Gestione delle autorizzazioni utente Lake Formation e Athena

Lake Formation fornisce le credenziali per eseguire query sui datastore Amazon S3 registrati con Lake Formation. Se in precedenza hai utilizzato le policy IAM per concedere o negare le autorizzazioni di lettura delle posizioni dei dati in Amazon S3, puoi utilizzare le autorizzazioni Lake Formation. Tuttavia, sono ancora necessarie altre autorizzazioni IAM.

Ogni volta che si utilizzano le policy IAM, assicurati di seguire le best practice IAM. Per ulteriori informazioni, consulta Best Practice di sicurezza in IAM nella Guida per l'utente di IAM.

Le sezioni seguenti riepilogano le autorizzazioni necessarie per utilizzare Athena per eseguire query sui dati registrati in Lake Formation. Per ulteriori informazioni, consulta Sicurezza in AWS Lake Formation nella Guida per gli sviluppatori AWS Lake Formation .

Autorizzazioni basate su identità per Lake Formation e Athena

Chiunque utilizzi Athena per eseguire query sui dati registrati con Lake Formation deve disporre di una policy di autorizzazione IAM che consente l'azione lakeformation:GetDataAccess. AWS politica gestita: AmazonAthenaFullAccess consente questa operazione. Se utilizzi policy inline, assicurati di aggiornare le policy di autorizzazione per consentire questa operazione.

In Lake Formation, un amministratore di data lake dispone delle autorizzazioni per creare oggetti metadati come database e tabelle, concedere autorizzazioni Lake Formation ad altri utenti e registrare nuove posizioni Amazon S3. Per registrare nuove posizioni, sono necessarie le autorizzazioni per il ruolo collegato ai servizi per Lake Formation. Per ulteriori informazioni, consulta Creare un amministratore di Data Lake e Autorizzazioni dei ruoli collegati ai servizi per Lake Formation nella Guida per gli sviluppatori di AWS Lake Formation .

Un utente Lake Formation può utilizzare Athena per eseguire query su database, tabelle, colonne di tabelle e datastore Amazon S3 sottostanti in base alle autorizzazioni LakeFormation concesse dagli amministratori di data lake. Gli utenti non possono creare database o tabelle o registrare nuove posizioni Amazon S3 con Lake Formation. Per ulteriori informazioni, consulta Create a Data Lake User (Creazione di un utente di data lake) nella Guida per gli sviluppatori di AWS Lake Formation .

In Athena, le policy di autorizzazione basate su identità, incluse quelle per i gruppi di lavoro Athena, controllano comunque l'accesso alle azioni Athena per gli utenti dell'account Amazon Web Services. Inoltre, l'accesso federato potrebbe essere fornito tramite l'autenticazione basata su SAML disponibile con i driver Athena. Per ulteriori informazioni, consulta Uso dei gruppi di lavoro per controllare l'accesso alle query e i costi, Policy IAM per l'accesso ai gruppi di lavoro e Abilitazione dell'accesso federato all'API Athena.

Per ulteriori informazioni, consulta Concedere autorizzazioni Lake Formation nella Guida per gli sviluppatori di AWS Lake Formation .

Autorizzazioni Amazon S3 per le posizioni dei risultati delle query Athena

Le posizioni dei risultati della query in Amazon S3 per Athena non possono essere registrate con Lake Formation. Le autorizzazioni Lake Formation non limitano l'accesso a queste posizioni. A meno che non si limiti l'accesso, gli utenti Athena possono accedere ai file dei risultati delle query e ai metadati quando non dispongono delle autorizzazioni Lake Formation per i dati. Per evitare questo problema, è consigliabile utilizzare i gruppi di lavoro per specificare la posizione dei risultati delle query e allineare l'appartenenza al gruppo di lavoro alle autorizzazioni Lake Formation. È quindi possibile utilizzare i criteri di autorizzazione IAM per limitare l'accesso ai percorsi dei risultati delle query Per ulteriori informazioni sui risultati delle query, consulta Utilizzo dei risultati delle query, delle query recenti e dei file di output.

