Οι πελάτες σήμερα μπορεί να δυσκολεύονται να εφαρμόσουν κατάλληλους ελέγχους πρόσβασης και ελέγχους σε επίπεδο χρήστη όταν πολλές εφαρμογές εμπλέκονται σε ροές εργασίας πρόσβασης δεδομένων. Η βασική πρόκληση είναι η εφαρμογή των κατάλληλων ελέγχων πρόσβασης ελάχιστων προνομίων με βάση την ταυτότητα χρήστη όταν μια εφαρμογή έχει πρόσβαση σε δεδομένα για λογαριασμό του χρήστη σε άλλη εφαρμογή. Σας αναγκάζει είτε να δώσετε σε όλους τους χρήστες ευρεία πρόσβαση μέσω της εφαρμογής χωρίς έλεγχο, είτε να προσπαθήσετε να εφαρμόσετε σύνθετες κατά παραγγελία λύσεις για να χαρτογραφήσετε τους ρόλους στους χρήστες.

Χρησιμοποιώντας Κέντρο Ταυτότητας AWS IAM, μπορείτε τώρα να μεταδώσετε την ταυτότητα χρήστη σε α σύνολο υπηρεσιών AWS και ελαχιστοποιεί την ανάγκη δημιουργίας και διατήρησης πολύπλοκων προσαρμοσμένων συστημάτων για την πώληση ρόλων μεταξύ των εφαρμογών. Το IAM Identity Center παρέχει επίσης μια ενοποιημένη προβολή χρηστών και ομάδων σε ένα μέρος που μπορούν να χρησιμοποιήσουν οι διασυνδεδεμένες εφαρμογές για εξουσιοδότηση και έλεγχο.

Το IAM Identity Center επιτρέπει την κεντρική διαχείριση της πρόσβασης χρηστών σε λογαριασμούς και εφαρμογές AWS χρησιμοποιώντας παρόχους ταυτότητας (IDP) όπως το Okta. Αυτό επιτρέπει στους χρήστες να συνδεθούν μία φορά με τα υπάρχοντα εταιρικά τους διαπιστευτήρια και να έχουν απρόσκοπτη πρόσβαση στις μεταγενέστερες υπηρεσίες AWS που υποστηρίζουν τη διάδοση ταυτότητας. Με το IAM Identity Center, οι ταυτότητες και οι ομάδες χρηστών Okta μπορούν να συγχρονιστούν αυτόματα χρησιμοποιώντας το SCIM 2.0 για ακριβείς πληροφορίες χρήστη στο AWS.

Amazon EMR Studio είναι ένα ενοποιημένο περιβάλλον ανάλυσης δεδομένων όπου μπορείτε να αναπτύξετε εφαρμογές μηχανικής δεδομένων και επιστήμης δεδομένων. Τώρα μπορείτε να αναπτύξετε και να εκτελέσετε διαδραστικά ερωτήματα Αμαζόν Αθηνά από το EMR Studio (για περισσότερες λεπτομέρειες, ανατρέξτε στο Το Amazon EMR Studio προσθέτει διαδραστικό πρόγραμμα επεξεργασίας ερωτημάτων που υποστηρίζεται από την Amazon Athena ). Οι χρήστες του Athena μπορούν να έχουν πρόσβαση στο EMR Studio χωρίς να συνδεθούν στο Κονσόλα διαχείρισης AWS ενεργοποιώντας την ενοποιημένη πρόσβαση από το IdP σας μέσω του Κέντρου Ταυτότητας IAM. Αυτό καταργεί την πολυπλοκότητα της διατήρησης διαφορετικών ταυτοτήτων και της χαρτογράφησης των ρόλων των χρηστών στο IdP, το EMR Studio και το Athena.

Μπορείτε να κυβερνήσετε Ομάδες εργασίας Αθηνά με βάση τα χαρακτηριστικά χρήστη από την Okta για τον έλεγχο της πρόσβασης και του κόστους στο ερώτημα. Σχηματισμός Λίμνης AWS μπορεί επίσης να χρησιμοποιήσει τις ταυτότητες Okta για την επιβολή λεπτομερών ελέγχων πρόσβασης μέσω της χορήγησης και ανάκλησης αδειών.

Το IAM Identity Center και η ενοποίηση Okta single sign-on (SSO) απλοποιεί την πρόσβαση στο EMR Studio και το Athena με κεντρικό έλεγχο ταυτότητας. Οι χρήστες μπορούν να έχουν μια οικεία εμπειρία σύνδεσης με τα διαπιστευτήρια του εργατικού δυναμικού τους για την ασφαλή εκτέλεση ερωτημάτων στο Athena. Οι πολιτικές πρόσβασης για τις ομάδες εργασίας Athena και τα δικαιώματα Lake Formation παρέχουν διακυβέρνηση με βάση τα προφίλ χρηστών Okta.

