Creación de un grupo de trabajo - Amazon Athena

Creación de un grupo de trabajo

Para crear un grupo de trabajo se necesitan permisos para las acciones de la API CreateWorkgroup. Consulte Configuración del acceso a grupos de trabajo y etiquetas y Uso de políticas de IAM para el control del acceso al grupo de trabajo. Si está añadiendo etiquetas, también tiene que añadir permisos a TagResource. Consulte Ejemplos de política de etiquetas para grupos de trabajo.

En el siguiente procedimiento, se muestra cómo utilizar la consola de Athena para crear un grupo de trabajo. Para crear un grupo de trabajo con la API de Athena, consulte CreateWorkGroup.

Creación de un grupo de trabajo en la consola de Athena

  1. Decida qué grupos de trabajo va a crear. Algunos puntos a considerar:

    • Quién puede ejecutar consultas en cada grupo de trabajo y quién es el propietario de la configuración del grupo de trabajo. Utilice políticas de IAM para hacer cumplir los permisos del grupo de trabajo. Para obtener más información, consulte Uso de políticas de IAM para el control del acceso al grupo de trabajo.

    • La ubicación en Amazon S3 que se utilizará para los resultados de las consultas del grupo de trabajo. Todos los usuarios del grupo de trabajo deben tener acceso a esta ubicación.

    • Si es necesario que los resultados de las consultas del grupo de trabajo se encuentren cifrados. Dado que el cifrado es por grupo de trabajo (no por consulta), se recomienda crear grupos de trabajo separados para los resultados de consultas cifrados y sin cifrar. Para obtener más información, consulte Cifrado de los resultados de las consultas de Athena en Amazon S3.

  2. Si el panel de navegación de la consola no está visible, elija el menú de expansión de la izquierda.

    Elija el menú de expansión.

  3. En el panel de navegación de la consola de Athena, elija Grupos de trabajo.

  4. En el panel Grupos de trabajo, elija Crear grupo de trabajo.

  5. En la página Crear grupo de trabajo, rellene los campos tal y como se indica a continuación:

    Campo Descripción
    Nombre del grupo de trabajo Obligatorio. Escriba un nombre único para el grupo de trabajo. El nombre puede contener entre 1 y 128 caracteres, incluidos caracteres alfanuméricos, guiones y guiones bajos. Después de crear un grupo de trabajo, no podrá cambiar el nombre.
    Descripción Opcional. Escriba una descripción para el grupo de trabajo. Puede contener un máximo de 1024 caracteres.
    Elección del tipo de motor

    Elija Athena SQL si desea ejecutar consultas SQL ad hoc sobre los datos de Amazon S3 o utilizar un conector de origen de datos compilado previamente para ejecutar consultas federadas en una variedad de orígenes de datos externos a Amazon S3. Puede ejecutar consultas mediante el editor de consultas de Athena, AWS CLI o las API de Athena.

    Elija Apache Spark si desea crear, editar y ejecutar aplicaciones del cuaderno de Jupyter con Python y Apache Spark. Los cuadernos de Jupyter contienen una lista de celdas que pueden incluir código, texto, Markdown, cálculos, gráficos y contenido multimedia enriquecido. Las celdas se ejecutan en orden como cálculos en una sesión de cuaderno interactiva en Athena. Para obtener información sobre cómo crear y configurar un grupo de trabajo habilitado para Spark, consulte Paso 1: crear un grupo de trabajo habilitado para Spark en Athena.

    Tras crear un grupo de trabajo, se puede actualizar su motor de análisis (por ejemplo, de la versión 2 del motor de Athena a la versión 3 del motor de Athena), pero no se puede cambiar su tipo de motor. Por ejemplo, un grupo de trabajo de la versión 3 del motor de Athena no se puede cambiar a un grupo de trabajo de la versión 3 del motor de PySpark.
    Actualizar el motor de consultas Elija cómo desea actualizar el grupo de trabajo cuando se publique una nueva versión del motor Athena. Puede dejar que Athena decida cuándo actualizar el grupo de trabajo o puede especificar manualmente una versión del motor. Para obtener más información, consulte Control de versiones del motor Athena.
    Autenticación Elija AWS Identity and Access Management (IAM) para utilizar la autenticación o la federación de IAM para el grupo de trabajo. Elija IAM Identity Center si desea admitir identidades de personal, como usuarios y grupos de proveedores de identidad de SAML 2.0, como Microsoft Active Directory. Para obtener más información, consulte Uso de grupos de trabajo de Athena habilitados para IAM Identity Center y Propagación de identidad de confianza en aplicaciones en la Guía del usuario de AWS IAM Identity Center. No se puede cambiar el tipo de autenticación del grupo de trabajo una vez que se haya creado.
    Rol de servicio para el acceso al IAM Identity Center Athena necesita permisos de IAM para acceder al IAM Identity Center en su nombre. Para obtener más información sobre los roles de servicio de IAM, consulte Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.
    Ubicación del resultado de las consultas

