Athena でのアイデンティティとアクセス権の管理
Amazon Athena では、AWS Identity and Access Management (IAM) ポリシーを使用して、Athena オペレーションへのアクセスを制限します。Athena の許可の完全なリストについては、「Service Authorization Reference」の「Actions, resources, and condition keys for Amazon Athena」を参照してください。
IAM ポリシーを使用するときは、常に IAM のベストプラクティスに従うようにしてください。詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティベストプラクティス」を参照してください。
Athena クエリの実行に必要な許可には、以下が含まれます。
-
クエリを実行する基盤となるデータが保存されている Amazon S3 の場所。詳細については、「Amazon Simple Notification Service ユーザーガイド」の「Amazon S3 での Identity and Access Management」を参照してください。
-
データベースやテーブルなど AWS Glue Data Catalog に保存しているメタデータとリソース (暗号化されたメタデータに対する追加のアクションを含む)。詳細については、「AWS Glue デベロッパーガイド」の「AWS Glue の IAM アクセス許可のセットアップ」と「AWS Glue での暗号化のセットアップ」を参照してください。
-
Athena API アクション。Athena での API アクションのリストについては、「Amazon Athena API リファレンス」の「アクション」を参照してください。
以下のトピックでは、Athena の特定の分野に関する許可を詳しく説明します。
トピック
- AWS 管理ポリシー
- JDBC および ODBC 接続を介したアクセス
- Athena から Amazon S3 へのアクセスを制御する
- S3 バケットへのクロスアカウントアクセス
- AWS Glue のデータベースとテーブルへのアクセス
- AWS Glue データカタログへのクロスアカウントアクセス
- データカタログの暗号化されたメタデータにアクセスする
- ワークグループとタグへのアクセス
- IAM ポリシーを使用してワークグループのアクセスを制御する
- IAM アイデンティティセンターが有効なワークグループ
- 最低限の暗号化を設定する
- 準備済みステートメントへのアクセスを構成する
- CalledVia コンテキスト キーを使用する
- 外部 Hive メタストア用の Athena データコネクタへのアクセスを許可する
- 外部 Hive メタストアへの Lambda 関数アクセスを許可する
- コネクタと Athena カタログの作成に必要なアクセス許可
- Athena Federated Query へのアクセスを許可する
- UDF へのアクセスを許可する
- Athena で ML へのアクセスを許可する
- Athena API へのフェデレーションアクセスを有効にする
