Zugriff auf den Athena Data Connector für External Hive Metastore zulassen

Die Beispiele für Berechtigungsrichtlinien in diesem Thema veranschaulichen die erforderlichen zulässigen Aktionen und die Ressourcen, für die sie zulässig sind. Prüfen Sie diese Richtlinien sorgfältig und ändern Sie sie entsprechend Ihren Anforderungen, bevor Sie ähnliche Berechtigungsrichtlinien mit Identitäten verknüpfen. IAM

Example Policy to Allow an IAM Principal to Query Data Using Athena Data Connector for External Hive Metastore
Example Policy to Allow an IAM Principal to Create an Athena Data Connector for External Hive Metastore

Beispiel
— Erlaubt einem IAM Principal, Daten mit Athena Data Connector für External Hive Metastore abzufragen

Die folgenden Richtlinien sind den IAM Hauptpersonen zusätzlich zu der beigefügtAWS verwaltete Richtlinie: AmazonAthenaFullAccess, die vollen Zugriff auf Athena-Aktionen gewähren.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction",
                "lambda:GetLayerVersion",
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunction",
                "arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction",
                "arn:aws:lambda:*:111122223333:layer:MyAthenaLambdaLayer:*"
            ]
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
            "Resource": "arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"
        }
    ]
}

Erläuterung der Berechtigungen
Erlaubte Aktionen	Erklärung
`"s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload"`	`s3`Aktionen ermöglichen das Lesen von und Schreiben in die angegebene Ressource, wobei `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"` `MyLambdaSpillLocation` identifiziert den Spill-Bucket, der in der Konfiguration der aufgerufenen Lambda-Funktion oder Funktionen angegeben ist. Das Tool `arn:aws:lambda::MyAWSAcctId:layer:MyAthenaLambdaLayer:` Eine Ressourcen-ID ist nur erforderlich, wenn Sie eine Lambda-Schicht verwenden, um benutzerdefinierte Laufzeitabhängigkeiten zu erstellen, um die Größe von Funktionsartefakten bei der Bereitstellung zu reduzieren. Der `*` in der letzten Position ist ein Platzhalter für die Ebenenversion.
`"lambda:GetFunction", "lambda:GetLayerVersion", "lambda:InvokeFunction"`	Ermöglicht Abfragen das Aufrufen von AWS Lambda im `Resource` Block angegebene Funktionen. Zum `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction` Beispiel wo `MyAthenaLambdaFunction` gibt den Namen einer Lambda-Funktion an, die aufgerufen werden soll. Es können mehrere Funktionen angegeben werden, wie im Beispiel gezeigt.

Beispiel
— Erlaubt einem IAM Principal, einen Athena-Datenkonnektor für den externen Hive-Metastore zu erstellen

Die folgenden Richtlinien sind den IAM Hauptpersonen zusätzlich zu der beigefügtAWS verwaltete Richtlinie: AmazonAthenaFullAccess, die vollen Zugriff auf Athena-Aktionen gewähren.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction",
                "lambda:ListFunctions",
                "lambda:GetLayerVersion",
                "lambda:InvokeFunction",
                "lambda:CreateFunction",
                "lambda:DeleteFunction",
                "lambda:PublishLayerVersion",
                "lambda:DeleteLayerVersion",
                "lambda:UpdateFunctionConfiguration",
                "lambda:PutFunctionConcurrency",
                "lambda:DeleteFunctionConcurrency"
            ],
            "Resource": "arn:aws:lambda:*:111122223333: function: MyAthenaLambdaFunctionsPrefix*"
        }
    ]
}

Erläuterung der Berechtigungen

Ermöglicht Abfragen das Aufrufen von AWS Lambda Funktionen für AWS Lambda im Resource Block angegebene Funktionen. Zum arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction Beispiel wo MyAthenaLambdaFunction gibt den Namen einer Lambda-Funktion an, die aufgerufen werden soll. Es können mehrere Funktionen angegeben werden, wie im Beispiel gezeigt.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden Sie CalledVia Kontexttasten

Gewährung von Lambda-Funktionszugriff auf externe Hive-Metastores

Zugriff auf den Athena Data Connector für External Hive Metastore zulassen

Beispiel — Erlaubt einem IAM Principal, Daten mit Athena Data Connector für External Hive Metastore abzufragen

Beispiel — Erlaubt einem IAM Principal, einen Athena-Datenkonnektor für den externen Hive-Metastore zu erstellen

Beispiel
— Erlaubt einem IAM Principal, Daten mit Athena Data Connector für External Hive Metastore abzufragen

Beispiel
— Erlaubt einem IAM Principal, einen Athena-Datenkonnektor für den externen Hive-Metastore zu erstellen