Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

AWS kebijakan terkelola untuk Amazon Athena

RSS
Mode fokus
AWS kebijakan terkelola untuk Amazon Athena - Amazon Athena
Pertimbangan saat menggunakan kebijakan terkelola dengan AthenaAmazonAthenaFullAccessAWSQuicksightAthenaAccessPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

Pertimbangan saat menggunakan kebijakan terkelola dengan Athena

Kebijakan terkelola mudah digunakan dan diperbarui secara otomatis dengan tindakan yang diperlukan saat layanan berkembang. Saat menggunakan kebijakan terkelola dengan Athena, ingatlah hal-hal berikut:

  • Untuk mengizinkan atau menolak tindakan layanan Amazon Athena untuk diri sendiri atau pengguna lain yang menggunakan AWS Identity and Access Management (IAM), Anda melampirkan kebijakan berbasis identitas untuk utama, seperti pengguna atau grup.

  • Setiap kebijakan berbasis identitas terdiri dari pernyataan yang menentukan tindakan yang diizinkan atau ditolak. Untuk informasi selengkapnya dan step-by-step petunjuk untuk melampirkan kebijakan ke pengguna, lihat Melampirkan kebijakan terkelola di Panduan Pengguna IAM. Untuk daftar tindakan, lihat bagianReferensi API Amazon Athena.

  • Dikelola pelanggandaninlinekebijakan berbasis identitas memungkinkan Anda menentukan tindakan Athena yang lebih terperinci dalam kebijakan untuk menyempurnakan akses. Kami menyarankan agar Anda menggunakanAmazonAthenaFullAccesskebijakan sebagai titik awal dan kemudian mengizinkan atau menolak tindakan tertentu yang tercantum dalamReferensi API Amazon Athena. Untuk informasi selengkapnya tentang kebijakan sebaris, lihat Kebijakan terkelola dan kebijakan sebaris di Panduan Pengguna IAM.

  • Jika Anda juga memiliki utama yang terhubung menggunakan JDBC, Anda harus memberikan mandat driver JDBC untuk aplikasi Anda. Untuk informasi selengkapnya, lihat Kontrol akses melalui koneksi JDBC dan ODBC.

  • Jika Anda telah mengenkripsi Katalog AWS Glue Data, Anda harus menentukan tindakan tambahan dalam kebijakan IAM berbasis identitas untuk Athena. Untuk informasi selengkapnya, lihat Konfigurasikan akses dari Athena ke metadata terenkripsi di AWS Glue Data Catalog.

  • Jika Anda membuat dan menggunakan grup kerja, pastikan kebijakan Anda termasuk akses yang relevan ke tindakan grup kerja. Untuk informasi detail, lihat Menggunakan kebijakan IAM untuk mengontrol akses workgroup dan Contoh kebijakan workgroup.

AWS kebijakan terkelola: AmazonAthenaFullAccess

Kebijakan terkelola AmazonAthenaFullAccess memberikan akses penuh ke Athena.

Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:

Pengelompokan izin

ParameterAmazonAthenaFullAccessdikelompokkan ke dalam kumpulan izin berikut.

  • athena— Memungkinkan utama akses ke sumber daya Athena.

  • glue— Memungkinkan akses kepala sekolah ke AWS Glue Katalog, database, tabel, dan partisi. Ini diperlukan agar kepala sekolah dapat menggunakan AWS Glue Data Catalog s dengan Athena.

  • s3— Memungkinkan utama untuk menulis dan membaca hasil kueri dari Amazon S3, untuk membaca tersedia secara publik contoh data Athena yang berada di Amazon S3, dan daftar bucket. Ini diperlukan agar utama dapat menggunakan Athena untuk bekerja dengan Amazon S3.

  • sns— Memungkinkan utama untuk daftar topik Amazon SNS dan mendapatkan atribut topik. Ini memungkinkan utama untuk menggunakan topik Amazon SNS dengan Athena untuk tujuan pemantauan dan peringatan.

  • cloudwatch— Memungkinkan kepala sekolah untuk membuat, membaca, dan menghapus alarm. CloudWatch Untuk informasi selengkapnya, lihat Menggunakan CloudWatch dan EventBridge memantau kueri dan mengendalikan biaya.

  • lakeformation— Memungkinkan kepala sekolah untuk meminta kredensil sementara untuk mengakses data di lokasi danau data yang terdaftar di Lake Formation. Untuk informasi selengkapnya, lihat Kontrol akses data yang mendasari di Panduan Pengembang AWS Lake Formation.

  • datazone— Memungkinkan kepala sekolah untuk mencantumkan DataZone proyek, domain, dan lingkungan Amazon. Untuk informasi tentang penggunaan DataZone di Athena, lihat. Gunakan Amazon DataZone di Athena

  • pricing— Menyediakan akses ke AWS Billing and Cost Management. Untuk informasi selengkapnya, lihat GetProducts di dalam Referensi API AWS Billing and Cost Management . 

