Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consulta Policy gestite da AWSnella Guida per l'utente di IAM.
Considerazioni sull'utilizzo di policy gestite con Athena
Le policy gestite sono facili da utilizzare e vengono aggiornate automaticamente con le operazioni richieste con l'evolvere del servizio. Quando utilizzi le policy gestite con Athena, tieni presente quanto segue:
-
Per consentire o negare operazioni di servizio Amazon Athena per te stesso o altri utenti che utilizzano AWS Identity and Access Management (IAM), devi allegare le policy basate su identità ai principali come utenti o gruppi.
-
Ogni policy basata su identità è formata da istruzioni che definiscono le operazioni consentite o negate. Per ulteriori informazioni e step-by-step istruzioni su come allegare una policy a un utente, consulta Allegare policy gestite nella IAM User Guide. Per un elenco delle operazioni, consulta la documentazione di riferimento dell'API di Amazon Athena.
-
Le policy basate sulle identità gestite dal cliente e inline permettono di specificare operazioni Athena più dettagliate all'interno di una policy per ottimizzare l'accesso. Consigliamo di utilizzare la policy
AmazonAthenaFullAccesscome punto di partenza e successivamente concedere o negare operazioni specifiche elencate nella documentazione di riferimento dell'API di Amazon Athena. Per ulteriori informazioni sulle policy inline, consulta Policy gestite e policy inline nella Guida per l'utente di IAM. -
Se disponi anche di principali che si collegano utilizzando JDBC, devi fornire le credenziali del driver JDBC all'applicazione. Per ulteriori informazioni, consulta Controlla l'accesso tramite connessioni JDBC e ODBC.
-
Se hai crittografato il AWS Glue Data Catalog, devi specificare azioni aggiuntive nelle policy IAM basate sull'identità per Athena. Per ulteriori informazioni, consulta Configurare l'accesso da Athena ai metadati crittografati in AWS Glue Data Catalog.
-
Se crei e usi i gruppi di lavoro, verifica che le tue policy includano l'accesso rilevante alle operazioni dei gruppi di lavoro. Per informazioni dettagliate, consulta Usa le policy IAM per controllare l'accesso ai gruppi di lavoro e Esempi di politiche per gruppi di lavoro.
AWS politica gestita: AmazonAthenaFullAccess
La policy gestita AmazonAthenaFullAccess concede accesso completo ad Athena.
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.
-
Utenti IAM:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella pagina Create a role for an IAM user della Guida per l'utente IAM.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.
-
Raggruppamenti di autorizzazioni
La policy AmazonAthenaFullAccess è raggruppata nei seguenti set di autorizzazioni.
-
athena: consente ai principali di accedere alle risorse Athena. -
glue— Consente ai principali l'accesso a AWS Glue cataloghi, database, tabelle e partizioni. Ciò è necessario affinché il preside possa utilizzare la AWS Glue Data Catalog s con Athena. -
s3: consente al principale di scrivere e leggere i risultati delle query da Amazon S3, di leggere esempi di dati Athena disponibili pubblicamente che risiedono in Amazon S3 e di elencare i bucket. Questo è necessario in modo che il principale possa utilizzare Athena per lavorare con Amazon S3. -
sns: consente ai principali di elencare gli argomenti di Amazon SNS e ottenere gli attributi degli argomenti. Ciò consente ai responsabili di utilizzare gli argomenti Amazon SNS con Athena a scopo di monitoraggio e avviso. -
cloudwatch— Consente ai responsabili di creare, leggere ed eliminare CloudWatch allarmi. Per ulteriori informazioni, consulta Utilizza CloudWatch e monitora EventBridge le interrogazioni e controlla i costi. -
lakeformation: consente ai principali di richiedere credenziali temporanee per accedere ai dati in una posizione data lake registrata con Lake Formation. Per ulteriori informazioni, consulta Controlli dell'accesso ai dati sottostantinella Guida per sviluppatori AWS di Lake Formation. -
datazone— Consente ai mandanti di elencare DataZone progetti, domini e ambienti Amazon. Per informazioni sull'utilizzo DataZone in Athena, vedere. Usa Amazon DataZone in Athena -
pricing— Fornisce l'accesso a. AWS Billing and Cost Management Per ulteriori informazioni, consulta GetProducts nella documentazione di riferimento dell'API AWS Billing and Cost Management .