Αυτή η ανάρτηση ιστολογίου εξηγεί πώς μπορείτε να ενεργοποιήσετε τη μεμονωμένη σύνδεση στο EMR Studio χρησιμοποιώντας την ενσωμάτωση του IAM Identity Center με το Okta. Δείχνει πώς να διαδοθούν οι ταυτότητες Okta στο Athena και στο Lake Formation για την παροχή λεπτομερών ελέγχων πρόσβασης σε ερωτήματα και δεδομένα. Η λύση απλοποιεί την πρόσβαση σε εργαλεία ανάλυσης με κεντρικό έλεγχο ταυτότητας χρησιμοποιώντας διαπιστευτήρια εργατικού δυναμικού. Αξιοποιεί το AWS IAM Identity Center, το Amazon EMR Studio, το Amazon Athena και το AWS Lake Formation.

Επισκόπηση λύσεων

Το IAM Identity Center επιτρέπει στους χρήστες να συνδέονται στο EMR Studio χωρίς να χρειάζονται διαχειριστές για μη αυτόματη διαμόρφωση Διαχείριση ταυτότητας και πρόσβασης AWS (IAM) ρόλους και δικαιώματα. Επιτρέπει την αντιστοίχιση των ομάδων του IAM Identity Center σε υπάρχοντες ρόλους και ομάδες εταιρικής ταυτότητας. Οι διαχειριστές μπορούν στη συνέχεια να εκχωρήσουν δικαιώματα σε ρόλους και ομάδες και να αναθέσουν χρήστες σε αυτούς, επιτρέποντας τον λεπτομερή έλεγχο της πρόσβασης των χρηστών. Το IAM Identity Center παρέχει ένα κεντρικό αποθετήριο όλων των χρηστών στο AWS. Μπορείτε να δημιουργήσετε χρήστες και ομάδες απευθείας στο IAM Identity Center ή να συνδέσετε υπάρχοντες χρήστες και ομάδες από παρόχους όπως το Okta, το Ping Identity ή το Azure AD. Διαχειρίζεται τον έλεγχο ταυτότητας μέσω της επιλεγμένης πηγής ταυτότητας και διατηρεί έναν κατάλογο χρηστών και ομάδας για πρόσβαση στο EMR Studio. Οι γνωστές ταυτότητες χρηστών και η πρόσβαση στα συνδεδεμένα δεδομένα διευκολύνουν τη συμμόρφωση μέσω του ελέγχου της πρόσβασης των χρηστών AWS CloudTrail.

Το παρακάτω διάγραμμα απεικονίζει την αρχιτεκτονική λύσεων.

Η ροή εργασίας EMR Studio αποτελείται από τα ακόλουθα βήματα υψηλού επιπέδου:

1. Ο τελικός χρήστης εκκινεί το EMR Studio χρησιμοποιώντας τη διεύθυνση URL της πύλης πρόσβασης AWS. Αυτή η διεύθυνση URL παρέχεται από έναν διαχειριστή του Κέντρου Ταυτότητας IAM μέσω του πίνακα ελέγχου του Κέντρου Ταυτότητας IAM.
2. Η διεύθυνση URL ανακατευθύνει τον τελικό χρήστη στο εργατικό δυναμικό IdP Okta, όπου ο χρήστης εισάγει τα διαπιστευτήρια ταυτότητας εργατικού δυναμικού.
3. Μετά τον επιτυχή έλεγχο ταυτότητας, ο χρήστης θα συνδεθεί στην κονσόλα AWS ως ομοσπονδιακός χρήστης.
4. Ο χρήστης ανοίγει το EMR Studio και πλοηγείται στο πρόγραμμα επεξεργασίας ερωτημάτων Athena χρησιμοποιώντας τον σύνδεσμο που είναι διαθέσιμος στο EMR Studio.
5. Ο χρήστης επιλέγει τη σωστή ομάδα εργασίας σύμφωνα με τον ρόλο χρήστη για την εκτέλεση ερωτημάτων Athena.
6. Τα αποτελέσματα του ερωτήματος αποθηκεύονται χωριστά Υπηρεσία απλής αποθήκευσης Amazon (Amazon S3) τοποθεσίες με πρόθεμα που βασίζεται στην ταυτότητα χρήστη.

