Überlegungen bei der Verwendung verwalteter Richtlinien mit Athena AmazonAthenaFullAccess AWSQuicksightAthenaAccess Richtlinienaktualisierungen

AWS verwaltete Richtlinien für Amazon Athena

Importieren in &S3; AWS Eine verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie Folgendes AWS verwaltete Richtlinien gewähren möglicherweise keine Berechtigungen mit den geringsten Rechten für Ihre spezifischen Anwendungsfälle, da sie für alle verfügbar sind AWS zu verwendende Kunden. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in definierten Berechtigungen nicht ändern AWS verwaltete Richtlinien. Wenn AWS aktualisiert die in einem AWS Bei verwalteter Richtlinie wirkt sich das Update auf alle Hauptidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert am wahrscheinlichsten ein AWS verwaltete Richtlinie bei einer neuen AWS-Service wird gestartet oder neue API Operationen werden für bestehende Dienste verfügbar.

Weitere Informationen finden Sie unter AWS verwaltete Richtlinien im IAMBenutzerhandbuch.

Überlegungen bei der Verwendung verwalteter Richtlinien mit Athena

Verwaltete Richtlinien sind einfach zu nutzen und werden automatisch mit den erforderlichen Aktionen aktualisiert, wenn sich der Service weiterentwickelt. Beachten Sie bei der Verwendung von verwalteten Richtlinien mit Athena die folgenden Punkte:

Um Amazon Athena Athena-Serviceaktionen für sich selbst oder andere Benutzer zuzulassen oder zu verweigern AWS Identity and Access Management (IAM) fügen Sie prinzipalen Benutzern, wie Benutzern oder Gruppen, identitätsbasierte Richtlinien zu.
Jede identitätsbasierte Richtlinie besteht aus Anweisungen, die die zugelassenen oder nicht zugelassenen Aktionen definieren. Weitere Informationen und step-by-step Anweisungen zum Anhängen einer Richtlinie an einen Benutzer finden Sie unter Anhängen verwalteter Richtlinien im Benutzerhandbuch. IAM Eine Liste der Aktionen finden Sie in der Amazon Athena API Athena-Referenz.
Vom Kunden verwaltete und eingebundene identitätsbasierte Richtlinien ermöglichen Ihnen, detailliertere Athena-Aktionen innerhalb einer Richtlinie zur Optimierung der Zugriffsregelung anzugeben. Wir empfehlen Ihnen, die AmazonAthenaFullAccess Richtlinie als Ausgangspunkt zu verwenden und dann bestimmte Aktionen zuzulassen oder abzulehnen, die in der Amazon Athena API Athena-Referenz aufgeführt sind. Weitere Informationen zu Inline-Richtlinien finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im IAMBenutzerhandbuch.
Wenn Sie auch über Principals verfügen, die eine Verbindung herstellenJDBC, müssen Sie die JDBC Treiberanmeldedaten für Ihre Anwendung angeben. Weitere Informationen finden Sie unter Steuern Sie den Zugriff über JDBC und Verbindungen ODBC.
Wenn Sie das verschlüsselt haben AWS Glue Datenkatalog, Sie müssen zusätzliche Aktionen in den identitätsbasierten IAM Richtlinien für Athena angeben. Weitere Informationen finden Sie unter Konfigurieren Sie den Zugriff von Athena auf verschlüsselte Metadaten in der AWS Glue Data Catalog.
Wenn Sie Arbeitsgruppen erstellen und verwenden, müssen Sie sicherstellen, dass Ihre Richtlinien einen entsprechenden Zugriff auf Arbeitsgruppenaktionen enthalten. Detaillierte Informationen hierzu finden Sie unter Verwenden Sie IAM Richtlinien, um den Zugriff auf Arbeitsgruppen zu kontrollieren und Beispiel für Arbeitsgruppenrichtlinien.