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "BaseAthenaPermissions",
"Effect": "Allow",
"Action": [
"athena:*"
],
"Resource": [
"*"
]
},
{
"Sid": "BaseGluePermissions",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetCatalog",
"glue:GetCatalogs",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:UpdateTable",
"glue:GetTable",
"glue:GetTables",
"glue:BatchCreatePartition",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:UpdatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"glue:StartColumnStatisticsTaskRun",
"glue:GetColumnStatisticsTaskRun",
"glue:GetColumnStatisticsTaskRuns",
"glue:GetCatalogImportStatus"
],
"Resource": [
"*"
]
},
{
"Sid": "BaseQueryResultsPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-*"
]
},
{
"Sid": "BaseAthenaExamplesPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::athena-examples*"
]
},
{
"Sid": "BaseS3BucketPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": [
"*"
]
},
{
"Sid": "BaseSNSPermissions",
"Effect": "Allow",
"Action": [
"sns:ListTopics",
"sns:GetTopicAttributes"
],
"Resource": [
"*"
]
},
{
"Sid": "BaseCloudWatchPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DescribeAlarms",
"cloudwatch:DeleteAlarms",
"cloudwatch:GetMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "BaseLakeFormationPermissions",
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess"
],
"Resource": [
"*"
]
},
{
"Sid": "BaseDataZonePermissions",
"Effect": "Allow",
"Action": [
"datazone:ListDomains",
"datazone:ListProjects",
"datazone:ListAccountEnvironments"
],
"Resource": [
"*"
]
},
{
"Sid": "BasePricingPermissions",
"Effect": "Allow",
"Action": [
"pricing:GetProducts"
],
"Resource": [
"*"
]
}
]
}AWS politica gestita: AWSQuicksight AthenaAccess
AWSQuicksightAthenaAccessconcede l'accesso alle azioni QuickSight richieste da Amazon per l'integrazione con Athena. È possibile allegare la policy AWSQuicksightAthenaAccess alle identità IAM. Allega questa politica solo ai mandanti che utilizzano Amazon QuickSight con Athena. Questa policy include alcune operazioni per Athena che sono obsolete e non incluse nell'API pubblica corrente oppure che vengono utilizzate solo con i driver JDBC e ODBC.
Raggruppamenti di autorizzazioni
La policy AWSQuicksightAthenaAccess è raggruppata nei seguenti set di autorizzazioni.
-
athena: consente al principale di eseguire query sulle risorse Athena. -
glue— Consente ai principali di accedere a AWS Glue cataloghi, database, tabelle e partizioni. Ciò è necessario affinché il preside possa utilizzare la AWS Glue Data Catalog s con Athena. -
s3: consente al principale di scrivere e leggere i risultati delle query da Amazon S3. -
lakeformation: consente ai principali di richiedere credenziali temporanee per accedere ai dati in una posizione data lake registrata con Lake Formation. Per ulteriori informazioni, consulta Controlli dell'accesso ai dati sottostantinella Guida per sviluppatori AWS di Lake Formation.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"athena:BatchGetQueryExecution",
"athena:CancelQueryExecution",
"athena:GetCatalogs",
"athena:GetExecutionEngine",
"athena:GetExecutionEngines",
"athena:GetNamespace",
"athena:GetNamespaces",
"athena:GetQueryExecution",
"athena:GetQueryExecutions",
"athena:GetQueryResults",
"athena:GetQueryResultsStream",
"athena:GetTable",
"athena:GetTables",
"athena:ListQueryExecutions",
"athena:RunQuery",
"athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:ListWorkGroups",
"athena:ListEngineVersions",
"athena:GetWorkGroup",
"athena:GetDataCatalog",
"athena:GetDatabase",
"athena:GetTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetCatalog",
"glue:GetCatalogs",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:BatchDeleteTable",
"glue:UpdateTable",
"glue:GetTable",
"glue:GetTables",
"glue:BatchCreatePartition",
"glue:CreatePartition",
"glue:DeletePartition",
"glue:BatchDeletePartition",
"glue:UpdatePartition",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-*"
]
},
{
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess"
],
"Resource": [
"*"
]
}
]
}Athena aggiorna le policy gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Athena da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Modifica | Descrizione | Data |
|---|---|---|
| AWSQuicksightAthenaAccess: aggiornamento a policy esistenti | Sono state aggiunte glue:GetCatalogs le autorizzazioni glue:GetCatalog e per consentire agli utenti di Athena di accedere ai cataloghi di SageMaker AI Lakehouse. |
02 gennaio 2025 |
| AmazonAthenaFullAccess: aggiornamento a policy esistente | Sono state aggiunte glue:GetCatalogs le autorizzazioni glue:GetCatalog e per consentire agli utenti di Athena di accedere ai cataloghi di SageMaker AI Lakehouse. |
02 gennaio 2025 |
| AmazonAthenaFullAccess: aggiornamento a policy esistente |
Consente ad Athena di utilizzare l' AWS Glue
|
18 giugno 2024 |
|
AmazonAthenaFullAccess: aggiornamento a policy esistente |
Sono state aggiunte |
3 gennaio 2024 |
|
AmazonAthenaFullAccess: aggiornamento a policy esistente |
Le |
3 gennaio 2024 |
|
AmazonAthenaFullAccess: aggiornamento a policy esistente |
Athena ha aggiunto |
25 gennaio 2023 |
|
AmazonAthenaFullAccess: aggiornamento a policy esistente |
Athena è stata aggiunta |
14 novembre 2022 |
|
AmazonAthenaFullAccess e AWSQuicksightAthenaAccess: aggiornamenti alle policy esistenti |
Athena ha aggiunto |
7 luglio 2021 |
|
Athena ha iniziato a monitorare le modifiche |
Athena ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. |
7 luglio 2021 |
