Verwalten von Lake-Formation- und Athena-Benutzerberechtigungen

Lake Formation verkauft Anmeldeinformationen, um Amazon-S3-Datenspeicher abzufragen, die bei Lake Formation registriert sind. Wenn Sie zuvor IAM-Richtlinien verwendet haben, um Berechtigungen zum Lesen von Datenspeicherorten in Amazon S3 zu gewähren oder zu verweigern, können Sie stattdessen Lake-Formation-Berechtigungen verwenden. Allerdings sind weiterhin andere IAM-Berechtigungen erforderlich.

Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten Methoden von IAM befolgen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

In den folgenden Abschnitten werden die Berechtigungen zusammengefasst, die erforderlich sind, um die in Lake Formation registrierten Daten mithilfe von Athena abzufragen. Weitere Informationen finden Sie unter Sicherheit in AWS Lake Formation im AWS Lake Formation -Entwicklerhandbuch.

Identitätsbasierte Berechtigungen für Lake Formation und Athena

Jeder, der Athena zum Abfragen von bei Lake Formation registrierten Daten verwendet, muss über eine IAM-Berechtigungsrichtlinie verfügen, die die lakeformation:GetDataAccess-Aktion zulässt. AWS verwaltete Richtlinie: AmazonAthenaFullAccess erlaubt diese Aktion. Wenn Sie eingebundenen Richtlinien verwenden, stellen Sie sicher, dass Sie die Berechtigungsrichtlinien aktualisieren, um diese Aktion zuzulassen.

In Lake Formation hat ein Data-Lake-Administrator Berechtigungen zum Erstellen von Metadatenobjekten wie Datenbanken und Tabellen, Erteilen von Lake-Formation-Berechtigungen an andere Benutzer und Registrieren neuer Amazon-S3-Speicherorte. Zur Registrierung neuer Standorte sind Berechtigungen für die serviceverknüpfte Rolle für Lake Formation erforderlich. Weitere Informationen finden Sie unter Erstellen eines Data-Lake-Administrators und Servicegebundene Rollenberechtigungen für Lake Formation im AWS Lake Formation -Entwicklerhandbuch.

Ein Lake-Formation-Benutzer kann Athena verwenden, um Datenbanken, Tabellen, Tabellenspalten und zugrunde liegende Amazon-S3-Datenspeicher basierend auf den Lake-Formation-Berechtigungen abzufragen, die ihm von Data-Lake-Administratoren erteilt wurden. Benutzer können keine Datenbanken oder Tabellen erstellen oder neue Amazon-S3-Speicherorte bei Lake Formation registrieren. Weitere Informationen finden Sie unter Erstellen eines Data Lake-Benutzers im AWS Lake Formation -Entwicklerhandbuch.

In Athena steuern identitätsbasierte Berechtigungsrichtlinien, einschließlich derer für Athena-Arbeitsgruppen, weiterhin den Zugriff auf Athena-Aktionen für Amazon-Web-Services-Kontobenutzer. Darüber hinaus kann der Verbundzugriff über die SAML-basierte Authentifizierung bereitgestellt werden, die mit Athena-Treibern verfügbar ist. Weitere Informationen finden Sie unter Verwendung von Arbeitsgruppen zur Kontrolle des Abfragenzugriffs und der Kosten, IAM-Richtlinien für den Zugriff auf Arbeitsgruppen und Aktivieren des föderierten Zugriffs auf die Athena-API.

Weitere Informationen finden Sie unter Erteilen von Lake Formation-Berechtigungen im AWS Lake Formation -Entwicklerhandbuch.

Amazon-S3-Berechtigungen für Speicherorte von Athena-Abfrageergebnissen

Die Abfrageergebnisorte in Amazon S3 für Athena können nicht bei Lake Formation registriert werden. Lake-Formation-Berechtigungen beschränken den Zugriff auf diese Standorte nicht. Wenn Sie den Zugriff nicht einschränken, können Athena-Benutzer auf Abfrageergebnisdateien und Metadaten zugreifen, wenn sie keine Lake-Formation-Berechtigungen für die Daten haben. Um dies zu vermeiden, sollten Sie Arbeitsgruppen verwenden, um den Speicherort für Abfrageergebnisse anzugeben und die Arbeitsgruppenmitgliedschaft mit den Lake-Formation-Berechtigungen auszurichten. Anschließend können Sie IAM-Berechtigungsrichtlinien verwenden, um den Zugriff auf Abfrageergebnisspeicherorte zu beschränken. Weitere Informationen zu Abfrageergebnissen finden Sie unter Arbeiten mit Abfrageergebnissen, letzten Abfragen und Ausgabedateien.

