Verwalten von Arbeitsgruppen - Amazon Athena
Erstellen von ArbeitsgruppenBearbeiten von ArbeitsgruppenAnzeigen der Arbeitsgruppen-DetailsLöschen von ArbeitsgruppenSo wechseln Sie ArbeitsgruppenKopieren einer gespeicherte Abfrage zwischen ArbeitsgruppenAktivieren und Deaktivieren von ArbeitsgruppenAngeben einer Arbeitsgruppe, in der Abfragen ausgeführt werden sollenKonfiguration der Mindestverschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten von Arbeitsgruppen

In https://console.aws.amazon.com/athena/ können Sie die folgenden Aufgaben ausführen:

Statement Beschreibung
Erstellen von Arbeitsgruppen

Erstellen einer neuen Arbeitsgruppe.
Bearbeiten von Arbeitsgruppen Bearbeiten einer Arbeitsgruppe und Ändern ihrer Einstellungen. Sie können den Namen einer Arbeitsgruppe nicht ändern, aber eine neue Arbeitsgruppe mit denselben Einstellungen und einem anderen Namen erstellen.
Anzeigen der Arbeitsgruppen-Details Rufen Sie die Details der Arbeitsgruppe auf, z. B. Name, Beschreibung, Limits für die Datennutzung, Speicherort von Abfrageergebnissen, erwarteter Abfrageergebnis-Bucket-Eigentümer, Verschlüsselung und Steuerung von Objekten, die in den Abfrageergebnis-Bucket geschrieben werden. Sie können auch überprüfen, ob diese Arbeitsgruppe ihre Einstellungen erzwingt, wenn Override client-side settings (Clientseitige Einstellungen überschreiben) markiert ist.
Löschen von Arbeitsgruppen

Löschen von Arbeitsgruppen. Wenn Sie eine Arbeitsgruppe löschen, werden der Abfrageverlauf, die gespeicherten Abfragen, die Einstellungen der Arbeitsgruppe und die Limits zur Kontrolle der Datennutzung ebenfalls gelöscht. Die arbeitsgruppenweiten Steuerelemente für das Datenlimit bleiben erhalten, und Sie können sie einzeln löschen. CloudWatch

Die primäre Arbeitsgruppe kann nicht gelöscht werden.
So wechseln Sie Arbeitsgruppen

Wechseln zwischen Arbeitsgruppen, auf die Sie Zugriff haben.

Kopieren einer gespeicherte Abfrage zwischen Arbeitsgruppen Kopieren Sie eine gespeicherte Abfrage zwischen Arbeitsgruppen. Sie können dies beispielsweise tun, wenn Sie eine Abfrage in einer Vorschauarbeitsgruppe erstellt haben und sie in einer Arbeitsgruppe ohne Vorschauansicht verfügbar machen möchten.
Aktivieren und Deaktivieren von Arbeitsgruppen

Aktivieren oder Deaktivieren einer Arbeitsgruppe. Wenn eine Arbeitsgruppe deaktiviert wird, können ihre Benutzer keine Abfragen ausführen oder neue benannte Abfragen erstellen. Wenn Sie auf sie zugreifen können, können Sie weiter Metriken, Limits zur Kontrolle der Datennutzung, Arbeitsgruppeneinstellungen, den Abfrageverlauf und gespeicherte Abfragen anzeigen.
Angeben einer Arbeitsgruppe, in der Abfragen ausgeführt werden sollen

Bevor Sie Abfragen ausführen können, müssen Sie Athena angeben, welche Arbeitsgruppe verwendet werden soll. Sie müssen über Berechtigungen für die Arbeitsgruppe verfügen.

Erstellen einer Athena-Arbeitsgruppe, die die IAM-Identity-Center-Authentifizierung verwendet Um IAM-Identity-Center-Identitäten mit Athena verwenden zu können, müssen Sie eine für IAM Identity Center aktivierte Arbeitsgruppe erstellen. Nachdem Sie die Arbeitsgruppe erstellt haben, können Sie die IAM-Identity-Center-Konsole oder -API verwenden, um der Arbeitsgruppe IAM-Identity-Center-Benutzer oder -Gruppen zuzuweisen.

Erstellen von Arbeitsgruppen

Das Erstellen einer Arbeitsgruppe erfordert Berechtigungen für CreateWorkgroup-API-Aktionen. Siehe Zugriff auf Arbeitsgruppen und Tags und IAM-Richtlinien für den Zugriff auf Arbeitsgruppen. Wenn Sie Tags hinzufügen, müssen Sie auch Berechtigungen für TagResource hinzufügen. Siehe Tag-Richtlinienbeispiele für Arbeitsgruppen.