Appartenenza dei gruppi di lavoro Athena alla cronologia delle query

La cronologia delle query Athena espone un elenco di query salvate e stringhe di query complete. A meno che non si utilizzino gruppi di lavoro per separare l'accesso alle cronologie delle query, gli utenti di Athena che non sono autorizzati a eseguire query sui dati in Lake Formation possono visualizzare le stringhe di query eseguite su tali dati, inclusi i nomi delle colonne, i criteri di selezione ecc. È consigliabile utilizzare i gruppi di lavoro per separare le cronologie delle query e allineare l'appartenenza al gruppo di lavoro Athena alle autorizzazioni Lake Formation per limitare gli accessi. Per ulteriori informazioni, consulta Uso dei gruppi di lavoro per controllare l'accesso alle query e i costi.

Autorizzazioni Lake Formation ai dati

Oltre all'autorizzazione di base per utilizzare Lake Formation, gli utenti Athena devono disporre delle autorizzazioni Lake Formation per accedere alle risorse su cui eseguono query. Queste autorizzazioni vengono concesse e gestite da un amministratore Lake Formation. Per ulteriori informazioni, consulta Security and Access Control to Metadata and Data (Sicurezza e controllo degli accessi ai metadati e ai dati) nella Guida per gli sviluppatori di AWS Lake Formation .

Autorizzazioni IAM per scrivere nelle posizioni Amazon S3

Le autorizzazioni Lake Formation per Amazon S3 non includono la possibilità di scrivere su Amazon S3. Create Table As Statements (CTAS) richiede l'accesso in scrittura alla posizione Amazon S3 delle tabelle. Per eseguire query CTAS sui dati registrati con Lake Formation, gli utenti di Athena devono disporre delle autorizzazioni IAM per scrivere nelle posizioni Amazon S3 delle tabelle, oltre alle autorizzazioni di Lake Formation appropriate per leggere le posizioni dei dati. Per ulteriori informazioni, consulta Creazione di una tabella dai risultati delle query (CTAS).

Autorizzazioni per dati crittografati, metadati e risultati delle query Athena

I dati di origine sottostanti in Amazon S3 e i metadati nel catalogo dati registrati con Lake Formation possono essere crittografati. Non vi è alcuna modifica al modo in cui Athena gestisce la crittografia dei risultati delle query quando si utilizza Athena per eseguire query sui dati registrati con Lake Formation. Per ulteriori informazioni, consulta Crittografia dei risultati di query Athena archiviati in Amazon S3.

• Crittografia dei dati di origine — È supportata la crittografia dei dati di origine delle posizioni dei dati di Amazon S3. Gli utenti Athena che eseguono query sulle posizioni Amazon S3 crittografate e registrate con Lake Formation hanno bisogno delle autorizzazioni per crittografare e decrittografare i dati. Per ulteriori informazioni sui requisiti, consultare Opzioni di crittografia supportate da Amazon S3 e Autorizzazioni di accesso a dati crittografati in Amazon S3.

• Crittografia dei metadati — È supportata la crittografia dei metadati nel catalogo dati. Per le entità principali che utilizzano le policy Athena basate su identità, è necessario consentire le operazioni "kms:GenerateDataKey", "kms:Decrypt" e "kms:Encrypt" per la chiave utilizzata per la crittografia dei metadati. Per ulteriori informazioni, consulta la sezione Crittografia del catalogo dati nella Guida per gli sviluppatori di AWS Glue e Accesso da Athena ai metadati crittografati nel AWS Glue Data Catalog.

Autorizzazioni basate su risorse per i bucket Amazon S3 negli account esterni (facoltativo)

Per eseguire una query su una posizione dei dati di Amazon S3 in un account diverso, una policy IAM basata sulle risorse (policy bucket) deve consentire l'accesso alla posizione. Per ulteriori informazioni, consulta Accesso tra account in Athena a bucket Amazon S3.

Per informazioni sull'accesso a un catalogo dati in un altro account, consulta Accesso al catalogo dati multi-account.