Políticas administradas de AWS para Amazon Athena

Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Considere que es posible que las políticas administradas por AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente para los casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas por AWS en la Guía del usuario de IAM.

Consideraciones al utilizar políticas administradas con Athena

Las políticas administradas son fáciles de utilizar y se actualizan automáticamente con las acciones necesarias a medida que el servicio evoluciona. Cuando utilice políticas administradas con Athena, tenga en cuenta los siguientes puntos:

• Para permitir o denegar acciones de servicio de Amazon Athena para usted u otros usuarios mediante AWS Identity and Access Management (IAM), asocie políticas basadas en identidad a entidades principales, como usuarios o grupos.

• Cada política basada en identidad se compone de instrucciones que definen las acciones que se permiten o se deniegan. Para obtener más información e instrucciones paso a paso para asociar una política a un usuario, consulte Asociar políticas administradas en la Guía del usuario de IAM. Para obtener una lista de acciones, consulte la sección de referencia de API de Amazon Athena.

• Las políticas basadas en identidad administradas por el cliente e insertadas le permiten especificar acciones de Athena más detalladas para dar más precisión al acceso. Le recomendamos que utilice la política AmazonAthenaFullAccess como punto de partida y, a continuación, permita o deniegue acciones específicas que se muestran en la sección de referencia de la API de Amazon Athena. Para obtener más información sobre las políticas insertadas, consulte Políticas administradas e insertadas en la Guía del usuario de IAM.

• Si también tiene entidades principales que se conectan a través de JDBC, debe proporcionar al controlador JDBC las credenciales para el acceso a su aplicación. Para obtener más información, consulte Acceso a través de conexiones JDBC y ODBC.

• Si ha cifrado el catálogo de datos de AWS Glue, debe especificar acciones adicionales en las políticas de IAM basadas en identidad para Athena. Para obtener más información, consulte Acceso desde Athena a metadatos cifrados en AWS Glue Data Catalog.

• Si crea y utiliza grupos de trabajo, asegúrese de que sus políticas incluyan el acceso correspondiente a las acciones de los grupos de trabajo. Para obtener más información, consulte Políticas de IAM para acceder a los grupos de trabajo y Ejemplos de políticas de grupos de trabajo.

Política administrada de AWS: AmazonAthenaFullAccess

La política administrada de AmazonAthenaFullAccess concede acceso total a Athena.

Para proporcionar acceso, agregue permisos a sus usuarios, grupos o roles:

• Usuarios y grupos en AWS IAM Identity Center:

  Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center.

• Usuarios administrados en IAM a través de un proveedor de identidades:

  Cree un rol para la federación de identidades. Siga las instrucciones de Creación de un rol para un proveedor de identidades de terceros (federación) en la Guía del usuario de IAM.

• Usuarios de IAM:

  • Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.

  • (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.

Agrupaciones de permisos

La política AmazonAthenaFullAccess se agrupa en los siguientes conjuntos de permisos.

• athena: permite el acceso de las entidades principales a los recursos de Athena.

• glue: permite el acceso de las entidades principales a bases de datos, tablas y particiones de AWS Glue. Esto es necesario para que la entidad principal pueda utilizar AWS Glue Data Catalog con Athena.

• s3: permite a la entidad principal escribir y leer los resultados de las consultas de Amazon S3, leer ejemplos de datos de Athena disponibles públicamente que residen en Amazon S3 y listar buckets. Esto es necesario para que la entidad principal pueda utilizar Athena para trabajar con Amazon S3.

• sns: permite a las entidades principales enumerar temas de Amazon SNS y obtener atributos de temas. Esto permite a las entidades principales utilizar temas de Amazon SNS con Athena para fines de monitoreo y alerta.

• cloudwatch: permite a las entidades principales crear, leer y eliminar alarmas de CloudWatch. Para obtener más información, consulte Controlar los costos y monitorear las consultas con CloudWatch métricas y eventos.

• lakeformation: permite a las entidades principales solicitar credenciales temporales para acceder a los datos en una ubicación de lago de datos registrada con Lake Formation. Para obtener más información, consulte Control de acceso a datos subyacentes en la Guía para desarrolladores de AWS Lake Formation.

• datazone: permite a las entidades principales enumerar proyectos, dominios y entornos de Amazon DataZone. Para obtener información acerca del uso de DataZone en Athena, consulte Uso de Amazon DataZone en Athena.

