Configuration

Si vous êtes déjà inscrit à Amazon Web Services, vous pouvez commencer à utiliser Amazon Athena dès maintenant. Si vous ne vous avez pas encore inscrit à AWS ou si vous avez besoin d'aide pour commencer, assurez-vous d'accomplir les tâches suivantes.

S’inscrire à un Compte AWS

Si vous n’avez pas de compte Compte AWS, procédez comme suit pour en créer un.

Pour s’inscrire à un Compte AWS

1. Ouvrez https://portal.aws.amazon.com/billing/signup.

2. Suivez les instructions en ligne.

   Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

   Lorsque vous souscrivez à un Compte AWS, un Utilisateur racine d'un compte AWS est créé. Par défaut, seul l’utilisateur root a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur administratif, et à uniquement utiliser l’utilisateur root pour effectuer tâches nécessitant un accès utilisateur root.

AWS vous envoie un e-mail de confirmation lorsque le processus d’inscription est terminé. Vous pouvez afficher l’activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en cliquant sur Mon compte.

Création d'un utilisateur administratif

Une fois que vous êtes inscrit à un Compte AWS, sécurisez votre Utilisateur racine d'un compte AWS, activez AWS IAM Identity Center, puis créez un utilisateur administratif afin de ne pas employer l’utilisateur root pour les tâches quotidiennes.

Sécurisation de votre Utilisateur racine d'un compte AWS

1. Connectez-vous à la AWS Management Console en tant que propriétaire du compte en sélectionnant Root user (Utilisateur racine) et en saisissant l’adresse e-mail de Compte AWS. Sur la page suivante, saisissez votre mot de passe.

   Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur root, consultez Connexion en tant qu’utilisateur root dans le Guide de l’utilisateur Connexion à AWS.

2. Activez l’authentification multifactorielle (MFA) pour votre utilisateur root.

   Pour obtenir des instructions, consultez Activation d’un dispositif MFA virtuel pour l’utilisateur root de votre Compte AWS (console) dans le Guide de l’utilisateur IAM.

Création d’un utilisateur administratif

1. Activer IAM Identity Center.

   Pour obtenir des instructions, consultez Activation de AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center.

2. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur administratif.

   Pour profiter d’un didacticiel sur l’utilisation du Répertoire IAM Identity Center comme source d’identité, consultez Configuration de l’accès utilisateur avec le Répertoire IAM Identity Center par défaut dans le Guide de l’utilisateur AWS IAM Identity Center.

Connexion en tant qu’utilisateur administratif

• Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.

  Pour obtenir de l’aide pour vous connecter à l’aide d’un utilisateur IAM Identity Center, consultez Connexion au portail d’accès AWS dans le Guide de l’utilisateur Connexion à AWS.

Accorder un accès par programmation

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS en dehors de la AWS Management Console. La manière d'octroyer un accès par programmation dépend du type d'utilisateur qui accède à AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l'une des options suivantes.

Quel utilisateur a besoin d'un accès programmatique ?	Pour	Par
Identité de la main-d'œuvre (Utilisateurs gérés dans IAM Identity Center)	Utilisez des informations d'identification temporaires pour signer des demandes par programmation destinées à l'AWS CLI, aux kits SDK AWS ou aux API AWS.	Suivez les instructions de l'interface que vous souhaitez utiliser. Pour l'AWS CLI, consultez Configuration de l'AWS CLI pour l'utilisation d'AWS IAM Identity Center dans le Guide de l'utilisateur AWS Command Line Interface. Pour les kits SDK et les outils AWS ainsi que les API AWS, veuillez consulter la rubrique Authentification IAM Identity Center dans le Guide de référence des kits SDK et des outils AWS.
IAM	Utilisez des informations d'identification temporaires pour signer des demandes par programmation destinées à l'AWS CLI, aux kits SDK AWS ou aux API AWS.	Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec des ressources AWS dans le Guide de l'utilisateur IAM.
IAM	(Non recommandé) Utilisez des informations d'identification à long terme pour signer des demandes par programmation destinées à l'AWS CLI, aux kits SDK AWS ou aux API AWS.	Suivez les instructions de l'interface que vous souhaitez utiliser. Pour l'AWS CLI, consultez Authentification à l'aide des informations d'identification d'utilisateur IAM dans le Guide de l'utilisateur AWS Command Line Interface. Pour les kits SDK et les outils AWS, consultez Authentification à l'aide d'informations d'identification à long terme dans le Guide de référence des kits SDK et des outils AWS. Pour les API AWS, consultez Gestion des clés d'accès pour les utilisateurs IAM dans le Guide de l'utilisateur IAM.

Jonction de politiques gérées pour Athena

Les politiques gérées par Athena accordent des autorisations d'utilisation des fonctionnalités d'Athena. Vous pouvez associer ces politiques gérées à un ou plusieurs rôles IAM que les utilisateurs peuvent assumer pour utiliser Athena.

Un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s’agit d’une identité AWS avec des politiques d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS. En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle.

Pour plus d'informations sur les rôles, voir Rôles IAM et Création de rôles IAM dans le Guide de l'utilisateur IAM.

Pour créer un rôle qui donne accès à Athena, vous devez associer des politiques gérées par Athena au rôle. Il existe deux politiques gérées pour Athena : AmazonAthenaFullAccess et AWSQuicksightAthenaAccess. Ces politiques accordent des autorisations à Athena pour interroger Simple Storage Service (Amazon S3) et pour écrire les résultats de vos requêtes dans un compartiment séparé en votre nom. Pour afficher le contenu de ces politiques pour Athena, voir Politiques gérées par AWS pour Amazon Athena.

Pour connaître les étapes permettant d'associer les politiques gérées d'Athena à un rôle, suivez la rubrique Ajout d'autorisations d'identité IAM (console) du Guide de l'utilisateur IAM et ajoutez les politiques gérées AmazonAthenaFullAccess et AWSQuicksightAthenaAccess au rôle que vous avez créé.

Note

Vous pouvez avoir besoin d'autorisations supplémentaires pour accéder au jeu de données sous-jacent dans Simple Storage Service (Amazon S3). Si vous n'êtes pas le propriétaire du compte ou si vous disposez d'un accès restreint à un compartiment, contactez le propriétaire du compartiment pour qu'il vous accorde l'accès à l'aide d'une politique de compartiment basée sur les ressources, ou contactez votre administrateur de compte pour qu'il vous accorde l'accès à l'aide d'une politique basée sur les rôles. Pour de plus amples informations, veuillez consulter Accès à Amazon S3. Si le jeu de données ou les résultats de la requête Athena sont chiffrés, il est possible que vous ayez besoin d'autorisations supplémentaires. Pour de plus amples informations, veuillez consulter Chiffrement au repos.