Criar um grupo de trabalho - Amazon Athena

Criar um grupo de trabalho

Criar um grupo de trabalho requer permissões para ações da API CreateWorkgroup. Consulte Configurar o acesso a grupos de trabalho e tags e Usar políticas do IAM para controlar o acesso de grupo de trabalho. Se você adicionar tags, também precisará adicionar permissões para TagResource. Consulte Exemplos de política de etiquetas para grupos de trabalho.

O procedimento a seguir mostra como usar o console do Athena para criar um grupo de trabalho. Para criar um grupo de trabalho usando a API do Athena, consulte CreateWorkGroup.

Para criar um grupo de trabalho no console do Athena

  1. Decida quais grupos de trabalho deseja criar. Estes são alguns fatores que devem ser considerados:

    • Quem pode executar consultas em cada grupo de trabalho e de quem é a configuração do grupo de trabalho. Use as políticas do IAM para impor as permissões de grupo de trabalho. Para ter mais informações, consulte Usar políticas do IAM para controlar o acesso de grupo de trabalho.

    • O local no Amazon S3 a ser usada para os resultados das consultas do grupo de trabalho. Todos os usuários do grupo de trabalho devem ter acesso a esse local.

    • Se os resultados de consultas do grupo de trabalho devem ou não ser criptografados. Como a criptografia é definida para o grupo de trabalho (não para a consulta), você deve criar grupos de trabalho separados para resultados de consultas criptografados e não criptografados. Para ter mais informações, consulte Criptografar os resultados de consultas do Athena armazenados no Amazon S3.

  2. Se o painel de navegação do console não estiver visível, escolha o menu de expansão à esquerda.

    Escolha o menu de expansão.

  3. No painel de navegação do console do Athena, escolha Workgroups (Grupos de trabalho).

  4. Na página Workgroups (Grupos de trabalho), escolha Create workgroup (Criar grupo de trabalho).

  5. Na página Create workgroup (Criar grupo de trabalho), preencha os campos da seguinte forma:

    Campo Descrição
    Workgroup name (Nome do grupo de trabalho) Obrigatório. Digite um nome exclusivo para seu grupo de trabalho. O nome pode conter de 1 a 128 caracteres, incluindo caracteres alfanuméricos, traços e sublinhados. Depois de criar um grupo de trabalho, não é possível alterar o nome dele.
    Descrição Opcional. Insira uma descrição para seu grupo de trabalho. Ela pode conter até 1024 caracteres.
    Choose the type of engine (Escolha o tipo de mecanismo)

    Escolha o Athena SQL (SQL do Athena) se você deseja executar consultas SQL ad-hoc em dados no Amazon S3 ou usar um conector de fonte de dados criado previamente para executar consultas federadas em uma variedade de fontes de dados externas ao Amazon S3. É possível executar consultas usando o editor de consultas do Athena ou a AWS CLI ou as APIs do Athena.

    Escolha o Apache Spark se você deseja criar, editar e executar aplicações de caderno Jupyter usando o Python e o Apache Spark. Os cadernos Jupyter contêm uma lista de células que podem incluir código, texto, Markdown, matemática, plotagens e mídia avançada. As células são executadas em ordem como cálculos em uma sessão interativa do caderno no Athena. Para obter informações sobre como criar e configurar um grupo de trabalho habilitado para Spark, consulte Etapa 1: criar um grupo de trabalho habilitado para Spark no Athena.

    Após a criação de um grupo de trabalho, o mecanismo de análise poderá ser atualizado (por exemplo, da versão 2 do mecanismo do Athena para a versão 3 do mecanismo do Athena), mas o tipo de mecanismo não poderá ser alterado. Por exemplo, um grupo de trabalho que usa a versão 3 do mecanismo Athena não poderá ser alterado para um grupo de trabalho que usa a versão 3 do mecanismo PySpark.
    Atualizar o mecanismo de consulta Escolha como você deseja atualizar seu grupo de trabalho quando uma nova versão do mecanismo de pesquisa do Athena for lançada. Você pode deixar que o Athena decida quando fazer upgrade do seu grupo de trabalho ou escolher manualmente uma versão do mecanismo. Para ter mais informações, consulte Versionamento do mecanismo do Athena.
    Autenticação Escolha AWS Identity and Access Management (IAM) para usar a autenticação ou a federação do IAM para o grupo de trabalho. Escolha Centro de Identidade do IAM se quiser oferecer suporte a identidades de força de trabalho, por exemplo, usuários e grupos de provedores de identidades do SAML 2.0, como o Microsoft Active Directory. Para obter mais informações, consulte Usar grupos de trabalho do Athena habilitados para o IAM Identity Center and Trusted identity propagation across applications no AWS IAM Identity Center User Guide. Depois que o grupo de trabalho é criado, você não pode mais alterar seu tipo de autenticação.
    Perfil de serviço para acesso ao Centro de Identidade do IAM O Athena requer permissões do IAM para acessar o Centro de Identidade do IAM em seu nome. Para obter mais informações sobre os perfis de serviço do IAM, consulte Criar um perfil para delegar permissões a um serviço da AWS no Guia do usuário do IAM.
    Location of query result (Local do resultado da consulta)

    (Opcional) Insira um caminho para um prefixo ou bucket do Amazon S3. O bucket e o prefixo devem existir antes que você especificá-los. Para obter informações sobre como criar um bucket do Amazon S3, consulte Criação de um bucket.

    nota

    Se você executar consultas no console, especificar o local dos resultados da consulta é opcional. Se você não especificá-lo para o grupo de trabalho nem em Settings (Configurações), a Athena usará o local do resultado da consulta padrão. Se você executar consultas com a API ou os drivers, deverá especificar o local dos resultados da consulta em pelo menos um de dois lugares: para consultas individuais, com OutputLocation, ou para o grupo de trabalho, com WorkGroupConfiguration.

    Expected bucket owner (Proprietário esperado do bucket) Opcional. Insira o ID da Conta da AWS que você espera ser a proprietária do bucket do local de saída. Essa é uma medida de segurança adicional. Se o ID da conta do proprietário do bucket não corresponder ao ID especificado aqui, as tentativas de saída para o bucket falharão. Para obter informações detalhadas, consulte Verificar propriedade do bucket com a condição de proprietário do bucket no Guia do usuário do Amazon S3.
    nota

    A configuração esperada do proprietário do bucket se aplica somente ao local de saída do Amazon S3 que você especificar para os resultados da consulta do Athena. Ela não se aplica a outros locais do Amazon S3, como locais de origem dos dados em buckets externos do Amazon S3, locais da tabela de destino CTAS e INSERT INTO, locais de saída da instrução UNLOAD, operações para buckets de vazamento para consultas federadas ou consultas SELECT executadas em uma tabela em outra conta.
    Assign bucket owner full control over query results (Atribuir controle total ao proprietário do bucket sobre resultados de consultas)

    Esse campo não é selecionado por padrão. Se essa opção for selecionada e ACLs estiverem habilitadas para o bucket de localização de resultados de consultas, você concede acesso de controle total sobre os resultados das consultas ao proprietário do bucket. Por exemplo, se a localização dos resultados das consultas pertencer a outra conta, será possível conceder propriedade e controle total sobre os resultados das consultas à outra conta.

    Se a configuração para S3 Object Ownership (Propriedade de objetos do S3) for Bucket owner preferred (Proprietário do bucket preferencial), o proprietário do bucket também possuirá todos os objetos de resultados de consultas gravados a partir deste grupo de trabalho. Por exemplo, quando o grupo de trabalho de uma conta externa habilita essa opção e define a localização dos resultados das consultas como o bucket do Amazon S3 da sua conta, cuja configuração S3 Object Ownership (Propriedade de objetos do S3) é Bucket owner preferred (Proprietário do bucket preferencial), você é o proprietário e tem acesso de controle total sobre os resultados da consulta do grupo de trabalho externo.

    A seleção dessa opção com a configuração configuração S3 Object Ownership (Propriedade de objetos do S3) definida como Bucket owner enforced (Proprietário do bucket imposto) não surte efeito. Para obter mais informações, consulte Configurações do Object Ownership no Guia do Usuário do Amazon S3.
    Encrypt query results (Criptografar resultados da consulta)

    Opcional. Para todas as consultas do grupo de trabalho, criptografe os resultados de consultas no Amazon S3. Como você deve criptografar todas das consultas de um grupo de trabalho ou nenhuma, recomendamos criar grupos de trabalho separados para consultas criptografadas e não criptografadas.

    Se selecionada essa opção, você pode selecionar o Encryption type (Tipo de criptografia), a Encryption key (Chave de criptografia) e insira o KMS Key ARN (ARN da chave do KMS).

    Se você não tiver a chave, abra o console do AWS KMS para criá-la. Para obter mais informações, consulte Criação de chaves Guia do desenvolvedor do AWS Key Management Service.
    Definir encryption_type como criptografia mínima

    Opcional. Selecione essa opção para impor um tipo mínimo de criptografia aos resultados da consulta para todos os usuários do grupo de trabalho. Selecionar essa opção exibe uma tabela com a hierarquia dos tipos de criptografia. A tabela também mostra quais tipos de criptografia os usuários do grupo de trabalho poderão usar quando você especificar determinado tipo de criptografia como mínimo. Para usar essa opção, a opção Substituir configurações do lado do cliente não deve estar selecionada.