Για να εφαρμόσουμε τη λύση, ολοκληρώνουμε τα παρακάτω βήματα:

1. Ενσωματώστε το Okta με το IAM Identity Center για συγχρονισμό χρηστών και ομάδων.
2. Ενσωματώστε το IAM Identity Center με το EMR Studio.
3. Εκχωρήστε χρήστες ή ομάδες από το IAM Identity Center στο EMR Studio.
4. Ρυθμίστε το Lake Formation με το IAM Identity Center.
5. Διαμορφώστε τα δικαιώματα που βασίζονται σε αναλυτικούς ρόλους χρησιμοποιώντας το Lake Formation σε διαδεδομένες εταιρικές ταυτότητες.
6. Δημιουργήστε ομάδες εργασίας στο Athena για κυβερνητική πρόσβαση.
7. Ρυθμίστε επιχορηγήσεις πρόσβασης στο Amazon S3 για λεπτή πρόσβαση σε πόρους του Amazon S3, όπως κουβάδες, προθέματα ή αντικείμενα.
8. Αποκτήστε πρόσβαση στο EMR Studio μέσω της πύλης πρόσβασης AWS χρησιμοποιώντας το IAM Identity Center.
9. Εκτελέστε ερωτήματα στον επεξεργαστή Athena SQL στο EMR Studio.
10. Ελέγξτε τη διαδρομή ελέγχου από άκρο σε άκρο της ταυτότητας του εργατικού δυναμικού.

Προϋποθέσεις

Για να ακολουθήσετε αυτήν την ανάρτηση, θα πρέπει να έχετε τα εξής:

• An Λογαριασμός AWS – Αν δεν έχεις, μπορείς εγγραφείτε εδώ.
• An Λογαριασμός Okta που έχει ενεργή συνδρομή – Χρειάζεστε ρόλο διαχειριστή για να ρυθμίσετε την εφαρμογή στο Okta. Εάν είστε νέοι στο Okta, μπορείτε να εγγραφείτε για ένα δωρεάν δοκιμή ή ένα λογαριασμό προγραμματιστή.

Για οδηγίες σχετικά με τη διαμόρφωση του Okta με το IAM Identity Center, ανατρέξτε στο Διαμορφώστε το SAML και το SCIM με το Okta και το IAM Identity Center.

Ενσωματώστε το Okta με το IAM Identity Center για συγχρονισμό χρηστών και ομάδων

Αφού συγχρονίσετε επιτυχώς χρήστες ή ομάδες από το Okta στο IAM Identity Center, μπορείτε να τους δείτε στην κονσόλα IAM Identity Center, όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης. Για αυτήν την ανάρτηση, δημιουργήσαμε και συγχρονίσαμε δύο ομάδες χρηστών:

• Μηχανικός δεδομένων
• Επιστήμονες δεδομένων

Στη συνέχεια, δημιουργήστε έναν αξιόπιστο εκδότη διακριτικού στο IAM Identity Center:

1. Στην κονσόλα IAM Identity Center, επιλέξτε ρυθμίσεις στο παράθυρο πλοήγησης.
2. Επιλέξτε Δημιουργία αξιόπιστου εκδότη διακριτικού.
3. Για URL εκδότη, εισαγάγετε τη διεύθυνση URL του εκδότη αξιόπιστου διακριτικού.
4. Για Όνομα εκδότη αξιόπιστου διακριτικού, εισάγετε το Okta.
5. Για Χαρακτηριστικά χάρτη¸ αντιστοιχίστε το χαρακτηριστικό IdP Email στο χαρακτηριστικό IAM Identity Center Email.
6. Επιλέξτε Δημιουργία αξιόπιστου εκδότη διακριτικού.
   

Το παρακάτω στιγμιότυπο οθόνης δείχνει τον νέο σας εκδότη αξιόπιστου διακριτικού στην κονσόλα IAM Identity Center.

Ενσωματώστε το IAM Identity Center με το EMR Studio

Ξεκινάμε με τη δημιουργία μιας αξιόπιστης διάδοσης ταυτότητας ενεργοποιημένης στο EMR Studio.

Ένας διαχειριστής του EMR Studio πρέπει να εκτελέσει τα βήματα για να διαμορφώσει το EMR Studio ως εφαρμογή με δυνατότητα IAM Identity Center. Αυτό επιτρέπει στο EMR Studio να ανακαλύπτει και να συνδέεται με το IAM Identity Center αυτόματα για να λαμβάνει υπηρεσίες σύνδεσης και καταλόγου χρηστών.

