Políticas administradas de AWS para Amazon Athena - Amazon Athena
Consideraciones al utilizar políticas administradas con AthenaAmazonAthenaFullAccessAWSQuicksightAthenaAccessActualizaciones de políticas

Políticas administradas de AWS para Amazon Athena

Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Consideraciones al utilizar políticas administradas con Athena

Las políticas administradas son fáciles de utilizar y se actualizan automáticamente con las acciones necesarias a medida que el servicio evoluciona. Cuando utilice políticas administradas con Athena, tenga en cuenta los siguientes puntos:

  • Para permitir o denegar acciones de servicio de Amazon Athena para usted u otros usuarios mediante AWS Identity and Access Management (IAM), asocie políticas basadas en identidad a entidades principales, como usuarios o grupos.

  • Cada política basada en identidad se compone de instrucciones que definen las acciones que se permiten o se deniegan. Para obtener más información e instrucciones paso a paso para asociar una política a un usuario, consulte Asociar políticas administradas en la Guía del usuario de IAM. Para obtener una lista de acciones, consulte la sección de referencia de API de Amazon Athena.

  • Las políticas basadas en identidad administradas por el cliente e insertadas le permiten especificar acciones de Athena más detalladas para dar más precisión al acceso. Le recomendamos que utilice la política AmazonAthenaFullAccess como punto de partida y, a continuación, permita o deniegue acciones específicas que se muestran en la sección de referencia de la API de Amazon Athena. Para obtener más información sobre las políticas insertadas, consulte Políticas administradas e insertadas en la Guía del usuario de IAM.

  • Si también tiene entidades principales que se conectan a través de JDBC, debe proporcionar al controlador JDBC las credenciales para el acceso a su aplicación. Para obtener más información, consulte Control del acceso a través de conexiones JDBC y ODBC.

  • Si ha cifrado el catálogo de datos de AWS Glue, debe especificar acciones adicionales en las políticas de IAM basadas en identidad para Athena. Para obtener más información, consulte Configuración del acceso desde Athena a los metadatos cifrados en el AWS Glue Data Catalog.

  • Si crea y utiliza grupos de trabajo, asegúrese de que sus políticas incluyan el acceso correspondiente a las acciones de los grupos de trabajo. Para obtener más información, consulte Uso de políticas de IAM para el control del acceso al grupo de trabajo y Ejemplos de políticas de grupo de trabajo.

Política administrada de AWS: AmazonAthenaFullAccess

La política administrada de AmazonAthenaFullAccess concede acceso total a Athena.

Para proporcionar acceso, agregue permisos a sus usuarios, grupos o roles:

Agrupaciones de permisos

La política AmazonAthenaFullAccess se agrupa en los siguientes conjuntos de permisos.

  • athena: permite el acceso de las entidades principales a los recursos de Athena.

  • glue: permite el acceso de las entidades principales a bases de datos, tablas y particiones de AWS Glue. Esto es necesario para que la entidad principal pueda utilizar AWS Glue Data Catalog con Athena.

  • s3: permite a la entidad principal escribir y leer los resultados de las consultas de Amazon S3, leer ejemplos de datos de Athena disponibles públicamente que residen en Amazon S3 y listar buckets. Esto es necesario para que la entidad principal pueda utilizar Athena para trabajar con Amazon S3.

  • sns: permite a las entidades principales enumerar temas de Amazon SNS y obtener atributos de temas. Esto permite a las entidades principales utilizar temas de Amazon SNS con Athena para fines de monitoreo y alerta.

  • cloudwatch: permite a las entidades principales crear, leer y eliminar alarmas de CloudWatch. Para obtener más información, consulte Uso de CloudWatch y EventBridge para la supervisión de consultas y la administración de costos.

  • lakeformation: permite a las entidades principales solicitar credenciales temporales para acceder a los datos en una ubicación de lago de datos registrada con Lake Formation. Para obtener más información, consulte Control de acceso a datos subyacentes en la Guía para desarrolladores de AWS Lake Formation.

  • datazone: permite a las entidades principales enumerar proyectos, dominios y entornos de Amazon DataZone. Para obtener información acerca del uso de DataZone en Athena, consulte Uso de Amazon DataZone en Athena.

