para configurar el acceso a los datos de consulta, no necesita configurar políticas de IAM para que los usuarios puedan leer datos y crear metadatos. Puede utilizar Lake Formation para administrar permisos.
El registro de datos con Lake Formation y la actualización de políticas de permisos de IAM no es un requisito. Si los datos no están registrados en Lake Formation, los usuarios de Athena que dispongan de los permisos adecuados podrán seguir consultando los datos que no estén registrados en Lake Formation.
Si ya tiene usuarios de Athena que consultan datos de Amazon S3 que no estén registrados en Lake Formation, puede actualizar los permisos de IAM para Amazon S3 (y para AWS Glue Data Catalog, si procede) con el fin de utilizar los permisos de Lake Formation para administrar el acceso de los usuarios de forma centralizada. Para obtener permiso para leer ubicaciones de datos de Amazon S3, puede actualizar políticas basadas en recursos y políticas basadas en identidad para modificar permisos de Amazon S3. Para obtener acceso a los metadatos, si ha configurado políticas de nivel de recursos para un control de acceso detallado con AWS Glue, puede utilizar permisos de Lake Formation para administrar el acceso en su lugar.
Para obtener más información, consulte [Configuración del acceso a las bases de datos y tablas en el AWS Glue Data Catalog](fine-grained-access-to-glue-resources.md) y [Actualización de permisos de datos de AWS Glue para el modelo de AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/upgrade-glue-lake-formation.html) en la *Guía para desarrolladores de AWS Lake Formation*.
**Topics**
+ [
## Aplicación de permisos de Lake Formation a bases de datos y tablas existentes
](#lf-athena-apply-lf-permissions-to-existing-databases-and-tables)
+ [Cómo funciona el acceso a los datos](lf-athena-access.md)
+ [Consideraciones y limitaciones](lf-athena-limitations.md)
+ [Acceso entre cuentas](lf-athena-limitations-cross-account.md)
+ [Administración de los permisos de usuario](lf-athena-user-permissions.md)
+ [Uso de Lake Formation y JDBC u ODBC para el acceso federado](security-athena-lake-formation-jdbc.md)
# Cómo accede Athena a los datos registrados en Lake Formation
El flujo de trabajo de acceso que se describe en esta sección se aplica al ejecutar consultas de Athena en ubicaciones de Amazon S3, catálogos de datos u objetos de metadatos registrados en Lake Formation. Para obtener más información, consulte [Registro de un lago de datos](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html) en la *Guía para desarrolladores de AWS Lake Formation*. Además de registrar los datos, el administrador de Lake Formation aplica permisos de Lake Formation que conceden o revocan el acceso a los metadatos en el catálogo de datos, AWS Glue Data Catalog, o la ubicación de datos en Amazon S3. Para obtener más información, consulte [Seguridad y control de acceso a metadatos y datos](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions) en la *Guía para desarrolladores de AWS Lake Formation*.
Cada vez que una entidad principal de Athena (usuario, grupo o rol) ejecuta una consulta sobre datos registrados mediante Lake Formation, Lake Formation verifica que la entidad principal tenga los permisos de Lake Formation adecuados para la base de datos, la tabla y la ubicación del origen de datos según corresponda para la consulta. Si la entidad principal tiene acceso, Lake Formation *ofrece* credenciales temporales a Athena y se ejecuta la consulta.
En el siguiente diagrama se ilustra cómo funciona el suministro de credenciales en Athena consulta a consulta para una consulta `SELECT` hipotética en una tabla con una ubicación de Amazon S3 o un catálogo de datos registrado en Lake Formation:
![\[Flujo de trabajo de venta de credenciales para una consulta en una tabla de Athena.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/lake-formation-athena-security.png)
1. Una entidad principal ejecuta una consulta `SELECT` en Athena.
1. Athena analiza la consulta y verifica los permisos de Lake Formation para ver si se ha concedido a la entidad principal acceso a la tabla y a las columnas de la tabla.
1. Si la entidad principal tiene acceso, Athena solicita credenciales de Lake Formation. Si la entidad principal *no* tiene acceso, Athena emite un error de acceso denegado.
1. Lake Formation emite credenciales para que Athena las utilice al leer datos de Amazon S3 o del catálogo, junto con la lista de columnas permitidas.
1. Athena utiliza las credenciales temporales de Lake Formation para consultar los datos de Amazon S3 o del catálogo. Una vez completada la consulta, Athena descarta las credenciales.
# Consideraciones y limitaciones para consultar datos registrados en Lake Formation
Tenga en cuenta lo siguiente al utilizar Athena para consultar los datos registrados en Lake Formation. Para obtener información adicional, consulte [Problemas conocidos de AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/limitations.html) en la *Guía para desarrolladores de AWS Lake Formation*.
**Topics**
+ [Metadatos de columna visibles para usuarios sin permisos de datos para columnas en algunas circunstancias](#lf-athena-limitations-column-metadata)
+ [Uso de permisos de Lake Formation para vistas](#lf-athena-limitations-permissions-to-views)
+ [
## Compatibilidad con DDL de Iceberg
](#lf-athena-limitations-iceberg-ddl-operations)
+ [
## Control de acceso detallado de Lake Formation y grupos de trabajo de Athena
](#lf-athena-limitations-fine-grained-access-control)
+ [Ubicación de los resultados de consulta de Athena en Simple Storage Service (Amazon S3) no registrados en Lake Formation](#lf-athena-limitations-query-results-location)
+ [Uso de grupos de trabajo de Athena para limitar el acceso al historial de consultas](#lf-athena-limitations-use-workgroups-to-limit-access-to-query-history)
+ [Las ubicaciones de Amazon S3 cifradas con CSE-KMS registradas en Lake Formation no se pueden consultar en Athena](#lf-athena-limitations-cse-kms)
+ [Las ubicaciones de datos particionadas registradas en Lake Formation deben estar en subdirectorios de tablas](#lf-athena-limitations-partioned-data-locations)
+ [Las consultas Create Table As Select (CTAS) requieren permisos de escritura de Amazon S3](#lf-athena-limitations-ctas-queries)
+ [
## El permiso DESCRIBE es necesario en la base de datos predeterminada
](#lf-athena-limitations-describe-default)
## Metadatos de columna visibles para usuarios no autorizados en algunas circunstancias con Avro y SerDe personalizado
La autorización de nivel de columna de Lake Formation impide que los usuarios obtengan acceso a los datos de las columnas para las que el usuario no tiene permisos de Lake Formation. Sin embargo, en determinadas situaciones, los usuarios pueden obtener acceso a los metadatos que describen todas las columnas de la tabla, incluidas las columnas para las que no tienen permisos sobre los datos.
Esto ocurre cuando los metadatos de columna se almacenan en propiedades de tabla para tablas que utilizan el formato de almacenamiento Apache Avro o un serializador/deserializador (SerDe) personalizado en el que el esquema de tabla se define en las propiedades de la tabla junto con la definición del SerDe. Cuando utilice Athena con Lake Formation, le recomendamos que revise el contenido de las propiedades de la tabla que registra con Lake Formation y, siempre que sea posible, limite la información almacenada en las propiedades de la tabla para evitar que los metadatos confidenciales sean visibles para los usuarios.
## Descripción de Lake Formation y sus vistas
Para los datos registrados en Lake Formation, un usuario de Athena puede crear una `VIEW` solo si tiene permisos de Lake Formation para las tablas, las columnas y las ubicaciones de datos de Amazon S3 de origen en los que se basa la `VIEW`. Después de crear una `VIEW` en Athena, los permisos de Lake Formation se pueden aplicar a la `VIEW`. Los permisos de nivel de columna no están disponibles para un `VIEW`. Los usuarios que tienen permisos de Lake Formation para una `VIEW` pero no tienen permisos para la tabla y las columnas en las que se basó la vista no pueden utilizar la `VIEW` para consultar datos. Sin embargo, los usuarios con esta combinación de permisos pueden utilizar instrucciones como `DESCRIBE VIEW`, `SHOW CREATE VIEW`, y `SHOW COLUMNS` para ver metadatos de `VIEW`. Por este motivo, asegúrese de alinear los permisos de Lake Formation para cada `VIEW` con los permisos de tabla subyacentes. Los filtros de celda definidos en una tabla no se aplican a una `VIEW` para esa tabla. Los nombres de enlace de recursos deben tener el mismo nombre que el recurso de la cuenta de origen. Existen limitaciones adicionales al trabajar con vistas en una configuración multicuenta. Para obtener más información sobre cómo configurar los permisos para vistas compartidas entre cuentas, consulte [Configuración del acceso al catálogo de datos entre cuentas](lf-athena-limitations-cross-account.md).
## Compatibilidad con DDL de Iceberg
Actualmente, Athena no admite operaciones de DDL en tablas de Iceberg cuya ubicación esté registrada en Lake Formation. Si se intenta ejecutar una consulta DDL en una de estas tablas de Iceberg, se puede producir un error de acceso denegado a Amazon S3 o se puede producir un error por agotamiento del tiempo de espera de la consulta. Las operaciones de DDL en las tablas de Iceberg requieren que el usuario tenga acceso directo de Amazon S3 a la ubicación de la tabla de Iceberg.
## Control de acceso detallado de Lake Formation y grupos de trabajo de Athena
Los usuarios del mismo grupo de trabajo de Athena pueden ver los datos que el control de acceso detallado de Lake Formation ha configurado para que el grupo de trabajo pueda acceder a ellos. Para obtener más información sobre el uso de un control de acceso detallado en Lake Formation, consulte [Manage fine-grained access control using AWS Lake Formation](https://aws.amazon.com/blogs/big-data/manage-fine-grained-access-control-using-aws-lake-formation/) en el *Blog de macrodatos de AWS*.
## Ubicación de los resultados de consulta de Athena en Simple Storage Service (Amazon S3) no registrados en Lake Formation
Las ubicaciones de los resultados de consulta en Amazon S3 para Athena no se pueden registrar en Lake Formation. Los permisos de Lake Formation no limitan el acceso a estas ubicaciones. A menos que limite el acceso, los usuarios de Athena pueden acceder a los archivos de resultados de consultas y metadatos cuando no tienen permisos de Lake Formation para los datos. Para evitar esto, le recomendamos que utilice grupos de trabajo para especificar la ubicación de los resultados de consulta y alinear la pertenencia a grupos de trabajo con permisos de Lake Formation. A continuación, puede utilizar políticas de permisos de IAM para limitar el acceso a ubicaciones de resultados de consulta. Para obtener más información sobre los resultados de consultas, consulte [Trabajo con resultados de la consulta y consultas recientes](querying.md).
## Uso de grupos de trabajo de Athena para limitar el acceso al historial de consultas
El historial de consultas de Athena expone una lista de consultas guardadas y las cadenas de consultas completas. A menos que utilice grupos de trabajo para separar el acceso a los historiales de consultas, los usuarios de Athena que no tengan autorización para consultar datos en Lake Formation pueden ver cadenas de consulta ejecutadas en esos datos, incluidos nombres de columna, criterios de selección, etc. Le recomendamos que utilice grupos de trabajo para separar los historiales de consultas y alinear la pertenencia al grupo de trabajo de Athena con permisos de Lake Formation para limitar el acceso. Para obtener más información, consulte [Uso de grupos de trabajo para controlar el acceso a las consultas y los costos](workgroups-manage-queries-control-costs.md).
## Consulta de tablas cifradas con CSE\$1KMS registradas en Lake Formation
Las tablas de formato de tabla abierta (OTF), como Apache Iceberg, que tienen las siguientes características no se pueden consultar con Athena:
+ Las tablas se basan en ubicaciones de datos de Amazon S3 registradas en Lake Formation.
+ Los objetos de Amazon S3 se cifran mediante el cifrado del cliente (CSE).
+ El cifrado utiliza claves administradas por el cliente de AWS KMS (`CSE_KMS`).
Para consultar tablas que no son OTF (que están cifradas con una clave `CSE_KMS`), añada el siguiente bloque a la política de la clave de AWS KMS que utiliza para el cifrado CSE. ** es el ARN de la clave de AWS KMS que cifra los datos. ** es el ARN del rol de IAM que registra la ubicación de Amazon S3 en Lake Formation.
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "kms:Decrypt",
"Resource": "",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": ""
}
}
}
```
## Las ubicaciones de datos particionadas registradas en Lake Formation deben estar en subdirectorios de tablas
Las tablas particionadas registradas en Lake Formation deben tener datos particionados en directorios que sean subdirectorios de la tabla en Amazon S3. Por ejemplo, una tabla con la ubicación `s3://amzn-s3-demo-bucket/mytable` y las particiones `s3://amzn-s3-demo-bucket/mytable/dt=2019-07-11`, `s3://amzn-s3-demo-bucket/mytable/dt=2019-07-12`, etc. se puede registrar en Lake Formation y consultar mediante Athena. Por otra parte, una tabla con la ubicación `s3://amzn-s3-demo-bucket/mytable` y las particiones ubicadas en `s3://amzn-s3-demo-bucket/dt=2019-07-11`, `s3://amzn-s3-demo-bucket/dt=2019-07-12`, etc. no se puede registrar en Lake Formation. Debido a que estas particiones no son subdirectorios de `s3://amzn-s3-demo-bucket/mytable`, tampoco se pueden leer desde Athena.
## Las consultas Create Table As Select (CTAS) requieren permisos de escritura de Amazon S3
Las consultas Create Table As Statements (CTAS) requieren acceso de escritura a la ubicación de las tablas de Amazon S3. Para ejecutar consultas CTAS sobre datos registrados en Lake Formation, los usuarios de Athena deben tener permisos de IAM para escribir en la tabla ubicaciones de Amazon S3, además de los permisos de Lake Formation correspondientes para leer las ubicaciones de datos. Para obtener más información, consulte [Creación de una tabla a partir de los resultados de una consulta (CTAS)](ctas.md).
## El permiso DESCRIBE es necesario en la base de datos predeterminada
Se requiere el permiso `DESCRIBE` de Lake Formation en la base de datos `default` para que Lake Formation pueda verlo. El siguiente ejemplo de comando AWS CLI otorga el permiso `DESCRIBE` en la base de datos `default` al usuario `datalake_user1` en la cuenta `111122223333` de AWS.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Database": {"Name":"default"}}
```
Para obtener más información, consulte [DESCRIBE](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html#perm-describe) en la *Guía para desarrolladores de AWS Lake Formation*.
# Configuración del acceso al catálogo de datos entre cuentas
Para acceder a un catálogo de datos en otra cuenta, puede utilizar la característica AWS Glue entre cuentas de Athena o configurar el acceso entre cuentas en Lake Formation.
## Opción A: configuración del acceso al catálogo de datos entre cuentas en Athena
Puede utilizar la característica de catálogo de AWS Glue entre cuentas de Athena para registrar el catálogo en su cuenta. Esta capacidad está disponible únicamente en la versión 2 o una versión posterior del motor Athena y está limitada al uso de la misma región entre cuentas. Para obtener más información, consulte [Registrar un catálogo de datos desde otra cuenta](data-sources-glue-cross-account.md).
Si el catálogo de datos que se va a compartir tiene una política de recursos configurada en AWS Glue, esta se debe actualizar para permitir el acceso a AWS Resource Access Manager y otorgar permisos a la cuenta B para usar el catálogo de datos de la cuenta A.
Para obtener más información, consulte [Configuración del acceso entre cuentas a los catálogos de datos de AWS Glue](security-iam-cross-account-glue-catalog-access.md).
## Opción B: configuración del acceso entre cuentas en Lake Formation
AWS Lake Formation le permite utilizar una sola cuenta para administrar un catálogo de datos central. Puede utilizar esta característica para implementar el [acceso entre cuentas](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-cross-account.html) Acceder los metadatos del catálogo de datos y los datos subyacentes. Por ejemplo, una cuenta de propietario puede conceder permiso `SELECT` en una tabla a otra cuenta (destinatario).
Para que aparezca una base de datos compartida o una tabla en el Editor de consultas de Athena, debe [crear un enlace de recursos](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html) en Lake Formation a la base de datos o tabla compartida. Cuando la cuenta de destinatario en Lake Formation consulta la tabla del propietario, [CloudTrail](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-logging.html) agrega el evento de acceso a datos a los registros de la cuenta de destinatario y de la cuenta de propietario.
Para las vistas compartidas, tenga en cuenta los siguientes puntos:
+ Las consultas se ejecutan en enlaces de recursos de destino, no en la vista o la tabla de origen y luego, la salida se comparte en la cuenta de destino.
+ No es suficiente compartir solo la vista. Todas las tablas que participan en la creación de la vista deben formar parte del recurso compartido entre cuentas.
+ El nombre del enlace de recursos creado en los recursos compartidos debe coincidir con el nombre del recurso en la cuenta de propietario. Si el nombre no coincide, aparece un mensaje de error como el siguiente Failed analyzing stored view 'awsdatacatalog.*my-lf-resource-link*.*my-lf-view*': line 3:3: Schema *schema\$1name* does not exist (Se produjo un error al momento de analizar la vista almacenada 'awsdatacatalog.my-lf-resource-link.my-lf-view': line 3:3: El esquema schema\$1name no existe).
Para obtener más información sobre el acceso entre cuentas en Lake Formation, consulte los siguientes recursos en la *Guía para desarrolladores de AWS Lake Formation*:
[Acceso entre cuentas](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-cross-account.html)
[Cómo funcionan los enlaces de recursos en Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html)
[Registro entre cuentas de CloudTrail](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-logging.html)
# Administración de permisos de usuario de Lake Formation y Athena
Lake Formation suministra credenciales para consultar almacenes de datos de Amazon S3 o catálogos federados registrados en Lake Formation. Si anteriormente utilizaba políticas de IAM para permitir o denegar permisos de lectura de catálogos o ubicaciones de datos en Amazon S3, puede utilizar permisos de Lake Formation en su lugar. Sin embargo, otros permisos de IAM siguen siendo necesarios.
Siempre que utilice políticas de IAM, asegúrese de seguir las prácticas recomendadas de IAM. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
En las siguientes secciones, se resumen los permisos necesarios para utilizar Athena para consultar los datos registrados en Lake Formation. Para obtener más información, consulte [Seguridad en AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/security.html) en la *Guía para desarrolladores de AWS Lake Formation*.
**Topics**
+ [
## Permisos basados en identidad para Lake Formation y Athena
](#lf-athena-user-permissions-identity-based)
+ [
## Permisos de Amazon S3 para las ubicaciones de los resultados de las consultas de Athena
](#lf-athena-user-permissions-query-results-locations)
+ [
## Suscripciones a grupos de trabajo de Athena para el historial de consultas
](#lf-athena-user-permissions-workgroup-memberships-query-history)
+ [
## Permisos de Lake Formation para datos
](#lf-athena-user-permissions-data)
+ [
## Permisos de IAM para escribir en ubicaciones de Amazon S3
](#lf-athena-user-permissions-s3-write)
+ [
## Permisos para datos cifrados, metadatos y resultados de consultas de Athena
](#lf-athena-user-permissions-encrypted)
+ [
## Permisos basados en recursos para buckets de Amazon S3 en cuentas externas (opcional)
](#lf-athena-user-permissions-s3-cross-account)
## Permisos basados en identidad para Lake Formation y Athena
Cualquier persona que utilice Athena para consultar datos registrados en Lake Formation debe tener una política de permisos de IAM que permita la acción `lakeformation:GetDataAccess`. La [AWSPolítica administrada de : AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) permite esta acción. Si utiliza políticas insertadas, asegúrese de actualizar las políticas de permisos para permitir esta acción.
En Lake Formation, un *administrador de lago de datos* tiene permisos para crear objetos de metadatos, como bases de datos y tablas, conceder permisos de Lake Formation a otros usuarios y registrar nuevas ubicaciones de Amazon S3 o catálogos de datos. Para registrar nuevas ubicaciones, se necesitan permisos para el rol vinculado al servicio para Lake Formation. Para obtener más información, consulte [Creación de un administrador de lago de datos](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) y [Permisos de roles vinculados al servicio para Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/service-linked-roles.html#service-linked-role-permissions) en la *Guía para desarrolladores de AWS Lake Formation*.
Un usuario de Lake Formation puede utilizar Athena para consultar bases de datos, tablas, columnas de tablas y catálogos o almacenes de datos de Amazon S3 subyacentes en función de los permisos de Lake Formation concedidos por los administradores del lago de datos. Los usuarios no pueden crear bases de datos ni tablas, ni registrar nuevas ubicaciones de Amazon S3 con Lake Formation. Para obtener más información, consulte [Creación de un usuario de lago de datos](https://docs.aws.amazon.com/lake-formation/latest/dg/cloudtrail-tut-create-lf-user.html) en la *Guía para desarrolladores de AWS Lake Formation*.
En Athena, las políticas de permisos basadas en identidades, incluidas las de los grupos de trabajo de Athena, siguen controlando el acceso a las acciones de Athena para los usuarios de cuentas de Amazon Web Services. Además, el acceso federado podría proporcionarse a través de la autenticación basada en SAML disponible con controladores de Athena. Para obtener más información, consulte [Uso de grupos de trabajo para controlar el acceso a las consultas y los costos](workgroups-manage-queries-control-costs.md), [Uso de políticas de IAM para el control del acceso al grupo de trabajo](workgroups-iam-policy.md) y [Habilitación del acceso federado a la API de Athena](access-federation-saml.md).
Para obtener más información, consulte [Concesión de permisos de Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/lake-formation-permissions.html) en la *Guía para desarrolladores de AWS Lake Formation*.
## Permisos de Amazon S3 para las ubicaciones de los resultados de las consultas de Athena
Las ubicaciones de los resultados de consulta en Amazon S3 para Athena no se pueden registrar en Lake Formation. Los permisos de Lake Formation no limitan el acceso a estas ubicaciones. A menos que limite el acceso, los usuarios de Athena pueden acceder a los archivos de resultados de consultas y metadatos cuando no tienen permisos de Lake Formation para los datos. Para evitar esto, le recomendamos que utilice grupos de trabajo para especificar la ubicación de los resultados de consulta y alinear la pertenencia a grupos de trabajo con permisos de Lake Formation. A continuación, puede utilizar políticas de permisos de IAM para limitar el acceso a ubicaciones de resultados de consulta. Para obtener más información sobre los resultados de consultas, consulte [Trabajo con resultados de la consulta y consultas recientes](querying.md).
## Suscripciones a grupos de trabajo de Athena para el historial de consultas
El historial de consultas de Athena expone una lista de consultas guardadas y las cadenas de consultas completas. A menos que utilice grupos de trabajo para separar el acceso a los historiales de consultas, los usuarios de Athena que no tengan autorización para consultar datos en Lake Formation pueden ver cadenas de consulta ejecutadas en esos datos, incluidos nombres de columna, criterios de selección, etc. Le recomendamos que utilice grupos de trabajo para separar los historiales de consultas y alinear la pertenencia al grupo de trabajo de Athena con permisos de Lake Formation para limitar el acceso. Para obtener más información, consulte [Uso de grupos de trabajo para controlar el acceso a las consultas y los costos](workgroups-manage-queries-control-costs.md).
## Permisos de Lake Formation para datos
Además del permiso de referencia para utilizar Lake Formation, los usuarios de Athena deben tener permisos de Lake Formation para obtener acceso a los recursos que consultan. Un administrador de Lake Formation concede y administra estos permisos. Para obtener más información, consulte [Seguridad y control de acceso a metadatos y datos](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions) en la *Guía para desarrolladores de AWS Lake Formation*.
## Permisos de IAM para escribir en ubicaciones de Amazon S3
Los permisos de Lake Formation para Amazon S3 no incluyen la capacidad de escribir en Amazon S3. Las consultas Create Table As Statements (CTAS) requieren acceso de escritura a la ubicación de las tablas de Amazon S3. Para ejecutar consultas CTAS sobre datos registrados en Lake Formation, los usuarios de Athena deben tener permisos de IAM para escribir en la tabla ubicaciones de Amazon S3, además de los permisos de Lake Formation correspondientes para leer las ubicaciones de datos. Para obtener más información, consulte [Creación de una tabla a partir de los resultados de una consulta (CTAS)](ctas.md).
## Permisos para datos cifrados, metadatos y resultados de consultas de Athena
Los datos de origen subyacentes en Amazon S3 y los metadatos del catálogo registrado en Lake Formation se pueden cifrar. No hay ningún cambio en la forma en que Athena gestiona el cifrado de los resultados de las consultas cuando se utiliza Athena para consultar los datos registrados en Lake Formation. Para obtener más información, consulte [Cifrado de los resultados de las consultas de Athena en Amazon S3](encrypting-query-results-stored-in-s3.md).
+ **Cifrado de datos de origen**: se admite el cifrado de datos de origen de ubicaciones de datos de Amazon S3. Los usuarios de Athena que consultan ubicaciones cifradas de Amazon S3 registradas en Lake Formation necesitan permisos para cifrar y descifrar datos. Para obtener más información acerca de los requisitos, consulte [Opciones de cifrado de Simple Storage Service (Amazon S3) compatibles](encryption.md#encryption-options-S3-and-Athena) y [Permisos para datos cifrados en Amazon S3](encryption.md#permissions-for-encrypting-and-decrypting-data).
+ **Cifrado de metadatos**: se admite el cifrado de metadatos en AWS Glue Data Catalog. Para las entidades principales que utilizan Athena, las políticas basadas en identidad deben permitir las acciones `"kms:GenerateDataKey"`, `"kms:Decrypt"` y `"kms:Encrypt"` para la clave utilizada para cifrar los metadatos. Para obtener más información, consulte [Cifrado de su catálogo de datos](https://docs.aws.amazon.com/glue/latest/dg/encrypt-glue-data-catalog.html) en la *Guía para desarrolladores de AWS Glue* y en el [Configuración del acceso desde Athena a los metadatos cifrados en el AWS Glue Data Catalog](access-encrypted-data-glue-data-catalog.md).
## Permisos basados en recursos para buckets de Amazon S3 en cuentas externas (opcional)
Para consultar una ubicación de datos de Amazon S3 en una cuenta diferente, debe permitir el acceso a la ubicación una política de IAM basada en recursos (política de bucket). Para obtener más información, consulte [Configuración del acceso entre cuentas en Athena a los buckets de Amazon S3](cross-account-permissions.md).
Para obtener información sobre cómo acceder a los catálogos de otra cuenta, consulte [Opción A: configuración del acceso al catálogo de datos entre cuentas en Athena](lf-athena-limitations-cross-account.md#lf-athena-limitations-cross-account-glue).
# Uso de Lake Formation y controladores JDBC u ODBC para el acceso federado a Athena
Los controladores JDBC y ODBC de Athena admiten la federación basada en SAML 2.0 con Athena mediante proveedores de identidad Okta y Microsoft Active Directory Federation Services (AD FS). Al integrar Amazon Athena con AWS Lake Formation, habilita la autenticación basada en SAML en Athena con credenciales corporativas. Con Lake Formation y AWS Identity and Access Management (IAM), puede mantener un control de acceso detallado a nivel de columna sobre los datos disponibles para el usuario SAML. Con los controladores JDBC y ODBC de Athena, el acceso federado está disponible para acceso mediante herramientas o programación.
Para utilizar Athena a fin de acceder a una fuente de datos controlada por Lake Formation, debe habilitar la federación basada en SAML 2.0 mediante la configuración de su proveedor de identidades (IdP) y AWS Identity and Access Management (IAM). Para ver los pasos detallados, consulte [Tutorial: Configuración del acceso federado para usuarios de Okta a Athena utilizando Lake Formation y JDBC](security-athena-lake-formation-jdbc-okta-tutorial.md).
## Requisitos previos
Para utilizar Amazon Athena and Lake Formation para acceder federado, debe cumplir los siguientes requisitos:
+ Administrar las identidades corporativas con un proveedor de identidad existente basado en SAML, como Okta o Active Directory Federation Services (AD FS).
+ Utilizar el AWS Glue Data Catalog como almacén de metadatos.
+ Definir y administrar los permisos en Lake Formation para acceder a las bases de datos, tablas y columnas en AWS Glue Data Catalog. Para obtener más información, consulte la [Guía para desarrolladores de AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/).
+ Utilice la versión 2.0.14 o posterior del [controlador JDBC de Athena](https://docs.aws.amazon.com/athena/latest/ug/connect-with-jdbc.html) o la versión 1.1.3 o posterior del [controlador ODBC de Athena](connect-with-odbc.md).
## Consideraciones y limitaciones
Cuando utilice el controlador JDBC u ODBC de Athena junto con Lake Formation para configurar el acceso federado a Athena, tenga en cuenta los siguientes puntos:
+ Actualmente, los controladores JDBC y ODBC de Athena admiten los proveedores de identidad de Okta, Servicios de federación de Active Directory (AD FS) y Azure AD. Si bien el controlador JDBC de Athena tiene una clase SAML genérica que se puede ampliar para utilizar otros proveedores de identidad, la compatibilidad con extensiones personalizadas que permiten que otros proveedores de identidad (IdP) se usen con Athena puede ser limitada.
+ El acceso de federación mediante los controladores JDBC y ODBC no es compatible con la característica de propagación de identidades fiables de IAM Identity Center.
+ Actualmente, no se puede utilizar la consola de Athena para configurar la compatibilidad con el uso de IdP y SAML con Athena. Para configurar esta compatibilidad, utilice el proveedor de identidad de terceros, las consolas de administración de Lake Formation e IAM y el cliente de controlador JDBC u ODBC.
+ Debe comprender la [especificación SAML 2.0](https://www.oasis-open.org/standards#samlv2.0) y cómo funciona con su proveedor de identidad antes de configurar su proveedor de identidad y SAML para su uso con Lake Formation y Athena.
+ Los proveedores SAML y los controladores JDBC y ODBC de Athena son proporcionados por terceros, por lo que la compatibilidad a través de AWS para los problemas relacionados con su uso puede ser limitada.
**Topics**
+ [
## Requisitos previos
](#security-athena-lake-formation-jdbc-prerequisites)
+ [
## Consideraciones y limitaciones
](#security-athena-lake-formation-jdbc-considerations-and-limitations)
+ [
# Tutorial: Configuración del acceso federado para usuarios de Okta a Athena utilizando Lake Formation y JDBC
](security-athena-lake-formation-jdbc-okta-tutorial.md)
# Tutorial: Configuración del acceso federado para usuarios de Okta a Athena utilizando Lake Formation y JDBC
En este tutorial, se muestra cómo configurar Okta, AWS Lake Formation, permisos de AWS Identity and Access Management y el controlador JDBC de Athena para habilitar el uso federado basado en SAML de Athena. Lake Formation proporciona un control de acceso detallado sobre los datos disponibles en Athena para el usuario basado en SAML. Para establecer esta configuración, el tutorial utiliza la consola de desarrollador de Okta, las consolas de AWS IAM y Lake Formation, y la herramienta SQL Workbench/J.
**Requisitos previos**
Este tutorial presupone que ha realizado las siguientes acciones:
+ Crear una cuenta de Amazon Web Services. Para crear una cuenta, visite la [página de inicio de Amazon Web Services](https://aws.amazon.com/).
+ [Configurar una ubicación de resultados de consulta](query-results-specify-location.md) para Athena en Amazon S3.
+ [Registrar una ubicación de bucket de datos de Amazon S3](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html) con Lake Formation.
+ Definir una [base de datos](https://docs.aws.amazon.com/glue/latest/dg/define-database.html) y [tablas](https://docs.aws.amazon.com/glue/latest/dg/tables-described.html) en [AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) que apunten a los datos en Amazon S3.
+ Si todavía no ha definido una tabla, [ejecute un rastreador AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html) o [utilice Athena para definir una base de datos y una o más tablas](work-with-data.md) para ver los datos a los que desea obtener acceso.
+ En este tutorial, se utiliza una tabla basada en el [conjunto de datos de viajes de taxi de la ciudad de Nueva York](https://registry.opendata.aws/nyc-tlc-trip-records-pds/) disponible en el [Registro de datos abiertos de AWS](https://registry.opendata.aws/). El tutorial utiliza el nombre de la base de datos `tripdb` y el nombre de la tabla `nyctaxi`.
**Topics**
+ [
## Paso 1: Crear una cuenta de Okta
](#security-athena-lake-formation-jdbc-okta-tutorial-step-1-create-an-okta-account)
+ [
## Paso 2: Agregar usuarios y grupos a Okta
](#security-athena-lake-formation-jdbc-okta-tutorial-step-2-set-up-an-okta-application-for-saml-authentication)
+ [
## Paso 3: Configurar una aplicación de Okta para la autenticación SAML
](#security-athena-lake-formation-jdbc-okta-tutorial-step-3-set-up-an-okta-application-for-saml-authentication)
+ [
## Paso 4: Crear un proveedor de identidad SAML de AWS y un rol de IAM para acceso a Lake Formation
](#security-athena-lake-formation-jdbc-okta-tutorial-step-4-create-an-aws-saml-identity-provider-and-lake-formation-access-IAM-role)
+ [
## Paso 5: Agregar el rol de IAM y el proveedor de identidad SAML a la aplicación de Okta
](#security-athena-lake-formation-jdbc-okta-tutorial-step-5-update-the-okta-application-with-the-aws-role-and-saml-identity-provider)
+ [
## Paso 6: Otorgar permisos de usuario y grupo a través de AWS Lake Formation
](#security-athena-lake-formation-jdbc-okta-tutorial-step-6-grant-permissions-through-aws-lake-formation)
+ [
## Paso 7: Verificar el acceso a través del cliente JDBC de Athena
](#security-athena-lake-formation-jdbc-okta-tutorial-step-7-verify-access-through-athena-jdbc-client)
+ [
## Conclusión
](#security-athena-lake-formation-jdbc-okta-tutorial-conclusion)
+ [
## Recursos relacionados
](#security-athena-lake-formation-jdbc-okta-tutorial-related-resources)
## Paso 1: Crear una cuenta de Okta
En este tutorial, se utiliza Okta como proveedor de identidad basado en SAML. Si no dispone de una cuenta de Okta, puede crear una gratuita. Es necesaria una cuenta de Okta para poder crear una aplicación de Okta para la autenticación SAML.
**Para crear una cuenta de Okta**
1. Para utilizar Okta, vaya a la [página de registro para desarrolladores de Okta](https://developer.okta.com/signup/) y cree una cuenta de prueba gratuita de Okta. El servicio de edición de desarrollador es gratuito hasta los límites especificados por Okta en [developer.okta.com/pricing](https://developer.okta.com/pricing).
1. Cuando reciba el correo electrónico de activación, active la cuenta.
Se le asignará un nombre de dominio de Okta. Guarde el nombre de dominio como referencia. Más adelante, utilizará el nombre de dominio (**) en la cadena JDBC que se conecta a Athena.
## Paso 2: Agregar usuarios y grupos a Okta
En este paso, se utiliza la consola de Okta para realizar las siguientes tareas:
+ Crear dos usuarios de Okta.
+ Cree dos grupos de Okta.
+ Agregue un usuario de Okta a cada grupo de Okta.
**Para agregar usuarios a Okta**
1. Después de activar la cuenta de Okta, inicie sesión como usuario administrativo en el dominio Okta asignado.
1. En el panel de navegación izquierdo, elija **Directory** (Directorio) y, a continuación, elija **People** (Personas).
1. Elija **Add Person** (Agregar persona) para agregar un usuario nuevo que accederá a Athena a través del controlador JDBC.
![\[Elija Add Person (Agregar persona).\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-3.png)
1. En el cuadro de diálogo **Add person** (Agregar persona), ingrese la información requerida.
+ En **First name** (Nombre) y **Last name** (Apellido), ingrese valores. En este tutorial se utiliza *athena-okta-user*.
+ Ingrese un **Username** (Nombre de usuario) y **Primary email** (Correo electrónico principal). En este tutorial se utiliza *athena-okta-user@anycompany.com*.
+ En **Password** (Contraseña), elija **Set by admin** (Definida por administrador) y, a continuación, proporcione una contraseña. En este tutorial se desactiva la opción **User must change password on first login** (El usuario debe cambiar la contraseña en el primer inicio de sesión). Los requisitos de seguridad pueden variar.
![\[Agregar un usuario a la aplicación de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4.png)
1. Elija **Save and Add Another** (Guardar y agregar otro).
1. Ingrese la información de otro usuario. En este ejemplo, se agrega el usuario de analista empresarial *athena-ba-user@anycompany.com*.
![\[Agregar un usuario a la aplicación de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4a.png)
1. Seleccione **Save**.
En el siguiente procedimiento, proporcionará acceso a dos grupos de Okta a través del controlador JDBC de Athena al agregar un grupo de “analista empresarial” y un grupo “Desarrollador”.
**Para agregar grupos de Okta**
1. En el panel de navegación de Okta, elija **Directory** (Directorio) y, a continuación, elija **Groups** (Grupos).
1. En la página **Groups** (Grupos), elija **Add Group** (Agregar grupo).
![\[Seleccione Añadir grupo.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4c.png)
1. En el cuadro de diálogo **Add Group** (Agregar grupo), ingrese la información requerida.
+ En **Name** (Nombre), ingrese *lf-business-analyst*.
+ En **Group Description** (Descripción de grupo), ingrese *Business Analysts* (Analistas de negocio).
![\[Agregar un grupo de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4d.png)
1. Seleccione **Añadir grupo**.
1. En la página **Groups** (Grupos), vuelva a elegir **Add Group** (Agregar grupo). Esta vez ingresará información para el grupo Desarrollador.
1. Ingrese la información requerida.
+ En **Name** (Nombre), ingrese *lf-developer*.
+ En **Group Description** (Descripción de grupo), ingrese *Developers* (Desarrolladores).
1. Seleccione **Añadir grupo**.
Ahora que tiene dos usuarios y dos grupos, puede agregar un usuario a cada grupo.
**Para agregar usuarios a los grupos**
1. En la página **Groups** (Grupos), elija el grupo **lf-developer** que acaba de crear. Agregará a este grupo uno de los usuarios de Okta que creó como desarrollador.
![\[Elija lf-developer.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4f.png)
1. Elija **Manage People** (Administrar personas).
![\[Elija Manage People (Administrar personas).\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4g.png)
1. En la lista **Not Members** (No miembros), elija **athena-okta-user**.
![\[Elija un usuario para agregar a la lista de miembros.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4h.png)
La entrada para el usuario pasa de la lista de **No miembros** de la izquierda a la lista de **Miembros** de la derecha.
![\[Usuario de Okta agregado a un grupo de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4i.png)
1. Seleccione **Save**.
1. Elija **Back to Group** (Volver a grupo) o **Directory** (Directorio) y, a continuación, elija **Groups** (Grupos).
1. Elija el grupo **lf-business-analyst**.
1. Elija **Manage People** (Administrar personas).
1. Agregue el usuario **athena-ba-user** a la lista de **Miembros** del grupo **lf-business-analyst** y, a continuación, elija **Save** (Guardar).
1. Elija **Back to Group** (Volver a grupo) o elija **Directory** (Directorio), **Groups** (Grupos).
La página **Groups** (Grupos) muestra ahora que cada grupo tiene un usuario de Okta.
![\[Se agregó un usuario a cada grupo de Okta en la consola de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4j.png)
## Paso 3: Configurar una aplicación de Okta para la autenticación SAML
En este paso, se utiliza la consola de desarrollador de Okta para realizar las siguientes tareas:
+ Agregar una aplicación SAML para su uso con AWS.
+ Asignar la aplicación al usuario de Okta.
+ Asignar la aplicación a un grupo de Okta.
+ Descargue los metadatos resultantes del proveedor de identidad para su uso posterior con AWS.
**Para agregar una aplicación para autenticación SAML**
1. En el panel de navegación de Okta, elija **Applications** (Aplicaciones), **Applications** (Aplicaciones) para que pueda configurar una aplicación de Okta para la autenticación SAML en Athena.
1. Haga clic en **Browse App Catalog** (Explorar el catálogo de aplicaciones).
1. En el cuadro de búsqueda, escriba **Redshift**.
1. Elija **Amazon Web Services Redshift**. La aplicación de Okta de este tutorial utiliza la integración SAML existente para Amazon Redshift.
![\[Elija Amazon Web Services Redshift.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-7.png)
1. En la página **Amazon Web Services Redshift**, elija **Add** (Agregar) para crear una aplicación basada en SAML para Amazon Redshift.
![\[Elija Add (Agregar) para crear una aplicación basada en SAML.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-8.png)
1. En **Application label** (Etiqueta de aplicación), ingrese `Athena-LakeFormation-Okta` y, a continuación, elija **Done** (Listo).
![\[Ingrese un nombre para la aplicación de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-9.png)
Ahora que ha creado una aplicación de Okta, puede asignarla a los usuarios y grupos que creó.
**Para asignar la aplicación a usuarios y grupos**
1. En la página **Applications** (Aplicaciones), elija la aplicación **Athena-LakeFormation-Okta**.
1. En la pestaña **Assignments** (Asignaciones), elija **Assign** (Asignar), **Assign to People** (Asignar a personas).
![\[Elija Assign (Asignar), Assign to People (Asignar a personas).\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-10.png)
1. En el cuadro de diálogo **Assign Athena-LakeFormation-Okta to People** (Asignar Athena-LakeFormation-Okta a personas), busque el usuario **athena-okta-user** que creó anteriormente.
1. Elija **Assign** (Asignar) para asignar al usuario a la aplicación.
![\[Elija Asignar.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-11.png)
1. Elija **Save and Go Back** (Guardar y volver).
1. Seleccione **Listo**.
1. En la pestaña **Assignments** (Asignaciones), para la aplicación **Athena-LakeFormation-Okta**, elija **Assign** (Asignar), **Assign to Groups** (Asignar a grupos).
1. Para **lf-business-analyst**, elija **Assign** (Asignar) para asignar la aplicación **Athena-LakeFormation-Okta** al grupo **lf-business-analyst** y, a continuación, elija **Done** (Listo).
![\[Asignación de una aplicación de Okta a un grupo de usuarios de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-12b.png)
El grupo aparece en la lista de grupos de la aplicación.
![\[La aplicación de Okta se asigna al grupo Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-12c.png)
Ahora ya puede descargar los metadatos de la aplicación del proveedor de identidad para utilizarlos con AWS.
**Para descargar los metadatos de la aplicación**
1. Elija la pestaña **Sign On** (Inicio de sesión) de la aplicación de Okta y, a continuación, haga clic con el botón derecho en **Identity Provider metadata** (Metadatos del proveedor de identidad).
![\[Haga clic con el botón derecho en Identity Provider metadata (Metadatos del proveedor de identidad).\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-13.png)
1. Elija **Save Link As** (Guardar enlace como) para guardar los metadatos del proveedor de identidad, que están en formato XML, en un archivo. Dele un nombre que reconozca (por ejemplo, `Athena-LakeFormation-idp-metadata.xml`).
![\[Guardar los metadatos del proveedor de identidad.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-14.png)
## Paso 4: Crear un proveedor de identidad SAML de AWS y un rol de IAM para acceso a Lake Formation
En este paso, utiliza la consola de AWS Identity and Access Management (IAM) para realizar las siguientes tareas:
+ Crear un proveedor de identidad para AWS.
+ Crear un rol de IAM para acceso a Lake Formation.
+ Agregar la política administrada AmazonAthenaFullAccess al rol.
+ Agregar una política para Lake Formation y AWS Glue al rol.
+ Agregar una política para los resultados de la consulta de Athena al rol.
**Para crear un proveedor de identidad SAML de AWS**
1. Inicie sesión en la **consola** de la **cuenta de Amazon Web Services** como **administrador de cuenta de Amazon Web Services** y vaya a la consola de **IAM** ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)).
1. En el panel de navegación, elija **Identity providers** (Proveedores de identidad) y, a continuación, haga clic en **Add provider** (Agregar proveedor).
1. En la pantalla **Configurar proveedor**, ingrese la siguiente información:
+ En **Provider type** (Tipo de proveedor), elija **SAML**.
+ En **Provider name** (Nombre de proveedor), ingrese `AthenaLakeFormationOkta`.
+ En **Metadata document** (Documento de metadatos), utilice la opción **Choose file** (Elegir archivo) para cargar el archivo XML de metadatos del proveedor de identidades (IdP) que descargó.
1. Elija **Add Provider** (Agregar proveedor).
A continuación, cree un rol de IAM para obtener acceso a AWS Lake Formation. Agregue dos políticas insertadas al rol. Una política proporciona permisos para acceder a Lake Formation y a las API de AWS Glue. La otra política proporciona acceso a Athena y a la ubicación de los resultados de consulta de Athena en Amazon S3.
**Para crear un rol de IAM para obtener acceso a AWS Lake Formation**
1. En el panel de navegación de la consola de IAM, elija **Roles** y, a continuación, elija **Create role** (Crear rol).
1. En la página **Crear rol**, siga los siguientes pasos:
![\[Configuración de un rol de IAM para utilizar SAML 2.0.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-20.png)
1. En **Select type of trusted entity** (Seleccionar tipo de entidad de confianza), elija **SAML 2.0 Federation** (Federación SAML 2.0).
1. En **SAML provider** (Proveedor SAML), seleccione **AthenaLakeFormationOkta**.
1. En **SAML provider** (Proveedor SAML), seleccione la opción **Allow programmatic and Consola de administración de AWS access** (Permitir programación y acceso a ).
1. Elija **Siguiente: permisos**.
1. En la página **Attach Permissions policies** (Adjuntar políticas de permisos), en **Filter policies** (Filtrar políticas), ingrese **Athena**.
1. Seleccione la política administrada **AmazonAthenaFullAccess** y, a continuación, elija **Siguiente: etiquetas** .
![\[Adjuntar la política administrada AmazonAthenaFullAccess al rol de IAM.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-21.png)
1. En la página **Add tags (Añadir etiquetas)**, elija **Next: Review (Siguiente: Revisión)**.
1. En la página **Review** (Revisar), en **Role name** (Nombre del rol), ingrese un nombre para el rol (por ejemplo, *Athena-LakeFormation-OktaRole*) y luego elija **Create role** (Crear rol).
![\[Ingrese un nombre para el rol de Rol de IAM de IAM.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-22.png)
A continuación, agregue políticas insertadas que permitan el acceso a Lake Formation, API de AWS Glue y resultados de consultas de Athena en Amazon S3.
Siempre que utilice políticas de IAM, asegúrese de seguir las prácticas recomendadas de IAM. Para obtener más información, consulte la sección [Prácticas recomendadas de seguridad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
**Para agregar una política insertada al rol de Lake Formation y AWS Glue**
1. En la lista de roles de la consola de IAM, elija el recién creado `Athena-LakeFormation-OktaRole`.
1. En la página **Summary** (Resumen) del rol, en la pestaña **Permissions** (Permisos), elija **Add inline política** (Agregar política insertada).
1. En la página **Crear política**, elija **JSON**.
1. Agregue una política insertada como la siguiente que proporcione acceso a Lake Formation y a las API de AWS Glue.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateDatabase",
"glue:GetUserDefinedFunction",
"glue:GetUserDefinedFunctions"
],
"Resource": "*"
}
}
```
------
1. Elija **Revisar política**.
1. En **Name** (Nombre), ingrese un nombre para la política (por ejemplo, **LakeFormationGlueInlinePolicy**).
1. Elija **Crear política**.
**Para agregar una política insertada al rol para la ubicación de los resultados de consulta de Athena**
1. En la página **Summary** (Resumen) del rol `Athena-LakeFormation-OktaRole`, en la pestaña **Permissions** (Permisos), elija **Add inline policy** (Agregar política insertada).
1. En la página **Crear política**, elija **JSON**.
1. Agregue una política insertada como la siguiente que permita el acceso del rol a la ubicación de los resultados de consulta de Athena. Reemplace los marcadores de posición ** en el ejemplo con el nombre del bucket de Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AthenaQueryResultsPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
}
]
}
```
------
1. Elija **Revisar política**.
1. En **Name** (Nombre), ingrese un nombre para la política (por ejemplo, **AthenaQueryResultsInlinePolicy**).
1. Elija **Crear política**.
A continuación, copie el ARN del rol de acceso a Lake Formation y el ARN del proveedor SAML creado. Estos son necesarios al configurar la aplicación SAML de Okta en la siguiente sección del tutorial.
**Para copiar el ARN de rol y el ARN del proveedor de identidad SAML**
1. En la consola de IAM, en la página **Summary** (Resumen) del rol `Athena-LakeFormation-OktaRole`, elija el icono **Copy to clipboard** (Copiar al portapapeles) que aparece junto a **Role ARN** (ARN de rol). El ARN tiene el siguiente formato:
```
arn:aws:iam:::role/Athena-LakeFormation-OktaRole
```
1. Guarde el ARN completo de forma segura para su referencia posterior.
1. En el panel de navegación de la consola de IAM, elija **Identity providers** (Proveedores de identidad).
1. Elija el proveedor **AthenaLakeFormationOkta**.
1. En la página **Summary** (Resumen), elija el icono **Copy to clipboard** (Copiar al portapapeles) que aparece junto a **Provider ARN** (ARN del proveedor). El ARN debería tener el siguiente aspecto:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta
```
1. Guarde el ARN completo de forma segura para su referencia posterior.
## Paso 5: Agregar el rol de IAM y el proveedor de identidad SAML a la aplicación de Okta
En este paso, vuelve a la consola de desarrollador de Okta para realizar las siguientes tareas:
+ Agregar atributos URL de usuario y grupo de Lake Formation a la aplicación de Okta.
+ Agregar el ARN para el proveedor de identidad y el ARN para el rol de IAM a la aplicación de Okta.
+ Copiar el ID de la aplicación de Okta. El ID de la aplicación de Okta es necesario en el perfil del JDBC que se conecta a Athena.
**Para agregar atributos URL de usuario y grupo de Lake Formation a la aplicación de Okta**
1. Inicie sesión en la consola de desarrollador de Okta.
1. Elija la pestaña **Applications** (Aplicaciones), y, a continuación, elija la aplicación `Athena-LakeFormation-Okta`.
1. Elija la pestaña **Sign On** (Inicio de sesión) para la aplicación y, a continuación, elija **Edit** (Editar).
![\[Edite la aplicación de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-24.png)
1. Elija **Attributes (optional)** (Atributos [opcional]) para expandirla.
![\[Agregar un atributo URL de Lake Formation de usuario a la aplicación de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-25.png)
1. En **Instrucciones de atributos (opcional)**, agregue el siguiente atributo:
+ En **Nombre**, escriba **https://lakeformation.amazon.com/SAML/Attributes/Username**.
+ En **Value** (Valor), ingrese **user.login**.
1. En **Instrucciones de atributo de grupo (opcional)**, agregue el siguiente atributo:
+ En **Nombre**, escriba **https://lakeformation.amazon.com/SAML/Attributes/Groups**.
+ En **Name format** (Formato de nombre), ingrese **Basic**.
+ En **Filter** (Filtro), elija **Matches regex** (Coincide con la expresión regular) y, a continuación, ingrese **.\$1** en el cuadro de filtro.
![\[Agregar un atributo URL de Lake Formation de grupo a la aplicación de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-25a.png)
1. Desplácese hacia abajo hasta la sección **Advanced Sign-On Settings** (Configuración avanzada de inicio de sesión), donde agregará los ARN del proveedor de identidad y el rol de IAM a la aplicación de Okta.
**Para agregar los ARN del proveedor de identidad y el rol de IAM a la aplicación de Okta**
1. En **Idp ARN and Role ARN** (ARN de Idp y ARN de rol), ingrese el ARN de proveedor de identidad de AWS y el ARN de rol como valores separados por comas en el formato **, **. La cadena combinada debe ser similar a la siguiente:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta,arn:aws:iam:::role/Athena-LakeFormation-OktaRole
```
![\[Ingresar el ARN del proveedor de identidad y el ARN del rol de IAM en la aplicación de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-26.png)
1. Seleccione **Save**.
A continuación, copie el ID de la aplicación de Okta. Lo necesitará más adelante para la cadena JDBC que se conecta a Athena.
**Para buscar y copiar el ID de la aplicación de Okta**
1. Elija la pestaña **General** de la aplicación de Okta.
![\[Elija la pestaña General de la aplicación de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-27.png)
1. Desplácese hacia abajo hasta la sección **App Embed Link** (Enlace insertado de la aplicación).
1. En **Embed Link** (Insertar enlace), copie y guarde de forma segura la parte del ID de la aplicación de Okta de la URL. El ID de la aplicación de Okta es la parte de la URL después de `amazon_aws_redshift/` pero antes de la siguiente barra diagonal. Por ejemplo, si la dirección URL contiene `amazon_aws_redshift/aaa/bbb`, el ID de la aplicación es `aaa`.
![\[Copie el ID de la aplicación de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-28.png)
**nota**
El enlace de inserción no se puede utilizar para registrarse directamente en la consola de Athena para ver las bases de datos. Los permisos de Lake Formation para usuarios y grupos de SAML solo se reconocen cuando se utiliza el controlador JDBC u ODBC para enviar consultas a Athena. Para ver las bases de datos, puede utilizar la herramienta SQL Workbench/J, que utiliza el controlador JDBC para conectarse a Athena. La herramienta SQL Workbench/J se aborda en [Paso 7: Verificar el acceso a través del cliente JDBC de Athena](#security-athena-lake-formation-jdbc-okta-tutorial-step-7-verify-access-through-athena-jdbc-client).
## Paso 6: Otorgar permisos de usuario y grupo a través de AWS Lake Formation
En este paso, se utiliza la consola de Lake Formation para conceder permisos en una tabla al usuario y grupo SAML. Puede realizar las siguientes tareas:
+ Especificar el ARN del usuario SAML de Okta y los permisos de usuario asociados en la tabla.
+ Especificar el ARN del grupo SAML de Okta y los permisos de usuario asociados en la tabla.
+ Verificar los permisos que concedió.
**Para conceder permisos en Lake Formation para el usuario de Okta**
1. Inicie sesión como administrador del lago de datos en la Consola de administración de AWS.
1. Abra la consola de Lake Formation en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. En el panel de navegación, elija **Tables** (Tablas) y, a continuación, seleccione la tabla a la que desea conceder permisos. En este tutorial se utiliza la tabla `nyctaxi` de la base de datos `tripdb`.
![\[Elija la tabla a la que desea conceder permisos.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-29.png)
1. En **Actions** (Acciones), elija **Grant** (Conceder).
![\[Elija Grant (Conceder).\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-30.png)
1. En el cuadro de diálogo **Conceder permisos**, ingrese la siguiente información:
1. En **Usuarios y grupos de SAML y Amazon Quick**, ingrese el ARN de usuario SAML de Okta con el siguiente formato:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta:user/@
```
1. En **Columns** (Columnas), en **Choose filter type** (Elegir tipo de filtro), elija **Include columns** (Incluir columnas) o **Exclude columns** (Excluir columnas).
1. Utilice el menú desplegable **Choose one or more columns** (Elegir una o varias columnas) debajo del filtro para especificar las columnas que desea incluir o excluir del usuario o para él.
1. En **Table permissions** (Permisos de tabla), elija **Select**. En este tutorial solo se concede el permiso `SELECT`. Los requisitos pueden variar.
![\[Otorgar permisos de nivel de tabla y columna a un usuario de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-31.png)
1. Elija **Grant** (Conceder).
Ahora realice pasos similares para el grupo de Okta.
**Para conceder permisos en Lake Formation para el grupo de Okta**
1. En la página **Tables** (Tablas) de la consola de Lake Formation, asegúrese de que la tabla **nyctaxi** sigue seleccionada.
1. En **Actions** (Acciones), elija **Grant** (Conceder).
1. En el cuadro de diálogo **Grant permissions** (Conceder permisos), ingrese la siguiente información:
1. En **Usuarios y grupos de SAML y Amazon Quick**, ingrese el ARN de grupo SAML de Okta con el siguiente formato:
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta:group/lf-business-analyst
```
1. En **Columns** (Columnas), **Choose filter type** (Elegir tipo de filtro), elija **Include Columns** (Incluir columnas).
1. En **Choose one or more columns** (Elegir una o varias columnas), elija las tres primeras columnas de la tabla.
1. En **Table permissions** (Permisos de tabla), elija los permisos de acceso específicos que desea conceder. En este tutorial solo se concede el permiso `SELECT`. Los requisitos pueden variar.
![\[Otorgar permisos de tabla a un grupo de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-31b.png)
1. Elija **Grant** (Conceder).
1. Para verificar los permisos que concedió, elija **Actions** (Acciones), **View permissions** (Ver permisos).
![\[Elija View permissions (Ver permisos) para verificar los permisos que concedió.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-32.png)
En la página **Permisos de datos** de la tabla `nyctaxi` se muestran los permisos para **athena-okta-user** y el grupo **lf-business-analyst**.
![\[Visualización de los permisos que se concedieron al usuario y grupo de Okta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-33.png)
## Paso 7: Verificar el acceso a través del cliente JDBC de Athena
Ahora puede utilizar un cliente JDBC para realizar una conexión de prueba a Athena como usuario SAML de Okta.
En esta sección, realiza las siguientes tareas:
+ Preparar el cliente de prueba: descargue el controlador JDBC de Athena, instale SQL Workbench y agregue el controlador a Workbench. En este tutorial, se utiliza SQL Workbench para acceder a Athena a través de la autenticación de Okta y verificar los permisos de Lake Formation.
+ En SQL Workbench:
+ Cree una conexión para el usuario Athena Okta.
+ Ejecute consultas de prueba como usuario Athena Okta.
+ Cree y pruebe una conexión para el usuario de analista empresarial.
+ En la consola de Okta, agregue el usuario de analista empresarial al grupo de desarrolladores.
+ En la consola Lake Formation, configure los permisos de tabla para el grupo de desarrolladores.
+ En SQL Workbench, ejecute consultas de prueba como usuario de analista empresarial y verifique cómo afecta el cambio en los permisos a los resultados.
**Para preparar el cliente de prueba**
1. Descargue y extraiga el controlador JDBC de Athena compatible con Lake Formation (versión 2.0.14 o posterior) de [Conexión a Amazon Athena con JDBC](connect-with-jdbc.md).
1. Descargue e instale la herramienta de consulta SQL [SQL Workbench/J](https://www.sql-workbench.eu/index.html), disponible con una licencia modificada de Apache 2.0.
1. En SQL Workbench, elija **File** (Archivo) y, a continuación, elija **Manage Drivers** (Administrar controladores).
![\[Seleccione Manage Drivers (Administrar controladores).\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-1.png)
1. En el cuadro de diálogo **Administrar controladores**, siga los siguientes pasos:
1. Elija el icono de nuevo controlador.
1. En **Nombre**, escriba **Athena**.
1. En **Library** (Biblioteca), busque y elija el archivo `.jar` del controlador Simba JDBC de Athena que acaba de descargar.
1. Seleccione **Aceptar**.
![\[Agregar el controlador JDBC de Athena a SQL Workbench.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-2.png)
Ahora puede crear y probar una conexión para el usuario de Athena Okta.
