Créer un groupe de travail

Pour créer un groupe de travail dans la console Athena

1. Définir des groupes de travail à créer. Voici quelques facteurs à prendre en compte :

   • Qui peut exécuter des requêtes dans chaque groupe de travail, et à qui appartient la configuration du groupe de travail. Utilisez des IAM politiques pour appliquer les autorisations des groupes de travail. Pour de plus amples informations, veuillez consulter Utiliser des IAM politiques pour contrôler l'accès aux groupes de travail.

   • Emplacement dans Amazon S3 à utiliser pour les résultats de requête pour le groupe de travail. Tous les utilisateurs du groupe de travail doivent avoir accès à cet emplacement.

   • Si les résultats de la requête du groupe de travail doivent être chiffrés. Le chiffrement étant effectué par groupe de travail (et non par requête), vous devez créer des groupes de travail distincts pour les résultats des requêtes chiffrés et non chiffrés. Pour de plus amples informations, veuillez consulter Chiffrez les résultats des requêtes Athena stockés dans Amazon S3.

2. Si le panneau de navigation de la console n'est pas visible, choisissez le menu d'extension sur la gauche.

   

3. Dans le panneau de navigation de la console Athena, choisissez Workgroups (Groupes de travail).

4. Sur la page Workgroups (Groupes de travail), choisissez Create workgroup (Créer un groupe de travail).

5. Sur la page Create workgroup (Créer un groupe de travail), remplissez les champs comme suit :

   Champ	Description
   Nom du groupe de travail	Obligatoire. Saisissez un nom unique pour votre groupe de travail. Le nom peut contenir de 1 à 128 caractères, y compris des caractères alphanumériques, des tirets et des traits de soulignement. Une fois le groupe de travail créé, vous ne pouvez plus modifier son nom.
   Description	Facultatif. Saisissez une description pour votre groupe de travail. Elle peut contenir jusqu'à 1 024 caractères.
   Choisissez le type de moteur	Choisissez Athena SQL si vous souhaitez exécuter des SQL requêtes ad hoc sur des données dans Amazon S3 ou utiliser un connecteur de source de données prédéfini pour exécuter des requêtes fédérées sur diverses sources de données externes à Amazon S3. Vous pouvez exécuter des requêtes à l'aide de l'éditeur de requêtes Athena, AWS CLI, ou Athéna APIs. Choisissez Apache Spark si vous souhaitez créer, modifier et exécuter des applications de bloc-notes Jupyter à l'aide de Python et d'Apache Spark. Les blocs-notes Jupyter contiennent une liste de cellules qui peuvent inclure du code, du texte standard, du texte au format Markdown, des mathématiques, des graphiques et du contenu multimédia enrichi. Les cellules sont exécutées dans l'ordre sous forme de calculs dans une session de bloc-notes interactive dans Athena. Pour plus d'informations sur la création et la configuration d'un groupe de travail compatible avec Spark, voir Étape 1 : créer un groupe de travail compatible avec Spark dans Athena. Après la création d'un groupe de travail, son moteur d'analyse peut être mis à niveau (par exemple, de la version 2 du moteur Athena à la version 3 du moteur Athena), mais son type de moteur ne peut pas être modifié. Par exemple, un groupe de travail du moteur Athena version 3 ne peut pas être remplacé par un groupe de travail PySpark du moteur version 3.
   Mise à jour du moteur de requête	Choisissez la façon dont vous souhaitez mettre à jour votre groupe de travail lorsqu'une nouvelle version du moteur Athena est publiée. Vous pouvez laisser Athena décider du moment de la mise à jour de votre groupe de travail ou choisir manuellement une version du moteur. Pour de plus amples informations, veuillez consulter Gestion des versions du moteur Athena.
   Authentification	Choisissez AWS Identity and Access Management (IAM) pour utiliser l'IAMauthentification ou la fédération pour le groupe de travail. Choisissez IAMIdentity Center si vous souhaitez prendre en charge les identités du personnel telles que les utilisateurs et les groupes provenant de fournisseurs d'identité SAML 2.0 tels que Microsoft Active Directory. Pour plus d'informations, consultez la section Utiliser les IAM groupes de travail Athena compatibles avec Identity Center et Propagation d'identité fiable entre les applications dans le AWS IAM Identity Center Guide de l'utilisateur. Vous ne pouvez pas modifier le type d'authentification du groupe de travail une fois celui-ci créé.
   Rôle de service pour l'accès à IAM Identity Center	Athena a besoin d'IAMautorisations pour accéder à IAM Identity Center en votre nom. Pour plus d'informations sur les rôles de IAM service, voir Création d'un rôle pour déléguer des autorisations à un AWS service dans le guide de IAM l'utilisateur.
   Emplacement des résultats de requête	(Facultatif) Entrez le chemin d'accès à un compartiment ou à un préfixe Amazon S3. Ce compartiment et ce préfixe doivent exister avant que vous puissiez les spécifier. Pour plus d'informations sur la création d'un compartiment Amazon S3, consultez Création d'un compartiment. Note Si vous exécutez des requêtes dans la console, spécifier l'emplacement des résultats de requête est facultatif. Si vous ne le spécifiez pas pour le groupe de travail ou dans Paramètres, Athena utilise l'emplacement de résultat de la requête par défaut. Si vous exécutez des requêtes avec le API ou les pilotes, vous devez spécifier l'emplacement des résultats de la requête au moins à l'un des deux endroits suivants : pour les requêtes individuelles avec OutputLocation, ou pour le groupe de travail, avec WorkGroupConfiguration.
   Propriétaire du compartiment attendu	Facultatif. Entrez l'ID du Compte AWS que vous pensez être le propriétaire du bucket d'emplacement de sortie. Il s'agit d'une mesure de sécurité supplémentaire. Si l'ID de compte du propriétaire du compartiment ne correspond pas à l'ID que vous spécifiez, les tentatives de sortie vers le compartiment échoueront. Pour obtenir des informations détaillées, consultez Vérification de la propriété du compartiment avec la condition de propriétaire du compartiment dans le Guide de l'utilisateur Simple Storage Service (Amazon S3). Note Le paramètre de propriétaire du compartiment attendu s'applique uniquement à l'emplacement de sortie Simple Storage Service (Amazon S3) que vous spécifiez pour les résultats de la requête Athena. Il ne s'applique pas aux autres emplacements Simple Storage Service (Amazon S3) tels que les emplacements de source de données dans des compartiments Simple Storage Service (Amazon S3) externes, des emplacements de table de destination CTAS et INSERT INTO, des emplacements de sortie d'instruction UNLOAD, des opérations de déversement de compartiments pour les requêtes fédérées, ou des requêtes SELECT exécutées sur une table d'un autre compte.