So erstellen Sie eine Arbeitsgruppe in der Konsole

  1. Wenn der Navigationsbereich in der Konsole nicht sichtbar ist, wählen Sie das Erweiterungsmenü auf der linken Seite.

    Wählen Sie das Erweiterungsmenü aus.

  2. Wählen Sie im Navigationsbereich der Athena-Konsole Workgroups (Arbeitsgruppen) aus.

  3. Wählen Sie auf der Seite Workgroups (Arbeitsgruppen) die Option Create workgroup (Arbeitsgruppe erstellen) aus.

  4. Füllen Sie auf der Seite Create workgroup (Arbeitsgruppe erstellen) die Felder wie folgt aus:

    Feld Beschreibung
    Workgroup name (Name der Arbeitsgruppe) Erforderlich Geben Sie einen eindeutigen Namen für Ihre Arbeitsgruppe ein. Verwenden Sie zwischen 1 und 128 Zeichen. (A – Z, a – z, 0 – 9, _, -, .). Dieser Name kann nicht geändert werden.
    Beschreibung Optional. Geben Sie eine Beschreibung für Ihre Arbeitsgruppe ein. Sie kann bis zu 1024 Zeichen enthalten.
    Choose the type of engine (Engine-Typ auswählen)

    Wählen Sie Athena SQL, wenn Sie Ad-hoc-SQL-Abfragen für Daten in Amazon S3 ausführen möchten, oder verwenden Sie einen vorgefertigten Datenquellen-Konnektor, um Verbundabfragen für eine Vielzahl von Datenquellen außerhalb von Amazon S3 auszuführen. Sie können Abfragen mit dem Athena-Abfrageeditor, AWS CLI oder mit Athena-APIs ausführen.

    Benutzen Sie Apache Spark, wenn Sie Jupyter-Notebook-Anwendungen mit Python und Apache Spark erstellen, bearbeiten und ausführen möchten. Jupyter Notebooks enthalten eine Liste von Zellen, die Code, Text, Markdown, Mathematik, Darstellungen und Multimedia enthalten können. In einer interaktiven Notebook-Sitzung in Athena werden die Zellen der Reihe nach als Berechnungen ausgeführt. Informationen zum Erstellen und Konfigurieren einer Spark-fähigen Arbeitsgruppe finden Sie unter Erstellen einer Spark-fähigen Arbeitsgruppe in Athena.

    Nachdem Sie eine Arbeitsgruppe erstellt haben, kann deren Analyse-Engine aktualisiert werden (z. B. von Athena-Engine-Version 2 auf Athena-Engine-Version 3). Der Engine-Typ kann jedoch nicht geändert werden. Beispielsweise kann eine Arbeitsgruppe der Athena Engine Version 3 nicht in eine Arbeitsgruppe der PySpark Engine Version 3 geändert werden.
    Abfrage-Engine aktualisieren Wählen Sie aus, wie Sie Ihre Arbeitsgruppe aktualisieren möchten, wenn eine neue Athena-Engine-Version veröffentlicht wird. Sie können Athena entscheiden lassen, wann Sie Ihre Arbeitsgruppe aktualisieren oder manuell eine Engine-Version auswählen. Weitere Informationen finden Sie unter Athena-Engine-Versionierung.
    Authentifizierungsmodus Wählen Sie AWS Identity and Access Management -(IAM), um die IAM-Authentifizierung oder den Verbund für die Arbeitsgruppe zu verwenden. Wählen Sie IAM Identity Center, wenn Sie Workforce-Identitäten wie Benutzer und Gruppen von SAML-2.0-Identitätsanbietern wie Microsoft Active Directory unterstützen möchten. Weitere Informationen finden Sie unter Vertrauenswürdige Identitätsweitergabe über Anwendungen hinweg im AWS IAM Identity Center -Benutzerhandbuch.
    Servicerolle für den Zugriff auf das IAM Identity Center Athena benötigt IAM-Berechtigungen, um in Ihrem Namen auf IAM Identity Center zugreifen zu können. Weitere Informationen zu IAM-Servicerollen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS -Service im IAM-Benutzerhandbuch.
    Speicherort des Abfrageergebnisses

    Optional. Geben Sie einen Pfad zu einem Amazon-S3-Bucket oder -Präfix ein. Dieser Bucket und dieses Präfix müssen bereits vorhanden sein, bevor Sie sie angeben können.

