Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques gérées par AWS pour Amazon Athena
Une politique gérée par AWS est une politique autonome créée et administrée par AWS. Les politiques gérées par AWS sont conçues pour fournir des autorisations pour de nombreux cas d’utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
Gardez à l’esprit que les politiques gérées par AWS peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d’utilisation spécifiques, car elles sont disponibles pour tous les clients AWS. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques gérées par AWS. Si AWS met à jour les autorisations définies dans une politique gérée par AWS, la mise à jour affecte toutes les identités de principal (utilisateurs, groupes et rôles) auxquelles la politique est associée. AWS est plus susceptible de mettre à jour une politique gérée par AWS lorsqu’un nouveau Service AWS est lancé ou que de nouvelles opérations API deviennent accessibles pour les services existants.
Pour plus d’informations, consultez la section Politiques gérées par AWS dans le Guide de l’utilisateur IAM.
Aspects à prendre en compte lors de l'utilisation de politiques gérées avec Athena
Les politiques gérées sont faciles à utiliser et sont automatiquement mises à jour avec les actions requises, à mesure que le service évolue. Lorsque vous utilisez des politiques gérées avec Athena, gardez à l'esprit les points suivants :
-
Pour autoriser ou refuser les actions du service Amazon Athena pour vous-même ou pour d'autres utilisateurs avec AWS Identity and Access Management (IAM), vous attachez des politiques basées sur l'identité aux principaux, tels que les utilisateurs ou les groupes.
-
Chaque politique basée sur une identité se compose d'instructions qui définissent les actions qui sont autorisées ou refusées. Pour plus d'informations et d'instructions étape par étape sur le rattachement d'une politique à un utilisateur, consultez la rubrique Attachement de politiques gérées du Guide de l'utilisateur IAM. Pour obtenir une liste des actions, consultez la Référence d'API Amazon Athena.
-
Les politiques basées sur l'identité, gérées par le client et en ligne, vous permettent de spécifier des actions Athena plus détaillées au sein d'une politique pour affiner l'accès. Nous vous recommandons d'utiliser la politique
AmazonAthenaFullAccess
comme point de départ, puis d'autoriser ou de refuser des actions spécifiques figurant dans le manuel Référence d'API Amazon Athena. Pour de plus amples informations sur les politiques en ligne, consultez Politiques gérées et politiques en ligne dans le Guide de l'utilisateur IAM. -
Si vous avez également des principaux qui se connectent en utilisant JDBC, vous devez fournir les informations d'identification du pilote JDBC à votre application. Pour de plus amples informations, veuillez consulter Accès via les connexions JDBC et ODBC.
-
Si vous avez chiffré le catalogue de données AWS Glue, vous devez spécifier des actions supplémentaires dans les politiques IAM basées sur l'identité pour Athena. Pour de plus amples informations, veuillez consulter Accès d'Athena aux métadonnées chiffrées dans le AWS Glue Data Catalog.
-
Si vous créez et utilisez des groupes de travail, assurez-vous que vos politiques prévoient un accès pertinent aux actions du groupe de travail. Pour plus d'informations, consultez Politiques IAM pour l'accès aux groupes de travail et Exemples de politiques de groupe de travail.
Politique gérée par AWS : AmazonAthenaFullAccess
La politique gérée par AmazonAthenaFullAccess
accorde un accès complet à Athena.
Pour activer l'accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center.
-
Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Pour plus d’informations, voir la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) du Guide de l’utilisateur IAM.
-
Utilisateurs IAM :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM du Guide de l’utilisateur IAM.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d'autorisations à un utilisateur (console) du Guide de l'utilisateur IAM.
-
Groupes d'autorisations
La politique est AmazonAthenaFullAccess
regroupée dans les ensembles d'autorisations suivants.
