Benutzerberechtigungen für Lake Formation und Athena verwalten - Amazon Athena
Identitätsbasierte Berechtigungen für Lake Formation und AthenaAmazon-S3-Berechtigungen für Speicherorte von Athena-AbfrageergebnissenAthena-Workgoup-Mitgliedschaften zum Abfragen des VerlaufsLake-Formation-Berechtigungen für DatenIAMBerechtigungen zum Schreiben an Amazon S3 S3-SpeicherorteBerechtigungen für verschlüsselte Daten, Metadaten und Athena-AbfrageergebnisseRessourcenbasierte Berechtigungen für Amazon-S3-Buckets in externen Konten (optional)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzerberechtigungen für Lake Formation und Athena verwalten

Lake Formation verkauft Anmeldeinformationen, um Amazon-S3-Datenspeicher abzufragen, die bei Lake Formation registriert sind. Wenn Sie zuvor IAM Richtlinien verwendet haben, um Berechtigungen zum Lesen von Datenspeicherorten in Amazon S3 zuzulassen oder zu verweigern, können Sie stattdessen Lake Formation Formation-Berechtigungen verwenden. Andere IAM Berechtigungen sind jedoch weiterhin erforderlich.

Wenn Sie IAM Richtlinien verwenden, stellen Sie sicher, dass Sie sich an IAM bewährte Methoden halten. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

In den folgenden Abschnitten werden die Berechtigungen zusammengefasst, die erforderlich sind, um die in Lake Formation registrierten Daten mithilfe von Athena abzufragen. Weitere Informationen finden Sie unter Sicherheit in AWS Lake Formation in der AWS Lake Formation Leitfaden für Entwickler.

Identitätsbasierte Berechtigungen für Lake Formation und Athena

Jeder, der Athena verwendet, um bei Lake Formation registrierte Daten abzufragen, muss über eine IAM Berechtigungsrichtlinie verfügen, die diese lakeformation:GetDataAccess Aktion zulässt. AWS verwaltete Richtlinie: AmazonAthenaFullAccess erlaubt diese Aktion. Wenn Sie eingebundenen Richtlinien verwenden, stellen Sie sicher, dass Sie die Berechtigungsrichtlinien aktualisieren, um diese Aktion zuzulassen.

In Lake Formation hat ein Data-Lake-Administrator Berechtigungen zum Erstellen von Metadatenobjekten wie Datenbanken und Tabellen, Erteilen von Lake-Formation-Berechtigungen an andere Benutzer und Registrieren neuer Amazon-S3-Speicherorte. Zur Registrierung neuer Standorte sind Berechtigungen für die serviceverknüpfte Rolle für Lake Formation erforderlich. Weitere Informationen finden Sie unter Erstellen eines Data Lake-Administrators und Dienstbezogene Rollenberechtigungen für Lake Formation in der AWS Lake Formation Entwicklerhandbuch.

Ein Lake-Formation-Benutzer kann Athena verwenden, um Datenbanken, Tabellen, Tabellenspalten und zugrunde liegende Amazon-S3-Datenspeicher basierend auf den Lake-Formation-Berechtigungen abzufragen, die ihm von Data-Lake-Administratoren erteilt wurden. Benutzer können keine Datenbanken oder Tabellen erstellen oder neue Amazon-S3-Speicherorte bei Lake Formation registrieren. Weitere Informationen finden Sie unter Erstellen eines Data Lake-Benutzers im AWS Lake Formation Entwicklerhandbuch.

In Athena steuern identitätsbasierte Berechtigungsrichtlinien, einschließlich derer für Athena-Arbeitsgruppen, weiterhin den Zugriff auf Athena-Aktionen für Amazon-Web-Services-Kontobenutzer. Darüber hinaus kann der Verbundzugriff über die SAML basierte Authentifizierung bereitgestellt werden, die mit Athena-Treibern verfügbar ist. Weitere Informationen finden Sie unter Verwenden Sie Arbeitsgruppen, um den Zugriff auf Abfragen und die Kosten zu kontrollieren, Verwenden Sie IAM Richtlinien, um den Zugriff auf Arbeitsgruppen zu kontrollieren und Föderierten Zugriff auf Athena aktivieren API.

Weitere Informationen finden Sie unter Gewährung Lake Formation Formation-Berechtigungen in der AWS Lake Formation Leitfaden für Entwickler.

