本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 搭配使用可信身分傳播與 Amazon Athena 驅動器
<a name="using-trusted-identity-propagation"></a>

可信身分傳播為希望集中管理資料許可並根據其 IdP 身分跨服務界限授權請求的組織提供了新的身分驗證選項。使用 IAM Identity Center，您可以設定現有的 IdP 來管理使用者和群組，並使用 AWS Lake Formation 為這些 IdP 身分定義目錄資源的精細存取控制許可。Athena 支援在查詢資料時進行身分傳播，以稽核透過 IdP 身分的資料存取，進而協助您的組織滿足其法規和合規要求。

您現在可以使用 Java 資料庫連線 (JDBC) 或開放式資料庫連線 (ODBC) 驅動器，透過 IAM Identity Center 使用單一登入功能連線至 Athena。當您從 PowerBI、Tableau 或 DBeaver 等工具存取 Athena 時，您的身分和許可會透過 IAM Identity Center 自動傳播到 Athena。這表示在查詢資料時，會直接強制執行您的個別資料存取許可，而不需要單獨的身分驗證步驟或憑證管理。

對於管理員，此功能會透過 IAM Identity Center 和 Lake Formation 集中存取控制，進而確保在連接到 Athena 的所有支援分析工具中強制執行一致的許可。若要開始使用，請確保您的組織已將 IAM Identity Center 設定為您的身分來源，並為使用者設定適當的資料存取許可。

**Topics**
+ [關鍵定義](#using-trusted-identity-propagation-key-definitions)
+ [考量事項](#using-trusted-identity-propagation-considerations)
+ [先決條件](#using-trusted-identity-propagation-prerequisites)
+ [將 Athena 連線至 IAM Identity Center](using-trusted-identity-propagation-setup.md)
+ [使用 設定和部署資源 AWS CloudFormation](using-trusted-identity-propagation-cloudformation.md)

## 關鍵定義
<a name="using-trusted-identity-propagation-key-definitions"></a>

1. **應用程式角色** – 交換字符、擷取工作群組和客戶受管 AWS IAM Identity Center 應用程式 ARN 的角色。

1. **存取角色** – 搭配 Athena 驅動器使用的角色，以便透過身分增強憑證執行客戶工作流程。這表示需要此角色才能存取下游服務。

1. **客戶自管應用程式** – AWS IAM Identity Center 應用程式。如需詳細資訊，請參閱[客戶自管應用程式](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps.html)。

## 考量事項
<a name="using-trusted-identity-propagation-considerations"></a>

1. 此功能僅適用於已全面推出具有可信身分傳播的 Athena 的區域。如需有關可用性的詳細資訊，請參閱[考量事項和限制](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html)。

1. JDBC 和 ODBC 驅動程式支援啟用 IAM 的工作群組的受信任身分傳播。

1. 您可以使用 JDBC 和 ODBC 作為獨立驅動器，或搭配任何具有信任身分傳播的 BI 或 SQL 工具使用此身分驗證外掛程式。

## 先決條件
<a name="using-trusted-identity-propagation-prerequisites"></a>

1. 您必須啟用 AWS IAM Identity Center 執行個體。如需詳細資訊，請參閱[什麼是 IAM Identity Center？](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html)。

1. 您必須有運作中的外部身分提供者，且使用者或群組必須存在於 AWS IAM Identity Center 中。您可以自動佈建使用者或群組，或是手動或透過 SCIM 佈建。如需詳細資訊，請參閱[使用 SCIM 將外部身分提供者佈建至 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html)。

1. 您必須將 Lake Formation 許可授予目錄、資料庫和資料表的使用者或群組。如需詳細資訊，請參閱[使用 Athena 透過 Lake Formation 查詢資料](https://docs.aws.amazon.com/athena/latest/ug/security-athena-lake-formation.html)。

1. 您必須擁有正常運作中的 BI 工具或 SQL 用戶端，才能使用 JDBC 或 ODBC 驅動器執行 Athena 查詢。