翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Athena のアクション、リソース、および条件キー
Amazon Athena (サービスプレフィックス: athena
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用できる API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法について説明します。
Amazon Athena で定義されるアクション
IAM ポリシーステートメントの Action
要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
BatchGetNamedQuery | 1 つまたは複数の名前付きクエリに関する情報を取得する許可を付与 | 読み取り | |||
BatchGetPreparedStatement | 1 つ以上のプリペアドステートメントに関する情報を取得する許可を付与します | 読み取り | |||
BatchGetQueryExecution | 1 つまたは複数の名クエリ実行に関する情報を取得する許可を付与 | 読み取り | |||
CancelCapacityReservation | キャパシティ予約をキャンセルする許可を付与 | 書き込み | |||
CancelQueryExecution | クエリの実行をキャンセルする許可を付与 廃止済み。1.1.0 より前のバージョンの Athena JDBC ドライバーを使用する AWS サービスとプリンシパルにのみ適用されます。それ以外の場合は StopQueryExecution を使用する | 書き込み | |||
CreateCapacityReservation | キャパシティ予約を作成する許可を付与 | 書き込み | |||
CreateDataCatalog | データカタログを作成する許可を付与 | 書き込み | |||
CreateNamedQuery | 名前付きクエリを作成する許可を付与 | 書き込み | |||
CreateNotebook | ノートブックを作成する許可を付与 | 書き込み | |||
CreatePreparedStatement | 準備済みステートメントを作成する許可を付与 | 書き込み | |||
CreatePresignedNotebookUrl | 署名付きのノートブック URL を作成する許可を付与 | 書き込み | |||
CreateWorkGroup | ワークグループを作成する許可を付与 | 書き込み | |||
DeleteCapacityReservation | キャパシティ予約を削除する許可を付与 | 書き込み | |||
DeleteDataCatalog | データカタログを削除する許可を付与 | 書き込み | |||
DeleteNamedQuery | 指定した名前付きクエリを削除する許可を付与 | 書き込み | |||
DeleteNotebook | ノートブックを削除する許可を付与 | 書き込み | |||
DeletePreparedStatement | 指定した準備済みステートメントを削除する許可を付与 | 書き込み | |||
DeleteWorkGroup | ワークグループを削除する許可を付与 | 書き込み | |||
ExportNotebook | ノートブックをエクスポートする許可を付与 | 書き込み | |||
GetCalculationExecution | 計算を実行する許可を付与 | 読み取り | |||
GetCalculationExecutionCode | 計算実行コードを取得する許可を付与 | 読み取り | |||
GetCalculationExecutionStatus | 計算実行ステータスを取得する許可を付与 | 読み取り | |||
GetCapacityAssignmentConfiguration | キャパシティ予約のキャパシティ割り当て情報を取得する許可を付与 | 読み取り | |||
GetCapacityReservation | キャパシティ予約を取得する許可を付与 | 読み取り | |||
GetCatalogs | データベースおよびテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 | 読み取り | |||
GetDataCatalog | データカタログを取得する許可を付与 | 読み取り | |||
GetDatabase | 特定のデータカタログのデータベースを取得する許可を付与 | 読み取り | |||
GetExecutionEngine | 指定したデータベースおよびテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 | 読み取り | |||
GetExecutionEngines | データベースおよびテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 | 読み取り | |||
GetNamedQuery | 指定した名前付きクエリに関する情報を取得する許可を付与 | 読み取り | |||
GetNamespace | 指定したデータベースおよびテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 | 読み取り | |||
GetNamespaces | データベースおよびテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 | 読み取り | |||
GetNotebookMetadata | ノートブックのメタデータを取得する許可を付与 | 読み取り | |||
GetPreparedStatement | 指定した準備済みステートメントに関する情報を取得する許可を付与 | 読み取り | |||
GetQueryExecution | 指定したクエリ実行に関する情報を取得する許可を付与 | 読み取り | |||
GetQueryExecutions | クエリを実行する許可を付与します。廃止済み。1.1.0 より前のバージョンの Athena JDBC ドライバーを使用する AWS サービスとプリンシパルにのみ適用されます。それ以外の場合は ListQueryExecutions を使用する | 読み取り | |||
GetQueryResults | クエリ結果を取得する許可を付与 | 読み取り | |||
GetQueryResultsStream | クエリ結果のストリーミングを取得する許可を付与 | 読み取り | |||
GetQueryRuntimeStatistics | 指定したクエリ実行のランタイムの統計を取得する許可を付与 | 読み取り | |||
GetSession | セッションを取得する許可を付与 | 読み取り | |||
GetSessionStatus | セッションステータスを取得する許可を付与 | 読み取り | |||
GetTable | 指定したテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 | 読み取り | |||
GetTableMetadata | 特定のデータカタログのテーブルに関するメタデータを取得する許可を付与 | 読み取り | |||
