Configuración - Amazon Athena
Registro en una Cuenta de AWSCrear un usuario administrativoConceder acceso programáticoAsociación de políticas administradas para Athena

Configuración

Si ya se registró en Amazon Web Services, puede comenzar a utilizar Amazon Athena de inmediato. Si aún no está registrado en AWS o necesita ayuda para comenzar, asegúrese de realizar las tareas siguientes.

Registro en una Cuenta de AWS

Si no dispone de una Cuenta de AWS, siga los pasos que figuran a continuación para crear una.

Para registrarse en Cuenta de AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones en línea.

    Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

    Al inscribirse para una Cuenta de AWS, se crea Usuario raíz de la cuenta de AWS. El usuario raíz tiene acceso a todos los recursos y Servicios de AWS de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario administrativo y utilice únicamente el usuario raíz para realizar la ejecución tareas que requieren acceso de usuario raíz.

AWS le enviará un email de confirmación luego de completar el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/ y seleccionando My Account (Mi cuenta).

Crear un usuario administrativo

Después de registrarse para obtener una Cuenta de AWS, cree un usuario administrativo para que no utilice el usuario raíz en las tareas cotidianas.

Proteger su Usuario raíz de la cuenta de AWS

  1. Inicie sesión en AWS Management Console como propietario de cuenta eligiendo Usuario raíz e ingrese el email de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

    Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Signing in as the root user (Iniciar sesión como usuario raíz) en la Guía del usuario de AWS Sign-In.

  2. Active la autenticación multifactor (MFA) para el usuario raíz.

    Para obtener instrucciones, consulte Habilitar un dispositivo MFA virtual para el usuario raíz Cuenta de AWS (consola) en la Guía del usuario de IAM.

Crear un usuario administrativo

  • Para las tareas administrativas diarias, conceda acceso administrativo a un usuario administrativo en AWS IAM Identity Center (successor to AWS Single Sign-On).

    Para obtener instrucciones, consulte Introducción en la Guía del usuario de AWS IAM Identity Center (successor to AWS Single Sign-On).

Iniciar sesión como usuario administrativo

  • Para iniciar sesión con el usuario del Centro de identidades de IAM, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario del Centro de identidades de IAM.

    Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte Iniciar sesión en el portal de acceso de AWS en la Guía del usuario de AWS Sign-In.

Conceder acceso programático

Los usuarios necesitan acceso programático si desean interactuar con AWS fuera de la AWS Management Console. La forma de conceder el acceso programático depende del tipo de usuario que acceda a AWS:

  • Si administra las identidades en el IAM Identity Center, las API de AWS requieren un perfil y AWS Command Line Interface requiere un perfil o una variable de entorno.

  • Si tiene usuarios de IAM, las API de AWS y AWS Command Line Interface requieren claves de acceso. En la medida de lo posible, cree credenciales temporales que incluyan un ID de clave de acceso y una clave de acceso secreta, pero, además, un token de seguridad que indique cuándo caducan las credenciales.

Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.

¿Qué usuario necesita acceso programático? Para Mediante

Identidad del personal

(Usuarios administrados en el IAM Identity Center)

 Utilice credenciales a corto plazo para firmar las solicitudes programáticas a las API de AWS CLI o AWS (directamente o mediante los AWS SDK).

Siga las instrucciones de la interfaz que desea utilizar:

  • Para la AWS CLI, siga las instrucciones que se indican en Getting IAM role credentials for CLI access (Obtener las credenciales de rol de IAM para el acceso a la CLI) de la Guía del usuario de AWS IAM Identity Center (successor to AWS Single Sign-On).

  • Para las API de AWS, siga las instrucciones en credenciales de SSO de la Guía de referencia de SDK y herramientas de AWS.
IAM Utilice credenciales a corto plazo para firmar las solicitudes programáticas a las API de AWS CLI o AWS (directamente o mediante los AWS SDK). Siguiendo las instrucciones de Uso de credenciales temporales con recursos de AWS de la Guía del usuario de IAM.
IAM Utilice credenciales a largo plazo para firmar las solicitudes programáticas a las API de AWS CLI o AWS (directamente o mediante los AWS SDK).

(No recomendado)

 Siga las instrucciones de Administración de las claves de acceso de los usuarios de IAM en la Guía del usuario de IAM.

Asociación de políticas administradas para Athena

Las políticas administradas por Athena otorgan permisos para usar las funciones de Athena. Puede adjuntar estas políticas administradas a uno o más roles de IAM que los usuarios pueden asumir para utilizar Athena.

Un rol de IAM es una identidad de IAM que puede crear en su cuenta y que tiene permisos específicos. Un rol de IAM es similar a un usuario de IAM en que se trata de una identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer y lo que no en AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol.

Para obtener más información acerca de la creación y el uso de roles, consulte roles de IAM y Creación de roles de IAM en la Guía del usuario de IAM.

Para crear un rol que otorgue acceso a Athena, debe adjuntar las políticas administradas por Athena al rol. Existen dos políticas administradas para Athena: AmazonAthenaFullAccess y AWSQuicksightAthenaAccess. Estas políticas conceden permisos a Athena para consultar Amazon S3 y escribir los resultados de las consultas en un bucket aparte en su nombre. Consulte Políticas administradas de AWS para Amazon Athena para ver el contenido de estas políticas de Athena.

Para conocer los pasos para adjuntar las políticas administradas por Athena a un rol, siga lo indicado en Adición de permisos de identidad de IAM (consola) en la Guía del usuario de IAM y agregue las políticas administradas AmazonAthenaFullAccess y AWSQuicksightAthenaAccess al rol que creó.

nota

Es posible que necesite permisos adicionales para el acceso al conjunto de datos subyacente en Amazon S3. Si no es el propietario de la cuenta o su acceso a un bucket está restringido de algún otro modo, póngase en contacto con el propietario del bucket para que le conceda acceso mediante una política de bucket basada en recursos, o póngase en contacto con el administrador de cuentas para que le conceda acceso mediante una política basada roles. Para obtener más información, consulte Acceso a Amazon S3. Si el conjunto de datos o los resultados de la consulta de Athena están cifrados, es posible que necesite permisos adicionales. Para obtener más información, consulte Cifrado en reposo.