Policy di esempio del catalogo dati - Amazon Athena

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy di esempio del catalogo dati

Questa sezione include policy di esempio che puoi utilizzare per abilitare varie operazioni sui cataloghi dati.

Un catalogo dati è una risorsa IAM gestita da Athena. Pertanto, se la policy del catalogo dati utilizza operazioni che accettano datacatalog come input, devi specificare l'ARN del catalogo dati nel modo seguente:

"Resource": [arn:aws:athena:<region>:<user-account>:datacatalog/<datacatalog-name>]

<datacatalog-name> è il nome del catalogo dati. Ad esempio, per un catalogo dati denominato test_datacatalog, specificalo come risorsa nel modo seguente:

"Resource": ["arn:aws:athena:us-east-1:123456789012:datacatalog/test_datacatalog"]

Per un elenco completo delle operazioni Amazon Athena, consulta i nomi delle operazioni API nella documentazione di riferimento dell'API Amazon Athena. Per ulteriori informazioni sulle policy IAM, consulta Creazione di policy con l'editor visivo nella Guida per l'utente di IAM. Per ulteriori informazioni sulla creazione di policy IAM per i gruppi di lavoro, consulta Policy IAM per l'accesso ai cataloghi dati.

Esempio di policy per l'accesso completo a tutti i cataloghi dati

La policy seguente consente l'accesso completo a tutte le risorse del catalogo dati che potrebbero essere presenti nell'account. Ti consigliamo di utilizzare questa policy per gli utenti nell'account che devono amministrare e gestire cataloghi dati per tutti gli altri utenti.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "athena:*"
         ],
         "Resource":[
            "*"
         ]
      }
   ]
}
Esempio di policy per l'accesso completo a un catalogo dati specifico

La policy seguente consente l'accesso completo a una specifica risorsa del catalogo dati denominata datacatalogA. Puoi usare questa policy per gli utenti con controllo completo su un determinato catalogo dati.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "athena:ListDataCatalogs",
            "athena:ListWorkGroups",
            "athena:GetDatabase",
            "athena:ListDatabases",
            "athena:ListTableMetadata",
            "athena:GetTableMetadata"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "athena:StartQueryExecution",
            "athena:GetQueryResults",
            "athena:DeleteNamedQuery",
            "athena:GetNamedQuery",
            "athena:ListQueryExecutions",
            "athena:StopQueryExecution",
            "athena:GetQueryResultsStream",
            "athena:ListNamedQueries",
            "athena:CreateNamedQuery",
            "athena:GetQueryExecution",
            "athena:BatchGetNamedQuery",
            "athena:BatchGetQueryExecution",
            "athena:DeleteWorkGroup",
            "athena:UpdateWorkGroup",
            "athena:GetWorkGroup",
            "athena:CreateWorkGroup"
         ],
         "Resource":[
            "arn:aws:athena:us-east-1:123456789012:workgroup/*"
         ]
      },
      {
        "Effect":"Allow",
        "Action":[
            "athena:CreateDataCatalog",
            "athena:DeleteDataCatalog",
            "athena:GetDataCatalog",
            "athena:GetDatabase",
            "athena:GetTableMetadata",
            "athena:ListDatabases",
            "athena:ListTableMetadata",
            "athena:UpdateDataCatalog"
        ],
        "Resource":"arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA"
      }
   ]
}
Esempio di policy per l'esecuzione di query su un catalogo dati specifico

Nella policy seguente, a un utente è consentito eseguire query nel gruppo datacatalogA specificato. All'utente non è consentito eseguire attività di gestione per il catalogo dati, ad esempio l'aggiornamento o l'eliminazione. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "athena:StartQueryExecution"
         ],
         "Resource":[
            "arn:aws:athena:us-east-1:123456789012:workgroup/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "athena:GetDataCatalog"
         ],
         "Resource":[
            "arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA"
         ]
      }
   ]
}
Esempio di policy per le operazioni di gestione in un catalogo dati specifico

Nel policy seguente, un utente può creare, eliminare, ottenere i dettagli e aggiornare un catalogo dati datacatalogA. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:CreateDataCatalog",
                "athena:GetDataCatalog",
                "athena:DeleteDataCatalog",
                "athena:UpdateDataCatalog"
            ],
            "Resource": [
                "arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA"
            ]
        }
    ]
}
Esempio di policy per elencare cataloghi dati

La policy seguente consente a tutti gli utenti per elencare tutti i cataloghi dati:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:ListDataCatalogs"
            ],
            "Resource": "*"
        }
    ]
}
Esempio di policy per le operazioni relative a metadati sui cataloghi dati

La seguente policy consente operazioni relative ai metadati sui cataloghi dati:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}