Athena-Workgoup-Mitgliedschaften zum Abfragen des Verlaufs

Der Abfrageverlauf von Athena stellt eine Liste gespeicherter Abfragen und vollständiger Abfragezeichenfolgen bereit. Sofern Sie nicht Arbeitsgruppen verwenden, um den Zugriff auf Abfrageverläufe zu trennen, können Athena-Benutzer, die nicht zum Abfragen von Daten in Lake Formation berechtigt sind, Abfragezeichenfolgen anzeigen, die für diese Daten ausgeführt werden, einschließlich Spaltennamen, Auswahlkriterien usw. Es wird empfohlen, Arbeitsgruppen zu verwenden, um Abfrageverläufe zu trennen und Athena-Arbeitsgruppenmitgliedschaft mit Lake-Formation-Berechtigungen auszurichten, um den Zugriff zu beschränken. Weitere Informationen finden Sie unter Verwendung von Arbeitsgruppen zur Kontrolle des Abfragenzugriffs und der Kosten.

Lake-Formation-Berechtigungen für Daten

Zusätzlich zu der Grundberechtigung zur Verwendung von Lake Formation müssen Athena-Benutzer über Lake-Formation-Berechtigungen verfügen, um auf die von ihnen abgefragten Ressourcen zuzugreifen. Diese Berechtigungen werden von einem Lake-Formation-Administrator erteilt und verwaltet. Weitere Informationen finden Sie unter Sicherheit und Zugriffskontrolle für Metadaten und Daten im AWS Lake Formation -Entwicklerhandbuch.

IAM-Berechtigungen zum Schreiben in Amazon-S3-Speicherorte

Die Lake-Formation-Berechtigungen für Amazon S3 beinhalten nicht die Möglichkeit, in Amazon S3 zu schreiben. Create Table As Statements (CTAS) erfordern Schreibzugriff auf den Amazon-S3-Speicherort von Tabellen. Um CTAS-Abfragen für bei Lake Formation registrierte Daten auszuführen, müssen Athena-Benutzer zusätzlich zu den entsprechenden Lake-Formation-Berechtigungen zum Lesen der Datenstandorte über IAM-Berechtigungen zum Schreiben in die Tabelle von Amazon-S3-Standorten verfügen. Weitere Informationen finden Sie unter Erstellen einer Tabelle aus Abfrageergebnissen (CTAS).

Berechtigungen für verschlüsselte Daten, Metadaten und Athena-Abfrageergebnisse

Zugrunde liegende Quelldaten in Amazon S3 und Metadaten im Datenkatalog, der bei Lake Formation registriert ist, können verschlüsselt werden. Es gibt keine Änderung an der Art und Weise, wie die Verschlüsselung von Abfrageergebnissen von Athena verarbeitet wird, wenn Athena zum Abfragen von Daten verwendet wird, die in Lake Formation registriert sind. Weitere Informationen finden Sie unter Verschlüsseln der in Amazon S3 gespeicherten Athena-Abfrageergebnisse.

• Verschlüsseln von Quelldaten – Die Verschlüsselung von Amazon-S3-Datenspeicherorten-Quelldaten wird unterstützt. Athena-Benutzer, die verschlüsselte Amazon-S3-Standorte abfragen, die bei Lake Formation registriert sind, benötigen Berechtigungen zum Verschlüsseln und Entschlüsseln von Daten. Weitere Informationen zu Anforderungen finden Sie unter Unterstützte Verschlüsselungsoptionen der Amazon S3 und Berechtigungen für verschlüsselte Daten in Amazon S3.

• Verschlüsseln von Metadaten – Das Verschlüsseln von Metadaten im Datenkatalog wird unterstützt. Für Prinzipale, die Athena verwenden, müssen identitätsbasierte Richtlinien die Aktionen "kms:GenerateDataKey", "kms:Decrypt" und "kms:Encrypt" für den Schlüssel zulassen, mit dem Metadaten verschlüsselt werden. Weitere Informationen finden Sie unter Verschlüsseln Ihres Datenkatalogs im Entwicklerhandbuch für AWS Glue und Zugriff von Athena auf verschlüsselte Metadaten im AWS Glue Data Catalog.

Ressourcenbasierte Berechtigungen für Amazon-S3-Buckets in externen Konten (optional)

Um einen Amazon-S3-Datenspeicherort in einem anderen Konto abzufragen, muss eine ressourcenbasierte IAM-Richtlinie (Bucket-Richtlinie) den Zugriff auf den Speicherort ermöglichen. Weitere Informationen finden Sie unter Kontoübergreifender Zugriff auf Amazon-S3-Buckets in Athena.

Informationen zum Zugriff auf einen Datenkatalog in einem anderen Konto finden Sie unter Kontoübergreifender Athena-Datenkatalog-Zugriff.