Gestisci le autorizzazioni utente di Lake Formation e Athena - Amazon Athena
Autorizzazioni basate su identità per Lake Formation e AthenaAutorizzazioni Amazon S3 per le posizioni dei risultati delle query AthenaAppartenenza dei gruppi di lavoro Athena alla cronologia delle queryAutorizzazioni Lake Formation ai datiIAMautorizzazioni per scrivere su ubicazioni Amazon S3Autorizzazioni per dati crittografati, metadati e risultati delle query AthenaAutorizzazioni basate su risorse per i bucket Amazon S3 negli account esterni (facoltativo)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestisci le autorizzazioni utente di Lake Formation e Athena

Lake Formation fornisce le credenziali per eseguire query sui datastore Amazon S3 registrati con Lake Formation. Se in precedenza hai utilizzato IAM policy per consentire o negare le autorizzazioni per leggere le posizioni dei dati in Amazon S3, puoi invece utilizzare le autorizzazioni Lake Formation. Tuttavia, sono ancora necessarie altre IAM autorizzazioni.

Ogni volta che utilizzi IAM le politiche, assicurati di seguire le IAM migliori pratiche. Per ulteriori informazioni, consulta le migliori pratiche di sicurezza IAM nella Guida IAM per l'utente.

Le sezioni seguenti riepilogano le autorizzazioni necessarie per utilizzare Athena per eseguire query sui dati registrati in Lake Formation. Per ulteriori informazioni, vedere Sicurezza in AWS Lake Formation nella AWS Lake Formation Guida per gli sviluppatori.

Autorizzazioni basate su identità per Lake Formation e Athena

Chiunque utilizzi Athena per interrogare i dati registrati con Lake Formation deve disporre di una politica di IAM autorizzazioni che consenta l'azione. lakeformation:GetDataAccess AWS politica gestita: AmazonAthenaFullAccess consente questa operazione. Se utilizzi policy inline, assicurati di aggiornare le policy di autorizzazione per consentire questa operazione.

In Lake Formation, un amministratore di data lake dispone delle autorizzazioni per creare oggetti metadati come database e tabelle, concedere autorizzazioni Lake Formation ad altri utenti e registrare nuove posizioni Amazon S3. Per registrare nuove posizioni, sono necessarie le autorizzazioni per il ruolo collegato ai servizi per Lake Formation. Per ulteriori informazioni, consulta Creare un amministratore di data lake e Autorizzazioni di ruolo collegate ai servizi per Lake Formation nel AWS Lake Formation Guida per gli sviluppatori.

Un utente Lake Formation può utilizzare Athena per eseguire query su database, tabelle, colonne di tabelle e datastore Amazon S3 sottostanti in base alle autorizzazioni LakeFormation concesse dagli amministratori di data lake. Gli utenti non possono creare database o tabelle o registrare nuove posizioni Amazon S3 con Lake Formation. Per ulteriori informazioni, consulta Creare un utente di data lake nel AWS Lake Formation Guida per gli sviluppatori.

In Athena, le policy di autorizzazione basate su identità, incluse quelle per i gruppi di lavoro Athena, controllano comunque l'accesso alle azioni Athena per gli utenti dell'account Amazon Web Services. Inoltre, l'accesso federato potrebbe essere fornito tramite l'autenticazione SAML basata disponibile con i driver Athena. Per ulteriori informazioni, consulta Usa i gruppi di lavoro per controllare l'accesso alle query e i costi, Usa IAM le policy per controllare l'accesso ai gruppi di lavoro e Abilita l'accesso federato all'Athena API.

Per ulteriori informazioni, vedere Concessione delle autorizzazioni di Lake Formation nel AWS Lake Formation Guida per gli sviluppatori.

Autorizzazioni Amazon S3 per le posizioni dei risultati delle query Athena

Le posizioni dei risultati della query in Amazon S3 per Athena non possono essere registrate con Lake Formation. Le autorizzazioni Lake Formation non limitano l'accesso a queste posizioni. A meno che non si limiti l'accesso, gli utenti Athena possono accedere ai file dei risultati delle query e ai metadati quando non dispongono delle autorizzazioni Lake Formation per i dati. Per evitare questo problema, è consigliabile utilizzare i gruppi di lavoro per specificare la posizione dei risultati delle query e allineare l'appartenenza al gruppo di lavoro alle autorizzazioni Lake Formation. È quindi possibile utilizzare le politiche di IAM autorizzazione per limitare l'accesso alle posizioni dei risultati delle query. Per ulteriori informazioni sui risultati delle query, consulta Utilizzare i risultati delle query e le query recenti.

