Considerazioni sull'utilizzo di policy gestite con Athena AmazonAthenaFullAccess AWSQuicksightAthenaAccess Aggiornamenti alle policy

AWS politiche gestite per Amazon Athena

Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove API operazioni per i servizi esistenti.

Per ulteriori informazioni, consulta le politiche AWS gestite nella Guida IAM per l'utente.

Considerazioni sull'utilizzo di policy gestite con Athena

Le policy gestite sono facili da utilizzare e vengono aggiornate automaticamente con le operazioni richieste con l'evolvere del servizio. Quando utilizzi le policy gestite con Athena, tieni presente quanto segue:

Per consentire o negare azioni del servizio Amazon Athena per te o per altri utenti che AWS Identity and Access Management utilizzano IAM (), alleghi politiche basate sull'identità ai principali, come utenti o gruppi.
Ogni policy basata su identità è formata da istruzioni che definiscono le operazioni consentite o negate. Per ulteriori informazioni e step-by-step istruzioni su come allegare una politica a un utente, consulta Allegare politiche gestite nella Guida per l'utente. IAM Per un elenco di azioni, consulta Amazon Athena API Reference.
Le policy basate sulle identità gestite dal cliente e inline permettono di specificare operazioni Athena più dettagliate all'interno di una policy per ottimizzare l'accesso. Ti consigliamo di utilizzare la AmazonAthenaFullAccess policy come punto di partenza e quindi consentire o negare azioni specifiche elencate in Amazon API Athena Reference. Per ulteriori informazioni sulle politiche in linea, consulta le politiche gestite e le politiche in linea nella Guida per l'utente. IAM
Se disponi anche di principali che si connettono tramiteJDBC, devi fornire le credenziali del JDBC driver all'applicazione. Per ulteriori informazioni, consulta Controlla gli accessi e le connessioni JDBC ODBC.
Se hai crittografato il catalogo AWS Glue dati, devi specificare azioni aggiuntive nelle politiche basate sull'identità IAM per Athena. Per ulteriori informazioni, consulta Configurare l'accesso da Athena ai metadati crittografati in AWS Glue Data Catalog.
Se crei e usi i gruppi di lavoro, verifica che le tue policy includano l'accesso rilevante alle operazioni dei gruppi di lavoro. Per informazioni dettagliate, consulta Usa IAM le policy per controllare l'accesso ai gruppi di lavoro e Esempi di politiche per gruppi di lavoro.

AWS politica gestita: AmazonAthenaFullAccess

La policy gestita AmazonAthenaFullAccess concede accesso completo ad Athena.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Utenti e gruppi in AWS IAM Identity Center:

Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
Utenti gestiti IAM tramite un provider di identità:

Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creare un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
IAMutenti:
- Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate in Creare un ruolo per un IAM utente nella Guida per l'IAMutente.
- (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.

Raggruppamenti di autorizzazioni

La policy AmazonAthenaFullAccess è raggruppata nei seguenti set di autorizzazioni.

athena: consente ai principali di accedere alle risorse Athena.
glue— Consente ai principali di accedere a AWS Glue database, tabelle e partizioni. Ciò è necessario affinché il preside possa utilizzarlo AWS Glue Data Catalog con Athena.
s3: consente al principale di scrivere e leggere i risultati delle query da Amazon S3, di leggere esempi di dati Athena disponibili pubblicamente che risiedono in Amazon S3 e di elencare i bucket. Questo è necessario in modo che il principale possa utilizzare Athena per lavorare con Amazon S3.
sns— Consente ai responsabili di elencare gli SNS argomenti di Amazon e ottenere gli attributi degli argomenti. Ciò consente ai responsabili di utilizzare gli SNS argomenti di Amazon con Athena per scopi di monitoraggio e avviso.
cloudwatch— Consente ai responsabili di creare, leggere ed eliminare allarmi. CloudWatch Per ulteriori informazioni, consulta Utilizza CloudWatch e monitora EventBridge le interrogazioni e controlla i costi.
lakeformation: consente ai principali di richiedere credenziali temporanee per accedere ai dati in una posizione data lake registrata con Lake Formation. Per ulteriori informazioni, consulta Controlli dell'accesso ai dati sottostantinella Guida per sviluppatori AWS di Lake Formation.
datazone— Consente ai mandanti di elencare DataZone progetti, domini e ambienti Amazon. Per informazioni sull'utilizzo DataZone in Athena, vedere. Usa Amazon DataZone in Athena
pricing— Fornisce l'accesso a. AWS Billing and Cost Management Per ulteriori informazioni, vedere GetProductsnel AWS Billing and Cost Management APIReference.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BaseAthenaPermissions",
            "Effect": "Allow",
            "Action": [
                "athena:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition",
                "glue:StartColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRuns",
                "glue:GetCatalogImportStatus"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseQueryResultsPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Sid": "BaseAthenaExamplesPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::athena-examples*"
            ]
        },
        {
            "Sid": "BaseS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseSNSPermissions",
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseCloudWatchPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:GetMetricData"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseLakeFormationPermissions",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseDataZonePermissions",
            "Effect": "Allow",
            "Action": [
                "datazone:ListDomains",
                "datazone:ListProjects",
                "datazone:ListAccountEnvironments"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BasePricingPermissions",
            "Effect": "Allow",
            "Action": [
                "pricing:GetProducts"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS politica gestita: AWSQuicksightAthenaAccess