    Anmerkung

    Wenn Sie Abfragen in der Konsole ausführen, ist die Angabe des Speicherorts von Abfrageergebnissen optional. Wenn Sie ihn für die Arbeitsgruppe oder in Settings (Einstellungen) nicht angeben, verwendet Athena den Standardspeicherort für Abfrageergebnisse. Wenn Sie Abfragen mit der API oder den Treibern ausführen, müssen Sie den Speicherort der Abfrageergebnisse an mindestens einer der beiden Stellen angeben: für einzelne Abfragen mit OutputLocationoder für die Arbeitsgruppe mit. WorkGroupConfiguration

    Erwarteter Bucket-Eigentümer Optional. Geben Sie die ID des Buckets ein, von dem Sie erwarten AWS-Konto , dass es der Besitzer des Buckets für den Ausgabespeicherort sein wird. Dies ist eine zusätzliche Sicherheitsmaßnahme. Wenn die Konto-ID des Bucket-Eigentümers nicht mit der ID übereinstimmt, die Sie hier angeben, schlagen Versuche, in den Bucket auszugeben, fehl. Ausführliche Informationen finden Sie unter Überprüfen der Bucket-Eigentümerschaft mit Bucket-Eigentümer-Bedingung im Amazon-S3-Benutzerhandbuch.
    Anmerkung

    Die erwartete Bucket-Eigentümereinstellung gilt nur für den Amazon-S3-Ausgabespeicherort, den Sie für Athena-Abfrageergebnisse angeben. Sie gilt nicht für andere Amazon-S3-Speicherorte wie Datenquellenspeicherorte in externen Amazon-S3-Buckets, CTAS- und INSERT INTO-Speicherorte der Zieltabelle, UNLOAD-Speicherorte der Anweisungsangaben, Vorgänge zum Verschütten von Buckets für Verbundabfragen oder SELECT-Abfragen, die für eine Tabelle in einem anderen Konto ausgeführt werden.
    Assign bucket owner full control over query results (Bucket-Eigentümer die volle Kontrolle über Abfrageergebnisse zuweisen)

    Diese Funktion ist standardmäßig nicht ausgewählt. Wenn Sie sie auswählen und für den Speicherort des Abfrageergebnis-Bucket ACLs aktiviert sind, gewähren Sie dem Bucket-Eigentümer die volle Kontrolle über Abfrageergebnisse. Wenn der Standort Ihres Abfrageergebnisses beispielsweise einem anderen Konto gehört, können Sie diese Option nutzen, um dem anderen Konto das Eigentum und die volle Kontrolle über Ihre Abfrageergebnisse zu gewähren.

    Wenn die Einstellung zur S3-Objekteigentümerschaft des Bucket Bucket owner preferred (Bucket-Eigentümer bevorzugt) lautet, besitzt der Bucket-Eigentümer auch alle Abfrageergebnisobjekte, die aus dieser Arbeitsgruppe geschrieben wurden. Wenn beispielsweise die Arbeitsgruppe eines externen Kontos diese Option aktiviert und den Speicherort des Abfrageergebnisses auf den Amazon-S3-Bucket Ihres Kontos festlegt, der eine Einstellung zur S3-Objekteigentümerschaft von Bucket owner preferred (Bucket-Eigentümer bevorzugt) hat, sind Sie Eigetümer der Abfrageergebnisse der externen Arbeitsgruppe und haben die volle Kontrolle über sie.

    Wenn Sie diese Option auswählen, wenn die Einstellung zur S3-Objekteigentümerschaft des Bucket Bucket owner enforced (Bucket-Eigentümer durchgesetzt) ist, hat dies keine Auswirkungen. Weitere Informationen finden Sie unter Einstellungen zur Objekteigentümerschaft im Amazon-S3-Benutzerhandbuch.
    Encrypt query results (Abfrageergebnisse verschlüsseln)

    Optional. Verschlüsseln der in Amazon S3 gespeicherten Ergebnisse. Bei Auswahl werden alle Abfragen in der Arbeitsgruppe verschlüsselt.

    Bei Auswahl dieser Option können Sie den Encryption type (Verschlüsselungstyp) und den Encryption key (Verschlüsselungsschlüssel) auswählen und den KMS Key ARN (KMS-Schlüssel-ARN) eingeben.

