Configuración de los grupos de trabajo - Amazon Athena

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de los grupos de trabajo

La configuración de grupos de trabajo implica su creación y el establecimiento de permisos para su uso. En primer lugar, decida qué grupos de trabajo necesita su organización y créelos. A continuación, configure las políticas de grupos de trabajo de IAM que controlan el acceso de los usuarios y acciones en un recurso de workgroup. Los usuarios con acceso a estos grupos de trabajo pueden ejecutar ahora consultas en ellos.

nota

Utilice estas tareas para configurar grupos de trabajo cuando comienza a utilizarlos por primera vez. Si la cuenta de Athena ya utiliza grupos de trabajo, cada uno de los usuarios de la cuenta necesita permisos para ejecutar consultas en uno o varios grupos de trabajo de la cuenta. Antes de ejecutar consultas, verifique su política de IAM para ver a qué grupos de trabajo puede acceder, ajustar su política si es necesario y cambiar al grupo de trabajo que va a utilizar.

De forma predeterminada, si no ha creado ningún grupo de trabajo, todas las consultas en su cuenta se ejecutan en el grupo de trabajo principal.

Athena muestra el grupo de trabajo actual en la opción Workgroup (Grupo de trabajo) en la parte superior derecha de la consola. Puede utilizar esta opción para cambiar de grupo de trabajo. Cuando ejecuta consultas, se ejecutan en el grupo de trabajo actual. Puede ejecutar consultas en el contexto de un grupo de trabajo en la consola, mediante las operaciones de la API, la interfaz de línea de comandos o una aplicación cliente con el controlador JDBC u ODBC. Cuando tiene acceso a un grupo de trabajo, puede ver la configuración del grupo de trabajo, la métrica y los límites de control de uso de datos. Con permisos adicionales, puede editar la configuración y los límites de control de uso de datos.

Para configurar grupos de trabajo

  1. Decida qué grupos de trabajo va a crear. Por ejemplo, puede decidir lo siguiente:

    • Quién puede ejecutar consultas en cada grupo de trabajo y quién es el propietario de la configuración del grupo de trabajo. Esto determina las políticas de IAM que crea. Para obtener más información, consulte Políticas de IAM para acceder a los grupos de trabajo.

    • Qué ubicaciones de Amazon S3 va a utilizar para los resultados de la consulta para las consultas que se ejecutan en cada grupo de trabajo. La ubicación debe existir en Simple Storage Service (Amazon S3) para poder especificarla para los resultados de las consultas del grupo de trabajo. Todos los usuarios que utilizan un grupo de trabajo deben tener acceso a esta ubicación. Para obtener más información, consulte Configuración del grupo de trabajo.

    • Si el propietario del bucket de resultados de las consultas de Simple Storage Service (Amazon S3) tiene control total sobre los nuevos objetos que se escriben en el bucket o no. Por ejemplo, si la ubicación del resultado de las consultas es propiedad de otra cuenta, puede conceder la propiedad y el control total sobre los resultados de las consultas a la otra cuenta. Para obtener más información, consulte. AclConfiguration

    • Especifique el ID del Cuenta de AWS que espera que sea el propietario del depósito de ubicación de salida. Se trata de una medida de seguridad añadida opcional. Si el ID de cuenta del propietario del bucket no coincide con el ID que se especifique aquí, los intentos de generar el bucket fallarán. Para obtener más información, consulte Verificación de la propiedad del bucket con la condición de propietario del bucket en la Guía del usuario de Amazon S3. Esta configuración no se aplica a las instrucciones CTAS, INSERT INTO o UNLOAD.

    • Qué configuración de cifrado es necesaria y qué grupos de trabajo tienen consultas que deben cifrarse. Le recomendamos que cree grupos de trabajo independientes para consultas cifradas y no cifradas. De esta forma, puede forzar el cifrado de un grupo de trabajo que se aplica a todas las consultas que se ejecutan en ella. Para obtener más información, consulte Cifrado de los resultados de las consultas de Athena en Amazon S3.

  2. Cree los grupos de trabajo necesarios y añádales etiquetas. Para ver los pasos, consulte Creación de un grupo de trabajo.

  3. Cree políticas de IAM para sus usuarios, grupos o roles para habilitar el acceso de estos a grupos de trabajo. Las políticas establecen la pertenencia a grupos de trabajo y el acceso a acciones en un recurso de workgroup. Para conocer los pasos en detalle, consulte Políticas de IAM para acceder a los grupos de trabajo. Para ver ejemplos de políticas de JSON, consulte Acceso a grupos de trabajo y etiquetas.

  4. Defina la configuración del grupo de trabajo. Especifique una ubicación en Simple Storage Service (Amazon S3) para almacenar los resultados de las consultas, y especifique opcionalmente el propietario del bucket esperado, la configuración de cifrado y el control de los objetos escritos en el bucket de resultados de las consultas. Puede aplicar la configuración del grupo de trabajo. Para obtener más información, consulte configuración del grupo de trabajo.

    importante

    Si invalida la configuración del cliente, Athena utilizará la configuración del grupo de trabajo. Esto afecta a consultas que ejecuta en la consola, mediante los controladores, la interfaz de línea de comandos o las operaciones de la API.

    Si bien las consultas se siguen ejecutando, la automatización integrada en función de la disponibilidad de resultados en un determinado bucket de Amazon S3 podría interrumpirse. Le recomendamos que informe a los usuarios antes de la invalidación. Una vez que se establece la configuración del grupo de trabajo para la invalidación, puede omitir la especificación de la configuración del cliente en los controladores o en la API.

  5. Notifique a los usuarios qué grupos de trabajo se deben utilizar para ejecutar consultas. Envíe un correo electrónico para informar a los usuarios de las cuentas acerca de qué nombres de grupo de trabajo pueden utilizar, las políticas de IAM necesarias y la configuración del grupo de trabajo.

  6. Configure los límites de control de costos, también conocidos como límites de control de uso de datos para las consultas y grupos de trabajo. Para que se le notifique cuando se supera un umbral, cree un tema de Amazon SNS y configure suscripciones. Para conocer los pasos en detalle, consulte Configuración de los límites de control del uso de datos e Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

  7. Cambie al grupo de trabajo para poder ejecutar consultar. Para ejecutar consultas, cambie al grupo de trabajo adecuado. Para conocer los pasos en detalle, consulte Especificar un grupo de trabajo en el que se ejecutarán consultas.