    (Opcional) Ingrese una ruta a un bucket de Amazon S3 o un prefijo. El bucket y el prefijo deben existir para poder especificarlos. Para obtener información sobre la creación de un bucket de Amazon S3, consulte Creación de un bucket.

    nota

    Si ejecuta consultas en la consola, especificar la ubicación de los resultados de la consulta es opcional. Si no lo especifica para el grupo de trabajo o en Configuración, Athena utiliza la ubicación predeterminada para los resultados de la consulta. Si ejecuta consulta con la API o los controladores, debe especificar la ubicación de los resultados de la consulta en al menos uno de los siguientes dos sitios: para consultas individuales con OutputLocation o para el grupo de trabajo con WorkGroupConfiguration.

    Propietario esperado del bucket Opcional. Ingrese el ID de la Cuenta de AWS que espera que sea el propietario del bucket de ubicación de salida. Se trata de una medida de seguridad añadida. Si el ID de cuenta del propietario del bucket no coincide con el ID que se especifique aquí, los intentos de generar el bucket fallarán. Para obtener información detallada, consulte Verificación de la propiedad del bucket con la condición de propietario del bucket en la Guía del usuario de Amazon S3.
    nota

    La configuración del propietario esperado del bucket se aplica solo a la ubicación de salida de Amazon S3 especificada para los resultados de las consultas de Athena. No se aplica a otras ubicaciones de Amazon S3, como las ubicaciones de origen de datos en buckets externos de Amazon S3, ubicaciones de tablas de destino de CTAS y INSERT INTO, ubicaciones de salida de instrucciones UNLOAD, operaciones para desbordar buckets para consultas federadas, o consultas SELECT ejecutadas en una tabla de otra cuenta.
    Asignar control total sobre los resultados de las consultas al propietario del bucket

    Este campo se deshabilita de forma predeterminada. Si lo selecciona y están habilitadas las ACL para el bucket de ubicación de resultados de las consultas, se concede un acceso de control total sobre los resultados de las consultas al propietario del bucket. Por ejemplo, si la ubicación del resultado de las consultas es propiedad de otra cuenta, puede utilizar esta opción para conceder la propiedad y el control total sobre los resultados de las consultas a la otra cuenta.

    Si la configuración de propiedad de objetos de S3 del bucket es Propietario del bucket preferido, el propietario del bucket también es propietario de todos los objetos de resultados de las consultas escritos desde este grupo de trabajo. Por ejemplo, si el grupo de trabajo de una cuenta externa habilita esta opción y establece la ubicación del resultado de la consulta en el bucket de Simple Storage Service (Amazon S3) de la cuenta que tiene Bucket owner preferred (Propietario del bucket preferido) como configuración de propiedad de objetos de S3, usted es propietario de los resultados de las consultas del grupo de trabajo externo y tiene control total sobre ellos.

    Seleccionar esta opción cuando la configuración de la propiedad de objetos S3 del bucket de resultados de las consultas es Propietario del bucket obligatorio no surte ningún efecto. Para obtener más información, consulte Configuración de la propiedad de objetos en la Guía del usuario de Amazon S3.
    Cifrar resultados de la consulta

    Opcional. Para todas las consultas de grupos de trabajo, cifre los resultados de la consulta en Amazon S3. Dado que debe cifrar todas las consultas en un grupo de trabajo o ninguna, recomendamos crear grupos de trabajo separados para consultas cifradas y sin cifrar.

    Si se selecciona, puede seleccionar el Tipo de cifrado, la Clave de cifrado y escribir el ARN de la clave de KMS.

    Si no tiene la clave, abra la consola de AWS KMS para crearla. Para obtener más información, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service.
    Establecer encryption_type como cifrado mínimo

    Opcional. Seleccione esta opción para aplicar un tipo mínimo de cifrado en los resultados de las consultas a todos los usuarios del grupo de trabajo. Al seleccionar esta opción, se muestra una tabla con la jerarquía de los tipos de cifrado. En la tabla también se muestran los tipos de cifrado que los usuarios del grupo de trabajo podrán utilizar cuando especifique un tipo de cifrado en particular como mínimo. Para utilizar esta opción, no se debe seleccionar Invalidar la configuración del cliente.