   Attribuer au propriétaire du compartiment un contrôle total sur les résultats de la requête	Ce champ n'est pas sélectionné par défaut. Si vous le sélectionnez et que vous ACLsêtes activé pour le compartiment de localisation des résultats de requête, vous accordez un contrôle total sur les résultats de la requête au propriétaire du compartiment. Par exemple, si l'emplacement de résultat de votre requête appartient à un autre compte, vous pouvez accorder la propriété et le contrôle total des résultats de vos requêtes à l'autre compte. Si le paramètre S3 Object Ownership du compartiment est défini à Propriétaire du compartiment préféré, le propriétaire du compartiment possède également tous les objets de résultats de requête écrits à partir de ce groupe de travail. Par exemple, si le groupe de travail d'un compte externe active cette option et définit son emplacement de résultat de requête sur le compartiment Simple Storage Service (Amazon S3) de votre compte qui dispose d'un paramètre de S3 Object Ownership dont la valeur est définie à Propriétaire du compartiment préféré, vous possédez et contrôlez complètement les résultats de requête du groupe de travail externe. Sélectionner cette option lorsque le paramètre S3 Object Ownership du compartiment de résultats de requête est défini à Propriétaire du compartiment appliqué n'a aucun effet. Pour de plus amples informations, consultez la rubrique Paramètres de propriété des objets dans le Guide de l'utilisateur Simple Storage Service (Amazon S3).
   Chiffrer les résultats de requête	Facultatif. Pour toutes les requêtes de groupe de travail, chiffrez les résultats de la requête dans Amazon S3. Étant donné que vous devez chiffrer toutes les requêtes d'un groupe de travail ou aucune, nous vous recommandons de créer des groupes de travail distincts pour les requêtes chiffrées et non chiffrées. Si cette option est sélectionnée, vous pouvez sélectionner le type de chiffrement, la clé de chiffrement et saisir la KMSclé ARN. Si vous n'avez pas la clé, ouvrez AWS KMS console pour le créer. Pour plus d'informations, reportez-vous à la section Création de clés dans AWS Key Management Service Guide du développeur.
   Set encryption_type en tant que chiffrement minimal	Facultatif. Sélectionnez cette option pour appliquer un type de chiffrement minimal aux résultats des requêtes pour tous les utilisateurs du groupe de travail. La sélection de cette option affiche un tableau reprenant la hiérarchie des types de chiffrement. Le tableau indique également les types de chiffrement que les utilisateurs des groupes de travail seront autorisés à utiliser lorsque vous spécifiez un type de chiffrement particulier comme minimum. Pour utiliser cette option, l'option Remplacer les paramètres côté client ne doit pas être sélectionnée. Pour de plus amples informations, veuillez consulter Configuration du chiffrement minimal pour un groupe de travail.
   Activer les autorisations d’accès S3	Ce champ est sélectionné par défaut lorsque vous choisissez IAMIdentity Center comme mode d'authentification. Lorsqu'elle est sélectionnée, cette option applique les autorisations basées sur les utilisateurs ou les groupes d'IAMIdentity Center aux sites Amazon S3.
   Créer un préfixe S3 basé sur l’identité utilisateur	Si vous activez cette option, Athena crée un préfixe Amazon S3 quand elle stocke les résultats des requêtes. Le préfixe est basé sur l'IAMidentité de l'utilisateur Identity Center.
   Remplacer les paramètres côté client	Ce champ n'est pas sélectionné par défaut. Si vous sélectionnez cette option, les paramètres du groupe de travail s'appliquent à toutes les requêtes dans le groupe de travail et remplacent les paramètres côté client. Pour de plus amples informations, veuillez consulter Remplacer les paramètres côté client.
   Publier les métriques des requêtes sur CloudWatch	Ce champ est sélectionné par défaut. Publiez les métriques de requête sur CloudWatch. Consultez Surveillez les métriques des requêtes Athena avec CloudWatch.
   Compartiments S3 de type Paiement par le demandeur	Facultatif. Choisissez Turn on queries on requester pays buckets in Amazon S3 (Activation des requêtes sur les compartiments de type Paiement par le demandeur dans Amazon S3) si les utilisateurs du groupe de travail exécutent des requêtes sur les données stockées dans des compartiments Amazon S3 configurés comme des compartiments de type Paiement par le demandeur. Le compte de l'utilisateur exécutant la requête est facturé pour les frais d'accès aux données et de transfert de données associés à la requête. Pour plus d'informations, consultez la section Compartiments de type Paiement par le demandeur dans le Guide de l'utilisateur d'Amazon Simple Storage Service.
   Per query data usage control (Contrôle de l'utilisation des données par requête	Facultatif. Définit la limite de la quantité maximale de données qu'une requête est autorisée à analyser. Vous ne pouvez définir qu'une seule limite par requête pour un groupe de travail. La limite s'applique à toutes les requêtes dans le groupe de travail. Si la requête dépasse la limite, elle sera annulée. Pour de plus amples informations, veuillez consulter Configuration des contrôles d'utilisation des données par requête et par groupe de travail.
   Workgroup data usage alerts (Alertes d'utilisation des données de groupe de travail	Facultatif. Définissez plusieurs seuils d'alerte lorsque des requêtes exécutées dans ce groupe de travail analysent une quantité de données spécifiée au cours d'une période donnée. Les alertes sont mises en œuvre à l'aide des CloudWatch alarmes Amazon et s'appliquent à toutes les requêtes du groupe de travail. Pour plus d'informations, consultez la section Utilisation des CloudWatch alarmes Amazon dans le guide de CloudWatch l'utilisateur Amazon.
   Balises	Facultatif. Ajoutez une ou plusieurs identifications à un groupe de travail. une identification est une étiquette que vous affectez à une ressource d'un groupe de travail Athena. Elle se compose d'une clé et d'une valeur. Utiliser AWS meilleures pratiques en matière de balisage pour créer un ensemble cohérent de balises et classer les groupes de travail par objectif, propriétaire ou environnement. Vous pouvez également utiliser des balises dans IAM les politiques et pour contrôler les coûts de facturation. N'utilisez pas de clés d'identification dupliquées pour le même groupe de travail. Pour de plus amples informations, veuillez consulter Tag : ressources d'Athena.

