Gerenciar as permissões de usuário do Lake Formation e do Athena
O Lake Formation vende credenciais para consultar armazenamentos de dados ou catálogos federados do Amazon S3 que estão registrados no Lake Formation. Se você já tiver usado políticas do IAM para permitir ou negar permissões para ler catálogos ou locais de dados no Amazon S3, poderá usar as permissões do Lake Formation. No entanto, outras permissões do IAM ainda são necessárias.
Sempre que você usar as políticas do IAM, siga as práticas recomendadas do IAM. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Manual do usuário do IAM.
As seções a seguir resumem as permissões necessárias para usar o Athena nas consultas de dados registrados no Lake Formation. Para obter mais informações, consulte Segurança no AWS Lake Formation no Guia do desenvolvedor do AWS Lake Formation.
Resumo de permissões
Permissões baseadas em identidade para Lake Formation e Athena
Permissões do Amazon S3 para locais de resultados de consultas do Athena
Associações de grupos de trabalho do Athena para consultar o histórico
Permissões para dados criptografados, metadados e resultados de consultas do Athena
Permissões baseadas em recursos para buckets do Amazon S3 em contas externas (opcional)
Permissões baseadas em identidade para Lake Formation e Athena
Qualquer pessoa que usa o Athena para consultar dados registrados no Lake Formation deve ter uma política de permissões do IAM que permita a ação lakeformation:GetDataAccess. O Política gerenciada pela AWS: AmazonAthenaFullAccess permite essa ação. Se você usar políticas em linha, atualize as políticas de permissões para permitir essa ação.
No Lake Formation, um administrador de data lake tem permissões para criar objetos de metadados, como bancos de dados e tabelas, conceder permissões do Lake Formation a outros usuários e registrar novos locais ou catálogos de dados do Amazon S3. Para registrar novos locais, são necessárias permissões para a função vinculada ao serviço no Lake Formation. Para obter mais informações, consulte Create a data lake administrator (Criar um administrador de data lake) e Service-linked role permissions for Lake Formation (Permissões de função vinculada ao serviço no Lake Formation) no Guia do desenvolvedor do AWS Lake Formation.
Um usuário do Lake Formation pode usar o Athena para consultar bancos de dados, tabelas, colunas de tabelas e armazenamentos de dados ou catálogos subjacentes do Amazon S3 com base nas permissões do Lake Formation concedidas a ele pelos administradores de data lake. Os usuários não podem criar bancos de dados ou tabelas, nem registrar novos locais do Amazon S3 no Lake Formation. Para obter mais informações, consulte Create a data lake user (Criar um usuário do data lake) no Guia do desenvolvedor do AWS Lake Formation.
No Athena, as políticas de permissões baseadas em identidade, incluindo aquelas para grupos de trabalho do Athena, ainda controlam o acesso às ações do Athena para usuários de contas da Amazon Web Services. Além disso, o acesso federado pode ser concedido por meio da autenticação baseada em SAML disponível nos drivers do Athena. Para mais informações, consulte Usar grupos de trabalho para controlar o acesso a consultas e os custos, Usar políticas do IAM para controlar o acesso de grupo de trabalho e Habilitar o acesso federado à API do Athena.
Para obter mais informações, consulte Granting Lake Formation permissions (Conceder permissões do Lake Formation) no Guia do desenvolvedor do AWS Lake Formation.
Permissões do Amazon S3 para locais de resultados de consultas do Athena
O local dos resultados de consultas do Athena no Amazon S3 não pode ser registrado no Lake Formation. As permissões do Lake Formation não limitam o acesso a esses locais. A menos que você limite o acesso, os usuários do Athena podem acessar arquivos de resultados de consulta e metadados mesmo sem permissões do Lake Formation para os dados. Para evitar isso, recomendamos que você use grupos de trabalho para especificar o local dos resultados das consultas e alinhe a associação do grupo de trabalho com as permissões do Lake Formation. Depois disso, você pode usar as políticas de permissões do IAM para limitar o acesso aos locais de resultados de consultas. Para obter mais informações sobre resultados de consultas, veja Trabalhar com resultados de consultas e consultas recentes.
