IAM ポリシーを使用してデータカタログへのアクセスを制御する - Amazon Athena

IAM ポリシーを使用してデータカタログへのアクセスを制御する

データカタログへのアクセスを制御するには、リソースレベルの IAM アクセス許可、またはアイデンティティベースの IAM ポリシーを使用します。

以下の手順は、Athena に固有の手順です。

IAM 固有の情報については、このセクションの最後に表示されているリンク先を参照してください。JSON データカタログポリシーの例については、「データカタログポリシーの例」を参照してください。

IAM コンソールのビジュアルエディタを使用してデータカタログポリシーを作成する

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左側のナビゲーションペインで、[Policies] (ポリシー)、[Create policy] (ポリシーの作成) の順にクリックします。

  3. [Visual editor] (ビジュアルエディタ) タブで、[Choose a service] (サービスの選択) をクリックします。次に、ポリシーに追加する Athena を選択します。

  4. [Select actions] (アクションの選択) を選択し、ポリシーに追加するアクションを選択します。ビジュアルエディタが Athena で利用できるアクションを表示します。詳細については、「サービス承認リファレンス」の「Amazon Athena のアクション、リソース、および条件キー」を参照してください。

  5. [Add actions] (アクションの追加) をクリックして特定のアクションを入力、またはワイルドカード (*) を使用して複数のアクションを指定します。

    デフォルトでは、作成しているポリシーが選択するアクションを許可します。Athena 内の datacatalog リソースに対するリソースレベルのアクセス許可をサポートするアクションを 1 つ、または複数選択すると、エディタが datacatalog リソースをリストします。

  6. [Resources] (リソース) をクリックして、ポリシーの特定のデータカタログを指定します。JSON データカタログポリシーの例については、「データカタログポリシーの例」を参照してください。

  7. 以下のように datacatalog リソースを指定します。

    arn:aws:athena:<region>:<user-account>:datacatalog/<datacatalog-name>

  8. [Review policy] (ポリシーの確認) をクリックして、作成するポリシーの [Name] (名前) と [Description (説明) (オプション) を入力します。ポリシー概要を確認して、意図したアクセス許可を付与したことを確認します。

  9. [Create Policy] (ポリシーの作成) をクリックして、新しいポリシーを保存します。

  10. このアイデンティティベースのポリシーをユーザー、グループ、またはロールにアタッチし、それらのユーザー、グループ、またはロールがアクセスできる datacatalog リソースを指定します。

詳細については、「Service Authorization Reference」と「IAM ユーザーガイド」に記載されている以下のトピックを参照してください。

JSON データカタログポリシーの例については、「データカタログポリシーの例」を参照してください。

AWS Glue のアクセス許可および AWS Glue クローラーのアクセス許可の詳細については、「AWS Glue デベロッパーガイド」の「AWS Glue 用の IAM アクセス許可のセットアップ」および「クローラーの前提条件」を参照してください。

Amazon Athena アクションの完全なリストについては、Amazon Athena API Reference で API アクション名を参照してください。