Aspects à prendre en compte lors de l'utilisation de politiques gérées avec Athena AmazonAthenaFullAccess AWSQuicksightAthenaAccess Mises à jour des politiques

AWS politiques gérées pour Amazon Athena

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d'informations, consultez la section Politiques AWS gérées dans le Guide de IAM l'utilisateur.

Aspects à prendre en compte lors de l'utilisation de politiques gérées avec Athena

Les politiques gérées sont faciles à utiliser et sont automatiquement mises à jour avec les actions requises, à mesure que le service évolue. Lorsque vous utilisez des politiques gérées avec Athena, gardez à l'esprit les points suivants :

Pour autoriser ou refuser des actions de service Amazon Athena pour vous-même ou pour d'autres utilisateurs utilisant AWS Identity and Access Management (IAM), vous devez associer des politiques basées sur l'identité aux principaux, tels que les utilisateurs ou les groupes.
Chaque politique basée sur une identité se compose d'instructions qui définissent les actions qui sont autorisées ou refusées. Pour plus d'informations et des step-by-step instructions relatives à l'attachement d'une politique à un utilisateur, consultez la section Attacher des politiques gérées dans le Guide de IAM l'utilisateur. Pour obtenir la liste des actions, consultez le manuel Amazon Athena API Reference.
Les politiques basées sur l'identité, gérées par le client et en ligne, vous permettent de spécifier des actions Athena plus détaillées au sein d'une politique pour affiner l'accès. Nous vous recommandons d'utiliser cette AmazonAthenaFullAccess politique comme point de départ, puis d'autoriser ou de refuser des actions spécifiques répertoriées dans la référence Amazon Athena API. Pour plus d'informations sur les politiques intégrées, voir Politiques gérées et politiques intégrées dans le Guide de l'IAMutilisateur.
Si vous avez également des clients principaux qui se connectent en utilisantJDBC, vous devez fournir les informations d'identification du JDBC pilote à votre application. Pour de plus amples informations, veuillez consulter Contrôlez l'accès JDBC et ODBC les connexions.
Si vous avez chiffré le catalogue de AWS Glue données, vous devez spécifier des actions supplémentaires dans les IAM politiques basées sur l'identité pour Athena. Pour de plus amples informations, veuillez consulter Configurez l'accès depuis Athena aux métadonnées chiffrées dans AWS Glue Data Catalog.
Si vous créez et utilisez des groupes de travail, assurez-vous que vos politiques prévoient un accès pertinent aux actions du groupe de travail. Pour plus d'informations, consultez Utiliser des IAM politiques pour contrôler l'accès aux groupes de travail et Exemples de politiques de groupe de travail.

AWS politique gérée : AmazonAthenaFullAccess

La politique gérée par AmazonAthenaFullAccess accorde un accès complet à Athena.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Utilisateurs et groupes dans AWS IAM Identity Center :

Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
Utilisateurs gérés IAM par le biais d'un fournisseur d'identité :

Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Créer un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
IAMutilisateurs :
- Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour un IAM utilisateur dans le guide de IAM l'utilisateur.
- (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.

Groupes d'autorisations

La politique est AmazonAthenaFullAccess regroupée dans les ensembles d'autorisations suivants.

athena : permet aux principaux d'accéder aux ressources Athena.
glue— Permet aux principaux d'accéder aux AWS Glue bases de données, aux tables et aux partitions. Cela est nécessaire pour que le directeur puisse utiliser le AWS Glue Data Catalog avec Athéna.
s3 : permet au principal d'écrire et de lire les résultats des requêtes à partir de Simple Storage Service (Amazon S3), de lire les exemples de données Athena disponibles publiquement qui résident dans Simple Storage Service (Amazon S3) et de répertorier les compartiments. Ceci est nécessaire pour que le principal puisse utiliser Athena pour travailler avec Simple Storage Service (Amazon S3).
sns— Permet aux directeurs de répertorier les SNS sujets Amazon et d'obtenir les attributs des sujets. Cela permet aux directeurs d'utiliser les SNS rubriques Amazon avec Athena à des fins de surveillance et d'alerte.
cloudwatch— Permet aux principaux de créer, de lire et de supprimer des CloudWatch alarmes. Pour de plus amples informations, veuillez consulter Utiliser CloudWatch et EventBridge surveiller les requêtes et contrôler les coûts.
lakeformation : permet aux principaux de demander des informations d'identification temporaires pour accéder aux données dans un emplacement de lac de données enregistré auprès de Lake Formation. Pour plus d'informations, consultez la rubrique Contrôle d'accès aux données sous-jacentes du Guide du développeur AWS Lake Formation.
datazone— Permet aux principaux de répertorier les DataZone projets, domaines et environnements Amazon. Pour plus d'informations sur l'utilisation DataZone dans Athena, consultez. Utiliser Amazon DataZone dans Athena
pricing— Donne accès à AWS Billing and Cost Management. Pour plus d'informations, reportez-vous GetProductsà la section AWS Billing and Cost Management APIRéférence.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BaseAthenaPermissions",
            "Effect": "Allow",
            "Action": [
                "athena:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition",
                "glue:StartColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRuns",
                "glue:GetCatalogImportStatus"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseQueryResultsPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Sid": "BaseAthenaExamplesPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::athena-examples*"
            ]
        },
        {
            "Sid": "BaseS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseSNSPermissions",
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseCloudWatchPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:GetMetricData"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseLakeFormationPermissions",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseDataZonePermissions",
            "Effect": "Allow",
            "Action": [
                "datazone:ListDomains",
                "datazone:ListProjects",
                "datazone:ListAccountEnvironments"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BasePricingPermissions",
            "Effect": "Allow",
            "Action": [
                "pricing:GetProducts"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS politique gérée : AWSQuicksightAthenaAccess

