本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立工作群組需要有執行 CreateWorkgroup API 動作的許可。請參閱 設定對工作群組和標籤的存取 和 使用 IAM 政策來控制工作群組存取。如果您新增標籤,您也需要將許可新增到 TagResource。請參閱 工作群組的標籤政策範例。
下列程序說明如何使用 Athena 主控台來建立工作群組。若要使用 Athena API 建立工作群組,請參閱 CreateWorkGroup。
在 Athena 主控台中建立工作群組
-
決定建立哪些工作群組。需要考慮的幾個因素包括:
-
誰可以在每個工作群組中執行查詢,以及誰擁有工作群組的組態。使用 IAM 政策來強制執行工作群組許可。如需詳細資訊,請參閱使用 IAM 政策來控制工作群組存取。
-
Amazon S3 中用於工作群組查詢結果的位置。工作群組的所有使用者都必須具有此位置的存取權。
-
工作群組查詢結果是否必須加密。由於加密是每個工作群組 (不是每個查詢),因此您應該為加密和非加密的查詢結果建立個別的工作群組。如需詳細資訊,請參閱加密存放在 Amazon S3 中的 Athena 查詢結果。
-
如果未顯示主控台的導覽窗格,請選擇左側的展開選單。
-
在 Athena 主控台導覽窗格中,選擇 Workgroups (工作群組)。
-
在 Workgroups (工作群組) 頁面中,請選擇 Create workgroup (建立工作群組)。
-
在 Create workgroup (建立工作群組) 頁面上,如下所示填寫欄位:
欄位 描述 Workgroup name (工作群組名稱) 必要。輸入工作群組的唯一名稱。名稱可以包含 1 到 128 個字元,包括英數字元、破折號和底線。在您建立工作群組後,便無法更改其名稱。 Description (描述) 選用。輸入工作群組的描述。最多可包含 1024 個字元。 選擇引擎類型 如果您想對 Amazon S3 中的資料執行臨機操作 SQL 查詢,或想使用預先建置的資料來源連接器對 Amazon S3 外部的各種資料來源執行聯合查詢,則請選擇 Athena SQL。您可以使用 Athena 查詢編輯器、AWS CLI
或 Athena API 執行查詢。 如果您想要使用 Python 和 Apache Spark 建立、編輯和執行 Jupyter 筆記本應用程式,則請選擇 Apache Spark。Jupyter 筆記本包含一系列儲存格,其中可包含程式碼、文字、Markdown、數學、圖和豐富媒體。在 Athena 的互動式筆記本工作階段中,儲存格會依照計算順序執行。如需有關建立和設定已啟用 Spark 之工作群組的詳細資訊,則請參閱 步驟 1:在 Athena 中建立啟用 Spark 的工作群組。
在您建立工作群組後,即可升級其分析引擎 (例如,從 Athena 引擎版本 2 升級為 Athena 引擎版本 3),但無法變更其引擎類型。例如,Athena 引擎版本 3 工作群組無法變更為 PySpark 引擎版本 3 工作群組。
更新查詢引擎 選擇在發布新的 Athena 引擎版本時工作群組的更新方式。您可以讓 Athena 決定何時更新工作群組或手動選擇引擎版本。如需詳細資訊,請參閱Athena 引擎版本控制。 身分驗證 選擇 AWS Identity and Access Management (IAM) 以針對工作群組使用 IAM 身分驗證或聯合身分。如果您想要支援員工身分,例如來自 SAML 2.0 身分提供者 (例如 Microsoft Active Directory) 的使用者和群組,請選擇 IAM Identity Center。如需詳細資訊,請參閱AWS IAM Identity Center 《 使用者指南》中的 使用啟用 IAM Identity Center 的 Athena 工作群組和應用程式間可信任身分傳播。您無法在建立工作群組後變更工作群組的身分驗證類型。 IAM Identity Center 存取的服務角色 Athena 需要 IAM 許可,才能代表您存取 IAM Identity Center。如需有關 IAM 服務角色的詳細資訊,請參閱《IAM 使用者指南》中的建立角色以將許可委派給 AWS 服務。 Location of query result (查詢結果的位置) 輸入 Amazon S3 儲存貯體的路徑或字首。這個儲存貯體和字首必須存在,您才能指定。如需建立 Amazon S3 儲存貯體的相關資訊,請參閱建立儲存貯體。
注意
如果您未指定工作群組或設定中的查詢結果位置,Athena 查詢將會失敗。如果您使用 API 或驅動程式執行查詢,則必須在至少兩個位置之一中指定查詢結果位置:對於使用 OutputLocation 的個別查詢,或對於工作群組,使用 WorkGroupConfiguration。
Expected bucket owner (預期的儲存貯體擁有者) 選用。輸入 AWS 帳戶 您預期成為輸出位置儲存貯體擁有者的 ID。這是一項附加的安全措施。如果儲存貯體擁有者的帳戶 ID 與您在此處指定的 ID 不相符,則嘗試輸出到儲存貯體的動作會失敗。如需詳細資訊,請參閱 Amazon S3 使用者指南中的使用儲存貯體擁有者條件驗證儲存貯體擁有權。 注意
預期的儲存貯體擁有者設定僅適用於您為 Athena 查詢結果指定的 Amazon S3 輸出位置。它不適用於其他 Amazon S3 位置,例如外部 Amazon S3 儲存貯體、
