Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Kelola izin pengguna Lake Formation dan Athena

Mode fokus
Kelola izin pengguna Lake Formation dan Athena - Amazon Athena

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Lake Formation menjual kredensil untuk menanyakan penyimpanan data Amazon S3 atau katalog federasi yang terdaftar di Lake Formation. Jika sebelumnya Anda menggunakan IAM kebijakan untuk mengizinkan atau menolak izin membaca katalog atau lokasi data di Amazon S3, Anda dapat menggunakan izin Lake Formation. Namun, IAM izin lain masih diperlukan.

Setiap kali Anda menggunakan IAM kebijakan, pastikan Anda mengikuti praktik IAM terbaik. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

Bagian berikut meringkas izin yang diperlukan untuk menggunakan Athena untuk kueri data yang terdaftar di Lake Formation. Untuk informasi selengkapnya, lihat Keamanan di AWS Lake Formation dalam AWS Lake Formation Panduan Developer.

Izin berbasis identitas untuk Lake Formation dan Athena

Siapa pun yang menggunakan Athena untuk menanyakan data yang terdaftar di Lake Formation harus memiliki kebijakan IAM izin yang memungkinkan tindakan tersebut. lakeformation:GetDataAccess AWS kebijakan terkelola: AmazonAthenaFullAccess mengizinkan tindakan ini. Jika Anda menggunakan kebijakan inline, pastikan untuk memperbarui kebijakan izin untuk mengizinkan tindakan ini.

Di Lake Formation, administrator danau data memiliki izin untuk membuat objek metadata seperti database dan tabel, memberikan izin Lake Formation kepada pengguna lain, dan mendaftarkan lokasi Amazon S3 baru atau katalog data. Untuk mendaftarkan lokasi baru, izin untuk peran terkait layanan untuk Lake Formation diperlukan. Untuk informasi selengkapnya, lihat Membuat administrator data lake dan izin peran terkait Layanan untuk Lake Formation di Panduan Pengembang AWS Lake Formation .

Pengguna Lake Formation dapat menggunakan Athena untuk menanyakan database, tabel, kolom tabel, dan penyimpanan data Amazon S3 yang mendasari atau katalog berdasarkan izin Lake Formation yang diberikan kepadanya oleh administrator data lake. Pengguna tidak dapat membuat basis data atau tabel, atau mendaftarkan lokasi Amazon S3 baru dengan Lake Formation. Untuk informasi selengkapnya, lihat Membuat pengguna data lake di Panduan AWS Lake Formation Pengembang.

Di Athena, kebijakan izin berbasis identitas, termasuk untuk grup kerja Athena, masih mengontrol akses ke tindakan Athena untuk Amazon Web Services pengguna akun. Selain itu, akses federasi dapat diberikan melalui otentikasi SAML berbasis yang tersedia dengan driver Athena. Lihat informasi selengkapnya di Gunakan kelompok kerja untuk mengontrol akses kueri dan biaya, Menggunakan IAM kebijakan untuk mengontrol akses workgroup, dan Aktifkan akses federasi ke Athena API.

Untuk informasi selengkapnya, lihat Memberikan izin Lake Formation di Panduan AWS Lake Formation Pengembang.

Izin Amazon S3 untuk lokasi hasil kueri Athena

Hasil kueri lokasi di Amazon S3 untuk Athena tidak dapat didaftarkan dengan Lake Formation. Izin Lake Formation tidak membatasi akses ke lokasi ini. Kecuali Anda membatasi akses, pengguna Athena dapat mengakses file hasil kueri dan metadata saat mereka tidak memiliki izin Lake Formation untuk data tersebut. Untuk menghindari hal ini, kami sarankan Anda menggunakan grup kerja untuk menentukan lokasi untuk hasil kueri dan menyelaraskan keanggotaan grup kerja dengan Lake Formation izin. Anda kemudian dapat menggunakan kebijakan IAM izin untuk membatasi akses ke lokasi hasil kueri. Untuk informasi selengkapnya tentang string kueri, lihat Bekerja dengan hasil kueri dan kueri terbaru.

Keanggotaan workgroup Athena ke riwayat kueri

Sejarah kueri Athena mengekspos daftar kueri disimpan dan string kueri lengkap. Kecuali Anda menggunakan grup kerja untuk memisahkan akses ke riwayat kueri, pengguna Athena yang tidak berwenang untuk meminta data di Lake Formation dapat melihat string kueri yang dijalankan pada data tersebut, termasuk nama kolom, kriteria pemilihan, dan sebagainya. Kami menyarankan Anda menggunakan grup kerja untuk memisahkan riwayat permintaan, dan menyelaraskan keanggotaan Athena grup kerja dengan izin Lake Formation untuk membatasi akses. Untuk informasi selengkapnya, lihat Gunakan kelompok kerja untuk mengontrol akses kueri dan biaya.

Izin Lake Formation untuk data

Selain izin dasar untuk menggunakan Lake Formation, pengguna Athena harus memiliki izin Lake Formation untuk mengakses sumber daya yang mereka kueri. Izin ini diberikan dan dikelola oleh administrator Lake Formation. Untuk informasi selengkapnya, lihat Keamanan dan kontrol akses ke metadata dan data di Panduan AWS Lake Formation Pengembang.

IAMizin untuk menulis ke lokasi Amazon S3

Lake Formation izin untuk Amazon S3 tidak termasuk kemampuan untuk menulis ke Amazon S3. Buat Tabel Sebagai Pernyataan (CTAS) memerlukan akses tulis ke lokasi tabel Amazon S3. Untuk menjalankan CTAS kueri pada data yang terdaftar di Lake Formation, pengguna Athena harus IAM memiliki izin untuk menulis ke tabel lokasi Amazon S3 selain izin Lake Formation yang sesuai untuk membaca lokasi data. Untuk informasi selengkapnya, lihat Membuat tabel dari hasil query (CTAS).

Izin untuk data terenkripsi, metadata, dan hasil kueri Athena

Data sumber yang mendasari di Amazon S3 dan metadata dalam katalog yang terdaftar di Lake Formation dapat dienkripsi. Tidak ada perubahan pada cara Athena menangani enkripsi hasil kueri saat menggunakan Athena untuk kueri data terdaftar dengan Lake Formation. Untuk informasi selengkapnya, lihat Enkripsi hasil kueri Athena yang disimpan di Amazon S3.

Izin berbasis sumber daya untuk bucket Amazon S3 di akun eksternal (opsional)

Untuk menanyakan lokasi data Amazon S3 di akun lain, IAM kebijakan berbasis sumber daya (kebijakan bucket) harus mengizinkan akses ke lokasi tersebut. Untuk informasi selengkapnya, lihat Konfigurasikan akses lintas akun di Athena ke bucket Amazon S3.

Untuk informasi tentang mengakses katalog di akun lain, lihat. Opsi A: Konfigurasikan akses Katalog Data lintas akun di Athena

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.