Amazon Athena
ユーザーガイド

ユーザーアクセス用の管理ポリシー

AWS Identity and Access Management (IAM) を使用して自分自身または他のユーザーに対して Amazon Athena サービスアクションを許可または拒否するには、ユーザーやグループなどのプリンシパルにアイデンティティベースのポリシーをアタッチします。

各アイデンティティベースのポリシーは、許可または拒否されるアクションを定義するステートメントで構成されます。ポリシーをユーザーにアタッチするための詳細と手順については、AWS Identity and Access Management ユーザーガイドの「管理ポリシーのアタッチ」を参照してください。アクションの一覧については、Amazon Athena API リファレンスを参照してください。

管理ポリシーは使用しやすく、サービスの高度化に伴い必要になるアクションで自動的に更新されます。

Athena には以下の管理ポリシーがあります。

  • AmazonAthenaFullAccess 管理ポリシーは Athena へのフルアクセスを付与します。これを、Athena へのフルアクセスを必要とするユーザーや他のプリンシパルにアタッチします。「AmazonAthenaFullAccess 管理ポリシー」を参照してください。

  • AWSQuicksightAthenaAccess 管理ポリシーでは、Amazon QuickSight と Athena の統合に必要なアクションに対するアクセス権を付与します。このポリシーは、Amazon QuickSight を Athena と併用するプリンシパルにアタッチします。「AWSQuicksightAthenaAccess 管理ポリシー」を参照してください。

カスタマー管理ポリシーおよびアイデンティティベースのインラインポリシーを使用すると、ポリシー内でより詳細な Athena アクションを指定してアクセスを微調整できます。AmazonAthenaFullAccess ポリシーを開始点として使用し、次に Amazon Athena API リファレンスに示されている特定のアクションを許可または拒否することをお勧めします。インラインポリシーの詳細については、AWS Identity and Access Management ユーザーガイドの「管理ポリシーとインラインポリシー」を参照してください。

JDBC を使用して接続するプリンシパルに対しては、JDBC ドライバーの認証情報をアプリケーションに提供する必要があります。詳細については、「JDBC 接続のサービスアクション」を参照してください。

Athena で AWS Glue を使用し、AWS Glue データカタログを暗号化している場合は、Athena のアイデンティティベースの IAM ポリシーで追加のアクションを指定する必要があります。詳細については、「AWS Glue データカタログの暗号化されたメタデータへのアクセス」を参照してください。

重要

ワークグループを作成して使用する場合、ポリシーにワークグループアクションへの適切なアクセス許可が含まれていることを確認してください。詳細については、「 ワークグループにアクセスするための IAM ポリシー」および「ワークグループのポリシーの例」を参照してください。