AWS verwaltete Richtlinie: AmazonAthenaFullAccess

Die verwaltete Richtlinie AmazonAthenaFullAccess gewährt vollständigen Zugriff auf Athena.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Folgen Sie den Anweisungen unter Einen Berechtigungssatz erstellen im AWS IAM Identity Center Benutzerleitfaden.
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
IAMBenutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.

Berechtigungsgruppierungen

Die AmazonAthenaFullAccess-Richtlinie wird in die folgenden Gruppen von Berechtigungen gruppiert.

athena – Ermöglicht Prinzipalen Zugriff auf Athena-Ressourcen.
glue— Ermöglicht Prinzipalen Zugriff auf AWS Glue Datenbanken, Tabellen und Partitionen. Dies ist erforderlich, damit der Prinzipal das verwenden kann AWS Glue Data Catalog mit Athena.
s3 – Ermöglicht dem Prinzipal, Abfrageergebnisse aus Amazon S3 zu schreiben und zu lesen, öffentlich verfügbare Athena Datenbeispiele zu lesen, die sich in Amazon S3 befinden und Buckets aufzulisten. Dies ist erforderlich, damit der Prinzipal Athena verwenden kann, um mit Amazon S3 zu arbeiten.
sns— Ermöglicht Principals, SNS Amazon-Themen aufzulisten und Themenattribute abzurufen. Auf diese Weise können Principals SNS Amazon-Themen mit Athena für Überwachungs- und Warnzwecke verwenden.
cloudwatch— Ermöglicht es den Hauptbenutzern, Alarme zu erstellen, zu lesen und zu löschen. CloudWatch Weitere Informationen finden Sie unter Verwenden Sie CloudWatch und EventBridge , um Abfragen zu überwachen und die Kosten zu kontrollieren.
lakeformation – Ermöglicht es Prinzipalen, temporäre Anmeldeinformationen für den Zugriff auf Daten an einem Data-Lake-Standort anzufordern, der bei Lake Formation registriert ist. Weitere Informationen finden Sie unter Zugrundeliegende Datenzugriffskontrolle im AWS Lake Formation Entwicklerhandbuch.
datazone— Ermöglicht Prinzipalen, DataZone Amazon-Projekte, -Domains und -Umgebungen aufzulisten. Hinweise zur Verwendung DataZone in Athena finden Sie unterVerwenden Sie Amazon DataZone in Athena.
pricing— Ermöglicht den Zugriff auf AWS Billing and Cost Management. Weitere Informationen finden Sie GetProductsin der AWS Billing and Cost Management APIReferenz.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BaseAthenaPermissions",
            "Effect": "Allow",
            "Action": [
                "athena:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition",
                "glue:StartColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRuns",
                "glue:GetCatalogImportStatus"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseQueryResultsPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Sid": "BaseAthenaExamplesPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::athena-examples*"
            ]
        },
        {
            "Sid": "BaseS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseSNSPermissions",
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseCloudWatchPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:GetMetricData"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseLakeFormationPermissions",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseDataZonePermissions",
            "Effect": "Allow",
            "Action": [
                "datazone:ListDomains",
                "datazone:ListProjects",
                "datazone:ListAccountEnvironments"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BasePricingPermissions",
            "Effect": "Allow",
            "Action": [
                "pricing:GetProducts"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS verwaltete Richtlinie: AWSQuicksightAthenaAccess

AWSQuicksightAthenaAccessgewährt Zugriff auf Aktionen, die Amazon für die Integration mit Athena QuickSight benötigt. Sie können die AWSQuicksightAthenaAccess Richtlinie an Ihre IAM Identitäten anhängen. Hängen Sie diese Richtlinie nur an Principals an, die Amazon QuickSight mit Athena verwenden. Diese Richtlinie umfasst einige Aktionen für Athena, die entweder veraltet sind und nicht in der aktuellen Öffentlichkeit API enthalten sind oder die nur mit den JDBC Treibern und verwendet werden. ODBC