Appartenenza dei gruppi di lavoro Athena alla cronologia delle query

La cronologia delle query Athena espone un elenco di query salvate e stringhe di query complete. A meno che non si utilizzino gruppi di lavoro per separare l'accesso alle cronologie delle query, gli utenti di Athena che non sono autorizzati a eseguire query sui dati in Lake Formation possono visualizzare le stringhe di query eseguite su tali dati, inclusi i nomi delle colonne, i criteri di selezione ecc. È consigliabile utilizzare i gruppi di lavoro per separare le cronologie delle query e allineare l'appartenenza al gruppo di lavoro Athena alle autorizzazioni Lake Formation per limitare gli accessi. Per ulteriori informazioni, consulta Usa i gruppi di lavoro per controllare l'accesso alle query e i costi.

Autorizzazioni Lake Formation ai dati

Oltre all'autorizzazione di base per utilizzare Lake Formation, gli utenti Athena devono disporre delle autorizzazioni Lake Formation per accedere alle risorse su cui eseguono query. Queste autorizzazioni vengono concesse e gestite da un amministratore Lake Formation. Per ulteriori informazioni, consulta Sicurezza e controllo dell'accesso a metadati e dati nel AWS Lake Formation Guida per gli sviluppatori.

IAMautorizzazioni per scrivere su ubicazioni Amazon S3

Le autorizzazioni Lake Formation per Amazon S3 non includono la possibilità di scrivere su Amazon S3. Create Table As Statements (CTAS) richiede l'accesso in scrittura alla posizione delle tabelle in Amazon S3. Per eseguire CTAS query sui dati registrati con Lake Formation, gli utenti di Athena devono IAM disporre delle autorizzazioni per scrivere sulla tabella delle posizioni Amazon S3 oltre alle autorizzazioni di Lake Formation appropriate per leggere le posizioni dei dati. Per ulteriori informazioni, consulta Crea una tabella dai risultati della query (CTAS).

Autorizzazioni per dati crittografati, metadati e risultati delle query Athena

I dati di origine sottostanti in Amazon S3 e i metadati nel catalogo dati registrati con Lake Formation possono essere crittografati. Non vi è alcuna modifica al modo in cui Athena gestisce la crittografia dei risultati delle query quando si utilizza Athena per eseguire query sui dati registrati con Lake Formation. Per ulteriori informazioni, consulta Crittografa i risultati delle query Athena archiviati in Amazon S3.

  • Crittografia dei dati di origine — È supportata la crittografia dei dati di origine delle posizioni dei dati di Amazon S3. Gli utenti Athena che eseguono query sulle posizioni Amazon S3 crittografate e registrate con Lake Formation hanno bisogno delle autorizzazioni per crittografare e decrittografare i dati. Per ulteriori informazioni sui requisiti, consultare Opzioni di crittografia supportate da Amazon S3 e Autorizzazioni di accesso a dati crittografati in Amazon S3.

  • Crittografia dei metadati — È supportata la crittografia dei metadati nel catalogo dati. Per le entità principali che utilizzano le policy Athena basate su identità, è necessario consentire le operazioni "kms:GenerateDataKey", "kms:Decrypt" e "kms:Encrypt" per la chiave utilizzata per la crittografia dei metadati. Per ulteriori informazioni, consulta Encrypting your Data Catalog nel AWS Glue Guida per gli sviluppatori e. Configurare l'accesso da Athena ai metadati crittografati in AWS Glue Data Catalog

Autorizzazioni basate su risorse per i bucket Amazon S3 negli account esterni (facoltativo)

Per interrogare una posizione dati di Amazon S3 in un altro account, una IAM policy basata sulle risorse (bucket policy) deve consentire l'accesso alla posizione. Per ulteriori informazioni, consulta Configura l'accesso tra account in Athena ai bucket Amazon S3.

Per informazioni sull'accesso a un catalogo dati in un altro account, consulta Opzione A: configurare l'accesso al catalogo dati tra account diversi in Athena.