Accesso ad Amazon S3 da Athena - Amazon Athena
Policy basate su identitàPolitiche relative alle risorse BucketPolitiche relative ai punti di accessoCalledVia chiavi contestualiAltre risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso ad Amazon S3 da Athena

Puoi concedere l'accesso alle posizioni Amazon S3 utilizzando le policy basate sulle identità, le policy delle risorse bucket, le policy dei punti di accesso o qualsiasi combinazione delle policy qui sopra. Quando gli attori interagiscono con Athena, le loro autorizzazioni passano attraverso Athena per determinare ciò a cui Athena può accedere. Ciò significa che gli utenti devono essere autorizzati ad accedere ai bucket Amazon S3 per potervi eseguire query con Athena.

Ogni volta che utilizzi IAM le politiche, assicurati di seguire le IAM migliori pratiche. Per ulteriori informazioni, consulta le migliori pratiche di sicurezza IAM nella Guida IAM per l'utente.

Tieni presente che le richieste ad Amazon S3 provengono da un IPv4 indirizzo privato per Athena, non dall'IP di origine specificato in. aws:SourceIp Per questo motivo, non è possibile utilizzare la aws:SourceIp condizione per negare l'accesso alle azioni di Amazon S3 in una IAM determinata policy. Inoltre, non puoi limitare o consentire l'accesso alle risorse Amazon S3 in base alle chiavi di aws:SourceVpce condizione aws:SourceVpc o.

Nota

I gruppi di lavoro Athena che utilizzano l'autenticazione IAM Identity Center richiedono che S3 Access Grants sia configurato per utilizzare identità di propagazione delle identità affidabili. Per maggiori informazioni, consulta la pagina S3 Access Grants and directory identities nella Guida per l'utente di Amazon Simple Storage Service.

Controllo dell'accesso ai bucket Amazon S3 con policy basate sull'identità

Le policy basate sull'identità sono associate a un utente, gruppo o ruolo. IAM Queste policy consentono di specificare cosa può fare quell'identità (le sue autorizzazioni). Puoi utilizzare policy basate sull'identità per controllare l'accesso ai tuoi bucket Amazon S3.

La seguente politica basata sull'identità consente Read Write l'accesso agli oggetti in uno specifico bucket Amazon S3. Per utilizzare questa politica, sostituisci il italicized placeholder text con i tuoi valori.

{
"Version": "2012-10-17",
"Statement":
    [
        {
            "Sid": "ListObjectsInBucket",
            "Effect": "Allow",
            "Action": ["s3:ListBucket"],
            "Resource":
                ["arn:aws:s3:::amzn-s3-demo-bucket"]
        }, 
        {
            "Sid": "AllObjectActions",
            "Effect": "Allow",
            "Action": "s3:*Object",
            "Resource":
                ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
        }
    ]
}

Controllo dell'accesso ai bucket Amazon S3 con policy relative alle risorse dei bucket

Puoi utilizzare le policy dei bucket di Amazon S3 per proteggere l'accesso agli oggetti nei tuoi bucket in modo che solo gli utenti con le autorizzazioni appropriate possano accedervi. Per indicazioni sulla creazione di una policy Amazon S3, consulta Aggiungere una bucket policy utilizzando la console Amazon S3 nella Amazon S3 User Guide.

Il seguente esempio di politica di autorizzazione limita un utente alla lettura di oggetti che hanno il environment: production tag key e value. La politica di esempio utilizza la chiave s3:ExistingObjectTag condition per specificare la chiave e il valore del tag.

{
    "Version":"2012-10-17",
    "Statement":
    [
        {
            "Principal":{"AWS":"arn:aws:iam::111122223333:role/JohnDoe"
        },
            "Effect":"Allow",
            "Action": [ "s3:GetObject", "s3:GetObjectVersion" ],
            "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition":
                {
                    "StringEquals":{"s3:ExistingObjectTag/environment":"production"
                } 
    ]
}

Per altri esempi di policy relative ai bucket, consulta Esempi di policy relative ai bucket di Amazon S3 nella Amazon S3 User Guide.

Punti di accesso Amazon S3, alias dei punti di accesso e politiche dei punti di accesso

Se disponi di un set di dati condiviso in un bucket Amazon S3, mantenere una singola policy del bucket che gestisce l'accesso per centinaia di casi d'uso può essere difficile.

I punti di accesso al bucket Amazon S3 aiutano a risolvere questo problema. Un bucket può avere più punti di accesso, ciascuno con una policy che controlla l'accesso al bucket in modo diverso.

Per ogni punto di accesso creato, Amazon S3 genera un alias che rappresenta il punto di accesso. Poiché l'alias è nel formato del nome bucket Amazon S3, è possibile utilizzare l'alias nella clausola LOCATION delle istruzioni CREATE TABLE in Athena. L'accesso di Athena al bucket è quindi controllato dalla policy per il punto di accesso che l'alias rappresenta.

Per ulteriori informazioni, consulta Specificare la posizione di una tabella in Amazon S3 e Utilizzo dei punti di accesso nella Guida per l'utente di Amazon S3.

Utilizzo delle chiavi CalledVia contestuali

Per una maggiore sicurezza, è possibile utilizzare la chiave di contesto di condizione globale aws:CalledVia. La chiave aws:CalledVia contiene un elenco ordinato di ciascun servizio nella catena che ha effettuato le richieste per conto dell'entità principale. Specificando il nome del principale servizio Athena athena.amazonaws.com per la chiave di contesto aws:CalledVia, è possibile limitare le richieste solo a quelle effettuate da Athena. Per ulteriori informazioni, consulta Usare Athena con CalledVia le chiavi di contesto.

Altre risorse

Per ulteriori informazioni ed esempi su come concedere l'accesso ad Amazon S3, consulta le seguenti risorse: