"
]
}
]
}
```
------
# Usa le chiavi di CalledVia contesto per Athena
Quando un [principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) effettua una [richiesta](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-request) a AWS, AWS raccoglie le informazioni sulla richiesta in un *contesto di richiesta* che valuta e autorizza la richiesta. È possibile utilizzare l'elemento `Condition` di una policy JSON per confrontare le chiavi della richiesta con i valori chiave specificati nella policy. Le *chiavi di condizione globali* sono chiavi di condizione con un prefisso `aws:`.
## Informazioni sulla chiave di contesto aws:CalledVia
Puoi usare la chiave di contesto di condizione globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia) per confrontare i servizi nella policy con i servizi che hanno effettuato richieste per conto del principale IAM (utente o ruolo). Quando un principale effettua una richiesta a un Servizio AWS, tale servizio potrebbe utilizzare le credenziali del principale per effettuare richieste successive ad altri servizi. La chiave `aws:CalledVia` contiene un elenco ordinato di ciascun servizio nella catena che ha effettuato le richieste per conto dell'entità principale.
Specificando il nome principale del servizio per la chiave di `aws:CalledVia` contesto, è possibile rendere la chiave Servizio AWS di contesto specifica. Ad esempio, puoi utilizzare la chiave di condizione `aws:CalledVia` per limitare le richieste solo a quelle fatte da Athena. Per utilizzare la chiave di condizione `aws:CalledVia` in una policy con Athena, specifica il nome del principale del servizio Athena `athena.amazonaws.com`, come nell'esempio seguente.
```
...
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
...
```
Puoi utilizzare la chiave di contesto `aws:CalledVia` per garantire che i chiamanti abbiano accesso a una risorsa (come una funzione Lambda) solo se chiamano la risorsa da Athena.
**Nota**
La chiave di contesto `aws:CalledVia` non è compatibile con la funzionalità di propagazione delle identità attendibili.
## Aggiungi una chiave CalledVia contestuale per l'accesso alle funzioni Lambda
Athena richiede che il chiamante abbia le autorizzazioni `lambda:InvokeFunction` per chiamare la funzione Lambda associata alla query. L’istruzione seguente specifica che l’utente può invocare le funzioni Lambda solo da Athena.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:OneAthenaLambdaFunction",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
L'esempio seguente mostra l'aggiunta dell'istruzione precedente a una policy che consente a un utente di eseguire e leggere una query federata. I principali autorizzati a eseguire queste operazioni possono eseguire query che specificano i cataloghi Athena associati a un'origine dati federata. Tuttavia, il principale non può accedere alla funzione Lambda associata a meno che la funzione non venga richiamata tramite Athena.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"athena:StartQueryExecution",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkGroupName",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action":
[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket"
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
Per ulteriori informazioni sulle chiavi di contesto `CalledVia`, consulta [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente di IAM*.
# Consenti l’accesso a un connettore dati Athena per il metastore Hive esterno
Negli esempi di policy di autorizzazione in questo argomento vengono illustrate le operazioni consentite obbligatorie e le risorse per le quali sono consentite. Esamina attentamente queste policy e modificale in base si tuoi requisiti prima di collegare policy di autorizzazione simili a identità IAM.
+ [Example Policy to Allow an IAM Principal to Query Data Using Athena Data Connector for External Hive Metastore](#hive-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena Data Connector for External Hive Metastore](#hive-creating-iam)
**Example : consenti a un principale IAM di eseguire query sui dati utilizzando Athena Data Connector per il metastore Hive esterno**
La seguente policy è collegata ai principali IAM oltre alla [AWS politica gestita: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy), che concede l'accesso completo a operazioni Athena.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:layer:MyAthenaLambdaLayer:*"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"
}
]
}
```
**Spiegazione delle autorizzazioni**
| Operazioni consentite | Spiegazione |
| --- | --- |
| "s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
| `s3`le azioni consentono la lettura e la scrittura sulla risorsa specificata come`"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"`, where *MyLambdaSpillLocation* identifica il bucket di fuoriuscita specificato nella configurazione della funzione o delle funzioni Lambda richiamate. L'identificatore di *arn:aws:lambda:\$1:*MyAWSAcctId*:layer:*MyAthenaLambdaLayer*:\$1* risorsa è richiesto solo se si utilizza un livello Lambda per creare dipendenze di runtime personalizzate per ridurre le dimensioni degli artefatti funzionali al momento della distribuzione. Il `*` nell'ultima posizione è un carattere jolly per la versione del livello. |
| "lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
| Consente alle query di richiamare le funzioni specificate nel blocco. AWS Lambda Resource Ad esempioarn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction, where MyAthenaLambdaFunction specifica il nome di una funzione Lambda da richiamare. Più funzioni possono essere specificate come mostrato nell'esempio. |
**Example : consenti a un principale IAM di creare un Athena Data Connector per il metastore Hive esterno**
La seguente policy è collegata ai principali IAM oltre alla [AWS politica gestita: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy), che concede l'accesso completo a operazioni Athena.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:ListFunctions",
"lambda:GetLayerVersion",
"lambda:InvokeFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:PublishLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:UpdateFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:DeleteFunctionConcurrency"
],
"Resource": "arn:aws:lambda:*:111122223333: function: MyAthenaLambdaFunctionsPrefix*"
}
]
}
```
**Spiegazione delle autorizzazioni**
Consente alle query di richiamare le AWS Lambda funzioni per le funzioni specificate nel blocco AWS Lambda . `Resource` Ad esempio`arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction`, where *MyAthenaLambdaFunction* specifica il nome di una funzione Lambda da richiamare. Più funzioni possono essere specificate come mostrato nell'esempio.
# Consentire l'accesso alla funzione Lambda a metastore Hive esterni
Per richiamare una funzione Lambda nell'account, è necessario creare un ruolo con le seguenti autorizzazioni:
+ `AWSLambdaVPCAccessExecutionRole`: un'autorizzazione per il [ruolo di esecuzione di AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) per gestire le interfacce di rete elastiche che collegano la funzione a un VPC. Assicurarsi di disporre di un numero sufficiente di interfacce di rete e indirizzi IP disponibili.
+ `AmazonAthenaFullAccess`— La policy [AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy)gestita garantisce l'accesso completo ad Athena.
+ Una policy Amazon S3 per consentire alla funzione Lambda di scrivere su S3 e consentire ad Athena di leggere da S3.
Ad esempio, la seguente policy definisce l'autorizzazione per la posizione di spill `s3:\\mybucket\spill`.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [
"s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/spill" ] } ] }
```
------
Ogni volta che si utilizzano le policy IAM, assicurati di seguire le best practice IAM. Per ulteriori informazioni, consulta [Best Practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
## crea funzione Lambda
Per creare una funzione Lambda nell'account, sono necessari i permessi di sviluppo delle funzioni o il ruolo `AWSLambdaFullAccess`. Per ulteriori informazioni, consulta [Policy IAM basate su identità per AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-identity-based.html).
[Poiché Athena utilizza le AWS Serverless Application Repository per creare le funzioni Lambda, il superutente o l'amministratore che crea le funzioni Lambda deve disporre anche di politiche IAM per consentire le query federate Athena.](federated-query-iam-access.md)
## Configurazione delle autorizzazioni per la registrazione del catalogo e le operazioni API sui metadati
[Per l'accesso tramite API alla registrazione del catalogo e alle operazioni sui metadati, puoi utilizzare la policy gestita. AmazonAthenaFullAccess ](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) Se non si utilizza la policy `AmazonAthenaFullAccess`, aggiungere le seguenti operazioni API alle policy Athena:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:CreateDataCatalog",
"athena:UpdateDataCatalog",
"athena:DeleteDataCatalog",
"athena:GetDatabase",
"athena:ListDatabases",
"athena:GetTableMetadata",
"athena:ListTableMetadata"
],
"Resource": [
"*"
]
}
]
}
```
------
## Chiama una funzione Lambda tra le regioni
Per impostazione predefinita, Athena invoca le funzioni Lambda definite nella stessa Regione. Per richiamare una funzione Lambda in Regione AWS una regione diversa da quella in cui vengono eseguite le query Athena, usa l'ARN completo della funzione Lambda.
L’esempio seguente mostra come un catalogo nella Regione Europa (Francoforte) può specificare una funzione Lambda nella Regione Stati Uniti orientali (Virginia settentrionale) per recuperare i dati dal metastore Hive nella Regione Europa (Francoforte).
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
Quando si specifica l'ARN completo in questo modo, Athena può invocare la funzione Lambda `external-hms-service-new` su `us-east-1` per recuperare i dati del metastore Hive da `eu-central-1`.
**Nota**
Il catalogo deve essere registrato nello stesso Regione AWS che utilizzi per eseguire le query Athena.
## Chiama una funzione Lambda tra più account
A volte potrebbe essere necessario richiedere l'accesso a un metastore Hive da un altro account. Ad esempio, per eseguire un metastore Hive, è possibile avviare un cluster EMR da un account diverso da quello utilizzato per le query Athena. Gruppi o team diversi potrebbero eseguire metastore Hive con account diversi all'interno del loro VPC. Oppure si potrebbe voler accedere ai metadati provenienti da vari metastore Hive di gruppi o team diversi.
Athena utilizza il [supporto AWS Lambda per l'accesso tra account](https://aws.amazon.com/blogs/compute/easy-authorization-of-aws-lambda-functions/) per abilitare l'accesso tra account per i metastore Hive.
**Nota**
Si noti che l'accesso tra account per Athena implica normalmente l'accesso tra account sia per i metadati che per i dati in Amazon S3.
Si consideri il seguente scenario:
+ L’account `111122223333` imposta la funzione Lambda `external-hms-service-new` su us-east-1 in Athena per accedere a un metastore Hive in esecuzione su un cluster EMR.
+ L'account `111122223333` vuole consentire all'account 444455556666 di accedere ai dati del metastore Hive.
Per concedere `444455556666` all'account l'accesso alla funzione Lambda`external-hms-service-new`, account `111122223333` utilizza il comando seguente AWS CLI `add-permission`. Il comando è stato formattato per la leggibilità.
```
$ aws --profile perf-test lambda add-permission
--function-name external-hms-service-new
--region us-east-1
--statement-id Id-ehms-invocation2
--action "lambda:InvokeFunction"
--principal arn:aws:iam::444455556666:user/perf1-test
{
"Statement": "{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}"
}
```
Per verificare l'autorizzazione Lambda, utilizzare il comando `get-policy`, come nell'esempio seguente. Il comando è stato formattato per la leggibilità.
```
$ aws --profile perf-test lambda get-policy
--function-name arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
--region us-east-1
{
"RevisionId": "711e93ea-9851-44c8-a09f-5f2a2829d40f",
"Policy": "{\"Version\":\"2012-10-17\",
\"Id\":\"default\",
\"Statement\":[{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}]}"
}
```
Dopo aver aggiunto l'autorizzazione, è possibile utilizzare un ARN completo della funzione Lambda su `us-east-1` come mostrato di seguito quando si definisce un catalogo `ehms`:
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
Per informazioni sulla invocazione tra regioni, vedere [Chiama una funzione Lambda tra le regioni](#hive-metastore-iam-access-lambda-cross-region-invocation) in questo argomento.
### Concedere l’accesso tra account ai dati
Prima di poter eseguire query Athena, è necessario concedere l'accesso tra account ai dati in Amazon S3. Questa operazione può essere eseguita in uno dei seguenti modi:
+ Aggiornare la policy dell'elenco di controllo dell'accesso del bucket Amazon S3 con un [ID utente canonico](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html).
+ Aggiungere l'accesso tra account alla policy del bucket Amazon S3.
Ad esempio, aggiungere la policy seguente alla policy del bucket Amazon S3 nell'account `111122223333` per consentire all'account `444455556666` di leggere i dati dalla posizione Amazon S3 specificata.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect":
"Allow", "Principal": { "AWS":
"arn:aws:iam::444455556666:user/perf1-test"
}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::athena-test/lambda/dataset/*" } ]
}
```
------
**Nota**
Potrebbe essere necessario concedere l'accesso tra account ad Amazon S3 non solo ai dati, ma anche alla posizione di spill Amazon S3. La funzione Lambda esegue lo spillover dei dati aggiuntivi nella posizione di spill quando la dimensione dell'oggetto di risposta supera una determinata soglia. Vedere l'inizio di questo argomento per una policy di esempio.
Nell'esempio corrente, dopo aver concesso l'accesso tra account a `444455556666,`, `444455556666` può utilizzare il catalogo `ehms` in `account` per eseguire query sulle tabelle definite nell’account `111122223333`.
Nell'esempio seguente, il profilo di SQL Workbench `perf-test-1` è per l’account `444455556666`. La query utilizza il catalogo `ehms` per accedere al metastore Hive e ai dati Amazon S3 nell'account `111122223333`.
![\[Accesso a metastore Hive e dati Amazon S3 tra account in SQL Workbench.\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/hive-metastore-iam-access-lambda-1.png)
# Autorizzazioni necessarie per creare il connettore e il catalogo Athena
Per invocare Athena `CreateDataCatalog`, è necessario creare un ruolo con le seguenti autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"glue:TagResource",
"glue:GetConnection",
"glue:CreateConnection",
"glue:DeleteConnection",
"glue:UpdateConnection",
"serverlessrepo:CreateCloudFormationTemplate",
"serverlessrepo:GetCloudFormationTemplate",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:CreateChangeSet",
"cloudformation:DescribeAccountLimits",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate",
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:EstimateTemplateCost",
"cloudformation:ListImports",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:TagResource",
"lambda:ListFunctions",
"lambda:GetAccountSettings",
"lambda:ListEventSourceMappings",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:AddPermission",
"lambda:ListTags",
"lambda:GetAlias",
"lambda:GetPolicy",
"lambda:ListAliases",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"secretsmanager:ListSecrets",
"glue:GetCatalogs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:DeleteRolePolicy",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:CreateRole",
"iam:TagRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:PassRole",
"iam:ListRoles",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:GetPolicy",
"iam:UpdateRole"
],
"Resource": [
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
}
]
}
```
------
# Consenti l’accesso alla query federata Athena
Negli esempi di policy di autorizzazione in questo argomento vengono illustrate le operazioni consentite obbligatorie e le risorse per le quali sono consentite. Esamina attentamente queste policy e modificale in base ai tuoi requisiti prima di collegarle a identità IAM.
Per informazioni sul collegamento di policy alle identità IAM, consulta [Aggiunta e rimozione di autorizzazioni alle identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella [Guida per l'utente di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
+ [Example policy to allow an IAM principal to run and return results using Athena Federated Query](#fed-using-iam)
+ [Example Policy to Allow an IAM Principal to Create a Data Source Connector](#fed-creating-iam)
**Example : consenti a un principale IAM di eseguire e restituire risultati utilizzando la query federata Athena**
La seguente policy di autorizzazione basata su identità consente operazioni richieste da un utente o un altro principale IAM per utilizzare la query federata Athena. I principali autorizzati a eseguire queste operazioni sono in grado di eseguire query che specificano i cataloghi Athena associati a un'origine dati federata.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Athena",
"Effect": "Allow",
"Action": [
"athena:GetDataCatalog",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkgroupName",
"arn:aws:athena:us-east-1:111122223333:datacatalog/DataCatalogName"
]
},
{
"Sid": "ListAthenaWorkGroups",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "Lambda",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyLambdaSpillBucket",
"arn:aws:s3:::MyLambdaSpillBucket/*",
"arn:aws:s3:::MyQueryResultsBucket",
"arn:aws:s3:::MyQueryResultsBucket/*"
]
}
]
}
```
**Spiegazione delle autorizzazioni**
| Operazioni consentite | Spiegazione |
| --- | --- |
| "athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| Autorizzazioni Athena richieste per eseguire query federate. |
| "athena:GetDataCatalog",
"athena:GetQueryExecution,"
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| Autorizzazioni Athena necessarie per eseguire query di visualizzazione federate. L’azione è necessaria per le visualizzazioni `GetDataCatalog`. |
| "lambda:InvokeFunction"
| Consente alle interrogazioni di richiamare le AWS Lambda funzioni per le AWS Lambda funzioni specificate nel Resource blocco. Ad esempioarn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction, where MyAthenaLambdaFunction specifica il nome di una funzione Lambda da richiamare. Più funzioni possono essere specificate come mostrato nell’esempio. |
| "s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
| Le autorizzazioni `s3:ListBucket` e `s3:GetBucketLocation` sono necessarie per accedere al bucket di output delle query per i principali IAM che eseguono `StartQueryExecution`. `s3:PutObject``s3:ListMultipartUploadParts`, e `s3:AbortMultipartUpload` consentono di scrivere i risultati delle query in tutte le sottocartelle del bucket dei risultati della query come specificato dall'identificatore di `arn:aws:s3:::MyQueryResultsBucket/*` risorsa, dove si trova il bucket dei risultati *MyQueryResultsBucket* della query Athena. Per ulteriori informazioni, consulta [Lavora con i risultati delle query e le query recenti](querying.md). `s3:GetObject`consente la lettura dei risultati delle query e della cronologia delle query per la risorsa specificata come`arn:aws:s3:::MyQueryResultsBucket`, where *MyQueryResultsBucket* è il bucket dei risultati delle query Athena. `s3:GetObject`consente inoltre la lettura dalla risorsa specificata come`"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"`, where *MyLambdaSpillPrefix* è specificata nella configurazione della funzione o delle funzioni Lambda richiamate. |
**Example : consente a un principale IAM di creare un connettore origine dati**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**Spiegazione delle autorizzazioni**
| Operazioni consentite | Spiegazione |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| Consente la creazione e la gestione delle funzioni Lambda elencate come risorse. Nell’esempio, un prefisso del nome viene utilizzato nell’identificatore della risorsa `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*`, dove `MyAthenaLambdaFunctionsPrefix` è un prefisso condiviso utilizzato nel nome di un gruppo di funzioni Lambda in modo che non sia necessario specificarle individualmente come risorse. È possibile specificare una o più risorse della funzione Lambda. |
| "s3:GetObject"
| Consente la lettura di un bucket che AWS Serverless Application Repository richiede quanto specificato dall'identificatore arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1 della risorsa. Questo bucket può essere specifico per l'account. |
| "cloudformation:*"
| Consente la creazione e la gestione degli CloudFormation stack specificati dalla risorsa. `MyCFStackPrefix` Questi stack e stackset sono il modo AWS Serverless Application Repository in cui distribuisce i connettori e. UDFs |
| "serverlessrepo:*"
| Consente la ricerca, la visualizzazione, la pubblicazione e l'aggiornamento delle applicazioni nel campo specificato dall' AWS Serverless Application Repository identificatore di risorsa. arn:aws:serverlessrepo:\$1:\$1:applications/\$1 |
| "ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
| Consente alla funzione Lambda creata di accedere all’immagine ECR del connettore di federazione. |
# Consenti l'accesso ad Athena UDFs: politiche di esempio
Negli esempi di policy di autorizzazione in questo argomento vengono illustrate le operazioni consentite obbligatorie e le risorse per le quali sono consentite. Esamina attentamente queste policy e modificale in base si tuoi requisiti prima di collegare policy di autorizzazione simili a identità IAM.
+ [Example Policy to Allow an IAM Principal to Run and Return Queries that Contain an Athena UDF Statement](#udf-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena UDF](#udf-creating-iam)
**Example : consenti a un principale IAM di eseguire e restituire query contenenti un'istruzione UDF Athena**
La seguente policy di autorizzazione basata su identità consente operazioni richieste da un utente o un altro principale IAM per eseguire query che utilizzano istruzioni UDF Athena.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"lambda:InvokeFunction",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts",
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:athena:*:MyAWSAcctId:workgroup/MyAthenaWorkGroup",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:lambda:*:MyAWSAcctId:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:MyAWSAcctId:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
}
]
}
```
**Spiegazione delle autorizzazioni**
| Operazioni consentite | Spiegazione |
| --- | --- |
| "athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
| Autorizzazioni Athena richieste per eseguire query nel gruppo di lavoro `MyAthenaWorkGroup`. |
| "s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload"
| `s3:PutObject`e `s3:AbortMultipartUpload` consentono di scrivere i risultati delle query in tutte le sottocartelle del bucket dei risultati della query come specificato dall'identificatore di `arn:aws:s3:::MyQueryResultsBucket/*` risorsa, dove si trova il bucket dei risultati *MyQueryResultsBucket* della query Athena. Per ulteriori informazioni, consulta [Lavora con i risultati delle query e le query recenti](querying.md). `s3:GetObject`consente la lettura dei risultati delle query e della cronologia delle query per la risorsa specificata come`arn:aws:s3:::MyQueryResultsBucket`, where *MyQueryResultsBucket* è il bucket dei risultati delle query Athena. Per ulteriori informazioni, consulta [Lavora con i risultati delle query e le query recenti](querying.md). `s3:GetObject`consente inoltre la lettura dalla risorsa specificata come`"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"`, where *MyLambdaSpillPrefix* è specificata nella configurazione della funzione o delle funzioni Lambda richiamate. |
| "lambda:InvokeFunction"
| Consente alle interrogazioni di richiamare AWS Lambda le funzioni specificate nel blocco. Resource Ad esempioarn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction, where MyAthenaLambdaFunction specifica il nome di una funzione Lambda da richiamare. Più funzioni possono essere specificate come mostrato nell'esempio. |
**Example : consente a un principale IAM di creare un'UDF Athena**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**Spiegazione delle autorizzazioni**
| Operazioni consentite | Spiegazione |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| Consente la creazione e la gestione delle funzioni Lambda elencate come risorse. Nell’esempio, un prefisso del nome viene utilizzato nell’identificatore della risorsa `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*`, dove *MyAthenaLambdaFunctionsPrefix* è un prefisso condiviso utilizzato nel nome di un gruppo di funzioni Lambda in modo che non sia necessario specificarle individualmente come risorse. È possibile specificare una o più risorse della funzione Lambda. |
| "s3:GetObject"
| Consente la lettura di un bucket che AWS Serverless Application Repository richiede quanto specificato dall'identificatore arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1 della risorsa. |
| "cloudformation:*"
| Consente la creazione e la gestione degli CloudFormation stack specificati dalla risorsa. *MyCFStackPrefix* Questi stack e stackset sono il modo AWS Serverless Application Repository in cui distribuisce i connettori e. UDFs |
| "serverlessrepo:*"
| Consente la ricerca, la visualizzazione, la pubblicazione e l'aggiornamento delle applicazioni nel campo specificato dall' AWS Serverless Application Repository identificatore di risorsa. arn:aws:serverlessrepo:\$1:\$1:applications/\$1 |
# Autorizzazione per l’accesso per ML con Athena
I principali IAM che eseguono query Athena ML devono poter eseguire l'operazione `sagemaker:invokeEndpoint` per gli endpoint Sagemaker che utilizzano. Includi una dichiarazione di policy simile alla seguente nelle policy di autorizzazione basate su identità collegate a identità utente. Inoltre, allega la [AWS politica gestita: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy), che concede l'accesso completo alle operazioni Athena o a una policy inline modificata che consente un sottoinsieme di operazioni.
Sostituisci `arn:aws:sagemaker:region:AWSAcctID:ModelEndpoint` nell'esempio con l'ARN o ARNs degli endpoint del modello da utilizzare nelle query. Per ulteriori informazioni, consulta [Azioni, risorse e chiavi di condizione per l' SageMaker IA](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html) nel *Service* Authorization Reference.
```
{
"Effect": "Allow",
"Action": [
"sagemaker:invokeEndpoint"
],
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default"
}
```
Ogni volta che si utilizzano le policy IAM, assicurati di seguire le best practice IAM. Per ulteriori informazioni, consulta [Best Practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
# Per abilitare l’accesso federato all’API Athena:
Questa sezione illustra l'accesso federato che consente a un utente o a un'applicazione client nell'organizzazione di chiamare le operazioni API di Amazon Athena. In questo caso, gli utenti dell'organizzazione non hanno accesso diretto ad Athena. Le credenziali utente vengono invece gestite all'esterno di AWS Microsoft Active Directory. Active Directory supporta [SAML 2.0](https://wiki.oasis-open.org/security) (Security Assertion Markup Language 2.0).
Per autenticare gli utenti in questo scenario, è necessario utilizzare il driver JDBC o ODBC con supporto di SAML 2.0 per accedere ad Active Directory Federation Services (AD FS) 3.0 e consentire a un'applicazione client di chiamare le operazioni API di Athena.
Per ulteriori informazioni sul supporto SAML 2.0 su AWS, consulta [Informazioni sulla federazione SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) nella Guida per l'utente *IAM*.
**Nota**
L'accesso federato all'API di Athena è supportato per un determinato tipo di provider di identità (IdP), Active Directory Federation Service (AD FS 3.0), parte di Windows Server. L'accesso federato non è compatibile con la funzionalità di propagazione delle identità attendibili di Centro identità IAM. L'accesso viene stabilito attraverso le versioni dei driver JDBC o ODBC che supportano SAML 2.0. Per informazioni, consulta [Connettersi ad Amazon Athena con JDBC](connect-with-jdbc.md) e [Connettersi ad Amazon Athena con ODBC](connect-with-odbc.md).
**Topics**
+ [Prima di iniziare](#access-federation-before-you-begin)
+ [Informazioni sul processo di autenticazione](#access-federation-diagram)
+ [Procedura: accesso federato basato su SAML all’API Athena](#access-federation-procedure)
## Prima di iniziare
Prima di iniziare, completa i seguenti prerequisiti:
+ All'interno dell'organizzazione, installa e configura ADFS 3.0 come IdP.
+ Installare e configurare le versioni più recenti disponibili dei driver JDBC e ODBC sui client che vengono utilizzati per l'accesso ad Athena. Il driver deve includere il supporto per l'accesso federato compatibile con SAML 2.0. Per informazioni, consulta [Connettersi ad Amazon Athena con JDBC](connect-with-jdbc.md) e [Connettersi ad Amazon Athena con ODBC](connect-with-odbc.md).
## Informazioni sul processo di autenticazione
Il diagramma seguente illustra il processo di autenticazione dell’accesso federato all’API Athena.
![\[Diagramma dell'accesso federato all'API Athena.\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/athena-saml-based-federation.png)
1. Un utente dell'organizzazione utilizza un'applicazione client con il driver JDBC o ODBC per richiedere l'autenticazione dall'IdP dell'organizzazione. L'IdP è ADFS 3.0.
1. L'IdP autentica l'utente rispetto ad Active Directory, che è l'archivio identità dell'organizzazione.
1. L'IdP crea un'asserzione SAML con informazioni sull'utente e invia l'asserzione all'applicazione client tramite il driver JDBC o ODBC.
1. Il driver JDBC o ODBC richiama l'operazione dell'API AWS Security Token Service [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html), passandole i seguenti parametri:
+ L'ARN del fornitore SAML
+ L'ARN del ruolo da assumere
+ L'asserzione SAML dell'IdP
*Per ulteriori informazioni, consulta [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html), nell'API Reference.AWS Security Token Service *
1. La risposta API all'applicazione client tramite il driver JDBC o ODBC include le credenziali di sicurezza temporanee.
1. L'applicazione client utilizza le credenziali di sicurezza temporanee per chiamare le operazioni API Athena, consentendo agli utenti di accedere alle operazioni API Athena.
## Procedura: accesso federato basato su SAML all’API Athena
Questa procedura stabilisce la fiducia tra l'IdP della tua organizzazione e il AWS tuo account per abilitare l'accesso federato basato su SAML alle operazioni dell'API Amazon Athena.
**Per abilitare l'accesso federato all'API Athena:**
1. Nella tua organizzazione, registrati AWS come fornitore di servizi (SP) nel tuo IdP. Questo processo è noto come *relazione di trust*. Per ulteriori informazioni, consultare [Configurazione del provider di identità SAML 2.0 con una relazione di trust](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html) nella *Guida per l'utente di IAM*. Come parte di questa operazione, eseguire questi passaggi:
1. Ottenere il documento di metadati SAML di esempio da questo URL: [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml).
1. Nell'IdP della tua organizzazione (ADFS), genera un file XML di metadati equivalente che descriva il tuo IdP come provider di identità per. AWS Il file di metadati deve includere il nome dell'emittente, la data di creazione, la data di scadenza e le chiavi AWS utilizzate per convalidare le risposte di autenticazione (asserzioni) dell'organizzazione.
1. Nella console &IAM; creare un'entità provider di identità SAML. Per ulteriori informazioni, consulta [Creazione di provider di identità SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) nella *Guida per l'utente di IAM*. Come parte di questo passaggio, eseguire queste operazioni:
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Caricare il documento di metadati SAML generato dall'IdP (ADFS) al punto 1 di questa procedura.
