建立工作群組 - Amazon Athena

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立工作群組

建立工作群組需要 CreateWorkgroupAPI動作的許可。請參閱 設定對工作群組和標籤的存取使用IAM政策來控制工作群組存取。如果您新增標籤,您也需要將許可新增到 TagResource。請參閱 工作群組的標籤政策範例

下列程序說明如何使用 Athena 主控台來建立工作群組。若要使用 Athena 建立工作群組API,請參閱 CreateWorkGroup

在 Athena 主控台中建立工作群組

  1. 決定建立哪些工作群組。需要考慮的幾個因素包括:

    • 誰可以在每個工作群組中執行查詢,以及誰擁有工作群組的組態。使用 IAM 政策來強制執行工作群組許可。如需詳細資訊,請參閱使用IAM政策來控制工作群組存取

    • Amazon S3 中用於工作群組查詢結果的位置。工作群組的所有使用者都必須具有此位置的存取權。

    • 工作群組查詢結果是否必須加密。由於加密是依工作群組 (不是每個查詢),因此您應該為加密和非加密的查詢結果建立個別的工作群組。如需詳細資訊,請參閱加密存放在 Amazon S3 中的 Athena 查詢結果

  2. 如果未顯示主控台的導覽窗格,請選擇左側的展開選單。

    選擇展開選單。

  3. 在 Athena 主控台導覽窗格中,選擇 Workgroups (工作群組)。

  4. Workgroups (工作群組) 頁面中,請選擇 Create workgroup (建立工作群組)。

  5. Create workgroup (建立工作群組) 頁面上,如下所示填寫欄位:

    欄位 描述
    Workgroup name (工作群組名稱) 必要。輸入工作群組的唯一名稱。名稱可以包含 1 到 128 個字元,包括英數字元、破折號和底線。在您建立工作群組後,便無法更改其名稱。
    Description (描述) 選用。輸入工作群組的描述。最多可包含 1024 個字元。
    選擇引擎類型

    如果您想要對 Amazon S3 中的資料執行臨時SQL查詢,或使用預先建置的資料來源連接器,在 Amazon S3 外部的各種資料來源上執行聯合查詢,請選擇 AthenaSQL。您可以使用 Athena 查詢編輯器、 AWS CLIAthena APIs執行查詢。

    如果您想要使用 Python 和 Apache Spark 建立、編輯和執行 Jupyter 筆記本應用程式,則請選擇 Apache Spark。Jupyter 筆記本包含一系列儲存格,其中可包含程式碼、文字、Markdown、數學、圖和豐富媒體。在 Athena 的互動式筆記本工作階段中,儲存格會依照計算順序執行。如需有關建立和設定已啟用 Spark 之工作群組的詳細資訊,則請參閱 步驟 1:在 Athena 中建立啟用 Spark 的工作群組

    在您建立工作群組後,即可升級其分析引擎 (例如,從 Athena 引擎版本 2 升級為 Athena 引擎版本 3),但無法變更其引擎類型。例如,Athena 引擎第 3 版工作群組無法變更為 PySpark 引擎第 3 版工作群組。
    更新查詢引擎 選擇在發布新的 Athena 引擎版本時工作群組的更新方式。您可以讓 Athena 決定何時更新工作群組或手動選擇引擎版本。如需詳細資訊,請參閱Athena 引擎版本控制
    身分驗證 選擇 AWS Identity and Access Management (IAM) 以使用工作群組的IAM身分驗證或聯合。如果您想要支援人力資源身分,例如來自 Microsoft Active Directory 等 SAML 2.0 身分提供者的使用者和群組,請選擇身分IAM中心。如需詳細資訊,請參閱AWS IAM Identity Center 《 使用者指南》中的 使用已啟用IAM身分識別中心的 Athena跨應用程式的可信任身分傳播。您無法在工作群組建立後變更工作群組的身分驗證類型。
    IAM Identity Center 存取的服務角色 Athena 需要代表您存取 IAM Identity Center 的IAM許可。如需IAM服務角色的詳細資訊,請參閱IAM《 使用者指南》中的建立角色以委派許可給 AWS 服務
    Location of query result (查詢結果的位置)

