Consenti l'accesso al connettore dati Athena per External Hive Metastore - Amazon Athena

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consenti l'accesso al connettore dati Athena per External Hive Metastore

Negli esempi di policy di autorizzazione in questo argomento vengono illustrate le operazioni consentite obbligatorie e le risorse per le quali sono consentite. Esamina attentamente queste policy e modificale in base si tuoi requisiti prima di collegare policy di autorizzazione simili a identità IAM.

Esempio
: consenti a un principale IAM di eseguire query sui dati utilizzando Athena Data Connector per il metastore Hive esterno

La seguente policy è collegata ai principali IAM oltre alla AWS politica gestita: AmazonAthenaFullAccess, che concede l'accesso completo a operazioni Athena.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction",
                "lambda:GetLayerVersion",
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunction",
                "arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction",
                "arn:aws:lambda:*:111122223333:layer:MyAthenaLambdaLayer:*"
            ]
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
            "Resource": "arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"
        }
    ]
}
Spiegazione delle autorizzazioni
Operazioni consentite Spiegazione 
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"

s3le azioni consentono la lettura e la scrittura sulla risorsa specificata come"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation", where MyLambdaSpillLocation identifica il bucket di fuoriuscita specificato nella configurazione della funzione o delle funzioni Lambda richiamate. L'identificatore di arn:aws:lambda:*:MyAWSAcctId:layer:MyAthenaLambdaLayer:* risorsa è richiesto solo se si utilizza un livello Lambda per creare dipendenze di runtime personalizzate per ridurre le dimensioni degli artefatti funzionali al momento della distribuzione. Il * nell'ultima posizione è un carattere jolly per la versione del livello.

 
"lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
 Consente alle query di richiamare le funzioni specificate nel blocco. AWS Lambda Resource Ad esempioarn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction, where MyAthenaLambdaFunction specifica il nome di una funzione Lambda da richiamare. Più funzioni possono essere specificate come mostrato nell'esempio.
Esempio
: consenti a un principale IAM di creare un Athena Data Connector per il metastore Hive esterno

La seguente policy è collegata ai principali IAM oltre alla AWS politica gestita: AmazonAthenaFullAccess, che concede l'accesso completo a operazioni Athena.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction",
                "lambda:ListFunctions",
                "lambda:GetLayerVersion",
                "lambda:InvokeFunction",
                "lambda:CreateFunction",
                "lambda:DeleteFunction",
                "lambda:PublishLayerVersion",
                "lambda:DeleteLayerVersion",
                "lambda:UpdateFunctionConfiguration",
                "lambda:PutFunctionConcurrency",
                "lambda:DeleteFunctionConcurrency"
            ],
            "Resource": "arn:aws:lambda:*:111122223333: function: MyAthenaLambdaFunctionsPrefix*"
        }
    ]
}

Spiegazione delle autorizzazioni

Consente alle query di richiamare le AWS Lambda funzioni per le funzioni specificate nel blocco AWS Lambda . Resource Ad esempioarn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction, where MyAthenaLambdaFunction specifica il nome di una funzione Lambda da richiamare. Più funzioni possono essere specificate come mostrato nell'esempio.