Izin berbasis identitas untuk Lake Formation dan Athena Izin Amazon S3 untuk lokasi hasil kueri Athena Keanggotaan workgroup Athena ke riwayat kueri Izin Lake Formation untuk data IAMizin untuk menulis ke lokasi Amazon S3 Izin untuk data terenkripsi, metadata, dan hasil kueri Athena Izin berbasis sumber daya untuk bucket Amazon S3 di akun eksternal (opsional)

Kelola izin pengguna Lake Formation dan Athena

Lake Formation memberikan mandat untuk kueri toko data Amazon S3 yang terdaftar dengan Lake Formation. Jika sebelumnya Anda menggunakan IAM kebijakan untuk mengizinkan atau menolak izin membaca lokasi data di Amazon S3, Anda dapat menggunakan izin Lake Formation sebagai gantinya. Namun, IAM izin lain masih diperlukan.

Setiap kali Anda menggunakan IAM kebijakan, pastikan Anda mengikuti praktik IAM terbaik. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

Bagian berikut meringkas izin yang diperlukan untuk menggunakan Athena untuk kueri data yang terdaftar di Lake Formation. Untuk informasi selengkapnya, lihat Keamanan di AWS Lake Formationdi AWS Lake Formation Panduan Pengembang.

Ringkasan Izin

Izin berbasis identitas untuk Lake Formation dan Athena
Izin Amazon S3 untuk lokasi hasil kueri Athena
Keanggotaan workgroup Athena ke riwayat kueri
Izin Lake Formation untuk data
IAMizin untuk menulis ke lokasi Amazon S3
Izin untuk data terenkripsi, metadata, dan hasil kueri Athena
Izin berbasis sumber daya untuk bucket Amazon S3 di akun eksternal (opsional)

Izin berbasis identitas untuk Lake Formation dan Athena

Siapa pun yang menggunakan Athena untuk menanyakan data yang terdaftar di Lake Formation harus memiliki kebijakan IAM izin yang memungkinkan tindakan tersebut. lakeformation:GetDataAccess AWS kebijakan terkelola: AmazonAthenaFullAccess mengizinkan tindakan ini. Jika Anda menggunakan kebijakan inline, pastikan untuk memperbarui kebijakan izin untuk mengizinkan tindakan ini.

Dalam Lake Formation,Administrator data lakememiliki izin untuk membuat objek metadata seperti basis data dan tabel, memberikan izin Lake Formation untuk pengguna lain, dan mendaftarkan lokasi Amazon S3 baru. Untuk mendaftarkan lokasi baru, izin untuk peran terkait layanan untuk Lake Formation diperlukan. Untuk informasi selengkapnya, lihat Membuat administrator data lake dan izin peran terkait Layanan untuk Lake Formation di AWS Lake Formation Panduan Pengembang.

Pengguna Lake Formation dapat menggunakan Athena untuk menanyakan database, tabel, kolom tabel, dan penyimpanan data Amazon S3 yang mendasari berdasarkan izin Lake Formation yang diberikan kepada mereka oleh administrator data lake. Pengguna tidak dapat membuat basis data atau tabel, atau mendaftarkan lokasi Amazon S3 baru dengan Lake Formation. Untuk informasi selengkapnya, lihat Membuat pengguna data lake di AWS Lake Formation Panduan Pengembang.

Di Athena, kebijakan izin berbasis identitas, termasuk untuk grup kerja Athena, masih mengontrol akses ke tindakan Athena untuk Amazon Web Services pengguna akun. Selain itu, akses federasi dapat diberikan melalui otentikasi SAML berbasis yang tersedia dengan driver Athena. Lihat informasi selengkapnya di Gunakan kelompok kerja untuk mengontrol akses kueri dan biaya, Menggunakan IAM kebijakan untuk mengontrol akses workgroup, dan Aktifkan akses federasi ke Athena API.

Untuk informasi selengkapnya, lihat Memberikan izin Lake Formation di AWS Lake Formation Panduan Pengembang.

Izin Amazon S3 untuk lokasi hasil kueri Athena

Hasil kueri lokasi di Amazon S3 untuk Athena tidak dapat didaftarkan dengan Lake Formation. Izin Lake Formation tidak membatasi akses ke lokasi ini. Kecuali Anda membatasi akses, pengguna Athena dapat mengakses file hasil kueri dan metadata saat mereka tidak memiliki izin Lake Formation untuk data tersebut. Untuk menghindari hal ini, kami sarankan Anda menggunakan grup kerja untuk menentukan lokasi untuk hasil kueri dan menyelaraskan keanggotaan grup kerja dengan Lake Formation izin. Anda kemudian dapat menggunakan kebijakan IAM izin untuk membatasi akses ke lokasi hasil kueri. Untuk informasi selengkapnya tentang string kueri, lihat Bekerja dengan hasil kueri dan kueri terbaru.