Το θέμα της ενεργοποίησης του EMR Studio ως εφαρμογής που διαχειρίζεται το IAM Identity Center είναι να μπορείτε να ελέγχετε τις άδειες χρηστών και ομάδων μέσα από το IAM Identity Center ή από ένα IdP τρίτου μέρους πηγής που είναι ενσωματωμένο σε αυτό (το Okta σε αυτήν την περίπτωση). Όταν οι χρήστες σας συνδέονται στο EMR Studio, για παράδειγμα μηχανικός δεδομένων or επιστήμονας δεδομένων, ελέγχει τις ομάδες τους στο IAM Identity Center, και αυτές αντιστοιχίζονται σε ρόλους και δικαιώματα στο Lake Formation. Με αυτόν τον τρόπο, μια ομάδα μπορεί να αντιστοιχιστεί σε έναν ρόλο βάσης δεδομένων Lake Formation που επιτρέπει την πρόσβαση ανάγνωσης σε ένα σύνολο πινάκων ή στηλών.

Τα παρακάτω βήματα δείχνουν πώς να δημιουργήσετε το EMR Studio ως εφαρμογή που διαχειρίζεται το AWS με το IAM Identity Center και, στη συνέχεια, βλέπουμε πώς οι κατάντη εφαρμογές όπως το Lake Formation και το Athena διαδίδουν αυτούς τους ρόλους και τα δικαιώματα χρησιμοποιώντας υπάρχοντα εταιρικά διαπιστευτήρια.

1. Στην κονσόλα Amazon EMR, μεταβείτε στο EMR Studio.
2. Επιλέξτε Δημιουργήστε ένα στούντιο.
3. Για Ρύθμιση επιλογές, επιλέξτε Εξατομικευμένο .
4. Για Όνομα στούντιο, πληκτρολογήστε ένα όνομα.
5. Για Θέση S3 για αποθήκευση χώρου εργασίας, Επιλέξτε Επιλέξτε υπάρχουσα τοποθεσία και εισαγάγετε τη θέση Amazon S3.

6. Διαμορφώστε τα στοιχεία άδειας για το EMR Studio.

Σημειώστε ότι όταν επιλέξετε Προβολή λεπτομερειών άδειας υπό Ρόλος υπηρεσίας, θα ανοίξει ένα νέο αναδυόμενο παράθυρο. Πρέπει να δημιουργήσετε έναν ρόλο IAM με τις ίδιες πολιτικές όπως φαίνεται στο αναδυόμενο παράθυρο. Μπορείτε να χρησιμοποιήσετε το ίδιο για σας ρόλο υπηρεσίας και IAM ρόλο.

7. Στις Δημιουργήστε ένα στούντιο σελίδα, για Πιστοποίηση, Επιλέξτε Κέντρο Ταυτότητας AWS IAM.
8. Για Ρόλος χρήστη, επιλέξτε τον ρόλο χρήστη σας.
9. Κάτω από Διάδοση αξιόπιστης ταυτότητας, Επιλέξτε Ενεργοποιήστε τη διάδοση αξιόπιστης ταυτότητας.
10. Κάτω από Πρόσβαση στην εφαρμογή, Επιλέξτε Μόνο ανατεθειμένοι χρήστες και ομάδες.
11. Για VPC, εισαγάγετε το VPC σας.
12. Για Υποδίκτυα, εισάγετε το υποδίκτυό σας.
13. Για Ασφάλεια και πρόσβαση, Επιλέξτε Προεπιλεγμένη ομάδα ασφαλείας.
14. Επιλέξτε Δημιουργία Studio.

Θα πρέπει τώρα να δείτε ένα EMR Studio με δυνατότητα IAM Identity Center στο Κονσόλα Amazon EMR.

Αφού ο διαχειριστής του EMR Studio ολοκληρώσει τη δημιουργία του EMR Studio με δυνατότητα διάδοσης αξιόπιστης ταυτότητας και αποθηκεύσει τη διαμόρφωση, η παρουσία του EMR Studio εμφανίζεται ως μια εφαρμογή με δυνατότητα IAM Identity Center στο Κονσόλα IAM Identity Center.

Εκχωρήστε χρήστες ή ομάδες από το IAM Identity Center στο EMR Studio

Μπορείτε να εκχωρήσετε χρήστες και ομάδες από τον κατάλογο IAM Identity Center στην εφαρμογή EMR Studio μετά από συγχρονισμό με το IAM. Ο διαχειριστής του EMR Studio αποφασίζει ποιους χρήστες ή ομάδες του IAM Identity Center θα συμπεριλάβει στην εφαρμογή. Για παράδειγμα, εάν έχετε 10 συνολικά ομάδες στο IAM Identity Center, αλλά δεν θέλετε όλες να έχουν πρόσβαση σε αυτήν την παρουσία του EMR Studio, μπορείτε να επιλέξετε ποιες ομάδες θα συμπεριλάβετε στην εφαρμογή IAM με δυνατότητα EMR Studio.