    Para obtener más información, consulte Configuración del cifrado mínimo para un grupo de trabajo.
    Habilitación de permisos de acceso a S3 Este campo se selecciona de forma predeterminada al elegir IAM Identity Center como modo de autenticación. Si se selecciona, con esta opción se aplican los permisos basados en usuarios o grupos del IAM Identity Center en las ubicaciones de Amazon S3.
    Creación de un prefijo S3 basado en la identidad del usuario Cuando se selecciona esta opción, Athena crea un prefijo de Amazon S3 al almacenar los resultados de las consultas. El prefijo se basa en la identidad del usuario del IAM Identity Center.
    Invalidación de la configuración del cliente Este campo se deshabilita de forma predeterminada. Si se selecciona, la configuración del grupo de trabajo se aplica a todas las consultas en el grupo de trabajo y se invalida la configuración del lado del cliente. Para obtener más información, consulte Invalidación de la configuración del cliente.
    Publicación de métricas de consultas en CloudWatch Este campo se selecciona de forma predeterminada. Publicar métricas de consultas en CloudWatch. Consulte Supervisión de las métricas de consultas de Athena con CloudWatch.
    Buckets de S3 de pago por solicitante

    Opcional. Elija Habilitar consultas en buckets de pago por solicitante en Amazon S3 si los usuarios del grupo de trabajo van a ejecutar consultas en datos almacenados en buckets de Amazon S3 que están configurados como pago por solicitante. A la cuenta del usuario que ejecuta la consulta se le cargan las tarifas de acceso a los datos aplicables y de transferencia de datos asociados a la consulta. Para obtener más información, consulte Buckets de pago por solicitante en la Guía del usuario de Amazon Simple Storage Service.
    Control del uso de datos por consulta Opcional. Establece el límite de la cantidad máxima de datos puede analizar una consulta. Puede definir solo un límite por consulta para un grupo de trabajo. El límite se aplica a todas las consultas del grupo de trabajo y si la consulta supera el límite, se cancelará. Para obtener más información, consulte Configuración de los controles de uso de datos por consulta y por grupo de trabajo.
    Alertas del uso de datos de grupos de trabajo Opcional. Establezca varios umbrales de alerta cuando las consultas que se ejecutan en este grupo de trabajo analizan una cantidad específica de datos en un periodo específico. Las alertas se implementan mediante las alarmas de Amazon CloudWatch y se aplican a todas las consultas del grupo de trabajo. Para obtener más información, consulte Uso de las alarmas de Amazon CloudWatch en la Guía del usuario de Amazon CloudWatch.
    Etiquetas Opcional. Añada una o más etiquetas a un grupo de trabajo. Una etiqueta es una marca que se asigna a un recurso de grupo de trabajo de Athena. Consta de una clave y un valor. Utilice las prácticas recomendadas para etiquetado de AWS para crear un conjunto coherente de etiquetas y categorizar los grupos de trabajo según su finalidad, propietario o entorno. También puede usar etiquetas en las políticas de IAM y para controlar los costos de facturación. No utilice claves de etiquetas duplicadas en el mismo grupo de trabajo. Para obtener más información, consulte Etiquetado de recursos de Athena.

  6. Elija Crear grupo de trabajo. El grupo de trabajo aparece en la lista en la página Grupos de trabajo.

    En el editor de consultas, Athena muestra el grupo de trabajo actual en la opción Grupo de trabajo en la parte superior derecha de la consola. Puede utilizar esta opción para cambiar de grupo de trabajo. Cuando ejecuta consultas, se ejecutan en el grupo de trabajo actual.

  7. Cree políticas de IAM para sus usuarios, grupos o roles para habilitar el acceso de estos a grupos de trabajo. Las políticas establecen la pertenencia a grupos de trabajo y el acceso a acciones en un recurso de workgroup. Para obtener más información, consulte Uso de políticas de IAM para el control del acceso al grupo de trabajo. Para ver ejemplos de políticas de JSON, consulte Configuración del acceso a grupos de trabajo y etiquetas.

  8. (Opcional) Configure un nivel mínimo de cifrado en Amazon S3 para todos los resultados de las consultas del grupo de trabajo cuando la opción de anular la configuración del lado del cliente no aplique el cifrado a todo el grupo de trabajo. Puede utilizar esta característica para asegurarse de que los resultados de las consultas nunca se almacenen en un bucket de Amazon S3 sin cifrar. Para obtener más información, consulte Configuración del cifrado mínimo para un grupo de trabajo.

  9. (Opcional) Utilice Amazon CloudWatch y Amazon EventBridge para supervisar las consultas de su grupo de trabajo y administrar los costos. Para obtener más información, consulte Uso de CloudWatch y EventBridge para la supervisión de consultas y la administración de costos.

  10. (Opcional) Utilice la consola Administración de facturación y costos para etiquetar el grupo de trabajo con etiquetas de asignación de costos. Para obtener más información, consulte Uso de etiquetas de asignación de costos en la Guía del usuario de AWS Billing.

  11. (Opcional) Para obtener una capacidad de procesamiento dedicada a las consultas del grupo de trabajo, añada el grupo de trabajo a una reserva de capacidad. Puede asignar uno o varios grupos de trabajo a una reserva. Para obtener más información, consulte Administración de la capacidad de procesamiento de consultas.