Associações de grupos de trabalho do Athena para consultar o histórico
O histórico de consultas do Athena expõe uma lista de consultas salvas e strings de consulta completas. A menos que você use grupos de trabalho para separar o acesso a históricos de consultas, os usuários do Athena que não estão autorizados a consultar os dados no Lake Formation poderão visualizar as strings de consultas executadas nesses dados, incluindo nomes de coluna, critérios de seleção e etc. Recomendamos que você use grupos de trabalho para separar históricos de consultas e alinhar a associação do grupo de trabalho do Athena com as permissões do Lake Formation para limitar o acesso. Para ter mais informações, consulte Usar grupos de trabalho para controlar o acesso a consultas e os custos.
Permissões do Lake Formation para dados
Além da permissão de linha de base para usar o Lake Formation, os usuários do Athena devem ter permissões do Lake Formation para acessar os recursos que eles consultam. Essas permissões são concedidas e gerenciadas por um administrador do Lake Formation. Para obter mais informações, consulte Security and access control to metadata and data (Controle de segurança e acesso a metadados e dados) no Guia do desenvolvedor do AWS Lake Formation.
Permissões do IAM para gravar em locais do Amazon S3
As permissões do Lake Formation para o Amazon S3 não incluem a capacidade de gravar no Amazon S3. As Create Table As Statements (CTAS) exigem acesso de gravação ao local das tabelas do Amazon S3. Para executar consultas CTAS em dados registrados no Lake Formation, os usuários do Athena devem ter as permissões do IAM para gravar nos locais de tabela do Amazon S3 e as devidas permissões do Lake Formation para ler os locais de dados. Para ter mais informações, consulte Criar uma tabela com base em resultados de consultas (CTAS).
Permissões para dados criptografados, metadados e resultados de consultas do Athena
É possível criptografar dados da fonte subjacentes no Amazon S3 e metadados no catálogo que estejam registrados no Lake Formation. Não há alteração na maneira como o Athena processa a criptografia de resultados das consultas quando ele é usado para consultar dados registrados no Lake Formation. Para ter mais informações, consulte Criptografar os resultados de consultas do Athena armazenados no Amazon S3.
-
Criptografia de dados de origem: a criptografia dos dados de origem dos locais de dados do Amazon S3 é permitida. Os usuários do Athena que consultam locais criptografados do Amazon S3 registrados no Lake Formation precisam de permissões para criptografar e descriptografar dados. Para obter mais informações sobre os requisitos, consulte Opções de criptografia permitidas do Amazon S3 e Permissões para dados criptografados no Amazon S3.
-
Criptografia de metadados: a criptografia de metadados no AWS Glue Data Catalog é compatível. Para os principais que usam o Athena, as políticas baseadas em identidade devem permitir as ações
"kms:GenerateDataKey","kms:Decrypt"e"kms:Encrypt"à chave usada para criptografar os metadados. Para obter mais informações, consulte Encrypting your Data Catalog (Criptografar seu catálogo de dados) no Guia do desenvolvedor do AWS Glue e Configurar o acesso do Athena aos metadados criptografados no AWS Glue Data Catalog.
Permissões baseadas em recursos para buckets do Amazon S3 em contas externas (opcional)
Para consultar um local de dados do Amazon S3 em uma conta diferente, uma política do IAM baseada em recurso (política de bucket) deve permitir o acesso ao local. Para ter mais informações, consulte Configurar o acesso entre contas do Athena aos buckets do Amazon S3.
Para obter informações sobre como acessar catálogos em outra conta, consulte Opção A: configurar o acesso entre contas ao catálogo de dados no Athena.