Τα ακόλουθα βήματα εκχωρούν ομάδες στην εφαρμογή IAM Identity Center με δυνατότητα EMR Studio:

1. Στην κονσόλα EMR Studio, μεταβείτε στη νέα παρουσία του EMR Studio.
2. Στις Ανατεθειμένες ομάδες καρτέλα, επιλέξτε Ορίστε ομάδες.
3. Επιλέξτε ποιες ομάδες IAM Identity Center θέλετε να συμπεριλάβετε στην εφαρμογή. Για παράδειγμα, μπορείτε να επιλέξετε το Επιστήμονας Δεδομένων και Ομάδες Μηχανικών Δεδομένων.
4. Επιλέξτε Ολοκληρώθηκε.

Αυτό επιτρέπει στον διαχειριστή του EMR Studio να επιλέξει συγκεκριμένες ομάδες IAM Identity Center στις οποίες θα εκχωρηθεί πρόσβαση σε αυτήν τη συγκεκριμένη παρουσία ενσωματωμένη στο IAM Identity Center. Μόνο οι επιλεγμένες ομάδες θα συγχρονιστούν και θα τους δοθεί πρόσβαση, όχι όλες οι ομάδες από τον κατάλογο του Κέντρου Ταυτότητας IAM.

Ρυθμίστε το Lake Formation με το IAM Identity Center

Για να ρυθμίσετε το Lake Formation με το IAM Identity Center, βεβαιωθείτε ότι έχετε διαμορφώσει το Okta ως το IdP για το IAM Identity Center και επιβεβαιώστε ότι οι χρήστες και οι ομάδες από το Okta είναι πλέον διαθέσιμα στο IAM Identity Center. Στη συνέχεια, ολοκληρώστε τα παρακάτω βήματα:

1. Στην κονσόλα Lake Formation, επιλέξτε Ενσωμάτωση Κέντρου Ταυτότητας IAM υπό Διαχείριση στο παράθυρο πλοήγησης.

Θα δείτε το μήνυμα “IAM Identity Center enabled” μαζί με το ARN για την εφαρμογή IAM Identity Center.

2. Επιλέξτε Δημιουργία.

Σε λίγα λεπτά, θα δείτε ένα μήνυμα που υποδεικνύει ότι το Lake Formation έχει ενσωματωθεί επιτυχώς με τις κεντρικές ταυτότητες IAM από το Okta Identity Center. Συγκεκριμένα, το μήνυμα θα αναφέρει "Επιτυχής δημιουργία ενσωμάτωσης κέντρου ταυτότητας με την εφαρμογή ARN", υποδηλώνοντας ότι η ενσωμάτωση είναι πλέον σε θέση μεταξύ του Lake Formation και των ταυτοτήτων που διαχειρίζονται στο Okta.

Διαμορφώστε τα δικαιώματα που βασίζονται σε αναλυτικούς ρόλους χρησιμοποιώντας το Lake Formation σε μεταδιδόμενες εταιρικές ταυτότητες

Τώρα θα δημιουργήσουμε αναλυτικά δικαιώματα για την πρόσβαση στα δεδομένα μας στο Lake Formation. Για αυτήν την ανάρτηση, συνοψίζουμε τα βήματα που απαιτούνται για τη χρήση των υπαρχουσών εταιρικών ταυτοτήτων στην κονσόλα Lake Formation για την παροχή σχετικών ελέγχων και διακυβέρνησης στα δεδομένα, τα οποία αργότερα θα αναζητήσουμε μέσω του επεξεργαστή ερωτημάτων Athena. Για να μάθετε σχετικά με τη ρύθμιση βάσεων δεδομένων και πινάκων στο Lake Formation, ανατρέξτε στο Ξεκινώντας με το AWS Lake Formation

Αυτή η ανάρτηση δεν θα περιλαμβάνει τις πλήρεις λεπτομέρειες σχετικά με τον σχηματισμό της λίμνης. Αντίθετα, θα επικεντρωθούμε σε μια νέα δυνατότητα που έχει εισαχθεί στο Lake Formation—τη δυνατότητα ρύθμισης αδειών με βάση τις υπάρχουσες εταιρικές σας ταυτότητες που είναι συγχρονισμένες με το IAM Identity Center.