GetTables | テーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 | 読み取り | |||
GetWorkGroup | ワークグループを取得する許可を付与 | 読み取り | |||
ImportNotebook | ノートブックをインポートする許可を付与 | 書き込み | |||
ListApplicationDPUSizes | ApplicationRuntimeIds のリストを返すアクセス許可を付与します | リスト | |||
ListCalculationExecutions | 計算実行のリストを返す許可を付与 | リスト | |||
ListCapacityReservations | 指定された のキャパシティ予約のリストを返すアクセス許可を付与します AWS アカウント | リスト | |||
ListDataCatalogs | 指定された のデータカタログのリストを返すアクセス許可を付与します AWS アカウント | リスト | |||
ListDatabases | 特定のデータカタログのデータベースのリストを返す許可を付与 | リスト | |||
ListEngineVersions | 指定された の athena エンジンバージョンのリストを返すアクセス許可を付与します AWS アカウント | 読み取り | |||
ListExecutors | 実行者のリストを返す許可を付与 | リスト | |||
ListNamedQueries | 指定された の Amazon Athena の名前付きクエリのリストを返すアクセス許可を付与します AWS アカウント | リスト | |||
ListNotebookMetadata | 特定のワークグループに関するノートブックのリストを返す許可を付与 | リスト | |||
ListNotebookSessions | 特定のノートブックに関するセッションのリストを返す許可を付与 | リスト | |||
ListPreparedStatements | 指定したワークグループの準備済みステートメントのリストを返す許可を付与 | リスト | |||
ListQueryExecutions | 指定された のクエリ実行のリストを返すアクセス許可を付与します AWS アカウント | 読み取り | |||
ListSessions | 特定のワークグループに関するセッションのリストを返す許可を付与 | リスト | |||
ListTableMetadata | 特定のデータカタログのデータベース内のテーブルに関するメタデータのリストを返す許可を付与 | 読み取り | |||
ListTagsForResource | リソースのタグのリストを返す許可を付与 | 読み取り | |||
ListWorkGroups | 指定された のワークグループのリストを返すアクセス許可を付与します AWS アカウント | リスト | |||
PutCapacityAssignmentConfiguration | キャパシティ予約からクエリにキャパシティを割り当てる許可を付与 | 書き込み | |||
RunQuery | クエリを実行する許可を付与 廃止済み。1.1.0 より前のバージョンの Athena JDBC ドライバーを使用する AWS サービスとプリンシパルにのみ適用されます。それ以外の場合は StartQueryExecution を使用する | 書き込み | |||
StartCalculationExecution | 計算実行を開始する許可を付与 | 書き込み | |||
StartQueryExecution | 文字列として指定された SQL クエリを使用してクエリ実行を開始するアクセス許可を付与します | 書き込み | |||
StartSession | セッションを開始する許可を付与 | 書き込み | |||
StopCalculationExecution | 計算実行を停止する許可を付与 | 書き込み | |||
StopQueryExecution | 指定したクエリ実行を停止する許可を付与 | 書き込み | |||
TagResource | リソースにタグを追加する許可を付与 | タグ付け | |||
TerminateSession | セッションを終了する許可を付与 | 書き込み | |||
UntagResource | リソースからタグを削除する許可を付与 | タグ付け | |||
UpdateCapacityReservation | キャパシティ予約を更新する許可を付与 | 書き込み | |||
UpdateDataCatalog | データカタログを更新する許可を付与 | 書き込み | |||
UpdateNamedQuery | 指定した名前付きクエリを更新する許可を付与 | 書き込み | |||
UpdateNotebook | ノートブックを更新する許可を付与 | 書き込み | |||
UpdateNotebookMetadata | ノートブックのメタデータを更新する許可を付与 | 書き込み | |||
UpdatePreparedStatement | 準備済みステートメントを更新する許可を付与 | 書き込み | |||
UpdateWorkGroup | ワークグループを更新する許可を付与 | 書き込み |
Amazon Athena で定義されるリソースタイプ
次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource
要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
リソースタイプ | ARN | 条件キー |
---|---|---|
datacatalog |
arn:${Partition}:athena:${Region}:${Account}:datacatalog/${DataCatalogName}
|
|
workgroup |
arn:${Partition}:athena:${Region}:${Account}:workgroup/${WorkGroupName}
|
|
capacity-reservation |
arn:${Partition}:athena:${Region}:${Account}:capacity-reservation/${CapacityReservationName}
|
Amazon Athena の条件キー
Amazon Athena では、IAM ポリシーの Condition
要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
条件キー | 説明 | [Type] (タイプ) |
---|---|---|
aws:RequestTag/${TagKey} | リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします | 文字列 |
aws:ResourceTag/${TagKey} | リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします | 文字列 |
aws:TagKeys | リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングする | ArrayOfString |