Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Amazon Athena
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.
Considerazioni sull'utilizzo di policy gestite con Athena
Le policy gestite sono facili da utilizzare e vengono aggiornate automaticamente con le operazioni richieste con l'evolvere del servizio. Quando utilizzi le policy gestite con Athena, tieni presente quanto segue:
-
Per consentire o negare operazioni di servizio Amazon Athena per te stesso o altri utenti che utilizzano AWS Identity and Access Management (IAM), devi allegare le policy basate su identità ai principali come utenti o gruppi.
-
Ogni policy basata su identità è formata da istruzioni che definiscono le operazioni consentite o negate. Per ulteriori informazioni e step-by-step istruzioni su come allegare una policy a un utente, consulta Allegare policy gestite nella IAM User Guide. Per un elenco delle operazioni, consulta la documentazione di riferimento dell'API di Amazon Athena.
-
Le policy basate sulle identità gestite dal cliente e inline permettono di specificare operazioni Athena più dettagliate all'interno di una policy per ottimizzare l'accesso. Consigliamo di utilizzare la policy
AmazonAthenaFullAccesscome punto di partenza e successivamente concedere o negare operazioni specifiche elencate nella documentazione di riferimento dell'API di Amazon Athena. Per ulteriori informazioni sulle policy inline, consulta Policy gestite e policy inline nella Guida per l'utente di IAM. -
Se disponi anche di principali che si collegano utilizzando JDBC, devi fornire le credenziali del driver JDBC all'applicazione. Per ulteriori informazioni, consulta Accesso tramite connessioni JDBC e ODBC.
-
Se hai crittografato il AWS Glue Data Catalog, devi specificare azioni aggiuntive nelle policy IAM basate sull'identità per Athena. Per ulteriori informazioni, consulta Accesso da Athena ai metadati crittografati nel AWS Glue Data Catalog.
-
Se crei e usi i gruppi di lavoro, verifica che le tue policy includano l'accesso rilevante alle operazioni dei gruppi di lavoro. Per informazioni dettagliate, consulta Policy IAM per l'accesso ai gruppi di lavoro e Esempi di policy per i gruppi di lavoro.
AWS politica gestita: AmazonAthenaFullAccess
La policy gestita AmazonAthenaFullAccess concede accesso completo ad Athena.
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.
-
Utenti IAM:
-
Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.
-
Raggruppamenti di autorizzazioni
La policy AmazonAthenaFullAccess è raggruppata nei seguenti set di autorizzazioni.
-
athena: consente ai principali di accedere alle risorse Athena. -
glue— Consente ai principali l'accesso a AWS Glue database, tabelle e partizioni. Ciò è necessario affinché il preside possa utilizzarlo AWS Glue Data Catalog con Athena. -
s3: consente al principale di scrivere e leggere i risultati delle query da Amazon S3, di leggere esempi di dati Athena disponibili pubblicamente che risiedono in Amazon S3 e di elencare i bucket. Questo è necessario in modo che il principale possa utilizzare Athena per lavorare con Amazon S3. -
sns: consente ai principali di elencare gli argomenti di Amazon SNS e ottenere gli attributi degli argomenti. Ciò consente ai responsabili di utilizzare gli argomenti Amazon SNS con Athena a scopo di monitoraggio e avviso. -
cloudwatch— Consente ai responsabili di creare, leggere ed eliminare CloudWatch allarmi. Per ulteriori informazioni, consulta Controllo dei costi e monitoraggio delle interrogazioni con metriche ed eventi CloudWatch . -
lakeformation: consente ai principali di richiedere credenziali temporanee per accedere ai dati in una posizione data lake registrata con Lake Formation. Per ulteriori informazioni, consulta Controlli dell'accesso ai dati sottostantinella Guida per sviluppatori AWS di Lake Formation. -
datazone— Consente ai mandanti di elencare DataZone progetti, domini e ambienti Amazon. Per informazioni sull'utilizzo DataZone in Athena, vedere. Utilizzo di Amazon DataZone in Athena -