Αυτή η ενοποίηση επιτρέπει στο Lake Formation να χρησιμοποιεί το IdP του οργανισμού σας και τις πολιτικές διαχείρισης πρόσβασης για τον έλεγχο των αδειών σε λίμνες δεδομένων. Αντί να ορίζετε δικαιώματα από την αρχή ειδικά για το Lake Formation, μπορείτε πλέον να βασίζεστε στους υπάρχοντες χρήστες, ομάδες και στοιχεία ελέγχου πρόσβασης για να προσδιορίσετε ποιος μπορεί να έχει πρόσβαση σε καταλόγους δεδομένων και σε υποκείμενες πηγές δεδομένων. Συνολικά, αυτή η νέα ενσωμάτωση με το IAM Identity Center καθιστά εύκολη τη διαχείριση των αδειών για τους φόρτους εργασίας δεδομένων σας χρησιμοποιώντας την εταιρική σας ταυτότητα. Μειώνει τα διοικητικά έξοδα διατήρησης των αδειών ευθυγραμμισμένα σε διαφορετικά συστήματα. Καθώς το AWS συνεχίζει να βελτιώνει το Lake Formation, χαρακτηριστικά όπως αυτό θα βελτιώσουν περαιτέρω τη βιωσιμότητά του ως ένα πλήρως εξοπλισμένο περιβάλλον διαχείρισης λίμνης δεδομένων.

Σε αυτήν την ανάρτηση, δημιουργήσαμε μια βάση δεδομένων που ονομάζεται zipcode-db-tip και παραχώρησε πλήρη πρόσβαση στην ομάδα χρηστών Data-Engineer για ερωτήματα στον υποκείμενο πίνακα της βάσης δεδομένων. Ολοκληρώστε τα παρακάτω βήματα:

1. Στην κονσόλα Lake Formation, επιλέξτε Εκχώρηση αδειών για τη λίμνη δεδομένων.
2. Για Διευθυντές, επιλέξτε Κέντρο Ταυτότητας ΙΑΜ.
3. Για Χρήστες και ομάδες, επιλέξτε Data-Engineer.
4. Για LF-Tags ή πόροι καταλόγου, Επιλέξτε Πηγές καταλόγου με όνομα.
5. Για Βάσεις Δεδομένων, επιλέξτε zipcode-db-tip.
6. Για πίνακες, επιλέξτε tip-zipcode.
   

Ομοίως, πρέπει να παρέχουμε τη σχετική πρόσβαση στους υποκείμενους πίνακες στους χρήστες και τις ομάδες, ώστε να μπορούν να κάνουν ερωτήσεις στα δεδομένα.

7. Επαναλάβετε τα προηγούμενα βήματα για να παρέχετε πρόσβαση στην ομάδα Data-Engineer για να μπορείτε να κάνετε ερωτήσεις στα δεδομένα.
8. Για Δικαιώματα πίνακα, Επιλέξτε Αγορά, Περιγράφω, να Σούπερ.
9. Για Δικαιώματα δεδομένων, Επιλέξτε Όλα τα δεδομένα πρόσβασης.

Μπορείτε να παραχωρήσετε επιλεκτική πρόσβαση σε σειρές και σχόλια σύμφωνα με τις συγκεκριμένες απαιτήσεις σας.

Δημιουργία ομάδων εργασίας στην Αθηνά

Οι ομάδες εργασίας Athena είναι μια δυνατότητα AWS που σας επιτρέπει να απομονώνετε δεδομένα και ερωτήματα σε έναν λογαριασμό AWS. Παρέχει έναν τρόπο διαχωρισμού δεδομένων και ελέγχου της πρόσβασης, έτσι ώστε κάθε ομάδα να έχει πρόσβαση μόνο στα δεδομένα που σχετίζονται με αυτήν. Οι ομάδες εργασίας Athena είναι χρήσιμες για οργανισμούς που θέλουν να περιορίσουν την πρόσβαση σε ευαίσθητα σύνολα δεδομένων ή να βοηθήσουν στην αποτροπή αλληλοεπηρεασμού των ερωτημάτων. Όταν δημιουργείτε μια ομάδα εργασίας, μπορείτε να της αναθέσετε χρήστες και ρόλους. Τα ερωτήματα που ξεκινούν σε μια ομάδα εργασίας θα εκτελούνται με τα στοιχεία ελέγχου πρόσβασης και τις ρυθμίσεις που έχουν διαμορφωθεί για αυτήν την ομάδα εργασίας. Επιτρέπουν τη διακυβέρνηση, την ασφάλεια και τους ελέγχους πόρων σε αναλυτικό επίπεδο. Οι ομάδες εργασίας Athena είναι ένα σημαντικό χαρακτηριστικό για τη διαχείριση και τη βελτιστοποίηση της χρήσης του Athena σε μεγάλους οργανισμούς.