    Wenn Sie keinen Schlüssel besitzen, öffnen Sie die AWS KMS -Konsole, um einen Schlüssel zu erstellen. Weitere Informationen finden Sie unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch.
    Stellen Sie encryption_type als Mindestverschlüsselung ein

    Optional. Wählen Sie diese Option, um einen Mindestverschlüsselungstyp für Abfrageergebnisse für alle Benutzer der Arbeitsgruppe zu erzwingen. Wenn Sie diese Option auswählen, wird eine Tabelle mit der Hierarchie der Verschlüsselungstypen angezeigt. Die Tabelle zeigt Ihnen auch, welche Verschlüsselungstypen Arbeitsgruppenbenutzer verwenden dürfen, wenn Sie einen bestimmten Verschlüsselungstyp als Minimum angeben. Um diese Option verwenden zu können, darf die Option Clientseitige Einstellungen überschreiben nicht aktiviert sein.

    Weitere Informationen finden Sie unter Konfiguration der Mindestverschlüsselung für eine Arbeitsgruppe.
    Aktivieren von S3-Zugriffsberechtigungen Dieses Feld ist standardmäßig ausgewählt, wenn Sie IAM Identity Center als Authentifizierungsmodus wählen. Wenn diese Option ausgewählt ist, wendet sie benutzer- oder gruppenbasierte IAM-Identity-Center-Berechtigungen auf Amazon-S3-Standorte an.
    Erstellen eines auf Benutzeridentitäten basierenden S3-Präfixes Wenn diese Option ausgewählt ist, erstellt Athena beim Speichern von Abfrageergebnissen ein Amazon-S3-Präfix. Das Präfix basiert auf der Benutzeridentität des IAM Identity Center des Benutzers.
    Veröffentlichen Sie Abfragekennzahlen in CloudWatch Dieses Feld ist standardmäßig ausgewählt. Veröffentlichen von Abfragemetriken zu CloudWatch. Siehe Überwachung von Athena-Abfragen mit Metriken CloudWatch .
    Override client-side settings (Clientseitige Einstellungen überschreiben) Diese Funktion ist standardmäßig nicht ausgewählt. Bei Auswahl werden die Arbeitsgruppeneinstellungen für alle Abfragen in der Arbeitsgruppe übernommen und die clientseitigen Einstellungen überschrieben. Weitere Informationen finden Sie unter Arbeitsgruppen-Einstellungen überschreiben clientseitige Einstellungen.
    S3-Buckets mit Zahlung durch den Anforderer

    Optional. Wählen Sie Turn on queries on requester pays buckets in Amazon S3 (Abfragen zu Buckets mit Zahlung durch den Anforderer in Amazon S3 aktivieren), wenn Arbeitsgruppenbenutzer Abfragen zu Daten ausführen, die in Amazon S3-Buckets gespeichert sind, die als Zahlung durch den Anforderer konfiguriert sind. Dem Konto des Benutzers, der die Abfrage ausführt, werden die entsprechenden Datenzugriffs- und Datenübertragungsgebühren in Rechnung gestellt, die mit der Abfrage verbunden sind. Weitere Informationen finden Sie unter Buckets mit Zahlung durch den Anforderer im Benutzerhandbuch zu Amazon Simple Storage Service.
    Manage per query data usage control (Datennutzungskontrolle pro Abfrage verwalten) Optional. Legt das Limit für die maximale Datenmenge fest, die eine Abfrage scannen darf. Sie können nur ein Limit pro Abfrage für eine Arbeitsgruppe festlegen. Das Limit gilt für alle Abfragen in der Arbeitsgruppe und wenn die Abfrage das Limit überschreitet, wird sie abgebrochen. Weitere Informationen finden Sie unter Festlegen von Limits zur Kontrolle der Datennutzung.
    Workgroup data usage alerts (Warnungen zur Datennutzung von Arbeitsgruppen) Optional. Legen Sie mehrere Warnungsschwellenwerte fest, wenn Abfragen, die in dieser Arbeitsgruppe ausgeführt werden, eine bestimmte Datenmenge innerhalb eines bestimmten Zeitraums scannen. Benachrichtigungen werden mithilfe von CloudWatch Amazon-Alarmen implementiert und gelten für alle Abfragen in der Arbeitsgruppe. Weitere Informationen finden Sie unter Verwenden von CloudWatch Amazon-Alarmen im CloudWatch Amazon-Benutzerhandbuch.
    Tags Optional. Hinzufügen von einem oder mehreren Tags zu einer Arbeitsgruppe. Ein Tag ist eine Markierung, die Sie einer Athena-Arbeitsgruppenressource zuordnen. Sie besteht aus einem Schlüssel und einem Wert. Verwenden Sie bewährte Methoden für das AWS Tagging, um einen konsistenten Satz von Tags zu erstellen und Arbeitsgruppen nach Zweck, Eigentümer oder Umgebung zu kategorisieren. Sie können Tags auch in IAM-Richtlinien und zur Kontrolle von Abrechnungskosten verwenden. Verwenden Sie keine doppelten Tag-Schlüssel in derselben Arbeitsgruppe. Weitere Informationen finden Sie unter Markieren von Athena-Ressourcen.

