Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk Amazon Athena
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.
Pertimbangan saat menggunakan kebijakan terkelola dengan Athena
Kebijakan terkelola mudah digunakan dan diperbarui secara otomatis dengan tindakan yang diperlukan saat layanan berkembang. Saat menggunakan kebijakan terkelola dengan Athena, ingatlah hal-hal berikut:
-
Untuk mengizinkan atau menolak tindakan layanan Amazon Athena untuk diri sendiri atau pengguna lain yang menggunakan AWS Identity and Access Management (IAM), Anda melampirkan kebijakan berbasis identitas ke kepala sekolah, seperti pengguna atau grup.
-
Setiap kebijakan berbasis identitas terdiri dari pernyataan yang menentukan tindakan yang diizinkan atau ditolak. Untuk informasi selengkapnya dan step-by-step petunjuk untuk melampirkan kebijakan ke pengguna, lihat Melampirkan kebijakan terkelola di IAMPanduan Pengguna. Untuk daftar tindakan, lihat Referensi Amazon Athena API.
-
Dikelola pelanggandaninlinekebijakan berbasis identitas memungkinkan Anda menentukan tindakan Athena yang lebih terperinci dalam kebijakan untuk menyempurnakan akses. Kami menyarankan Anda menggunakan
AmazonAthenaFullAccesskebijakan sebagai titik awal dan kemudian mengizinkan atau menolak tindakan tertentu yang tercantum dalam Referensi Amazon Athena API. Untuk informasi selengkapnya tentang kebijakan sebaris, lihat Kebijakan terkelola dan kebijakan sebaris di IAMPanduan Pengguna. -
Jika Anda juga memiliki prinsipal yang terhubung menggunakanJDBC, Anda harus memberikan JDBC kredensi driver ke aplikasi Anda. Untuk informasi selengkapnya, lihat Kontrol akses melalui JDBC dan ODBC koneksi.
-
Jika Anda telah mengenkripsi Katalog AWS Glue Data, Anda harus menentukan tindakan tambahan dalam kebijakan berbasis identitas untuk AthenaIAM. Untuk informasi selengkapnya, lihat Konfigurasikan akses dari Athena ke metadata terenkripsi di AWS Glue Data Catalog.
-
Jika Anda membuat dan menggunakan grup kerja, pastikan kebijakan Anda termasuk akses yang relevan ke tindakan grup kerja. Untuk informasi detail, lihat Menggunakan IAM kebijakan untuk mengontrol akses workgroup dan Contoh kebijakan workgroup.
AWS kebijakan terkelola: AmazonAthenaFullAccess
Kebijakan terkelola AmazonAthenaFullAccess memberikan akses penuh ke Athena.
Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti petunjuk di Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
-
IAMpengguna:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk di Buat peran untuk IAM pengguna di Panduan IAM Pengguna.
-
(Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.
-
Pengelompokan izin
ParameterAmazonAthenaFullAccessdikelompokkan ke dalam kumpulan izin berikut.
-
athena— Memungkinkan utama akses ke sumber daya Athena. -
glue— Memungkinkan akses prinsipal ke AWS Glue database, tabel, dan partisi. Ini diperlukan agar kepala sekolah dapat menggunakan AWS Glue Data Catalog dengan Athena. -
s3— Memungkinkan utama untuk menulis dan membaca hasil kueri dari Amazon S3, untuk membaca tersedia secara publik contoh data Athena yang berada di Amazon S3, dan daftar bucket. Ini diperlukan agar utama dapat menggunakan Athena untuk bekerja dengan Amazon S3. -
sns— Memungkinkan kepala sekolah untuk mencantumkan SNS topik Amazon dan mendapatkan atribut topik. Hal ini memungkinkan prinsipal untuk menggunakan topik Amazon SNS dengan Athena untuk tujuan pemantauan dan peringatan. -
cloudwatch— Memungkinkan kepala sekolah untuk membuat, membaca, dan menghapus alarm. CloudWatch Untuk informasi selengkapnya, lihat Menggunakan CloudWatch dan EventBridge memantau kueri dan mengendalikan biaya. -
lakeformation— Memungkinkan kepala sekolah untuk meminta kredensil sementara untuk mengakses data di lokasi danau data yang terdaftar di Lake Formation. Untuk informasi selengkapnya, lihat Kontrol akses data yang mendasari di Panduan Pengembang AWS Lake Formation. -
datazone— Memungkinkan kepala sekolah untuk mencantumkan DataZone proyek, domain, dan lingkungan Amazon. Untuk informasi tentang penggunaan DataZone di Athena, lihat. Gunakan Amazon DataZone di Athena -