1. Nella console IAM, creare uno o più ruoli IAM per l'IdP. Per ulteriori informazioni, consultare [Creazione di un ruolo per un provider di identità di terze parti (federazione)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) nella *Guida per l'utente di IAM*. Come parte di questo passaggio, eseguire queste operazioni:
+ Nella policy di autorizzazione del ruolo, elencare le operazioni che gli utenti dell'organizzazione possono effettuare in AWS.
+ Nella policy di affidabilità del ruolo, impostare come principale l'entità provider SAML creata al punto 2 di questa procedura.
Ciò stabilisce una relazione di fiducia tra l'organizzazione e. AWS
1. Nell'IdP dell'organizzazione (ADFS), definire le asserzioni che associano utenti o gruppi dell'organizzazione ai ruoli IAM. L'associazione di utenti e gruppi ai ruoli IAM è nota anche come *regola di attestazione*. Si noti che i diversi utenti e gruppi dell'organizzazione potrebbero essere mappati a diversi ruoli IAM.
Per informazioni sulla configurazione della mappatura in ADFS, consulta il post del blog: [Abilitare la federazione all' AWS utilizzo di Windows Active Directory, ADFS](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) e SAML 2.0.
1. Installare e configurare il driver JDBC o ODBC con il supporto di SAML 2.0. Per informazioni, consulta [Connettersi ad Amazon Athena con JDBC](connect-with-jdbc.md) e [Connettersi ad Amazon Athena con ODBC](connect-with-odbc.md).
1. Specificare la stringa di connessione dall'applicazione al driver JDBC o ODBC. Per informazioni sulla stringa di connessione che deve essere utilizzata dall’applicazione, consultare l’argomento *Utilizzo del provider di credenziali di Active Directory Federation Services (ADFS)* nella *Guida all’installazione e alla configurazione del driver JDBC* o un argomento simile nella *Guida all’installazione e alla configurazione del driver ODBC* disponibile in formato PDF scaricabile dagli argomenti [Connettersi ad Amazon Athena con JDBC](connect-with-jdbc.md) e [Connettersi ad Amazon Athena con ODBC](connect-with-odbc.md).
Segue un riepilogo generale della configurazione della stringa di connessione ai driver:
1. In `AwsCredentialsProviderClass configuration`, impostare `com.simba.athena.iamsupport.plugin.AdfsCredentialsProvider` per indicare che si desidera utilizzare l'autenticazione basata su SAML 2.0 tramite IdP ADFS.
1. Per `idp_host`, fornire il nome dell'host del server dell'IdP ADFS.
1. Per `idp_port`, fornire il numero di porta che l'IdP ADFS ascolta per la richiesta di asserzione SAML.
1. Per `UID` e `PWD`, fornire le credenziali utente di dominio AD. Quando si utilizza il driver su Windows, se `UID` e `PWD` non vengono forniti, il driver tenta di ottenere le credenziali utente dell'utente che ha effettuato l'accesso al computer Windows.
1. Facoltativamente, impostare `ssl_insecure` su `true`. In questo caso, il driver non controlla l'autenticità del certificato SSL per il server dell'IdP ADFS. L'impostazione di `true` è necessaria se il certificato SSL dell'IdP ADFS non è stato configurato in modo da essere considerato affidabile dal driver.
1. Per abilitare la mappatura di un utente o gruppo di dominio Active Directory a uno o più ruoli IAM (come menzionato al punto 4 di questa procedura), in `preferred_role` per la connessione JDBC o ODBC, specificare il ruolo IAM (ARN) da assumere per la connessione del driver. La specifica di `preferred_role` è facoltativa ed è utile se il ruolo non è il primo ruolo elencato nella regola di attestazione.
Come risultato della procedura, si verificano le seguenti operazioni:
1. [Il driver JDBC o ODBC chiama l'API AWS STS[AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) e le trasmette le asserzioni, come mostrato nel passaggio 4 del diagramma di architettura.](#access-federation-diagram)
1. AWS si assicura che la richiesta di assunzione del ruolo provenga dall'IdP a cui si fa riferimento nell'entità del provider SAML.
1. Se la richiesta ha esito positivo, l'operazione API AWS STS [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) restituisce un set di credenziali di sicurezza temporanee, che l'applicazione client utilizza per effettuare richieste firmate ad Athena.
L'applicazione ha ora le informazioni sull'utente corrente e può accedere ad Athena in modo programmatico.