  5. Wählen Sie Create workgroup (Arbeitsgruppe erstellen) aus. Die Arbeitsgruppe wird in der Liste auf der Seite Workgroups (Arbeitsgruppen) angezeigt.

Sie können den CreateWorkGroupAPI-Vorgang auch verwenden, um eine Arbeitsgruppe zu erstellen.

Wichtig

Nachdem Sie Arbeitsgruppen erstellt haben, erstellen Sie IAM-Richtlinien für den Zugriff auf Arbeitsgruppen-IAM, mit dem Sie arbeitsgruppenbezogene Aktionen ausführen können.

Bearbeiten von Arbeitsgruppen

Das Bearbeiten einer Arbeitsgruppe erfordert Berechtigungen für UpdateWorkgroup-API-Vorgänge. Siehe Zugriff auf Arbeitsgruppen und Tags und IAM-Richtlinien für den Zugriff auf Arbeitsgruppen. Wenn Sie Tags hinzufügen oder bearbeiten, müssen Sie auch Berechtigungen für TagResource besitzen. Siehe Tag-Richtlinienbeispiele für Arbeitsgruppen.

So bearbeiten Sie eine Arbeitsgruppe in der Konsole

  1. Wählen Sie im Navigationsbereich der Athena-Konsole Workgroups (Arbeitsgruppen) aus.

  2. Klicken Sie auf der Seite Workgroups (Arbeitsgruppen) auf die Schaltfläche für die Arbeitsgruppe, die Sie bearbeiten möchten.

  3. Wählen Sie Actions (Aktionen) und Edit (Bearbeiten).

  4. Ändern Sie die Felder wie gewünscht. Die Liste der Felder finden Sie unter Create workgroup (Arbeitsgruppe erstellen). Sie können alle Felder mit Ausnahme des Namens der Arbeitsgruppe ändern. Wenn Sie den Namen ändern müssen, erstellen Sie eine andere Arbeitsgruppe mit dem neuen Namen und denselben Einstellungen.

  5. Wählen Sie Save Changes (Änderungen speichern). Die aktualisierte Arbeitsgruppe wird in der Liste auf der Seite Workgroups (Arbeitsgruppen) angezeigt.

Anzeigen der Arbeitsgruppen-Details

Sie können die Details jeder Arbeitsgruppe anzeigen. Die Details umfassen den Namen der Arbeitsgruppe, die Beschreibung der Arbeitsgruppe, die Angabe, ob sie aktiviert oder deaktiviert ist, sowie die für in der Arbeitsgruppe ausgeführte Abfragen verwendeten Einstellungen. Zu diesen gehören der Speicherort der Abfrageergebnisse, der erwartete Bucket-Eigentümer, die Verschlüsselung und die Steuerung von Objekten, die in den Abfrageergebnis-Bucket geschrieben werden. Wenn es für eine Arbeitsgruppe Limits für die Datennutzung gibt, werden diese ebenfalls angezeigt.

So zeigen Sie die Arbeitsgruppendetails an

  1. Wählen Sie im Navigationsbereich der Athena-Konsole Workgroups (Arbeitsgruppen) aus.

  2. Wählen Sie auf der Seite der Workgroups (Arbeitsgruppen) den Link der Arbeitsgruppe aus, die Sie anzeigen möchten. Die Seite Overview Details (Übersicht über Details) für die Arbeitsgruppe wird angezeigt.

Löschen von Arbeitsgruppen

Sie können eine Arbeitsgruppe löschen, wenn Sie die entsprechende Berechtigung besitzen. Die primäre Arbeitsgruppe kann nicht gelöscht werden.

Wenn Sie die Berechtigungen besitzen, können Sie eine leere Arbeitsgruppe jederzeit löschen. Sie können auch eine Arbeitsgruppe löschen, die gespeicherte Abfragen enthält. In diesem Fall werden Sie vor dem Löschen der Arbeitsgruppe von Athena gewarnt, dass gespeicherte Abfragen gelöscht werden.