    Para ter mais informações, consulte Configurar criptografia mínima para um grupo de trabalho.
    Habilitar concessões de acesso do S3 Este campo é selecionado por padrão quando você escolhe o Centro de Identidade do IAM como o modo de autenticação. Quando selecionada, essa opção aplica permissões baseadas em usuários ou grupos do Centro de Identidade do IAM a locais do Amazon S3.
    Criar prefixo do S3 baseado na identidade do usuário Quando essa opção é selecionada, o Athena cria um prefixo do Amazon S3 ao armazenar os resultados da consulta. O prefixo é baseado na identidade do usuário do Centro de Identidade do IAM.
    Override client-side settings (Substituir configurações no lado do cliente) Esse campo não é selecionado por padrão. Se você selecionar essa opção, as configurações do grupo de trabalho se aplicarão a todas as consultas do grupo de trabalho e ficarão sobrepostas às configurações no lado do cliente. Para ter mais informações, consulte Override client-side settings (Substituir configurações no lado do cliente).
    Publicar métricas de consulta no CloudWatch Esse campo é selecionado por padrão. Publicar métricas de consulta no CloudWatch. Consulte Monitorar métricas de consultas do Athena com o CloudWatch.
    Buckets do S3 de pagamento pelo solicitante

    Opcional. Escolha Turn on queries on requester pays buckets in Amazon S3 (Ativar consultas em buckets de pagamento a cargo do solicitante no Amazon S3) se os usuários do grupo de trabalho executarem consultas em dados armazenados em buckets do Amazon S3 configurados como “pagamento a cargo do solicitante”. A conta do usuário que executa a consulta é cobrada pelas taxas de acesso e transferência de dados aplicáveis associadas à consulta. Para obter mais informações, consulte Buckets de pagamento a cargo do solicitante no Guia do usuário do Amazon Simple Storage Service.
    Per query data usage control (Controle de uso de dados por consulta) Opcional. Define o limite para a quantidade máxima de dados que uma consulta tem permissão para verificar. Você pode definir apenas um limite por consulta para um grupo de trabalho. O limite se aplica a todas as consultas do grupo de trabalho e, se a consulta exceder o limite, ela será cancelada. Para ter mais informações, consulte Configurar controles de uso de dados por consulta e por grupo de trabalho.
    Workgroup data usage alerts (Alertas de uso de dados do grupo de trabalho) Opcional. Defina vários limites de alerta quando as consultas em execução nesse grupo de trabalho verificam uma quantidade especificada de dados dentro de um período específico. Os alertas são implementados usando alarmes do Amazon CloudWatch e se aplicam a todas as consultas no grupo de trabalho. Para obter mais informações, consulte Uso de alarmes do Amazon CloudWatch no Manual do usuário do Amazon CloudWatch.
    Tags Opcional. Adicione uma ou mais tags a um grupo de trabalho. A tag é um rótulo atribuído a um recurso do grupo de trabalho do Athena. Ela é formada por uma chave e um valor. Use as práticas recomendadas de marcação com tags da AWS para criar um conjunto consistente de tags e categorizar os grupo de trabalho por finalidade, proprietário ou ambiente. Você também pode usar tags nas políticas do IAM e para controlar os custos de faturamento. Não use chaves de tag duplicadas no mesmo grupo de trabalho. Para ter mais informações, consulte Marcar recursos do Athena com tags.

  6. Escolha Create workgroup (Criar grupo de trabalho). O grupo de trabalho aparece na lista na página Workgroups (Grupos de trabalho).

    No editor de consultas, o Athena exibe o grupo de trabalho atual na opção Grupo de trabalho no canto superior direito do console. Você pode usar essa opção para alternar grupos de trabalho. Quando você executar consultas, elas serão executadas no grupo de trabalho atual.

  7. Crie políticas do IAM para seus usuários, grupos ou funções para habilitar o acesso deles aos grupos de trabalho. As políticas estabelecem a associação do grupo de trabalho e o acesso a ações em um recurso workgroup. Para ter mais informações, consulte Usar políticas do IAM para controlar o acesso de grupo de trabalho. Para obter exemplos de políticas em JSON, consulte Configurar o acesso a grupos de trabalho e tags.

  8. (Opcional) Configure um nível mínimo de criptografia no Amazon S3 para todos os resultados de consultas do grupo de trabalho quando a criptografia não for imposta a todo o grupo de trabalho pela opção de substituir as configurações do lado do cliente. Use esse recurso para garantir que os resultados da consulta nunca sejam armazenados em um bucket do Amazon S3 em estado não criptografado. Para ter mais informações, consulte Configurar criptografia mínima para um grupo de trabalho.

  9. (Opcional) Use o Amazon CloudWatch e o Amazon EventBridge para monitorar as consultas e controlar os custos do grupo de trabalho. Para ter mais informações, consulte Usar o CloudWatch e o EventBridge para monitorar as consultas e controlar os custos.

  10. (Opcional) Use o console do Billing and Cost Management para marcar os grupos de trabalho com tags de alocação de custos. Para obter mais informações, consulte Using user-defined cost allocation tags no AWS Billing User Guide.

  11. (Opcional) Para ter capacidade de processamento dedicada para as consultas do grupo de trabalho, adicione o grupo de trabalho a uma reserva de capacidade. Você pode atribuir um ou mais grupos de trabalho a uma reserva. Para ter mais informações, consulte Gerenciar a capacidade de processamento de consulta.