AWSQuicksightAthenaAccessdonne accès aux actions dont Amazon a QuickSight besoin pour s'intégrer à Athena. Vous pouvez associer la AWSQuicksightAthenaAccess politique à votre IAM identité. N'associez cette politique qu'aux principaux utilisateurs d'Amazon QuickSight avec Athena. Cette politique inclut certaines actions pour Athena qui sont soit obsolètes et ne sont pas incluses dans le public actuelAPI, soit utilisées uniquement avec les pilotes et. JDBC ODBC

Groupes d'autorisations

La politique est AWSQuicksightAthenaAccess regroupée dans les ensembles d'autorisations suivants.

athena : permet au principal d'exécuter des requêtes sur les ressources Athena.
glue— Permet aux principaux d'accéder aux AWS Glue bases de données, aux tables et aux partitions. Cela est nécessaire pour que le directeur puisse utiliser le AWS Glue Data Catalog avec Athéna.
s3 : permet au principal d'écrire et de lire les résultats des requêtes depuis Simple Storage Service (Amazon S3).
lakeformation – Permet aux principaux de demander des informations d'identification temporaires pour accéder aux données dans un emplacement de lac de données enregistré auprès de Lake Formation. Pour plus d'informations, consultez la rubrique Contrôle d'accès aux données sous-jacentes du Guide du développeur AWS Lake Formation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:ListQueryExecutions",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Athena met à jour ses politiques gérées AWS

Consultez les détails des mises à jour des politiques AWS gérées pour Athena depuis que ce service a commencé à suivre ces modifications.

Modification	Description	Date
AmazonAthenaFullAccess – Mise à jour de la politique existante	Permet à Athena d'utiliser les documents publics pour récupérer le statut AWS Glue `GetCatalogImportStatus` API d'importation du catalogue.	18 juin 2024
AmazonAthenaFullAccess – Mise à jour de la politique existante	Les `datazone:ListAccountEnvironments` autorisations `datazone:ListDomainsdatazone:ListProjects`, et ont été ajoutées pour permettre aux utilisateurs d'Athena de travailler avec des DataZone domaines, des projets et des environnements Amazon. Pour de plus amples informations, veuillez consulter Utiliser Amazon DataZone dans Athena.	3 janvier 2024
AmazonAthenaFullAccess – Mise à jour de la politique existante	Les `glue:GetColumnStatisticsTaskRuns` autorisations`glue:StartColumnStatisticsTaskRun`,`glue:GetColumnStatisticsTaskRun`, et ont été ajoutées pour donner à Athena le droit d'appeler pour récupérer les statistiques relatives AWS Glue à la fonction d'optimisation basée sur les coûts. Pour de plus amples informations, veuillez consulter Utilisez l'optimiseur basé sur les coûts.	3 janvier 2024
AmazonAthenaFullAccess – Mise à jour de la politique existante	Athena a ajouté `pricing:GetProducts` pour donner accès à AWS Billing and Cost Management. Pour plus d'informations, reportez-vous GetProductsà la section AWS Billing and Cost Management APIRéférence.	25 janvier 2023
AmazonAthenaFullAccess – Mise à jour de la politique existante	Athena a été ajoutée `cloudwatch:GetMetricData` pour récupérer les valeurs CloudWatch métriques. Pour plus d'informations, consultez GetMetricDatale Amazon CloudWatch API Reference.	14 novembre 2022
AmazonAthenaFullAccesset AWSQuicksightAthenaAccess— Mises à jour des politiques existantes	Athena a ajouté `s3:PutBucketPublicAccessBlock` pour permettre le blocage de l'accès public aux compartiments créés par Athena.	7 juillet 2021
Athena a commencé à suivre les modifications	Athena a commencé à suivre les modifications apportées à ses politiques AWS gérées.	7 juillet 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des identités et des accès

Accès JDBC et ODBC connexions