Puntos de acceso y alias de puntos de acceso de Simple Storage Service (Amazon S3)Uso de claves de contexto CalledVia Recursos adicionales

Acceso a Amazon S3

Puede conceder acceso a las ubicaciones de Amazon S3 mediante políticas basadas en identidad, políticas de recursos de bucket, políticas de puntos de acceso o cualquier combinación de las anteriores. Cuando los actores interactúan con Athena, sus permisos pasan por Athena para determinar a qué puede acceder Athena. Esto significa que los usuarios deben tener permiso para acceder a los buckets de Amazon S3 para poder consultarlos con Athena.

Siempre que utilice políticas de IAM, asegúrese de seguir las prácticas recomendadas de IAM. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM.

Cuando se configura aws:SourceIp en las políticas, Athena accede al bucket de Amazon S3 mediante la dirección IP que se especifique. No se puede restringir ni permitir el acceso a los recursos de Amazon S3 en función de las claves de condición aws:SourceVpc o aws:SourceVpce.

nota

Los grupos de trabajo de Athena que utilizan la autenticación de IAM Identity Center requieren que S3 Access Grants esté configurado para utilizar identidades de propagación fiables. Para obtener más información, consulte S3 Access Grants y directorio de identidades en la Guía del usuario de Amazon Simple Storage Service.

Puntos de acceso y alias de puntos de acceso de Simple Storage Service (Amazon S3)

Si tiene un conjunto de datos compartido en un bucket de Amazon S3, puede resultar difícil mantener una política de bucket única que administre el acceso para cientos de casos de uso.

Los puntos de acceso de bucket de Amazon S3 ayudan a resolver este problema. Un bucket puede tener varios puntos de acceso, cada uno con una política que controla el acceso al bucket de forma diferente.

Para cada punto de acceso que cree, Amazon S3 genera un alias que representa el punto de acceso. Debido a que el alias está en formato de nombre de bucket de Amazon S3, puede utilizar el alias de la cláusula LOCATION de sus instrucciones CREATE TABLE en Athena. La política para el punto de acceso que representa el alias controla entonces el acceso de Athena al bucket.

Para obtener más información, consulte Ubicación de las tablas en Simple Storage Service (Amazon S3) y Cómo utilizar los puntos de acceso en la Guía del usuario de Amazon S3.

Uso de claves de contexto CalledVia

Para mayor seguridad, puede utilizar la clave de contexto de condición global aws:CalledVia. La clave aws:CalledVia contiene una lista ordenada de cada servicio de la cadena que realizó solicitudes en nombre de la entidad principal. Al especificar el nombre de la entidad principal del servicio de Athena athena.amazonaws.com para clave de contexto aws:CalledVia, puede limitar las solicitudes a solo las hechas desde Athena. Para obtener más información, consulte Uso de Athena con claves de contexto CalledVia.

Recursos adicionales

Para obtener información detallada y ejemplos acerca de cómo conceder acceso a Amazon S3, consulte los siguientes recursos:

Ejemplos de explicaciones: Administración de acceso en la Guía del usuario de Simple Storage Service (Amazon S3).
¿Cómo puedo proporcionar acceso entre cuentas a objetos que se encuentran en buckets de Amazon S3? en el Centro de conocimientos de AWS.
Acceso entre cuentas en Athena a los buckets de Simple Storage Service (Amazon S3).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceso a través de conexiones JDBC y ODBC

Acceso entre cuentas a buckets de S3