Σε αυτήν την ανάρτηση, δημιουργούμε μια ομάδα εργασίας ειδικά για μέλη της ομάδας μας Data Engineering. Αργότερα, όταν συνδεθείτε στα προφίλ χρηστών του Data Engineer, εκτελούμε ερωτήματα από αυτήν την ομάδα εργασίας για να δείξουμε πώς μπορεί να περιοριστεί η πρόσβαση στις ομάδες εργασίας Athena με βάση το προφίλ χρήστη. Αυτό επιτρέπει την επιβολή πολιτικών διακυβέρνησης, διασφαλίζοντας ότι οι χρήστες μπορούν να έχουν πρόσβαση μόνο σε επιτρεπόμενα σύνολα δεδομένων και ερωτήματα βάσει του ρόλου τους.

1. Στην κονσόλα Athena, επιλέξτε Ομάδες εργασίας υπό Διαχείριση στο παράθυρο πλοήγησης.
2. Επιλέξτε Δημιουργία ομάδας εργασίας.
3. Για Πιστοποίηση, Επιλέξτε Κέντρο Ταυτότητας AWS.
4. Για Ρόλος υπηρεσίας για την εξουσιοδότηση της Αθηνάς, Επιλέξτε Δημιουργήστε και χρησιμοποιήστε έναν νέο ρόλο υπηρεσίας.
5. Για Όνομα ρόλου υπηρεσίας, εισαγάγετε ένα όνομα για το ρόλο σας.
   
6. Για Τοποθεσία αποτελέσματος ερωτήματος, εισαγάγετε μια τοποθεσία Amazon S3 για την αποθήκευση των αποτελεσμάτων ερωτήματός σας στο Athena.

Αυτό είναι ένα υποχρεωτικό πεδίο όταν προσδιορίζετε το IAM Identity Center για έλεγχο ταυτότητας.

Αφού δημιουργήσετε την ομάδα εργασίας, πρέπει να αντιστοιχίσετε χρήστες και ομάδες σε αυτήν. Για αυτήν την ανάρτηση, δημιουργούμε μια ομάδα εργασίας με το όνομα data-engineer και εκχωρούμε την ομάδα Data-Engineer (που διαδίδεται μέσω της διάδοσης αξιόπιστης ταυτότητας από το IAM Identity Center).

7. Στις Ομάδες καρτέλα στη σελίδα λεπτομερειών μηχανικού δεδομένων, επιλέξτε την ομάδα χρηστών που θέλετε να εκχωρήσετε και επιλέξτε Ορίστε ομάδες.
   

Ρυθμίστε επιχορηγήσεις πρόσβασης στο Amazon S3 για να διαχωρίσετε τα αποτελέσματα των ερωτημάτων για κάθε ταυτότητα εργατικού δυναμικού

Στη συνέχεια, δημιουργήσαμε επιχορηγήσεις Amazon S3.

Μπορείτε να παρακολουθήσετε το παρακάτω βίντεο για να ρυθμίσετε τις επιχορηγήσεις ή να ανατρέξετε Χρησιμοποιήστε το Amazon EMR με επιχορηγήσεις πρόσβασης S3 για να κλιμακώσετε την πρόσβαση στο Spark στο Amazon S3 για οδηγίες.

Ξεκινήστε τη σύνδεση μέσω της ενοποιημένης πρόσβασης AWS χρησιμοποιώντας την πύλη πρόσβασης του Κέντρου Ταυτότητας IAM

Τώρα είμαστε έτοιμοι να συνδεθούμε στο EMR Studio και σε ομοσπονδιακή σύνδεση χρησιμοποιώντας τον έλεγχο ταυτότητας του Κέντρου Ταυτότητας IAM:

1. Στην κονσόλα IAM Identity Center, μεταβείτε στον πίνακα εργαλείων και επιλέξτε τη διεύθυνση URL της πύλης πρόσβασης AWS.
2. Ένα αναδυόμενο παράθυρο του προγράμματος περιήγησης σάς κατευθύνει στη σελίδα σύνδεσης του Okta, όπου εισάγετε τα διαπιστευτήριά σας στο Okta.
3. Μετά από επιτυχή έλεγχο ταυτότητας, θα συνδεθείτε στην κονσόλα AWS ως ομοσπονδιακός χρήστης.
4. Επιλέξτε την εφαρμογή EMR Studio.
5. Αφού συνενωθείτε με το EMR Studio, επιλέξτε Επεξεργαστής ερωτημάτων στο παράθυρο πλοήγησης για να ανοίξετε μια νέα καρτέλα με το πρόγραμμα επεξεργασίας ερωτημάτων Athena.

Το παρακάτω βίντεο δείχνει έναν ομοσπονδιακό χρήστη που χρησιμοποιεί τη διεύθυνση URL της πύλης πρόσβασης AWS για πρόσβαση στο EMR Studio χρησιμοποιώντας τον έλεγχο ταυτότητας του Κέντρου Ταυτότητας IAM.

