Amazon Athena のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Athena のアクション、リソース、および条件キー

Amazon Athena (サービスプレフィックス: athena) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

Amazon Athena で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
BatchGetNamedQuery 1 つまたは複数の名前付きクエリに関する情報を取得する許可を付与 読み取り

workgroup*

BatchGetPreparedStatement 1 つ以上のプリペアドステートメントに関する情報を取得する許可を付与します 読み取り

workgroup*

BatchGetQueryExecution 1 つまたは複数の名クエリ実行に関する情報を取得する許可を付与 読み取り

workgroup*

CancelCapacityReservation キャパシティ予約をキャンセルする許可を付与 書き込み

capacity-reservation*

CancelQueryExecution クエリの実行をキャンセルする許可を付与 廃止済み。1.1.0 より前のバージョンの Athena JDBC ドライバーを使用する AWS サービスとプリンシパルにのみ適用されます。それ以外の場合は StopQueryExecution を使用する 書き込み

workgroup*

CreateCapacityReservation キャパシティ予約を作成する許可を付与 書き込み

capacity-reservation*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDataCatalog データカタログを作成する許可を付与 書き込み

datacatalog*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateNamedQuery 名前付きクエリを作成する許可を付与 書き込み

workgroup*

CreateNotebook ノートブックを作成する許可を付与 書き込み

workgroup*

CreatePreparedStatement 準備済みステートメントを作成する許可を付与 書き込み

workgroup*

CreatePresignedNotebookUrl 署名付きのノートブック URL を作成する許可を付与 書き込み

workgroup*

CreateWorkGroup ワークグループを作成する許可を付与 書き込み

workgroup*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteCapacityReservation キャパシティ予約を削除する許可を付与 書き込み

capacity-reservation*

DeleteDataCatalog データカタログを削除する許可を付与 書き込み

datacatalog*

DeleteNamedQuery 指定した名前付きクエリを削除する許可を付与 書き込み

workgroup*

DeleteNotebook ノートブックを削除する許可を付与 書き込み

workgroup*

DeletePreparedStatement 指定した準備済みステートメントを削除する許可を付与 書き込み

workgroup*

DeleteWorkGroup ワークグループを削除する許可を付与 書き込み

workgroup*

ExportNotebook ノートブックをエクスポートする許可を付与 書き込み

workgroup*

GetCalculationExecution 計算を実行する許可を付与 読み取り

workgroup*

GetCalculationExecutionCode 計算実行コードを取得する許可を付与 読み取り

workgroup*

GetCalculationExecutionStatus 計算実行ステータスを取得する許可を付与 読み取り

workgroup*

GetCapacityAssignmentConfiguration キャパシティ予約のキャパシティ割り当て情報を取得する許可を付与 読み取り

capacity-reservation*

GetCapacityReservation キャパシティ予約を取得する許可を付与 読み取り

capacity-reservation*

GetCatalogs データベースおよびテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 読み取り
GetDataCatalog データカタログを取得する許可を付与 読み取り

datacatalog*

GetDatabase 特定のデータカタログのデータベースを取得する許可を付与 読み取り

datacatalog*

GetExecutionEngine 指定したデータベースおよびテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 読み取り
GetExecutionEngines データベースおよびテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 読み取り
GetNamedQuery 指定した名前付きクエリに関する情報を取得する許可を付与 読み取り

workgroup*

GetNamespace 指定したデータベースおよびテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 読み取り
GetNamespaces データベースおよびテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 読み取り
GetNotebookMetadata ノートブックのメタデータを取得する許可を付与 読み取り

workgroup*

GetPreparedStatement 指定した準備済みステートメントに関する情報を取得する許可を付与 読み取り

workgroup*

GetQueryExecution 指定したクエリ実行に関する情報を取得する許可を付与 読み取り

workgroup*

GetQueryExecutions クエリを実行する許可を付与します。廃止済み。1.1.0 より前のバージョンの Athena JDBC ドライバーを使用する AWS サービスとプリンシパルにのみ適用されます。それ以外の場合は ListQueryExecutions を使用する 読み取り
GetQueryResults クエリ結果を取得する許可を付与 読み取り

workgroup*

GetQueryResultsStream クエリ結果のストリーミングを取得する許可を付与 読み取り

workgroup*

GetQueryRuntimeStatistics 指定したクエリ実行のランタイムの統計を取得する許可を付与 読み取り

workgroup*

GetSession セッションを取得する許可を付与 読み取り

workgroup*

GetSessionStatus セッションステータスを取得する許可を付与 読み取り

workgroup*

GetTable 指定したテーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 読み取り
GetTableMetadata 特定のデータカタログのテーブルに関するメタデータを取得する許可を付与 読み取り

datacatalog*

GetTables テーブルへのアクセス許可を付与します。Athena JDBC ドライバーバージョン 1.1.0 を使用する AWS サービス管理ポリシーとプリンシパルにのみ適用されます。 読み取り
GetWorkGroup ワークグループを取得する許可を付与 読み取り

workgroup*

ImportNotebook ノートブックをインポートする許可を付与 書き込み

workgroup*

ListApplicationDPUSizes ApplicationRuntimeIds のリストを返すアクセス許可を付与します リスト
ListCalculationExecutions 計算実行のリストを返す許可を付与 リスト

workgroup*

ListCapacityReservations 指定された のキャパシティ予約のリストを返すアクセス許可を付与します AWS アカウント リスト
ListDataCatalogs 指定された のデータカタログのリストを返すアクセス許可を付与します AWS アカウント リスト
ListDatabases 特定のデータカタログのデータベースのリストを返す許可を付与 リスト

datacatalog*

ListEngineVersions 指定された の athena エンジンバージョンのリストを返すアクセス許可を付与します AWS アカウント 読み取り
ListExecutors 実行者のリストを返す許可を付与 リスト
ListNamedQueries 指定された の Amazon Athena の名前付きクエリのリストを返すアクセス許可を付与します AWS アカウント リスト

workgroup*

ListNotebookMetadata 特定のワークグループに関するノートブックのリストを返す許可を付与 リスト

workgroup*

ListNotebookSessions 特定のノートブックに関するセッションのリストを返す許可を付与 リスト

workgroup*

ListPreparedStatements 指定したワークグループの準備済みステートメントのリストを返す許可を付与 リスト

workgroup*

ListQueryExecutions 指定された のクエリ実行のリストを返すアクセス許可を付与します AWS アカウント 読み取り

workgroup*

ListSessions 特定のワークグループに関するセッションのリストを返す許可を付与 リスト

workgroup*

ListTableMetadata 特定のデータカタログのデータベース内のテーブルに関するメタデータのリストを返す許可を付与 読み取り

datacatalog*

ListTagsForResource リソースのタグのリストを返す許可を付与 読み取り

capacity-reservation*

datacatalog*

workgroup*

ListWorkGroups 指定された のワークグループのリストを返すアクセス許可を付与します AWS アカウント リスト
PutCapacityAssignmentConfiguration キャパシティ予約からクエリにキャパシティを割り当てる許可を付与 書き込み

capacity-reservation*

workgroup*

RunQuery クエリを実行する許可を付与 廃止済み。1.1.0 より前のバージョンの Athena JDBC ドライバーを使用する AWS サービスとプリンシパルにのみ適用されます。それ以外の場合は StartQueryExecution を使用する 書き込み
StartCalculationExecution 計算実行を開始する許可を付与 書き込み

workgroup*

StartQueryExecution 文字列として指定された SQL クエリを使用してクエリ実行を開始するアクセス許可を付与します 書き込み

workgroup*

StartSession セッションを開始する許可を付与 書き込み

workgroup*

StopCalculationExecution 計算実行を停止する許可を付与 書き込み

workgroup*

StopQueryExecution 指定したクエリ実行を停止する許可を付与 書き込み

workgroup*

TagResource リソースにタグを追加する許可を付与 タグ付け

capacity-reservation*

datacatalog*

workgroup*

aws:RequestTag/${TagKey}

aws:TagKeys

TerminateSession セッションを終了する許可を付与 書き込み

workgroup*

UntagResource リソースからタグを削除する許可を付与 タグ付け

capacity-reservation*

datacatalog*

workgroup*

aws:TagKeys

UpdateCapacityReservation キャパシティ予約を更新する許可を付与 書き込み

capacity-reservation*

UpdateDataCatalog データカタログを更新する許可を付与 書き込み

datacatalog*

UpdateNamedQuery 指定した名前付きクエリを更新する許可を付与 書き込み

workgroup*

UpdateNotebook ノートブックを更新する許可を付与 書き込み

workgroup*

UpdateNotebookMetadata ノートブックのメタデータを更新する許可を付与 書き込み

workgroup*

UpdatePreparedStatement 準備済みステートメントを更新する許可を付与 書き込み

workgroup*

UpdateWorkGroup ワークグループを更新する許可を付与 書き込み

workgroup*

Amazon Athena で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
datacatalog arn:${Partition}:athena:${Region}:${Account}:datacatalog/${DataCatalogName}

aws:ResourceTag/${TagKey}

workgroup arn:${Partition}:athena:${Region}:${Account}:workgroup/${WorkGroupName}

aws:ResourceTag/${TagKey}

capacity-reservation arn:${Partition}:athena:${Region}:${Account}:capacity-reservation/${CapacityReservationName}

aws:ResourceTag/${TagKey}

Amazon Athena の条件キー

Amazon Athena では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアが存在するかどうかでアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグのキーと値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーが存在するかどうかでアクセスをフィルタリングする ArrayOfString