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "BaseAthenaPermissions",
            "Effect": "Allow",
            "Action": [
                "athena:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetCatalog",
                "glue:GetCatalogs",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition",
                "glue:StartColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRuns",
                "glue:GetCatalogImportStatus"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseQueryResultsPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Sid": "BaseAthenaExamplesPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::athena-examples*"
            ]
        },
        {
            "Sid": "BaseS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseSNSPermissions",
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseCloudWatchPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:GetMetricData"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseLakeFormationPermissions",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseDataZonePermissions",
            "Effect": "Allow",
            "Action": [
                "datazone:ListDomains",
                "datazone:ListProjects",
                "datazone:ListAccountEnvironments"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BasePricingPermissions",
            "Effect": "Allow",
            "Action": [
                "pricing:GetProducts"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS kebijakan terkelola: AWSQuicksight AthenaAccess

AWSQuicksightAthenaAccessmemberikan akses ke tindakan yang QuickSight diperlukan Amazon untuk integrasi dengan Athena. Anda dapat melampirkan kebijakan AWSQuicksightAthenaAccess ke identitas IAM Anda. Lampirkan kebijakan ini hanya untuk kepala sekolah yang menggunakan Amazon dengan QuickSight Athena. Kebijakan ini mencakup beberapa tindakan untuk Athena yang baik usang dan tidak termasuk dalam API publik saat ini, atau yang digunakan hanya dengan driver JDBC dan ODBC.

Pengelompokan izin

ParameterAWSQuicksightAthenaAccessdikelompokkan ke dalam kumpulan izin berikut.

  • athena— Memungkinkan utama untuk menjalankan kueri pada sumber daya Athena.

  • glue— Memungkinkan akses kepala sekolah ke AWS Glue Katalog, database, tabel, dan partisi. Ini diperlukan agar kepala sekolah dapat menggunakan AWS Glue Data Catalog s dengan Athena.

  • s3— Memungkinkan utama untuk menulis dan membaca hasil kueri dari Amazon S3.

  • lakeformation— Memungkinkan kepala sekolah untuk meminta kredensil sementara untuk mengakses data di lokasi danau data yang terdaftar di Lake Formation. Untuk informasi selengkapnya, lihat Kontrol akses data yang mendasari di Panduan Pengembang AWS Lake Formation.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetCatalog",
                "glue:GetCatalogs",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Athena memperbarui kebijakan terkelola AWS

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Athena sejak layanan ini mulai melacak perubahan ini.

Perubahan Deskripsi Tanggal
AWSQuicksightAthenaAccess— Pembaruan kebijakan yang ada glue:GetCatalogsIzin glue:GetCatalog dan ditambahkan untuk memungkinkan pengguna Athena mengakses katalog AI SageMaker Lakehouse. Januari 02, 2025
AmazonAthenaFullAccess – Pembaruan ke kebijakan yang sudah ada glue:GetCatalogsIzin glue:GetCatalog dan ditambahkan untuk memungkinkan pengguna Athena mengakses katalog AI SageMaker Lakehouse. Januari 02, 2025
AmazonAthenaFullAccess – Pembaruan ke kebijakan yang sudah ada

Memungkinkan Athena menggunakan AWS Glue GetCatalogImportStatus API yang didokumentasikan secara publik untuk mengambil status impor katalog.

 Juni 18, 2024

AmazonAthenaFullAccess – Pembaruan ke kebijakan yang sudah ada

datazone:ListAccountEnvironmentsIzin datazone:ListDomainsdatazone:ListProjects,, dan ditambahkan untuk memungkinkan pengguna Athena bekerja dengan domain, proyek, dan lingkungan DataZone Amazon. Untuk informasi selengkapnya, lihat Gunakan Amazon DataZone di Athena.

 Januari 3, 2024

AmazonAthenaFullAccess – Pembaruan ke kebijakan yang sudah ada

glue:GetColumnStatisticsTaskRunsIzin glue:StartColumnStatisticsTaskRunglue:GetColumnStatisticsTaskRun,, dan ditambahkan untuk memberi Athena hak AWS Glue menelepon untuk mengambil statistik untuk fitur pengoptimal berbasis biaya. Untuk informasi selengkapnya, lihat Gunakan pengoptimal berbasis biaya.

 Januari 3, 2024

AmazonAthenaFullAccess – Pembaruan ke kebijakan yang sudah ada

Athena menambahkan pricing:GetProducts untuk menyediakan akses ke. AWS Billing and Cost Management Untuk informasi selengkapnya, lihat GetProducts di dalam Referensi API AWS Billing and Cost Management .

Januari 25, 2023

AmazonAthenaFullAccess – Pembaruan ke kebijakan yang sudah ada

Athena ditambahkan cloudwatch:GetMetricData untuk mengambil nilai metrik CloudWatch. Untuk informasi selengkapnya, lihat GetMetricDatadi Referensi Amazon CloudWatch API.

 November 14, 2022

AmazonAthenaFullAccessdan AWSQuicksightAthenaAccess— Pembaruan kebijakan yang ada

Athenas3:PutBucketPublicAccessBlockuntuk mengaktifkan pemblokiran akses publik pada bucket yang dibuat oleh Athena.

 7 Juli 2021

Athena mulai melacak perubahan

Athena mulai melacak perubahan untuk kebijakan yang AWS dikelola.

 7 Juli 2021

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.