AWS объявил о запуске функции кросс-аккаунтного доступа к Amazon Athena для сервиса Amazon Quick.
До появления этой функции организациям, использующим Quick в центральном AWS-аккаунте, приходилось либо поддерживать несколько подписок Quick в каждом аккаунте с данными, либо оплачивать все запросы Athena из центрального аккаунта, что усложняло распределение затрат. Новая возможность решает эту проблему через механизм ролевого объединения (role chaining).
Технически реализация основана на двух IAM-ролях. В центральном аккаунте Quick создаётся роль RunAsRole (Role A), которую Quick принимает первой. Эта роль не имеет прав на данные, но может принять роль в аккаунте потребителя (Consumer Account Role, Role B). Role B уже имеет доступ к Athena, AWS Glue Data Catalog и S3-бакету с результатами запросов. Когда пользователь Quick выполняет запрос, сервис последовательно принимает Role A, затем Role B. Запрос Athena выполняется от имени Role B, поэтому затраты на вычисления относятся на аккаунт потребителя.
Функция использует IAM role chaining: основной аккаунт Quick (publisher) принимает роль в аккаунте с данными (consumer) для выполнения запросов.
Для безопасности используется параметр ExternalId (уникальный идентификатор источника данных), предотвращающий атаки Confused Deputy. Также применяется политика Scope-Down, ограничивающая принятие ролей только конкретной ролью потребителя. Настройка требует конфигурации Athena Workgroup в аккаунте потребителя и S3-бакета для результатов запросов.
Для организаций с множеством бизнес-подразделений, хранящих данные в разных аккаунтах, это упрощает централизованную аналитику без потери контроля над затратами. Решение особенно актуально для финансового сектора, ритейла и других отраслей с жёсткими требованиями к разделению данных и биллингу.
