設定、管理、プログラムによるアクセス
Amazon Web Services に既にサインアップしている場合は、Amazon Athena の使用を今すぐ開始できます。AWS にまだサインアップしていない場合、または開始するのにサポートが必要な場合は、必ず次のタスクを完了します。
AWS アカウントへのサインアップ
AWS アカウント がない場合は、以下のステップを実行して作成します。
AWS アカウントにサインアップするには
オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。
AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべてのAWS のサービスとリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。
サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。https://aws.amazon.com/
管理アクセスを持つユーザーを作成する
AWS アカウント にサインアップしたら、AWS アカウントのルートユーザー をセキュリティで保護し、AWS IAM Identity Center を有効にして、管理ユーザーを作成します。これにより、日常的なタスクにルートユーザーを使用しないようにします。
AWS アカウントのルートユーザーをセキュリティで保護する
-
ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console
にサインインします。次のページでパスワードを入力します。 ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドのルートユーザーとしてサインインするを参照してください。
-
ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、IAM ユーザーガイドのAWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)を参照してください。
管理アクセスを持つユーザーを作成する
-
IAM アイデンティティセンターを有効にします。
手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Center の有効化」を参照してください。
-
IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
IAM アイデンティティセンターディレクトリ をアイデンティティソースとして使用するチュートリアルについては、「AWS IAM Identity Center ユーザーガイド」の「デフォルト IAM アイデンティティセンターディレクトリを使用したユーザーアクセスの設定」を参照してください。
管理アクセス権を持つユーザーとしてサインインする
-
IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドのAWS アクセスポータルにサインインするを参照してください。
追加のユーザーにアクセス権を割り当てる
プログラム的なアクセス権を付与する
AWS Management Console の外部で AWS を操作するには、プログラマチックアクセス権が必要です。プログラマチックアクセス権を付与する方法は、AWS にアクセスしているユーザーのタイプによって異なります。
ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。
プログラマチックアクセス権を必要とするユーザー | 目的 | 方法 |
---|---|---|
ワークフォースアイデンティティ (IAM Identity Center で管理されているユーザー) |
一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラマチックリクエストに署名します。 |
使用するインターフェイス用の手引きに従ってください。
|
IAM | 一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラムによるリクエストに署名します。 | 「IAM ユーザーガイド」の「AWS リソースでの一時的な認証情報の使用」の指示に従ってください。 |
IAM | (非推奨) 長期的な認証情報を使用して、AWS CLI、AWS SDK、AWS API へのプログラムによるリクエストに署名します。 |
使用するインターフェイス用の手順に従ってください。
|
Athena を使用するためのマネージドポリシーをアタッチする
Athena マネージドポリシーは Athena 機能を使用するアクセス許可を付与します。これらのマネージドポリシーを、ユーザーが Athena を使用するために割り当てられる 1 つ以上の IAM ロールにアタッチできます。
IAM ロールは、特定の許可があり、アカウントで作成できるもう 1 つの IAM アイデンティティです。IAM ロールは、ID が AWS で実行できることとできないことを決定する許可ポリシーを持つ AWS ID であるという点で IAM ユーザーと似ています。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。
ロールの詳細については、「IAM ユーザーガイド」の「IAM ロール」および「IAM ロールの作成」を参照してください。
Athena へのアクセスを付与するロールを作成するには、そのロールに Athena マネージドポリシーをアタッチします。Athena には AmazonAthenaFullAccess
と AWSQuicksightAthenaAccess
の 2 つのマネージドポリシーがあります。これらのポリシーは、代わりに、Amazon S3 にクエリを実行し、クエリ結果を別のバケットに書き込むためのアクセス許可を Athena に付与します。Athena のポリシーの内容を確認するには、「Amazon Athena の AWS 管理ポリシー」を参照してください。
Athena マネージドポリシーをロールにアタッチする手順については、「IAM ユーザーガイド」の「IAM ID アクセス許可の追加 (コンソール)」に従って、AmazonAthenaFullAccess
および AWSQuicksightAthenaAccess
のマネージドポリシーを、作成したロールに追加します。
注記
Amazon S3 内の基盤となるデータセットにアクセスするには、追加の許可が必要になる場合があります。アカウントの所有者ではないか、バケットへのアクセスが制限されている場合は、バケット所有者に連絡してリソースベースのバケットポリシーを使用するアクセス権を付与してもらうか、アカウント管理者に連絡してロールベースのポリシーを使用するアクセス権を付与してもらいます。詳細については、「Athena から Amazon S3 へのアクセスを制御する」を参照してください。データセットまたは Athena クエリ結果が暗号化されている場合は、追加の許可が必要になる場合があります。詳細については、「保管中の暗号化」を参照してください。