-
athena
: permet aux principaux d'accéder aux ressources Athena. -
glue
: permet aux principaux d'accéder aux bases de données, aux tables et aux partitions AWS Glue. Ceci est nécessaire pour que le principal puisse utiliser AWS Glue Data Catalog avec Athena. -
s3
: permet au principal d'écrire et de lire les résultats des requêtes à partir de Simple Storage Service (Amazon S3), de lire les exemples de données Athena disponibles publiquement qui résident dans Simple Storage Service (Amazon S3) et de répertorier les compartiments. Ceci est nécessaire pour que le principal puisse utiliser Athena pour travailler avec Simple Storage Service (Amazon S3). -
sns
: permet aux principaux de répertorier les rubriques Amazon SNS et d'obtenir les attributs de rubrique. Cela permet aux principaux d'utiliser les rubriques Amazon SNS avec Athena à des fins de surveillance et d'alerte. -
cloudwatch
: permet aux principaux de créer, lire et supprimer des alarmes CloudWatch. Pour de plus amples informations, veuillez consulter Contrôle des coûts et surveillance des requêtes à l'aide de CloudWatch métriques et d'événements. -
lakeformation
: permet aux principaux de demander des informations d'identification temporaires pour accéder aux données dans un emplacement de lac de données enregistré auprès de Lake Formation. Pour plus d'informations, consultez la rubrique Contrôle d'accès aux données sous-jacentes du Guide du développeur AWS Lake Formation. -
datazone
– Permet aux principaux d'afficher les projets, domaines et environnements Amazon DataZone. Pour plus d'informations sur l'utilisation de DataZone dans Athena, consultez Utilisation d'Amazon DataZone dans Athena. -
pricing
: fournit un accès à AWS Billing and Cost Management. Pour plus d’informations, consultez GetPipeline dans la Référence API AWS Billing and Cost Management.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BaseAthenaPermissions", "Effect": "Allow", "Action": [ "athena:*" ], "Resource": [ "*" ] }, { "Sid": "BaseGluePermissions", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition", "glue:StartColumnStatisticsTaskRun", "glue:GetColumnStatisticsTaskRun", "glue:GetColumnStatisticsTaskRuns" ], "Resource": [ "*" ] }, { "Sid": "BaseQueryResultsPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Sid": "BaseAthenaExamplesPermissions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::athena-examples*" ] }, { "Sid": "BaseS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": [ "*" ] }, { "Sid": "BaseSNSPermissions", "Effect": "Allow", "Action": [ "sns:ListTopics", "sns:GetTopicAttributes" ], "Resource": [ "*" ] }, { "Sid": "BaseCloudWatchPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarms", "cloudwatch:DeleteAlarms", "cloudwatch:GetMetricData" ], "Resource": [ "*" ] }, { "Sid": "BaseLakeFormationPermissions", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] }, { "Sid": "BaseDataZonePermissions", "Effect": "Allow", "Action": [ "datazone:ListDomains", "datazone:ListProjects", "datazone:ListAccountEnvironments" ], "Resource": [ "*" ] }, { "Sid": "BasePricingPermissions", "Effect": "Allow", "Action": [ "pricing:GetProducts" ], "Resource": [ "*" ] } ] }
Politique gérée par AWS : AWSQuicksightAthenaAccess
AWSQuicksightAthenaAccess
donne accès aux actions dont Amazon QuickSight a besoin pour l'intégration dans Athena. Vous pouvez associer la politique AWSQuicksightAthenaAccess
à vos identités IAM. Attachez cette politique uniquement aux principaux qui utilisent Amazon QuickSight avec Athena. Cette politique comprend certaines actions pour Athena qui sont soit obsolètes et non incluses dans l'API publique actuelle, soit utilisées uniquement avec les pilotes JDBC et ODBC.
Groupes d'autorisations
La politique est AWSQuicksightAthenaAccess
regroupée dans les ensembles d'autorisations suivants.
-
athena
: permet au principal d'exécuter des requêtes sur les ressources Athena. -
glue
– Permet aux principaux d'accéder aux bases de données, aux tables et aux partitions AWS Glue. Ceci est nécessaire pour que le principal puisse utiliser AWS Glue Data Catalog avec Athena. -
s3
: permet au principal d'écrire et de lire les résultats des requêtes depuis Simple Storage Service (Amazon S3). -
lakeformation
– Permet aux principaux de demander des informations d'identification temporaires pour accéder aux données dans un emplacement de lac de données enregistré auprès de Lake Formation. Pour plus d'informations, consultez la rubrique Contrôle d'accès aux données sous-jacentes du Guide du développeur AWS Lake Formation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:BatchGetQueryExecution", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetQueryResultsStream", "athena:ListQueryExecutions", "athena:StartQueryExecution", "athena:StopQueryExecution", "athena:ListWorkGroups", "athena:ListEngineVersions", "athena:GetWorkGroup", "athena:GetDataCatalog", "athena:GetDatabase", "athena:GetTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] } ] }
Mises à jour Athena pour les politiques gérées par AWS
Consultez les détails des mises à jour des politiques gérées par AWS pour Athena depuis que ce service a commencé à suivre ces modifications.
Modification | Description | Date |
---|---|---|
AmazonAthenaFullAccess – Mise à jour de la politique existante |
Les autorisations |
3 janvier 2024 |
AmazonAthenaFullAccess – Mise à jour de la politique existante |
Les autorisations |
3 janvier 2024 |
AmazonAthenaFullAccess – Mise à jour de la politique existante |
Athena a ajouté |
25 janvier 2023 |
AmazonAthenaFullAccess – Mise à jour de la politique existante |
Athena a ajouté |
14 novembre 2022 |
AmazonAthenaFullAccess et AWSQuicksightAthenaAccess : mises à jour des politiques existantes |
Athena a ajouté |
7 juillet 2021 |
Athena a commencé à suivre les modifications |
Athena a commencé à suivre les modifications pour ses politiques gérées par AWS. |
7 juillet 2021 |