**Para crear una conexión para el usuario de Okta**
1. Elija **File** (Archivo), **Connect window** (Conectar ventana).
![\[Elija Connect window (Conectar ventana).\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-3.png)
1. En el cuadro de diálogo **Perfil de conexión**, cree una conexión al ingresar la siguiente información:
+ En el cuadro de nombre, ingrese **Athena\$1Okta\$1User\$1Connection**.
+ En **Driver** (Controlador), elija el controlador Simba JDBC de Athena.
+ En **URL**, realice una de las siguientes operaciones:
+ Para utilizar una URL de conexión, ingrese una cadena de conexión de una sola línea. En el siguiente ejemplo se agregan saltos de línea por motivos de legibilidad.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
AwsCredentialsProviderClass=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider;
user=athena-okta-user@anycompany.com;
password=password;
idp_host=okta-idp-domain;
App_ID=okta-app-id;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
+ Para utilizar una URL basada en perfiles de AWS, siga estos pasos:
1. Configure un [perfil de AWS](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html) que tenga un archivo de credenciales de AWS, como en el siguiente ejemplo.
```
[athena_lf_dev]
plugin_name=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider
idp_host=okta-idp-domain
app_id=okta-app-id
uid=athena-okta-user@anycompany.com
pwd=password
```
1. En **URL**, ingrese una cadena de conexión de una sola línea, como el siguiente ejemplo. En el ejemplo se agregan saltos de línea por motivos de legibilidad.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
profile=athena_lf_dev;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
Tenga en cuenta que estos ejemplos son representaciones básicas de la URL necesaria para conectarse a Athena. Para ver una lista completa de los parámetros admitidos en la URL, consulte la [documentación de JDBC.](connect-with-jdbc.md)
En la siguiente imagen se muestra un perfil de conexión de SQL Workbench que utiliza una dirección URL de conexión.
![\[Perfil de conexión en SQL Workbench.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-4.png)
Ahora que ha establecido una conexión para el usuario de Okta, puede probarla recuperando algunos datos.
**Para probar la conexión para el usuario de Okta**
1. Elija **Test** (Probar) y, a continuación, verifique que la conexión se realiza correctamente.
1. Desde la venta **Instrucción** de SQL Workbench, ejecute el siguiente comando SQL `DESCRIBE`. Verifique que se muestren todas las columnas.
```
DESCRIBE "tripdb"."nyctaxi"
```
![\[Se muestran todas las columnas.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-5.png)
1. Desde la venta **Instrucción** de SQL Workbench, ejecute el siguiente comando SQL `SELECT`. Verifique que se muestren todas las columnas.
```
SELECT * FROM tripdb.nyctaxi LIMIT 5
```
![\[Verifique que se muestren todas las columnas.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-6.png)
A continuación, debe verificar que el usuario **athena-ba-user**, como miembro del grupo **lf-business-analyst**, solo tiene acceso a las tres primeras columnas de la tabla que especificó anteriormente en Lake Formation.
**Para verificar el acceso de **athena-ba-user****
1. En SQL Workbench, en el cuadro de diálogo **Connection profile** (Perfil de conexión), cree otro perfil de conexión.
+ En el nombre de perfil de conexión, ingrese ** Athena\$1Okta\$1Group\$1Connection**.
+ En **Driver** (Controlador), elija el controlador Simba JDBC de Athena.
+ En **URL**, realice una de las siguientes operaciones:
+ Para utilizar una URL de conexión, ingrese una cadena de conexión de una sola línea. En el siguiente ejemplo se agregan saltos de línea por motivos de legibilidad.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
AwsCredentialsProviderClass=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider;
user=athena-ba-user@anycompany.com;
password=password;
idp_host=okta-idp-domain;
App_ID=okta-application-id;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
+ Para utilizar una URL basada en perfiles de AWS, siga estos pasos:
1. Configure un perfil de AWS que tenga un archivo de credenciales, como en el siguiente ejemplo.
```
[athena_lf_ba]
plugin_name=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider
idp_host=okta-idp-domain
app_id=okta-application-id
uid=athena-ba-user@anycompany.com
pwd=password
```
1. En **URL**, ingrese una cadena de conexión de una sola línea, como la siguiente. En el ejemplo se agregan saltos de línea por motivos de legibilidad.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
profile=athena_lf_ba;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
1. Elija **Test** (Probar) para confirmar que la conexión se realiza correctamente.
1. Desde la ventana **SQL Statement** (Instrucción SQL), ejecute los mismos comandos SQL `DESCRIBE` y `SELECT` que ejecutó antes y examine los resultados.
Como **athena-ba-user** es miembro del grupo **lf-business-analyst**, solo se devuelven las tres primeras columnas que especificó en la consola de Lake Formation.
![\[Solo se devuelven las primeras tres columnas.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-7.png)
![\[Datos de las primeras tres columnas.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-8.png)
A continuación, vuelva a la consola de Okta para agregar el usuario `athena-ba-user` al grupo de Okta `lf-developer`.
**Para agregar el usuario athena-ba-user al grupo lf-developer**
1. Inicie sesión en la consola de Okta como usuario administrativo del dominio Okta asignado.
1. Elija **Directory** y, a continuación, elija **Groups** (Grupos).
1. En la página Groups (Grupos), elija el grupo **lf-developer**.
![\[Elija el grupo lf-developer.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-9.png)
1. Elija **Manage People** (Administrar personas).
1. En la lista **Not Members** (No miembros), elija **athena-ba-user** para agregarlo al grupo **lf-developer**.
1. Seleccione **Save**.
Ahora regrese a la consola de Lake Formation para configurar los permisos de tabla para el grupo **lf-developer**.
**Para configurar los permisos de tabla para lf-developer-group**
1. Inicie sesión en la consola de Lake Formation como administrador del lago de datos.
1. En el panel de navegación, elija **Tablas**.
1. Seleccione la tabla **nyctaxi**.
1. Elija **Actions** (Acciones), **Grant** (Conceder).
1. En el cuadro de diálogo **Conceder permisos**, ingrese la siguiente información:
+ En **Usuarios y grupos de SAML y Amazon Quick**, ingrese el ARN de grupo lf-developer SAML de Okta con el siguiente formato:
+ En **Columns** (Columnas), **Choose filter type** (Elegir tipo de filtro), elija **Include Columns** (Incluir columnas).
+ Elija la columna **trip\$1type**.
+ En **Table permissions** (Permisos de tabla), elija **SELECT**.
1. Elija **Grant** (Conceder).
Ahora puede utilizar SQL Workbench para verificar el cambio en los permisos para el grupo **lf-developer**. El cambio debe reflejarse en los datos disponibles para el usuario **athena-ba-user**, que ahora es miembro del grupo **lf-developer**.
**Para verificar el cambio en los permisos de athena-ba-user**
1. Cierre el programa SQL Workbench y, a continuación, vuelva a abrirlo.
1. Conéctese al perfil de **athena-ba-user**.
1. En la ventana **Statement** (Instrucción), ejecute las mismas instrucciones SQL que ejecutó anteriormente:
Esta vez, se muestra la columna **trip\$1type**.
![\[La cuarta columna está disponible para consulta.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-10.png)
Como **athena-ba-user** ahora es miembro de los grupos **lf-developer** e **lf-business-analyst**, la combinación de permisos de Lake Formation para esos grupos determina las columnas que se devuelven.
![\[La cuarta columna son los resultados de los datos.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-11.png)
## Conclusión
En este tutorial configuró la integración de Athena con AWS Lake Formation utilizando Okta como proveedor SAML. Utilizó Lake Formation e IAM para controlar los recursos que están disponibles para el usuario SAML en el catálogo de datos AWS Glue del lago de datos.
## Recursos relacionados
Para obtener información relacionada, consulte los siguientes recursos.
+ [Conexión a Amazon Athena con JDBC](connect-with-jdbc.md)
+ [Habilitación del acceso federado a la API de Athena](access-federation-saml.md)
+ [AWS Lake Formation Guía para desarrolladores de](https://docs.aws.amazon.com/lake-formation/latest/dg/)
+ [Concesión y revocación de permisos de catálogo de datos](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html) en la *Guía para desarrolladores de AWS Lake Formation*.
+ [Federación y proveedores de identidad](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) en la *Guía del usuario de IAM*.
+ [Creación de proveedores de identidad SAML de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) en la *Guía del usuario de IAM*.
+ [Enabling federation to AWS using Windows Active Directory, ADFS, and SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) (Habilitación de la federación de AWS por medio de Windows Active Directory, ADFS y SAML 2.0) en el *blog de seguridad de *.