Wenn Sie eine Arbeitsgruppe löschen, während Sie sich in der Arbeitsgruppe befinden, wechselt die Konsole zur primären Arbeitsgruppe. Wenn Sie auf diese zugreifen können, können Sie Abfragen ausführen und ihre Einstellungen anzeigen.

Wenn Sie eine Arbeitsgruppe löschen, werden ihre Einstellungen und die Limits zur Kontrolle der Datennutzung pro Abfrage gelöscht. Die arbeitsgruppenweiten Steuerelemente für das Datenlimit bleiben erhalten CloudWatch, und Sie können sie dort bei Bedarf löschen.

Wichtig

Stellen Sie vor dem Löschen einer Arbeitsgruppe sicher, dass ihre Benutzer auch zu anderen Arbeitsgruppen gehören, in denen sie weiter Abfragen ausführen können. Wenn die IAM-Richtlinien der Benutzer diese ausschließlich zur Ausführung von Abfragen in dieser Arbeitsgruppe berechtigt haben und Sie diese Arbeitsgruppe löschen, sind sie nicht mehr zum Ausführen von Abfragen berechtigt. Weitere Informationen finden Sie unter Example policy for running queries in the primary workgroup.

So löschen Sie eine Arbeitsgruppe in der Konsole

  1. Wählen Sie im Navigationsbereich der Athena-Konsole Workgroups (Arbeitsgruppen) aus.

  2. Klicken Sie auf der Seite Workgroups (Arbeitsgruppen) auf die Schaltfläche für die Arbeitsgruppe, die Sie löschen möchten.

  3. Wählen Sie Actions (Aktionen), Delete (Löschen) aus.

  4. Geben Sie an der Bestätigungsaufforderung Delete workgroup (Arbeitsgruppe löschen) den Namen der Arbeitsgruppe ein und wählen Sie dann Delete (Löschen) aus.

Um eine Arbeitsgruppe mit dem API-Vorgang zu löschen, verwenden Sie die Aktion DeleteWorkGroup.

So wechseln Sie Arbeitsgruppen

Sie können von einer Arbeitsgruppe zu einer anderen wechseln, wenn Sie für beide Arbeitsgruppen Berechtigungen besitzen.

Sie können innerhalb jeder Arbeitsgruppe bis zu zehn Abfrageregisterkarten öffnen. Wenn Sie zwischen Arbeitsgruppen wechseln, bleiben Ihre Abfrageregisterkarten für bis zu drei Arbeitsgruppen geöffnet.

So wechseln Sie Arbeitsgruppen

  1. Verwenden Sie in der Athena-Konsole die Option Arbeitsgruppe rechts oben, um eine Arbeitsgruppe auszuwählen.

  2. Wenn das Dialogfeld Einstellungen für Arbeitsgruppennamen für Arbeitsgruppe angezeigt wird, wählen Sie Bestätigen.

Die Option Arbeitsgruppe zeigt den Namen der Arbeitsgruppe an, zu der Sie gewechselt haben. Sie können nun Abfragen in dieser Arbeitsgruppe ausführen.

Kopieren einer gespeicherte Abfrage zwischen Arbeitsgruppen

Derzeit verfügt die Athena-Konsole nicht über die Möglichkeit, eine gespeicherte Abfrage direkt von einer Arbeitsgruppe in eine andere zu kopieren, aber Sie können dieselbe Aufgabe manuell ausführen, indem Sie das folgende Verfahren verwenden.

So kopieren Sie eine gespeicherte Abfrage zwischen Arbeitsgruppen

  1. Wählen Sie in der Athena-Konsole aus der Arbeitsgruppe, aus der Sie die Abfrage kopieren möchten, die Registerkarte Saved queries (Gespeicherte Abfragen) aus.

  2. Wählen Sie den Link der gespeicherten Abfrage aus, die Sie kopieren möchten. Athena öffnet die Abfrage im Abfrage-Editor.

  3. Wählen Sie im Abfrage-Editor den Abfragetext aus, und drücken Sie dann Ctrl+C, um ihn zu kopieren.

  4. Wechseln Sie zur Zielarbeitsgruppe oder Create workgroup (Arbeitsgruppe erstellen) und wechseln Sie dann zu dieser.

  5. Öffnen Sie eine neue Registerkarte im Abfrage-Editor und drücken Sie Ctrl+V, um den Text in die neue Registerkarte einzufügen.

