ワークグループのセットアップ - Amazon Athena

ワークグループのセットアップ

ワークグループをセットアップするには、ワークグループを作成し、それらの使用に対するアクセス権限を確立する必要があります。まず、組織が必要とするワークグループを決定し、作成します。次に、workgroup リソースでのユーザーアクセスおよびアクションを制御する IAM ワークグループポリシーをセットアップします。これで、これらのワークグループにアクセスできるユーザーは、その中でクエリを実行できるようになります。

注記

初めて使用するときには、これらのタスクを使用してワークグループをセットアップします。Athena アカウントがすでにワークグループを使用している場合、各アカウントのユーザーには、そのアカウントの 1 つ、または複数のワークグループでクエリを実行するための許可が必要です。クエリを実行する前に、IAM ポリシーを確認してアクセスできるワークグループを確認し、必要に応じてポリシーを調整して、使用する予定のワークグループに切り替えます。

デフォルトでは、ワークグループを作成していない場合、アカウントのすべてのクエリはプライマリワークグループで実行されます。

Athena では、コンソールの右上にある [Workgroup] (ワークグループ) オプションに、現在のワークグループが表示されます。このオプションを使用して、ワークグループを切り替えることができます。クエリを実行すると、現在のワークグループでクエリが実行されます。コンソールのワークグループでクエリを実行するか、JDBC または ODBC ドライバーを介して API オペレーション、コマンドラインインターフェイス、またはクライアントアプリケーションを使用してクエリを実行できます。ワークグループにアクセスすると、そのワークグループの設定、メトリクス、およびデータ使用量の制御制限を表示できます。設定およびデータ使用量の制御制限を編集できる追加のアクセス許可を持つことができます。

ワークグループをセットアップするには

  1. 作成するワークグループを決定します。たとえば、次のことを決定できます。

    • 各ワークグループでクエリを実行できるユーザー、およびワークグループ設定を所有しているユーザー。これにより、作成する IAM ポリシーが決まります。詳細については、「 ワークグループにアクセスするための IAM ポリシー」を参照してください。

    • 各ワークグループで実行されるクエリのクエリ結果に使用する Amazon S3 内の場所。この場所は、ワークグループのクエリ結果にこれを指定する前に、Amazon S3 内に存在している必要があります。ワークグループを使用するすべてのユーザーは、この場所にアクセスできる必要があります。詳細については、「ワークグループ設定」を参照してください。

    • Simple Storage Service (Amazon S3) クエリ結果バケットの所有者が、バケットに書き込まれる新しいオブジェクトに対するフルコントロールを所有するかどうか。たとえば、クエリ結果の場所を別のアカウントが所有している場合に、クエリ結果の所有権とフルコントロールを他のアカウントに付与することができます。詳細については、「AclConfiguration」を参照してください。

    • 出力先のバケットの所有者になることが予想される AWS アカウント の ID を指定します。これは、オプションで追加できるセキュリティ対策です。バケット所有者のアカウント ID がここで指定した ID と一致しない場合、バケットに出力できません。詳細については、「Amazon S3 ユーザーガイド」の「バケット所有者条件によるバケット所有者の確認」を参照してください。この設定は、CTAS、INSERT INTO、UNLOAD ステートメントには適用されません。

    • どの暗号化設定が必要か、およびどのワークグループに暗号化する必要があるクエリがあるか。暗号化されたクエリと暗号化されていないクエリには別々のワークグループを作成することをお勧めします。そうすることで、その中で実行されるすべてのクエリに適用されるワークグループに対して暗号化を強制できます。詳細については、「Amazon S3 に保存された Athena のクエリ結果の暗号化」を参照してください。

  2. 必要に応じてワークグループを作成し、それらにタグを追加します。この手順については、「ワークグループの作成」を参照してください。

  3. ユーザー、グループ、またはロール用の IAM ポリシーを作成して、それらがワークグループにアクセスできるようにします。ポリシーは、ワークグループメンバーシップおよび workgroup リソースのアクションへのアクセスを確立します。詳細なステップについては、「 ワークグループにアクセスするための IAM ポリシー」を参照してください。JSON ポリシーの例については、「ワークグループとタグへのアクセス」を参照してください。

  4. ワークグループ設定を指定します。クエリ結果用に Simple Storage Service (Amazon S3) の場所を指定し、オプションで予想されるバケット所有者と暗号化設定、クエリ結果バケットに書き込まれるオブジェクトのコントロールを指定します。ワークグループ設定を強制できます。詳細については、「ワークグループ設定」を参照してください。

    重要

    [override client-side settings] (クライアント側の設定を上書きする) 場合は、Athena がワークグループの設定を使用します。これは、ドライバー、コマンドラインインターフェイス、または API オペレーションを使用してコンソールで実行するクエリに影響します。

    クエリの実行が継続されている間に、特定の Amazon S3 バケットでの結果の可用性に基づいて構築されたオートメーションが破損する可能性があります。上書きする前に、ユーザーに通知することをお勧めします。ワークグループ設定を上書きするように設定した後は、ドライバーまたは API でクライアント側の設定の指定を省略できます。

  5. クエリの実行に使用するワークグループをユーザーに通知します。使用できるワークグループ名、必要な IAM ポリシー、およびワークグループ設定についてアカウントのユーザーに通知する E メールを送信します。

  6. クエリおよびワークグループについて、データ使用量の制御制限とも呼ばれるコスト管理制限を設定します。しきい値を超過したときに通知を送るには、Amazon SNS トピックを作成してサブスクリプションを設定します。詳しい手順については、「データ使用量の制御制限の設定」と、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。

  7. ワークグループに切り替え、クエリを実行できるようにします。クエリを実行するには、適切なワークグループに切り替えます。詳細なステップについては、「クエリを実行するワークグループの指定」を参照してください。