• pricing: proporciona acceso a AWS Billing and Cost Management. Para obtener más información, consulte GetProducts en la Referencia de la API de AWS Billing and Cost Management.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BaseAthenaPermissions",
            "Effect": "Allow",
            "Action": [
                "athena:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition",
                "glue:StartColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRuns"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseQueryResultsPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Sid": "BaseAthenaExamplesPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::athena-examples*"
            ]
        },
        {
            "Sid": "BaseS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseSNSPermissions",
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseCloudWatchPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:GetMetricData"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseLakeFormationPermissions",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseDataZonePermissions",
            "Effect": "Allow",
            "Action": [
                "datazone:ListDomains",
                "datazone:ListProjects",
                "datazone:ListAccountEnvironments"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BasePricingPermissions",
            "Effect": "Allow",
            "Action": [
                "pricing:GetProducts"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Política administrada de AWS: AWSQuicksightAthenaAccess

AWSQuicksightAthenaAccess concede acceso a las acciones que Amazon QuickSight requiere para integrarse con Athena. Puede adjuntar la política de AWSQuicksightAthenaAccess a las identidades de IAM. Asocie esta política solo a entidades principales que utilicen Amazon QuickSight con Athena. Esta política incluye algunas acciones para Athena que han quedado obsoletas y no se encuentran en la API pública actual o que se utilizan únicamente con los controladores JDBC y ODBC.

Grupos de permisos

La política AWSQuicksightAthenaAccess se agrupa en los siguientes conjuntos de permisos.

• athena: permite que la entidad principal ejecute consultas sobre los recursos de Athena.

• glue: permite el acceso de las entidades principales a bases de datos, tablas y particiones de AWS Glue. Esto es necesario para que la entidad principal pueda utilizar AWS Glue Data Catalog con Athena.

• s3: permite a la entidad principal escribir y leer los resultados de las consultas de Amazon S3.

• lakeformation: permite a las entidades principales solicitar credenciales temporales para acceder a los datos en una ubicación de lago de datos registrada con Lake Formation. Para obtener más información, consulte Control de acceso a datos subyacentes en la Guía para desarrolladores de AWS Lake Formation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:ListQueryExecutions",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Actualizaciones de Athena en Políticas administradas de AWS

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para Athena debido a que este servicio comenzó a realizar el seguimiento de estos cambios.

Cambio	Descripción	Fecha
AmazonAthenaFullAccess: actualización de la política existente	Se agregaron los permisos datazone:ListDomains, datazone:ListProjects y datazone:ListAccountEnvironments para permitir a los usuarios de Athena trabajar con dominios, proyectos y entornos de Amazon DataZone. Para obtener más información, consulte Uso de Amazon DataZone en Athena.	3 de enero de 2024
AmazonAthenaFullAccess: actualización de la política existente	Se agregaron los permisos glue:StartColumnStatisticsTaskRun, glue:GetColumnStatisticsTaskRun y glue:GetColumnStatisticsTaskRuns para dar a Athena el derecho a llamar a AWS Glue para recuperar estadísticas de la característica de optimización basada en costos. Para obtener más información, consulte Uso del optimizador basado en costes.	3 de enero de 2024
AmazonAthenaFullAccess: actualización de la política existente	Athena agregó pricing:GetProducts para proporcionar acceso a AWS Billing and Cost Management. Para obtener más información, consulte GetProducts en la Referencia de la API de AWS Billing and Cost Management.	25 de enero de 2023
AmazonAthenaFullAccess: actualización de la política existente	Athena agregó cloudwatch:GetMetricData para recuperar los valores de métricas de CloudWatch. Para obtener más información, consulte GetMetricData en la Referencia de la API de los Registros de Amazon CloudWatch.	14 de noviembre de 2022
AmazonAthenaFullAccess y AWSQuicksightAthenaAccess: actualizaciones de las políticas existentes	Athena agregó s3:PutBucketPublicAccessBlock para permitir el bloqueo del acceso público en los buckets creados por Athena.	7 de julio de 2021
Athena comenzó a realizar el seguimiento de los cambios	Athena comenzó a realizar el seguimiento de los cambios de las políticas administradas de AWS.	7 de julio de 2021