Εκτελέστε ερωτήματα με αναλυτική πρόσβαση στο πρόγραμμα επεξεργασίας

Στο EMR Studio, ο χρήστης μπορεί να ανοίξει το πρόγραμμα επεξεργασίας ερωτημάτων Athena και στη συνέχεια να καθορίσει τη σωστή ομάδα εργασίας στο πρόγραμμα επεξεργασίας ερωτημάτων για την εκτέλεση των ερωτημάτων.

Ο μηχανικός δεδομένων μπορεί να ρωτήσει μόνο τους πίνακες στους οποίους έχει πρόσβαση ο χρήστης. Τα αποτελέσματα του ερωτήματος θα εμφανιστούν κάτω από το πρόθεμα S3, το οποίο είναι ξεχωριστό για κάθε ταυτότητα εργατικού δυναμικού.

Ελέγξτε τη διαδρομή ελέγχου από άκρο σε άκρο της ταυτότητας του εργατικού δυναμικού

Ο διαχειριστής του Κέντρου Ταυτότητας του IAM μπορεί να αναζητήσει τις κατάντη εφαρμογές που είναι αξιόπιστες για τη διάδοση ταυτότητας, όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης της κονσόλας του Κέντρου Ταυτότητας IAM.

Στην κονσόλα CloudTrail, το ιστορικό συμβάντων εμφανίζει το όνομα του συμβάντος και τον πόρο στον οποίο έχει πρόσβαση η συγκεκριμένη ταυτότητα εργατικού δυναμικού.

Όταν επιλέγετε ένα συμβάν στο CloudTrail, οι ελεγκτές μπορούν να δουν το μοναδικό αναγνωριστικό χρήστη που είχε πρόσβαση στις υποκείμενες υπηρεσίες AWS Analytics.

εκκαθάριση

Ολοκληρώστε τα παρακάτω βήματα για να καθαρίσετε τους πόρους σας:

1. Διαγράψτε τις εφαρμογές Okta που δημιουργήσατε για να ενσωματώσετε στο IAM Identity Center.
2. Διαγράψτε τη διαμόρφωση του IAM Identity Center.
3. Διαγράψτε το EMR Studio που δημιουργήσατε για δοκιμή.
4. Διαγράψτε τον ρόλο IAM που δημιουργήσατε για την ενσωμάτωση του IAM Identity Center και του EMR Studio.

Συμπέρασμα

Σε αυτήν την ανάρτηση, σας δείξαμε μια λεπτομερή περιγραφή για να μεταφέρετε την ταυτότητα του εργατικού δυναμικού σας στο EMR Studio και να διαδώσετε την ταυτότητα σε συνδεδεμένες εφαρμογές AWS όπως το Athena και το Lake Formation. Αυτή η λύση παρέχει στο εργατικό σας δυναμικό μια οικεία εμπειρία σύνδεσης, χωρίς να χρειάζεται να θυμάστε πρόσθετα διαπιστευτήρια ή να διατηρήσετε σύνθετη χαρτογράφηση ρόλων σε διαφορετικά συστήματα ανάλυσης. Επιπλέον, παρέχει στους ελεγκτές ορατότητα από άκρο σε άκρο σχετικά με τις ταυτότητες του εργατικού δυναμικού και την πρόσβασή τους σε υπηρεσίες ανάλυσης.

Για να μάθετε περισσότερα σχετικά με τη διάδοση αξιόπιστης ταυτότητας και το EMR Studio, ανατρέξτε στο Ενσωματώστε το Amazon EMR με το AWS IAM Identity Center.

Σχετικά με τους συγγραφείς

Manjit Chakraborty είναι Senior Solutions Architect στην AWS. Είναι επαγγελματίας με γνώμονα την εποχή και τα αποτελέσματα με εκτεταμένη εμπειρία στον Χρηματοοικονομικό τομέα, έχοντας συνεργαστεί με πελάτες για παροχή συμβουλών, σχεδίασης, καθοδήγησης και υλοποίησης βασικών επιχειρηματικών λύσεων σε όλο τον κόσμο. Στον ελεύθερο χρόνο του, ο Manjit απολαμβάνει το ψάρεμα, τις πολεμικές τέχνες και το παιχνίδι με την κόρη του.

Neeraj Roy είναι Principal Solutions Architect στην AWS με έδρα το Λονδίνο. Συνεργάζεται με πελάτες της Global Financial Services για να επιταχύνει το ταξίδι τους στο AWS. Στον ελεύθερο χρόνο του, του αρέσει να διαβάζει και να περνά χρόνο με την οικογένειά του.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://aws.amazon.com/blogs/big-data/bring-your-workforce-identity-to-amazon-emr-studio-and-athena/