AWSQuicksightAthenaAccessconcede l'accesso alle azioni QuickSight richieste da Amazon per l'integrazione con Athena. Puoi allegare la AWSQuicksightAthenaAccess policy alle tue IAM identità. Allega questa politica solo ai mandanti che utilizzano Amazon QuickSight con Athena. Questa politica include alcune azioni per Athena che sono obsolete e non incluse nel pubblico API corrente oppure che vengono utilizzate solo con i driver and. JDBC ODBC

Raggruppamenti di autorizzazioni

La policy AWSQuicksightAthenaAccess è raggruppata nei seguenti set di autorizzazioni.

athena: consente al principale di eseguire query sulle risorse Athena.
glue— Consente ai principali l'accesso a AWS Glue database, tabelle e partizioni. Ciò è necessario affinché il preside possa utilizzarlo AWS Glue Data Catalog con Athena.
s3: consente al principale di scrivere e leggere i risultati delle query da Amazon S3.
lakeformation: consente ai principali di richiedere credenziali temporanee per accedere ai dati in una posizione data lake registrata con Lake Formation. Per ulteriori informazioni, consulta Controlli dell'accesso ai dati sottostantinella Guida per sviluppatori AWS di Lake Formation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:ListQueryExecutions",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Athena aggiorna le policy gestite AWS

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Athena da quando questo servizio ha iniziato a tenere traccia di queste modifiche.

Modifica	Descrizione	Data
AmazonAthenaFullAccess: aggiornamento a policy esistente	Consente ad Athena di utilizzare i documenti documentati pubblicamente AWS Glue `GetCatalogImportStatus` API per recuperare lo stato di importazione del catalogo.	18 giugno 2024
AmazonAthenaFullAccess: aggiornamento a policy esistente	Sono state aggiunte `datazone:ListAccountEnvironments` le autorizzazioni `datazone:ListDomainsdatazone:ListProjects`, e per consentire agli utenti di Athena di lavorare con domini, progetti e ambienti DataZone Amazon. Per ulteriori informazioni, consulta Usa Amazon DataZone in Athena.	3 gennaio 2024
AmazonAthenaFullAccess: aggiornamento a policy esistente	Le `glue:GetColumnStatisticsTaskRuns` autorizzazioni `glue:StartColumnStatisticsTaskRunglue:GetColumnStatisticsTaskRun`, e sono state aggiunte per dare ad Athena il diritto di AWS Glue chiamare per recuperare le statistiche per la funzionalità di ottimizzazione basata sui costi. Per ulteriori informazioni, consulta Usa l'ottimizzatore basato sui costi.	3 gennaio 2024
AmazonAthenaFullAccess: aggiornamento a policy esistente	Athena ha aggiunto `pricing:GetProducts` per fornire l'accesso a AWS Billing and Cost Management. Per ulteriori informazioni, consulta la sezione Reference. GetProductsAWS Billing and Cost Management API	25 gennaio 2023
AmazonAthenaFullAccess: aggiornamento a policy esistente	Athena aggiunta `cloudwatch:GetMetricData` per recuperare i valori delle metriche CloudWatch. Per ulteriori informazioni, GetMetricDataconsulta Amazon CloudWatch API Reference.	14 novembre 2022
AmazonAthenaFullAccesse AWSQuicksightAthenaAccess— Aggiornamenti alle politiche esistenti	Athena ha aggiunto `s3:PutBucketPublicAccessBlock` per consentire il blocco dell'accesso pubblico sui bucket creati da Athena.	7 luglio 2021
Athena ha iniziato a monitorare le modifiche	Athena ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.	7 luglio 2021

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dell'identità e dell'accesso

Accesso tramite JDBC e ODBC connessioni