pricing— Fornisce l'accesso a. AWS Billing and Cost Management Per ulteriori informazioni, GetProductsconsulta l'AWS Billing and Cost Management API Reference.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BaseAthenaPermissions", "Effect": "Allow", "Action": [ "athena:*" ], "Resource": [ "*" ] }, { "Sid": "BaseGluePermissions", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition", "glue:StartColumnStatisticsTaskRun", "glue:GetColumnStatisticsTaskRun", "glue:GetColumnStatisticsTaskRuns" ], "Resource": [ "*" ] }, { "Sid": "BaseQueryResultsPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Sid": "BaseAthenaExamplesPermissions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::athena-examples*" ] }, { "Sid": "BaseS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": [ "*" ] }, { "Sid": "BaseSNSPermissions", "Effect": "Allow", "Action": [ "sns:ListTopics", "sns:GetTopicAttributes" ], "Resource": [ "*" ] }, { "Sid": "BaseCloudWatchPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarms", "cloudwatch:DeleteAlarms", "cloudwatch:GetMetricData" ], "Resource": [ "*" ] }, { "Sid": "BaseLakeFormationPermissions", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] }, { "Sid": "BaseDataZonePermissions", "Effect": "Allow", "Action": [ "datazone:ListDomains", "datazone:ListProjects", "datazone:ListAccountEnvironments" ], "Resource": [ "*" ] }, { "Sid": "BasePricingPermissions", "Effect": "Allow", "Action": [ "pricing:GetProducts" ], "Resource": [ "*" ] } ] }
AWS politica gestita: AWSQuicksightAthenaAccess
AWSQuicksightAthenaAccessconcede l'accesso alle azioni QuickSight richieste da Amazon per l'integrazione con Athena. È possibile allegare la policy AWSQuicksightAthenaAccessalle identità IAM. Allega questa politica solo ai mandanti che utilizzano Amazon QuickSight con Athena. Questa policy include alcune operazioni per Athena che sono obsolete e non incluse nell'API pubblica corrente oppure che vengono utilizzate solo con i driver JDBC e ODBC.
Raggruppamenti di autorizzazioni
La policy AWSQuicksightAthenaAccess è raggruppata nei seguenti set di autorizzazioni.
-
athena: consente al principale di eseguire query sulle risorse Athena. -
glue— Consente ai principali di accedere a AWS Glue database, tabelle e partizioni. Ciò è necessario affinché il preside possa utilizzarlo AWS Glue Data Catalog con Athena. -
s3: consente al principale di scrivere e leggere i risultati delle query da Amazon S3. -
lakeformation: consente ai principali di richiedere credenziali temporanee per accedere ai dati in una posizione data lake registrata con Lake Formation. Per ulteriori informazioni, consulta Controlli dell'accesso ai dati sottostantinella Guida per sviluppatori AWS di Lake Formation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:BatchGetQueryExecution", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetQueryResultsStream", "athena:ListQueryExecutions", "athena:StartQueryExecution", "athena:StopQueryExecution", "athena:ListWorkGroups", "athena:ListEngineVersions", "athena:GetWorkGroup", "athena:GetDataCatalog", "athena:GetDatabase", "athena:GetTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] } ] }
Athena aggiorna le policy gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Athena da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Modifica | Descrizione | Data |
|---|---|---|
|
AmazonAthenaFullAccess: aggiornamento a policy esistente |
Sono state aggiunte |
3 gennaio 2024 |
|
AmazonAthenaFullAccess: aggiornamento a policy esistente |
Le |
3 gennaio 2024 |
|
AmazonAthenaFullAccess: aggiornamento a policy esistente |
Athena ha aggiunto |
25 gennaio 2023 |
|
AmazonAthenaFullAccess: aggiornamento a policy esistente |
Athena aggiunta |
14 novembre 2022 |
|
AmazonAthenaFullAccesse AWSQuicksightAthenaAccess— Aggiornamenti alle politiche esistenti |
Athena ha aggiunto |
7 luglio 2021 |
|
Athena ha iniziato a monitorare le modifiche |
Athena ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. |
7 luglio 2021 |
