設定、管理和程式化存取

如果您已註冊 Amazon Web Services，便可以立即開始使用 Amazon Athena。如果您尚未註冊 AWS 或需要開始使用的協助，請務必完成下列工作。

註冊一個 AWS 帳戶

如果您沒有 AWS 帳戶，請完成以下步驟來建立一個。

若要註冊成為 AWS 帳戶

1. 打開https://portal.aws.amazon.com/billing/註冊。

2. 請遵循線上指示進行。

   部分註冊程序需接收來電，並在電話鍵盤輸入驗證碼。

   當您註冊時 AWS 帳戶，會建立AWS 帳戶根使用者一個。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務，請將管理存取權指派給使用者，並且僅使用根使用者來執行需要根使用者存取權的任務。

AWS 註冊過程完成後，會向您發送確認電子郵件。您可以隨時前往 https://aws.amazon.com/並選擇「我的帳戶」，檢視目前的帳戶活動並管理您的帳戶。

建立具有管理存取權的使用者

註冊後，請保護 AWS 帳戶 AWS 帳戶根使用者、啟用和建立系統管理使用者 AWS IAM Identity Center，這樣您就不會將 root 使用者用於日常工作。

保護您的 AWS 帳戶根使用者

1. 選擇 Root 使用者並輸入您的 AWS 帳戶 電子郵件地址，以帳戶擁有者身分登入。AWS Management Console在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 AWS 登入 使用者指南中的以根使用者身分登入。

2. 為您的 root 使用者開啟多因素驗證 (MFA)。

   如需指示，請參閱《使用指南》中的「IAM為 AWS 帳戶 root 使用者啟用虛擬MFA裝置 (主控台)」。

建立具有管理存取權的使用者

1. 啟用IAM身分識別中心。

   如需指示，請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center。

2. 在IAM身分識別中心中，將管理存取權授與使用者。

   若要取得有關使用 IAM Identity Center 目錄 做為身分識別來源的自學課程，請參閱《使用指南》 IAM Identity Center 目錄中的「以預設值設定使用AWS IAM Identity Center 者存取」。

以具有管理存取權的使用者身分登入

• 若要使用您的 IAM Identity Center 使用者登入URL，請使用建立IAM身分識別中心使用者時傳送至您電子郵件地址的登入資訊。

  如需使用IAM身分識別中心使用者登入的說明，請參閱使用指南中的登入 AWS 存取入口網站。AWS 登入

指派存取權給其他使用者

1. 在 IAM Identity Center 中，建立遵循套用最低權限權限的最佳作法的權限集。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》中的建立許可集。

2. 將使用者指派至群組，然後對該群組指派單一登入存取權。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》中的新增群組。

授與程式設計存取權

如果使用者想要與 AWS 之外的 AWS Management Console. 授與程式設計存 AWS取權的方式取決於正在存取的使用者類型。

若要授與使用者程式設計存取權，請選擇下列其中一個選項。

哪個使用者需要程式設計存取權？	到	By
人力身分 (在IAM身分識別中心管理的使用者)	使用臨時認證來簽署 AWS CLI、 AWS SDKs或 AWS APIs的程式設計要求。	請依照您要使用的介面所提供的指示操作。 有關 AWS CLI，請參閱《使用AWS Command Line Interface 者指南》 AWS IAM Identity Center中的〈配置使用〉。 AWS CLI 有關 AWS SDKs、工具和 AWS APIs，請參閱《工具參考指南》中的IAM AWS SDKs身分識別中心驗證。
IAM	使用臨時認證來簽署 AWS CLI、 AWS SDKs或 AWS APIs的程式設計要求。	請遵照《使用指南》中的〈搭配資 AWS 源使用臨時登入資料〉中的IAM指示
IAM	(不建議使用) 使用長期認證來簽署 AWS CLI、 AWS SDKs或 AWS APIs的程式設計要求。	請依照您要使用的介面所提供的指示操作。 對於 AWS CLI，請參閱《使用者指南》中的AWS Command Line Interface 〈使用IAM者認證進行驗證〉。 如需 AWS SDKs和工具，請參閱和工具參考指南中的使用長期憑證進行驗證。AWS SDKs 對於 AWS APIs，請參閱《使用指南》中的〈管理使IAM用IAM者的存取金鑰〉。

連接 Athena 受管政策

Athena 受管政策授予使用 Athena 功能的許可。您可以將這些受管政策附加到一或多個IAM角色，使用者可以假設這些角色以使用 Athena。

IAM角色是您可以在具有特定權限的帳戶中建立的IAM身分。IAM角色與IAM使用者類似，因為它是具有權限原則的 AWS 身分識別，可決定身分識別可以執行和不能在中執行的動作 AWS。但是，角色的目的是讓需要它的任何人可代入，而不是單獨地與某個人員關聯。此外，角色沒有與之關聯的標準長期憑證，例如密碼或存取金鑰。反之，當您擔任角色時，其會為您的角色工作階段提供臨時安全性憑證。

有關角色的詳細資訊，請參閱IAM《IAM使用指南》中的「IAM角色」和「建立角色」。

若要建立可授予 Athena 存取權的角色，請將 Athena 受管政策連接至該角色。有兩個適用於 Athena 的受管政策：AmazonAthenaFullAccess 和 AWSQuicksightAthenaAccess。這些政策會授權 Athena 查詢Amazon S3，並代表您將查詢結果寫入單獨的儲存貯體。若要查看 Athena 的這些政策內容，請參閱 AWS Amazon Athena 的受管政策。

如需將 Athena 受管理原則附加至角色的步驟，請遵循IAM使用指南中的新增IAM身分識別權限 (主控台)，並將AmazonAthenaFullAccess和AWSQuicksightAthenaAccess受管理的政策新增至您建立的角色。

注意

您可能需要額外的許可，才能在 Amazon S3 中存取基礎資料集。如果您不是帳戶擁有者，或存取儲存貯體時受限，請聯絡儲存貯體擁有者使用以資源為基礎的政策來授與存取權，或聯絡帳戶管理員使用角色型政策來授與存取權。如需詳細資訊，請參閱從 Athena 訪問 Amazon S3。如果資料集或 Athena 查詢結果已加密，您可能需要額外的許可。如需詳細資訊，請參閱靜態加密。