  6. Wählen Sie im Abfrage-Editor Save as (Speichern unter) aus, um die Abfrage in der Zielarbeitsgruppe zu speichern.

  7. Geben Sie im Dialogfeld Namen auswählen einen Namen für die Abfrage und eine optionale Beschreibung ein.

  8. Wählen Sie Save (Speichern) aus.

Aktivieren und Deaktivieren von Arbeitsgruppen

Wenn Sie über die entsprechenden Berechtigungen verfügen, können Sie in der Konsole mittels der API-Vorgänge oder JDBC- oder ODBC-Treiber Arbeitsgruppen aktivieren oder deaktivieren.

So aktivieren oder deaktivieren Sie eine Arbeitsgruppe

  1. Wählen Sie im Navigationsbereich der Athena-Konsole Workgroups (Arbeitsgruppen) aus.

  2. Wählen Sie auf der Seite Workgroups (Arbeitsgruppen) den Link für die Arbeitsgruppe aus.

  3. Wählen Sie rechts oben Aktivieren von Arbeitsgruppe oder Deaktivieren von Arbeitsgruppe aus.

  4. Wählen Sie an der Bestätigungsaufforderung Aktivieren oder Deaktivieren von aus. Wenn Sie eine Arbeitsgruppe deaktivieren, können ihre Benutzer keine Abfragen in ihr ausführen oder neue benannte Abfragen erstellen. Wenn Sie eine Arbeitsgruppe aktivieren, können Benutzer sie zum Ausführen von Abfragen verwenden.

Angeben einer Arbeitsgruppe, in der Abfragen ausgeführt werden sollen

Um eine Arbeitsgruppe anzugeben, die verwendet werden soll, müssen Sie über Berechtigungen für die Arbeitsgruppe verfügen.

So geben Sie die zu verwendende Arbeitsgruppe an

  1. Stellen Sie sicher, dass Ihre Berechtigungen Ihnen das Ausführen von Abfragen in der Arbeitsgruppe ermöglichen, die Sie verwenden möchten. Weitere Informationen finden Sie unter IAM-Richtlinien für den Zugriff auf Arbeitsgruppen.

  2. Verwenden Sie eine der folgenden Optionen, um die Arbeitsgruppe anzugeben:

    • Wenn Sie die Athena-Konsole verwenden, legen Sie die Arbeitsgruppe über Wechseln zwischen Arbeitsgruppen fest.

    • Wenn Sie die Athena-API-Vorgänge verwenden, geben Sie den Arbeitsgruppennamen in der API-Aktion an. Sie können den Arbeitsgruppennamen beispielsweise wie folgt festlegen: StartQueryExecution 

      StartQueryExecutionRequest startQueryExecutionRequest = new StartQueryExecutionRequest()
              .withQueryString(ExampleConstants.ATHENA_SAMPLE_QUERY)
              .withQueryExecutionContext(queryExecutionContext)
              .withWorkGroup(WorkgroupName)

    • Wenn Sie den JDBC- oder ODBC-Treiber verwenden, legen Sie den Arbeitsgruppennamen mithilfe des Workgroup-Konfigurationsparameters in der Verbindungszeichenfolge fest. Der Treiber übergibt den Namen der Arbeitsgruppe an Athena. Sie geben die Arbeitsgruppenparameter in der Verbindungszeichenfolge wie im folgenden Beispiel gezeigt an: 

      jdbc:awsathena://AwsRegion=<AWSREGION>;UID=<ACCESSKEY>;
PWD=<SECRETKEY>;S3OutputLocation=s3://DOC-EXAMPLE-BUCKET/<athena-output>-<AWSREGION>/;
Workgroup=<WORKGROUPNAME>;

Konfiguration der Mindestverschlüsselung für eine Arbeitsgruppe

Als Administrator einer Athena-SQL-Arbeitsgruppe können Sie eine minimale Verschlüsselungsstufe in Amazon S3 für alle Abfrageergebnisse der Arbeitsgruppe erzwingen. Sie können dieses Feature verwenden, um sicherzustellen, dass Abfrageergebnisse niemals unverschlüsselt in einem Amazon-S3-Bucket gespeichert werden.

Wenn Benutzer in einer Arbeitsgruppe mit aktivierter Mindestverschlüsselung eine Abfrage einreichen, können sie die Verschlüsselung nur auf die von Ihnen konfigurierte Mindeststufe oder auf eine höhere Stufe einstellen, falls eine verfügbar ist. Athena verschlüsselt Abfrageergebnisse entweder auf der Ebene, die angegeben wurde, wenn der Benutzer die Abfrage ausführt, oder auf der Ebene, die in der Arbeitsgruppe festgelegt wurde.