Berechtigungsgruppierungen

Die AWSQuicksightAthenaAccess-Richtlinie wird in die folgenden Gruppen von Berechtigungen gruppiert.

athena – Ermöglicht dem Prinzipal, Abfragen auf Athena-Ressourcen auszuführen.
glue— Ermöglicht Principals Zugriff auf AWS Glue Datenbanken, Tabellen und Partitionen. Dies ist erforderlich, damit der Prinzipal das verwenden kann AWS Glue Data Catalog mit Athena.
s3 – Erlaubt dem Prinzipal, Abfrageergebnisse aus Amazon S3 zu schreiben und zu lesen.
lakeformation – Ermöglicht es Prinzipalen, temporäre Anmeldeinformationen für den Zugriff auf Daten an einem Data-Lake-Standort anzufordern, der bei Lake Formation registriert ist. Weitere Informationen finden Sie unter Zugrundeliegende Datenzugriffskontrolle im AWS Lake Formation Entwicklerhandbuch.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:ListQueryExecutions",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Athena aktualisiert auf AWS Verwaltete Richtlinien

Einzelheiten zu Updates anzeigen für AWS verwaltete Richtlinien für Athena, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen.

Änderung	Beschreibung	Datum
AmazonAthenaFullAccess – Aktualisierung auf eine bestehende Richtlinie	Ermöglicht Athena, das öffentlich dokumentierte zu verwenden AWS Glue `GetCatalogImportStatus`APIum den Status des Katalogimports abzurufen.	18. Juni 2024
AmazonAthenaFullAccess – Aktualisierung auf eine bestehende Richtlinie	Die `datazone:ListAccountEnvironments` Berechtigungen `datazone:ListDomainsdatazone:ListProjects`, und wurden hinzugefügt, damit Athena-Benutzer mit DataZone Amazon-Domains, -Projekten und -Umgebungen arbeiten können. Weitere Informationen finden Sie unter Verwenden Sie Amazon DataZone in Athena.	3. Januar 2024
AmazonAthenaFullAccess – Aktualisierung auf eine bestehende Richtlinie	Die `glue:GetColumnStatisticsTaskRuns` Berechtigungen `glue:StartColumnStatisticsTaskRunglue:GetColumnStatisticsTaskRun`, und wurden hinzugefügt, um Athena das Recht zu geben, anzurufen AWS Glue um Statistiken für die kostenbasierte Optimierungsfunktion abzurufen. Weitere Informationen finden Sie unter Verwenden Sie den kostenbasierten Optimierer.	3. Januar 2024
AmazonAthenaFullAccess – Aktualisierung auf eine bestehende Richtlinie	Athena wurde hinzugefügt`pricing:GetProducts`, um Zugriff auf zu ermöglichen AWS Billing and Cost Management. Weitere Informationen finden Sie GetProductsin der AWS Billing and Cost Management APIReferenz.	25. Januar 2023
AmazonAthenaFullAccess – Aktualisierung auf eine bestehende Richtlinie	Athena wurde hinzugefügt`cloudwatch:GetMetricData`, um CloudWatch metrische Werte abzurufen. Weitere Informationen finden Sie GetMetricDatain der CloudWatch APIAmazon-Referenz.	14. November 2022
AmazonAthenaFullAccessund AWSQuicksightAthenaAccess— Aktualisierungen vorhandener Richtlinien	Athena hat `s3:PutBucketPublicAccessBlock` hinzugefügt, um die Blockierung des öffentlichen Zugriffs auf die von Athena erstellten Buckets zu ermöglichen.	7. Juli 2021
Athena hat damit begonnen, Änderungen zu verfolgen	Athena hat damit begonnen, Änderungen für seine zu verfolgen AWS verwaltete Richtlinien.	7. Juli 2021

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identity and Access Management

Zugriff über JDBC und ODBC Verbindungen