Políticas administradas de AWS para Amazon Athena
Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas de IAM administradas por el cliente que proporcionen a su equipo solo los permisos necesarios. Para comenzar a hacerlo con rapidez, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información acerca de las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Los Servicios de AWS mantienen y actualizan las políticas administradas por AWS. No puede cambiar los permisos en las políticas administradas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan permisos de una política administrada por AWS, por lo que las actualizaciones de políticas no deteriorarán los permisos existentes.
Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política ViewOnlyAccess administrada por AWS proporciona acceso de solo lectura a muchos recursos y Servicios de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.
Consideraciones al utilizar políticas administradas con Athena
Las políticas administradas son fáciles de utilizar y se actualizan automáticamente con las acciones necesarias a medida que el servicio evoluciona. Cuando utilice políticas administradas con Athena, tenga en cuenta los siguientes puntos:
-
Para permitir o denegar acciones de servicio de Amazon Athena para usted u otros usuarios mediante AWS Identity and Access Management (IAM), asocie políticas basadas en identidad a entidades principales, como usuarios o grupos.
-
Cada política basada en identidad se compone de instrucciones que definen las acciones que se permiten o se deniegan. Para obtener más información e instrucciones paso a paso para asociar una política a un usuario, consulte Asociar políticas administradas en la Guía del usuario de IAM. Para obtener una lista de acciones, consulte la sección de referencia de API de Amazon Athena.
-
Las políticas basadas en identidad administradas por el cliente e insertadas le permiten especificar acciones de Athena más detalladas para dar más precisión al acceso. Le recomendamos que utilice la política
AmazonAthenaFullAccesscomo punto de partida y, a continuación, permita o deniegue acciones específicas que se muestran en la sección de referencia de la API de Amazon Athena. Para obtener más información sobre las políticas insertadas, consulte Políticas administradas e insertadas en la Guía del usuario de IAM. -
Si también tiene entidades principales que se conectan a través de JDBC, debe proporcionar al controlador JDBC las credenciales para el acceso a su aplicación. Para obtener más información, consulte Acceso a través de conexiones JDBC y ODBC.
-
Si ha cifrado el catálogo de datos de AWS Glue, debe especificar acciones adicionales en las políticas de IAM basadas en identidad para Athena. Para obtener más información, consulte Acceso desde Athena a metadatos cifrados en AWS Glue Data Catalog.
-
Si crea y utiliza grupos de trabajo, asegúrese de que sus políticas incluyan el acceso correspondiente a las acciones de los grupos de trabajo. Para obtener más información, consulte Políticas de IAM para acceder a los grupos de trabajo y Ejemplos de políticas de grupos de trabajo.
Política administrada de AWS: AmazonAthenaFullAccess
La política administrada de AmazonAthenaFullAccess concede acceso total a Athena.
Para proporcionar acceso, agregue permisos a sus usuarios, grupos o roles:
-
Usuarios y grupos de AWS IAM Identity Center (successor to AWS Single Sign-On):
Cree un conjunto de permisos. Siga las instrucciones de Create a permission set (Creación de un conjunto de permisos) en la Guía del usuario de AWS IAM Identity Center (successor to AWS Single Sign-On).
-
Usuarios administrados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones de Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
-
Usuarios de IAM:
-
Cree un rol que el usuario pueda asumir. Siga las instrucciones de Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
-
(No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones de Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.
-
Grupos de permisos
La política AmazonAthenaFullAccess se agrupa en los siguientes conjuntos de permisos.
-
athena: permite el acceso de las entidades principales a los recursos de Athena. -
glue: permite el acceso de las entidades principales a bases de datos, tablas y particiones de AWS Glue. Esto es necesario para que la entidad principal pueda utilizar AWS Glue Data Catalog con Athena. -
s3: permite a la entidad principal escribir y leer los resultados de las consultas de Amazon S3, leer ejemplos de datos de Athena disponibles públicamente que residen en Amazon S3 y listar buckets. Esto es necesario para que la entidad principal pueda utilizar Athena para trabajar con Amazon S3. -
sns: permite a las entidades principales enumerar temas de Amazon SNS y obtener atributos de temas. Esto permite a las entidades principales utilizar temas de Amazon SNS con Athena para fines de monitoreo y alerta. -
cloudwatch: permite a las entidades principales crear, leer y eliminar alarmas de CloudWatch. Para obtener más información, consulte Control de costos y supervisión de consultas con métricas y eventos de CloudWatch. -
lakeformation: permite a las entidades principales solicitar credenciales temporales para acceder a los datos en una ubicación de lago de datos registrada con Lake Formation. Para obtener más información, consulte Control de acceso a datos subyacentes en la Guía para desarrolladores de AWS Lake Formation. -
pricing: proporciona acceso a AWS Billing and Cost Management. Para obtener más información, consulte GetProducts en la Referencia de la API de AWS Billing and Cost Management.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::athena-examples*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:ListTopics", "sns:GetTopicAttributes" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarms", "cloudwatch:DeleteAlarms", "cloudwatch:GetMetricData" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "pricing:GetProducts" ], "Resource": [ "*" ] } ] }
Política administrada de AWS: AWSQuicksightAthenaAccess
AWSQuicksightAthenaAccess concede acceso a las acciones que Amazon QuickSight requiere para integrarse con Athena. Puede adjuntar la política AWSQuicksightAthenaAccess a las identidades de IAM. Asocie esta política solo a entidades principales que utilicen Amazon QuickSight con Athena. Esta política incluye algunas acciones para Athena que han quedado obsoletas y no se encuentran en la API pública actual o que se utilizan únicamente con los controladores JDBC y ODBC.
Grupos de permisos
La política AWSQuicksightAthenaAccess se agrupa en los siguientes conjuntos de permisos.
-
athena: permite que la entidad principal ejecute consultas sobre los recursos de Athena. -
glue: permite el acceso de las entidades principales a bases de datos, tablas y particiones de AWS Glue. Esto es necesario para que la entidad principal pueda utilizar AWS Glue Data Catalog con Athena. -
s3: permite a la entidad principal escribir y leer los resultados de las consultas de Amazon S3. -
lakeformation: permite a las entidades principales solicitar credenciales temporales para acceder a los datos en una ubicación de lago de datos registrada con Lake Formation. Para obtener más información, consulte Control de acceso a datos subyacentes en la Guía para desarrolladores de AWS Lake Formation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:BatchGetQueryExecution", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetQueryResultsStream", "athena:ListQueryExecutions", "athena:StartQueryExecution", "athena:StopQueryExecution", "athena:ListWorkGroups", "athena:ListEngineVersions", "athena:GetWorkGroup", "athena:GetDataCatalog", "athena:GetDatabase", "athena:GetTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] } ] }
Actualizaciones de Athena en Políticas administradas de AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para Athena debido a que este servicio comenzó a realizar el seguimiento de estos cambios.
| Cambio | Descripción | Fecha |
|---|---|---|
|
AmazonAthenaFullAccess: actualización de la política existente |
Athena agregó |
25 de enero de 2023 |
|
AmazonAthenaFullAccess: actualización de la política existente |
Athena agregó |
14 de noviembre de 2022 |
|
AmazonAthenaFullAccess y AWSQuicksightAthenaAccess: actualizaciones de las políticas existentes |
Athena agregó |
7 de julio de 2021 |
|
Athena comenzó a realizar el seguimiento de los cambios |
Athena comenzó a realizar el seguimiento de los cambios de las políticas administradas de AWS. |
7 de julio de 2021 |