Amazon-S3-Berechtigungen für Speicherorte von Athena-Abfrageergebnissen

Die Abfrageergebnisorte in Amazon S3 für Athena können nicht bei Lake Formation registriert werden. Lake-Formation-Berechtigungen beschränken den Zugriff auf diese Standorte nicht. Wenn Sie den Zugriff nicht einschränken, können Athena-Benutzer auf Abfrageergebnisdateien und Metadaten zugreifen, wenn sie keine Lake-Formation-Berechtigungen für die Daten haben. Um dies zu vermeiden, sollten Sie Arbeitsgruppen verwenden, um den Speicherort für Abfrageergebnisse anzugeben und die Arbeitsgruppenmitgliedschaft mit den Lake-Formation-Berechtigungen auszurichten. Anschließend können Sie mithilfe von IAM Berechtigungsrichtlinien den Zugriff auf die Speicherorte der Abfrageergebnisse einschränken. Weitere Informationen zu Abfrageergebnissen finden Sie unter Arbeiten Sie mit Abfrageergebnissen und aktuellen Abfragen.

Athena-Workgoup-Mitgliedschaften zum Abfragen des Verlaufs

Der Abfrageverlauf von Athena stellt eine Liste gespeicherter Abfragen und vollständiger Abfragezeichenfolgen bereit. Sofern Sie nicht Arbeitsgruppen verwenden, um den Zugriff auf Abfrageverläufe zu trennen, können Athena-Benutzer, die nicht zum Abfragen von Daten in Lake Formation berechtigt sind, Abfragezeichenfolgen anzeigen, die für diese Daten ausgeführt werden, einschließlich Spaltennamen, Auswahlkriterien usw. Es wird empfohlen, Arbeitsgruppen zu verwenden, um Abfrageverläufe zu trennen und Athena-Arbeitsgruppenmitgliedschaft mit Lake-Formation-Berechtigungen auszurichten, um den Zugriff zu beschränken. Weitere Informationen finden Sie unter Verwenden Sie Arbeitsgruppen, um den Zugriff auf Abfragen und die Kosten zu kontrollieren.

Lake-Formation-Berechtigungen für Daten

Zusätzlich zu der Grundberechtigung zur Verwendung von Lake Formation müssen Athena-Benutzer über Lake-Formation-Berechtigungen verfügen, um auf die von ihnen abgefragten Ressourcen zuzugreifen. Diese Berechtigungen werden von einem Lake-Formation-Administrator erteilt und verwaltet. Weitere Informationen finden Sie unter Sicherheit und Zugriffskontrolle auf Metadaten und Daten im AWS Lake Formation Leitfaden für Entwickler.

IAMBerechtigungen zum Schreiben an Amazon S3 S3-Speicherorte

Die Lake-Formation-Berechtigungen für Amazon S3 beinhalten nicht die Möglichkeit, in Amazon S3 zu schreiben. Create Table As Statements (CTAS) erfordern Schreibzugriff auf den Amazon S3 S3-Speicherort der Tabellen. Um CTAS Abfragen für Daten ausführen zu können, die bei Lake Formation registriert sind, müssen Athena-Benutzer zusätzlich zu den entsprechenden Lake Formation IAM Formation-Berechtigungen zum Lesen der Datenspeicherorte über Schreibberechtigungen in die Tabelle Amazon S3 S3-Standorte verfügen. Weitere Informationen finden Sie unter Erstellen Sie eine Tabelle aus Abfrageergebnissen (CTAS).

Berechtigungen für verschlüsselte Daten, Metadaten und Athena-Abfrageergebnisse

Zugrunde liegende Quelldaten in Amazon S3 und Metadaten im Datenkatalog, der bei Lake Formation registriert ist, können verschlüsselt werden. Es gibt keine Änderung an der Art und Weise, wie die Verschlüsselung von Abfrageergebnissen von Athena verarbeitet wird, wenn Athena zum Abfragen von Daten verwendet wird, die in Lake Formation registriert sind. Weitere Informationen finden Sie unter Verschlüsseln Sie die in Amazon S3 gespeicherten Athena-Abfrageergebnisse.

Ressourcenbasierte Berechtigungen für Amazon-S3-Buckets in externen Konten (optional)

Um einen Amazon S3 S3-Datenstandort in einem anderen Konto abzufragen, muss eine ressourcenbasierte IAM Richtlinie (Bucket-Richtlinie) den Zugriff auf den Standort ermöglichen. Weitere Informationen finden Sie unter Konfigurieren Sie den kontoübergreifenden Zugriff in Athena auf Amazon S3 S3-Buckets.

Informationen zum Zugriff auf einen Datenkatalog in einem anderen Konto finden Sie unter Option A: Kontenübergreifenden Datenkatalogzugriff in Athena konfigurieren.