Die folgenden Stufen sind verfügbar:

  • Basis – Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3)

  • Mittelstufe – Serverseitige Verschlüsselung mit KMS-verwalteten Schlüsseln (SSE-KMS).

  • Erweitert – Clientseitige Verschlüsselung mit von KMS verwalteten Schlüsseln (CSE-KMS).

Überlegungen und Einschränkungen

  • Das Mindestverschlüsselungs-Feature ist für Apache-Spark-fähige Arbeitsgruppen nicht verfügbar.

  • Das Mindestverschlüsselungs-Feature funktioniert nur, wenn die Arbeitsgruppe die Option Clientseitige Einstellungen überschreiben nicht aktiviert.

  • Wenn für die Arbeitsgruppe die Option Clientseitige Einstellungen überschreiben aktiviert ist, hat die Einstellung für die Arbeitsgruppenverschlüsselung Vorrang, und die Einstellung für die Mindestverschlüsselung hat keine Auswirkung.

  • Die Aktivierung dieses Features ist kostenlos.

Aktivierung der Mindestverschlüsselung für eine Arbeitsgruppe

Sie können eine Mindestverschlüsselungsstufe für die Abfrageergebnisse Ihrer Athena-SQL-Arbeitsgruppe aktivieren, wenn Sie die Arbeitsgruppe erstellen oder aktualisieren. Dazu können Sie die Athena-Konsole, die Athena-API oder verwenden. AWS CLI

Verwendung der Athena-Konsole zur Aktivierung der Mindestverschlüsselung

Informationen zum Erstellen oder Bearbeiten Ihrer Arbeitsgruppe mit der Athena-Konsole finden Sie unter Eine Arbeitsgruppe erstellen oder Eine Arbeitsgruppe bearbeiten. Gehen Sie bei der Konfiguration Ihrer Arbeitsgruppe wie folgt vor, um die Mindestverschlüsselung zu aktivieren.

So konfigurieren Sie die Mindestverschlüsselungsstufe für Arbeitsgruppenabfrageergebnisse

  1. Erweitern Sie im Abschnitt Zusätzliche Konfigurationen die Option Einstellungen.

  2. Deaktivieren Sie die Option Clientseitige Einstellungen überschreiben, oder stellen Sie sicher, dass sie nicht ausgewählt ist.

  3. Erweitern Sie im Abschnitt Zusätzliche Konfigurationen die Option Konfiguration der Abfrageergebnisse.

  4. Wählen Sie die Option Abfrageergebnisse verschlüsseln aus.

  5. Wählen Sie unter Verschlüsselungstyp die Verschlüsselungsmethode aus, die Athena für die Abfrageergebnisse Ihrer Arbeitsgruppe verwenden soll (SSE_S3, SSE_KMS oder CSE_KMS). Diese Verschlüsselungstypen entsprechen den Sicherheitsstufen „Basis“, „Mittelstufe“ und „Erweitert“.

  6. Um die Verschlüsselungsmethode durchzusetzen, die Sie als Mindestverschlüsselungsstufe für alle Benutzer ausgewählt haben, wählen Sie encryption_method als Mindestverschlüsselung aus.

    Wenn Sie diese Option auswählen, werden in einer Tabelle die Verschlüsselungshierarchie und die Verschlüsselungsstufen aufgeführt, die Benutzern gewährt werden, wenn der von Ihnen gewählte Verschlüsselungstyp zum Mindestverschlüsselungstyp wird.

  7. Nachdem Sie Ihre Arbeitsgruppe erstellt oder Ihre Arbeitsgruppenkonfiguration aktualisiert haben, wählen Sie Arbeitsgruppe erstellen oder Änderungen speichern.

Verwenden der Athena-API oder AWS CLI zur Aktivierung der Mindestverschlüsselung

Wenn Sie die UpdateWorkGroupAPI CreateWorkGroupoder verwenden, um eine Athena SQL-Arbeitsgruppe zu erstellen oder EnforceWorkGroupConfigurationzu aktualisieren, setzen Sie sie auffalse, EnableMinimumEncryptionConfigurationauf und verwenden Sie dietrue, EncryptionOptionum den Verschlüsselungstyp anzugeben.

Verwenden Sie in der AWS CLI den update-work-groupBefehl create-work-groupor mit den --configuration-updates Parametern --configuration or und geben Sie die Optionen an, die denen für die API entsprechen.