  • pricing: proporciona acceso a AWS Billing and Cost Management. Para obtener más información, consulte GetProducts en la Referencia de la API de AWS Billing and Cost Management.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BaseAthenaPermissions",
            "Effect": "Allow",
            "Action": [
                "athena:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition",
                "glue:StartColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRuns",
                "glue:GetCatalogImportStatus"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseQueryResultsPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Sid": "BaseAthenaExamplesPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::athena-examples*"
            ]
        },
        {
            "Sid": "BaseS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseSNSPermissions",
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseCloudWatchPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:GetMetricData"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseLakeFormationPermissions",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseDataZonePermissions",
            "Effect": "Allow",
            "Action": [
                "datazone:ListDomains",
                "datazone:ListProjects",
                "datazone:ListAccountEnvironments"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BasePricingPermissions",
            "Effect": "Allow",
            "Action": [
                "pricing:GetProducts"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Política administrada de AWS: AWSQuicksightAthenaAccess

AWSQuicksightAthenaAccess concede acceso a las acciones que Amazon QuickSight requiere para integrarse con Athena. Puede adjuntar la política AWSQuicksightAthenaAccess a las identidades de IAM. Asocie esta política solo a entidades principales que utilicen Amazon QuickSight con Athena. Esta política incluye algunas acciones para Athena que han quedado obsoletas y no se encuentran en la API pública actual o que se utilizan únicamente con los controladores JDBC y ODBC.

Grupos de permisos

La política AWSQuicksightAthenaAccess se agrupa en los siguientes conjuntos de permisos.

  • athena: permite que la entidad principal ejecute consultas sobre los recursos de Athena.

  • glue: permite el acceso de las entidades principales a bases de datos, tablas y particiones de AWS Glue. Esto es necesario para que la entidad principal pueda utilizar AWS Glue Data Catalog con Athena.

  • s3: permite a la entidad principal escribir y leer los resultados de las consultas de Amazon S3.

  • lakeformation: permite a las entidades principales solicitar credenciales temporales para acceder a los datos en una ubicación de lago de datos registrada con Lake Formation. Para obtener más información, consulte Control de acceso a datos subyacentes en la Guía para desarrolladores de AWS Lake Formation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:ListQueryExecutions",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Actualizaciones de Athena en Políticas administradas de AWS

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para Athena debido a que este servicio comenzó a realizar el seguimiento de estos cambios.

Cambio Descripción Fecha

AmazonAthenaFullAccess: actualización de la política existente

Permite a Athena utilizar la API AWS Glue GetCatalogImportStatus documentada públicamente para recuperar el estado de importación del catálogo.

 18 de junio de 2024

AmazonAthenaFullAccess: actualización de la política existente

Se agregaron los permisos datazone:ListDomains, datazone:ListProjects y datazone:ListAccountEnvironments para permitir a los usuarios de Athena trabajar con dominios, proyectos y entornos de Amazon DataZone. Para obtener más información, consulte Uso de Amazon DataZone en Athena.

 3 de enero de 2024

AmazonAthenaFullAccess: actualización de la política existente

Se agregaron los permisos glue:StartColumnStatisticsTaskRun, glue:GetColumnStatisticsTaskRun y glue:GetColumnStatisticsTaskRuns para dar a Athena el derecho a llamar a AWS Glue para recuperar estadísticas de la característica de optimización basada en costos. Para obtener más información, consulte Uso del optimizador basado en costos.

 3 de enero de 2024

AmazonAthenaFullAccess: actualización de la política existente

Athena agregó pricing:GetProducts para proporcionar acceso a AWS Billing and Cost Management. Para obtener más información, consulte GetProducts en la Referencia de la API de AWS Billing and Cost Management.

 25 de enero de 2023

AmazonAthenaFullAccess: actualización de la política existente

Athena agregó cloudwatch:GetMetricData para recuperar los valores de métricas de CloudWatch. Para obtener más información, consulte GetMetricData en la Referencia de la API de los Registros de Amazon CloudWatch.

 14 de noviembre de 2022

AmazonAthenaFullAccess y AWSQuicksightAthenaAccess: actualizaciones de las políticas existentes

Athena agregó s3:PutBucketPublicAccessBlock para permitir el bloqueo del acceso público en los buckets creados por Athena.

 7 de julio de 2021

Athena comenzó a realizar el seguimiento de los cambios

Athena comenzó a realizar el seguimiento de los cambios de las políticas administradas de AWS.

 7 de julio de 2021