    輸入 Amazon S3 儲存貯體的路徑或字首。這個儲存貯體和字首必須存在,您才能指定。如需建立 Amazon S3 儲存貯體的相關資訊,請參閱建立儲存貯體

    注意

    如果您未指定工作群組或設定中的查詢結果位置,Athena 查詢將會失敗。如果您使用 API或 驅動程式執行查詢,則必須在至少兩個位置之一指定查詢結果位置:針對使用 的個別查詢OutputLocation,或針對工作群組,指定使用 WorkGroupConfiguration
    Expected bucket owner (預期的儲存貯體擁有者) 選用。輸入 AWS 帳戶 您預期成為輸出位置儲存貯體擁有者的 ID。這是一項附加的安全措施。如果儲存貯體擁有者的帳戶 ID 與您在此處指定的 ID 不相符,則嘗試輸出到儲存貯體的動作會失敗。如需詳細資訊,請參閱 Amazon S3 使用者指南中的使用儲存貯體擁有者條件驗證儲存貯體擁有權
    注意

    預期的儲存貯體擁有者設定僅適用於您為 Athena 查詢結果指定的 Amazon S3 輸出位置。它不適用於其他 Amazon S3 位置,例如外部 Amazon S3 儲存貯體、CTASINSERT INTO 目的地資料表位置、UNLOAD 陳述式輸出位置等資料來源位置,也不適用於溢出聯合查詢儲存貯體的操作,或針對另一個帳戶中的資料表執行的 SELECT 查詢。
    指派儲存貯體擁有者對查詢結果的完整控制

    預設不選取此欄位。如果您選取它並針對查詢結果位置儲存貯體ACLs啟用 ,您可以將查詢結果的完整控制存取權授予儲存貯體擁有者。例如,如果您的查詢結果位置係由另一個帳戶所擁有,則可以使用此選項授予另一個帳戶對查詢結果的所有權和完整控制。

    如果儲存貯體的 S3 物件所有權設定為 Bucket owner preferred (首選的儲存貯體擁有者) 時,則儲存貯體擁有者亦擁有從此工作群組寫入的所有查詢結果物件。例如,如果外部帳戶的工作群組啟用此選項,並將其查詢結果位置設定為您帳戶的 Simple Storage Service (Amazon S3) 儲存貯體,且該儲存貯體的 S3 物件所有權設定為 Bucket owner preferred (首選的儲存貯體擁有者) 時,則您擁有外部工作群組的查詢結果並具有完整的控制存取。

    當查詢結果儲存貯體的 S3 物件所有權設定為 Bucket owner enforced (強制的儲存貯體擁有者) 時,則選取此選項不會有任何作用。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的物件所有權設定
    加密查詢結果

    選用。對於所有工作群組查詢,請在 Amazon S3 中加密查詢結果。由於您必須加密工作群組中的所有查詢或無,我們建議您為加密和非加密的查詢建立個別的工作群組。

    如果選取,您可以選取加密類型加密金鑰,然後輸入KMS金鑰 ARN

    如果您沒有金鑰,請開啟 AWS KMS 主控台來建立金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的建立金鑰
    encryption_type設定為最低加密

    選用。選取此選項可針對工作群組的所有使用者強制執行查詢結果的最低加密類型。選取此選項會顯示含有加密類型階層的資料表。此資料表也會顯示,當您將特定加密類型指定為最低加密類型時,工作群組使用者將允許使用的加密類型。若要使用此選項,則不得選取覆寫用戶端設定