6. Choisissez Create workgroup (Créer un groupe de travail). Le groupe de travail s'affiche sur la liste de la page Workgroups (Groupes de travail).

   Dans l'éditeur de requêtes, Athena affiche le groupe de travail actuel dans l'option Groupe de travail en haut à droite de la console. Vous pouvez utiliser cette option pour passer d'un groupe de travail à un autre. Lorsque vous exécutez des requêtes, elles s'exécutent dans le groupe de travail existant.

7. Créez des IAM politiques pour vos utilisateurs, groupes ou rôles afin de leur permettre d'accéder aux groupes de travail. Les politiques établissent l'appartenance au groupe de travail et l'accès aux actions sur une ressource workgroup. Pour de plus amples informations, veuillez consulter Utiliser des IAM politiques pour contrôler l'accès aux groupes de travail. Pour des exemples JSON de politiques, voirConfiguration de l'accès aux groupes de travail et aux tags.

8. (Facultatif) Configurez un niveau de chiffrement minimal dans Amazon S3 pour tous les résultats de requête provenant du groupe de travail lorsque le chiffrement à l'échelle du groupe de travail n'est pas appliqué par l'option de remplacement des paramètres côté client. Vous pouvez utiliser cette fonctionnalité pour vous assurer que les résultats des requêtes ne sont jamais stockés dans un compartiment Amazon S3 à l'état non chiffré. Pour de plus amples informations, veuillez consulter Configuration du chiffrement minimal pour un groupe de travail.

9. (Facultatif) Utilisez Amazon CloudWatch et Amazon EventBridge pour surveiller les requêtes de votre groupe de travail et contrôler les coûts. Pour de plus amples informations, veuillez consulter Utiliser CloudWatch et EventBridge surveiller les requêtes et contrôler les coûts.

10. (Facultatif) Utilisez la console Billing and Cost Management pour étiqueter le groupe de travail avec des balises de répartition des coûts. Pour plus d'informations, voir Utilisation de balises de répartition des coûts définies par l'utilisateur dans le AWS Billing Guide de l'utilisateur.

11. (Facultatif) Pour obtenir une capacité de traitement dédiée aux requêtes du groupe de travail, ajoutez le groupe de travail à une réservation de capacité. Vous pouvez affecter un ou plusieurs groupes de travail à une réservation. Pour de plus amples informations, veuillez consulter Gérer la capacité de traitement des requêtes.