pricing— Menyediakan akses ke AWS Billing and Cost Management. Untuk informasi lebih lanjut, lihat GetProductsdi AWS Billing and Cost Management APIReferensi.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BaseAthenaPermissions", "Effect": "Allow", "Action": [ "athena:*" ], "Resource": [ "*" ] }, { "Sid": "BaseGluePermissions", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition", "glue:StartColumnStatisticsTaskRun", "glue:GetColumnStatisticsTaskRun", "glue:GetColumnStatisticsTaskRuns", "glue:GetCatalogImportStatus" ], "Resource": [ "*" ] }, { "Sid": "BaseQueryResultsPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Sid": "BaseAthenaExamplesPermissions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::athena-examples*" ] }, { "Sid": "BaseS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": [ "*" ] }, { "Sid": "BaseSNSPermissions", "Effect": "Allow", "Action": [ "sns:ListTopics", "sns:GetTopicAttributes" ], "Resource": [ "*" ] }, { "Sid": "BaseCloudWatchPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarms", "cloudwatch:DeleteAlarms", "cloudwatch:GetMetricData" ], "Resource": [ "*" ] }, { "Sid": "BaseLakeFormationPermissions", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] }, { "Sid": "BaseDataZonePermissions", "Effect": "Allow", "Action": [ "datazone:ListDomains", "datazone:ListProjects", "datazone:ListAccountEnvironments" ], "Resource": [ "*" ] }, { "Sid": "BasePricingPermissions", "Effect": "Allow", "Action": [ "pricing:GetProducts" ], "Resource": [ "*" ] } ] }
AWS kebijakan terkelola: AWSQuicksightAthenaAccess
AWSQuicksightAthenaAccessmemberikan akses ke tindakan yang QuickSight diperlukan Amazon untuk integrasi dengan Athena. Anda dapat melampirkan AWSQuicksightAthenaAccess kebijakan ke IAM identitas Anda. Lampirkan kebijakan ini hanya untuk kepala sekolah yang menggunakan Amazon dengan QuickSight Athena. Kebijakan ini mencakup beberapa tindakan untuk Athena yang tidak digunakan lagi dan tidak termasuk dalam publik saat iniAPI, atau yang hanya digunakan dengan dan pengemudi. JDBC ODBC
Pengelompokan izin
ParameterAWSQuicksightAthenaAccessdikelompokkan ke dalam kumpulan izin berikut.
-
athena— Memungkinkan utama untuk menjalankan kueri pada sumber daya Athena. -
glue— Memungkinkan akses prinsipal ke AWS Glue database, tabel, dan partisi. Ini diperlukan agar kepala sekolah dapat menggunakan AWS Glue Data Catalog dengan Athena. -
s3— Memungkinkan utama untuk menulis dan membaca hasil kueri dari Amazon S3. -
lakeformation— Memungkinkan kepala sekolah untuk meminta kredensil sementara untuk mengakses data di lokasi danau data yang terdaftar di Lake Formation. Untuk informasi selengkapnya, lihat Kontrol akses data yang mendasari di Panduan Pengembang AWS Lake Formation.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:BatchGetQueryExecution", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetQueryResultsStream", "athena:ListQueryExecutions", "athena:StartQueryExecution", "athena:StopQueryExecution", "athena:ListWorkGroups", "athena:ListEngineVersions", "athena:GetWorkGroup", "athena:GetDataCatalog", "athena:GetDatabase", "athena:GetTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] } ] }
Athena memperbarui kebijakan terkelola AWS
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Athena sejak layanan ini mulai melacak perubahan ini.
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
|
AmazonAthenaFullAccess – Pembaruan ke kebijakan yang sudah ada |
Memungkinkan Athena untuk menggunakan dokumen publik AWS Glue
|
Juni 18, 2024 |
|
AmazonAthenaFullAccess – Pembaruan ke kebijakan yang sudah ada |
|
Januari 3, 2024 |
|
AmazonAthenaFullAccess – Pembaruan ke kebijakan yang sudah ada |
|
Januari 3, 2024 |
|
AmazonAthenaFullAccess – Pembaruan ke kebijakan yang sudah ada |
Athena menambahkan |
Januari 25, 2023 |
|
AmazonAthenaFullAccess – Pembaruan ke kebijakan yang sudah ada |
Athena ditambahkan |
November 14, 2022 |
|
AmazonAthenaFullAccessdan AWSQuicksightAthenaAccess— Pembaruan kebijakan yang ada |
Athena |
7 Juli 2021 |
|
Athena mulai melacak perubahan |
Athena mulai melacak perubahan untuk kebijakan yang AWS dikelola. |
7 Juli 2021 |