    如需詳細資訊,請參閱規劃工作群組的最低加密
    啟用 S3 Access Grants 當您選擇 IAM Identity Center 做為身分驗證模式時,預設會選取此欄位。選取後,此選項會將 IAM Identity Center 使用者或群組型許可套用至 Amazon S3 位置。
    建立以使用者身分為基礎的 S3 字首 選取此選項後,Athena 會在存放查詢結果時建立 Amazon S3 字首。字首是以使用者的 IAM Identity Center 使用者身分為基礎。
    Override client-side settings (覆寫用戶端設定) 預設不選取此欄位。如果您選取此欄位,則工作群組設定會套用至工作群組中的所有查詢,並覆寫用戶端設定。如需詳細資訊,請參閱Override client-side settings (覆寫用戶端設定)
    發佈查詢指標至 CloudWatch 預設會選取此欄位。將查詢指標發佈至 CloudWatch。請參閱 使用 監控 Athena 查詢指標 CloudWatch
    Requester Pays S3 buckets (申請者付款 S3 儲存貯體)

    選用。如果工作群組使用者將對存放在設定為申請者付款的 Amazon S3 儲存貯體中的資料執行查詢,請選擇 Turn on queries on requester pays buckets in Amazon S3 (在 Amazon S3 中對申請者付款儲存貯體開啟查詢)。執行查詢的使用者帳戶需要支付與查詢相關聯的適用資料存取和資料傳輸費用。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的申請者付款儲存貯體
    Per query data usage control (每一查詢資料用量控制) 選用。設定允許查詢掃描的最大資料量限制。您只能為工作群組設定一個每一查詢限制。此限制會套用於工作群組中的所有查詢,如果查詢超出限制,則查詢將被取消。如需詳細資訊,請參閱設定每個查詢和每個工作群組的資料用量控制
    Workgroup data usage alerts (工作群組資料用量提醒) 選用。當工作群組中執行的查詢在特定時段內掃描指定數量的資料時,設定多個提醒閾值。警示會使用 Amazon CloudWatch 警示實作,並套用至工作群組中的所有查詢。如需詳細資訊,請參閱《Amazon 使用者指南》中的使用 Amazon CloudWatch 警示 CloudWatch
    Tags (標籤) 選用。將一或多個標籤新增到工作群組。標籤是您指派給 Athena 工作群組資源的標籤。由索引鍵和值組成。使用 AWS 標記最佳實務來建立一致的標籤集,並根據目的、擁有者或環境來分類工作群組。您也可以在IAM政策中使用標籤,並控制帳單成本。請勿在相同的工作群組中使用重複的標籤索引鍵。如需詳細資訊,請參閱標記 Athena 資源

  6. 選擇建立工作群組。工作群組會出現在 Workgroups (工作群組) 頁面上的清單。

    在查詢編輯器中,Athena 會在主控台右上角的工作群組選項中顯示目前的工作群組。您可以使用此選項來切換工作群組。當您執行查詢時,它們會在目前工作群組中執行。

  7. 建立 IAM 政策以允許使用者、群組或角色存取工作群組。政策建立工作群組成員資格和在 workgroup 資源上的動作存取權。如需詳細資訊,請參閱使用IAM政策來控制工作群組存取。如需範例JSON政策,請參閱 設定對工作群組和標籤的存取

  8. (選用) 覆寫用戶端設定選項未強制執行工作群組整體加密時,針對工作群組的所有查詢結果,在 Amazon S3 中設定最低層級的加密。您可以使用此功能,確保查詢結果絕不會儲存在處於未加密狀態的 Amazon S3 儲存貯體中。如需詳細資訊,請參閱規劃工作群組的最低加密

  9. (選用) 使用 Amazon CloudWatch 和 Amazon EventBridge 來監控工作群組的查詢和控制成本。如需詳細資訊,請參閱使用 CloudWatch 和 EventBridge 來監控查詢和控制成本

  10. (選用) 使用 Billing and Cost Management 主控台,以成本分配標籤來標記工作群組。如需詳細資訊,請參閱AWS Billing 《 使用者指南》中的使用使用者定義的成本分配標籤

  11. (選用) 若要取得工作群組中查詢的專用處理容量,請將工作群組新增至容量保留。您可以將一或多個工作群組指派給保留。如需詳細資訊,請參閱管理查詢處理能力