Keanggotaan workgroup Athena ke riwayat kueri

Sejarah kueri Athena mengekspos daftar kueri disimpan dan string kueri lengkap. Kecuali Anda menggunakan grup kerja untuk memisahkan akses ke riwayat kueri, pengguna Athena yang tidak berwenang untuk meminta data di Lake Formation dapat melihat string kueri yang dijalankan pada data tersebut, termasuk nama kolom, kriteria pemilihan, dan sebagainya. Kami menyarankan Anda menggunakan grup kerja untuk memisahkan riwayat permintaan, dan menyelaraskan keanggotaan Athena grup kerja dengan izin Lake Formation untuk membatasi akses. Untuk informasi selengkapnya, lihat Gunakan kelompok kerja untuk mengontrol akses kueri dan biaya.

Izin Lake Formation untuk data

Selain izin dasar untuk menggunakan Lake Formation, pengguna Athena harus memiliki izin Lake Formation untuk mengakses sumber daya yang mereka kueri. Izin ini diberikan dan dikelola oleh administrator Lake Formation. Untuk informasi selengkapnya, lihat Keamanan dan kontrol akses ke metadata dan data di AWS Lake Formation Panduan Pengembang.

IAMizin untuk menulis ke lokasi Amazon S3

Lake Formation izin untuk Amazon S3 tidak termasuk kemampuan untuk menulis ke Amazon S3. Buat Tabel Sebagai Pernyataan (CTAS) memerlukan akses tulis ke lokasi tabel Amazon S3. Untuk menjalankan CTAS kueri pada data yang terdaftar di Lake Formation, pengguna Athena harus IAM memiliki izin untuk menulis ke tabel lokasi Amazon S3 selain izin Lake Formation yang sesuai untuk membaca lokasi data. Untuk informasi selengkapnya, lihat Membuat tabel dari hasil query (CTAS).

Izin untuk data terenkripsi, metadata, dan hasil kueri Athena

Data sumber yang mendasari di Amazon S3 dan metadata dalam Katalog Data yang terdaftar dengan Lake Formation dapat dienkripsi. Tidak ada perubahan pada cara Athena menangani enkripsi hasil kueri saat menggunakan Athena untuk kueri data terdaftar dengan Lake Formation. Untuk informasi selengkapnya, lihat Enkripsi hasil kueri Athena yang disimpan di Amazon S3.

Mengenkripsi data sumber — Enkripsi data sumber lokasi data Amazon S3 didukung. Pengguna Athena yang mencari lokasi Amazon S3 terenkripsi yang terdaftar dengan Lake Formation memerlukan izin untuk mengenkripsi dan mendekripsi data. Untuk informasi selengkapnya tentang persyaratan, lihat Opsi enkripsi Amazon S3 yang didukung danIzin untuk data terenkripsi di Amazon S3.
Enkripsi metadata— Enkripsi metadata dalam Katalog Data didukung. Bagi utama yang menggunakan Athena, kebijakan berbasis identitas harus mengizinkan"kms:GenerateDataKey","kms:Decrypt", dan"kms:Encrypt"Tindakan untuk kunci yang digunakan untuk mengenkripsi metadata. Untuk informasi selengkapnya, lihat Mengenkripsi Katalog Data Anda di AWS Glue Panduan Pengembang danKonfigurasikan akses dari Athena ke metadata terenkripsi di AWS Glue Data Catalog.

Izin berbasis sumber daya untuk bucket Amazon S3 di akun eksternal (opsional)

Untuk menanyakan lokasi data Amazon S3 di akun lain, IAM kebijakan berbasis sumber daya (kebijakan bucket) harus mengizinkan akses ke lokasi tersebut. Untuk informasi selengkapnya, lihat Konfigurasikan akses lintas akun di Athena ke bucket Amazon S3.

Untuk informasi tentang mengakses Katalog Data di akun lain, lihatOpsi A: Konfigurasikan akses Katalog Data lintas akun di Athena.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Akses lintas akun

Terapkan izin Lake Formation ke database dan tabel yang ada