本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定工作群組
設定工作群組涉及到建立工作群組和規定其使用許可。首先,決定您的組織需要哪些工作群組,並建立這些工作群組。接著,設定 IAM 工作群組政策,以控制對 workgroup 資源的使用者存取和動作。能夠存取這些工作群組的使用者現在可以在其中執行查詢。
注意
當您第一次開始使用工作群組時,請使用這些任務來設定工作群組。如果 Athena 帳戶已經使用工作群組,每個帳戶的使用者需要許可,才可在帳戶中的一或多個工作群組中執行查詢。執行查詢之前,請檢查 IAM 政策,以查明您可以存取哪些工作群組,視需要調整政策,並切換到您想要使用的工作群組。
在預設情況下,如果您尚未建立任何工作群組,則您帳戶中的所有查詢會在主要工作群組中執行。
Athena 會在位於主控台右上角的 Workgroup (工作群組) 選項中顯示目前工作群組。您可以使用此選項來切換工作群組。當您執行查詢時,它們會在目前工作群組中執行。您可以在主控台,或使用 API 操作、命令列界面或透過 JDBC 或 ODBC 驅動程式使用用戶端應用程式,在工作群組的內容中執行查詢。當您能夠存取工作群組時,您可以檢視工作群組的設定、指標和資料用量控制限制。利用額外的許可,您可以編輯設定和資料用量控制限制。
若要設定工作群組
-
決定建立哪些工作群組。例如,您可以決定下列各項:
-
誰可以在每個工作群組中執行查詢,以及誰擁有工作群組的組態。這會決定您建立的 IAM 政策。如需詳細資訊,請參閱 用於存取工作群組的 IAM 政策。
-
對於每個工作群組中執行的查詢,Amazon S3 中哪些位置要用於存放查詢結果。在您可以為工作群組查詢結果指定某個位置前,Amazon S3 中必須存在該位置。所有使用工作群組的使用者必須能夠存取這個位置。如需詳細資訊,請參閱 工作群組設定。
-
Simple Storage Service (Amazon S3) 查詢結果儲存貯體的擁有者是否具有對寫入儲存貯體的新物件的完整控制。例如,如果您的查詢結果位置係由另一個帳戶所擁有,則可以授予另一個帳戶對查詢結果的所有權和完整控制。如需詳細資訊,請參閱AclConfiguration。
-
指定您希望成為輸出位置值區擁有者的識別碼。 AWS 帳戶 這是一項選擇性的附加安全措施。如果儲存貯體擁有者的帳戶 ID 與您在此處指定的 ID 不相符,則嘗試輸出到儲存貯體的動作會失敗。如需詳細資訊,請參閱 Amazon S3 使用者指南中的使用儲存貯體擁有者條件驗證儲存貯體擁有權。此設定不適用於 CTAS、INSERT INTO 或 UNLOAD 陳述式。
-
需要哪些加密設定,以及哪些工作群組的查詢必須加密。我們建議您為加密和未加密的查詢建立個別的工作群組。如此一來,您可以強制加密工作群組中執行的所有查詢。如需詳細資訊,請參閱 加密 Amazon S3 中存放的 Athena 查詢結果。
-
-
視需要建立工作群組並新增標籤。如需這些步驟,請參閱 建立工作群組。
-
建立 IAM 政策以允許使用者、群組或角色存取工作群組。政策建立工作群組成員資格和在
workgroup資源上的動作存取權。如需詳細步驟,請參閱 用於存取工作群組的 IAM 政策。如需 JSON 政策的範例,請參閱存取工作群組和標籤。 -
設定工作群組設定。指定 Simple Storage Service (Amazon S3) 中用於查詢結果的位置,並選擇性地指定預期的儲存貯體擁有者、加密設定和對寫入查詢結果儲存貯體之物件的控制。您可以強制工作群組設定。如需詳細資訊,請參閱工作群組設定。
重要
如果您覆寫用戶端設定,Athena 將使用工作群組的設定。這會影響您在主控台、透過驅動程式、命令列界面或 API 操作執行的查詢。
雖然查詢會繼續執行,但根據特定 Amazon S3 儲存貯體中是否有結果而建立的自動化可能失效。我們建議您在覆寫之前先通知使用者。在工作群組設定為覆寫之後,您可以在驅動程式或 API 中省略指定用戶端設定。
-
將哪些工作群組要用於執行查詢告知使用者。傳送電子郵件,告知帳戶的使用者他們可以使用的工作群組名稱、所需的 IAM 政策和工作群組設定。
-
設定查詢和工作群組的成本控制限制,也稱為資料用量控制限制。若要在超出閾值時接獲通知,請建立 Amazon SNS 主題並設定訂閱。如需詳細步驟,請參閱 設定資料用量控制限制 和 《Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門。
-
切換到工作群組,以便執行查詢。若要執行查詢,請切換到適當的工作群組。如需詳細步驟,請參閱指定工作群組在其中執行查詢。