CTAS和INSERT INTO目的地資料表位置、UNLOAD陳述式輸出位置等資料來源位置,也不適用於溢出聯合查詢儲存貯體的操作,或針對另一個帳戶中的資料表執行的SELECT查詢。指派儲存貯體擁有者對查詢結果的完整控制 預設不選取此欄位。如果選取此項且查詢結果位置儲存貯體的 ACL 已啟用,則可以授予儲存貯體擁有者對查詢結果的完整控制存取。例如,如果您的查詢結果位置係由另一個帳戶所擁有,則可以使用此選項授予另一個帳戶對查詢結果的所有權和完整控制。
如果儲存貯體的 S3 物件所有權設定為 Bucket owner preferred (首選的儲存貯體擁有者) 時,則儲存貯體擁有者亦擁有從此工作群組寫入的所有查詢結果物件。例如,如果外部帳戶的工作群組啟用此選項,並將其查詢結果位置設定為您帳戶的 Simple Storage Service (Amazon S3) 儲存貯體,且該儲存貯體的 S3 物件所有權設定為 Bucket owner preferred (首選的儲存貯體擁有者) 時,則您擁有外部工作群組的查詢結果並具有完整的控制存取。
當查詢結果儲存貯體的 S3 物件所有權設定為 Bucket owner enforced (強制的儲存貯體擁有者) 時,則選取此選項不會有任何作用。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的物件所有權設定。
加密查詢結果 選用。對於所有工作群組查詢,請在 Amazon S3 中加密查詢結果。由於您必須加密工作群組中的所有查詢,或完全不加密,因此我們建議您為加密和非加密的查詢建立個別的工作群組。
如果選取此欄位,您可以選擇 Encryption type (加密類型)、Encryption key (加密索引鍵),並輸入 KMS Key ARN (KMS 索引鍵 ARN)。
如果您沒有金鑰,請開啟 AWS KMS 主控台
來建立金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的建立金鑰。 將 encryption_type設定為最低加密選用。選取此選項可針對工作群組的所有使用者強制執行查詢結果的最低加密類型。選取此選項會顯示含有加密類型階層的資料表。此資料表也會顯示,當您將特定加密類型指定為最低加密類型時,工作群組使用者將允許使用的加密類型。若要使用此選項,則不得選取覆寫用戶端設定。
如需詳細資訊,請參閱設定工作群組的最低加密。
啟用 S3 Access Grants 當您選擇 IAM Identity Center 做為身分驗證方式時,預設會選取此欄位。選取後,此選項會將 IAM Identity Center 以使用者或群組為基礎的許可套用至 Amazon S3 位置。 建立以使用者身分為基礎的 S3 字首 選取此選項後,Athena 會在存放查詢結果時建立 Amazon S3 字首。字首以使用者的 IAM Identity Center 使用者身分為基礎。 Override client-side settings (覆寫用戶端設定) 預設不選取此欄位。如果您選取此欄位,則工作群組設定會套用至工作群組中的所有查詢,並覆寫用戶端設定。如需詳細資訊,請參閱Override client-side settings (覆寫用戶端設定)。 將查詢指標發布至 CloudWatch 預設會選取此欄位。將查詢指標發布至 CloudWatch。請參閱 使用 CloudWatch 監控 Athena 查詢指標。 Requester Pays S3 buckets (申請者付款 S3 儲存貯體) 選用。如果工作群組使用者將對存放在設定為申請者付款的 Amazon S3 儲存貯體中的資料執行查詢,請選擇 Turn on queries on requester pays buckets in Amazon S3 (在 Amazon S3 中對申請者付款儲存貯體開啟查詢)。執行查詢的使用者帳戶需要支付與查詢相關聯的適用資料存取和資料傳輸費用。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的申請者付款儲存貯體。
Per query data usage control (每一查詢資料用量控制) 選用。設定允許查詢掃描的最大資料量限制。您只能為工作群組設定一個每一查詢限制。此限制會套用於工作群組中的所有查詢,如果查詢超出限制,則查詢將被取消。如需詳細資訊,請參閱設定每個查詢和每個工作群組的資料用量控制。 Workgroup data usage alerts (工作群組資料用量提醒) 選用。當工作群組中執行的查詢在特定時段內掃描指定數量的資料時,設定多個提醒閾值。提醒會透過 Amazon CloudWatch 警示實作,並套用於工作群組中的所有查詢。如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南》中的使用 Amazon CloudWatch 警示。 Tags (標籤) 選用。將一或多個標籤新增到工作群組。標籤是您指派給 Athena 工作群組資源的標籤。由索引鍵和值組成。使用 AWS 標記最佳實務來建立一致的標籤集,並依用途、擁有者或環境分類工作群組。您也可以在 IAM 政策中使用標籤,並用來控制帳單費用。請勿在相同的工作群組中使用重複的標籤索引鍵。如需詳細資訊,請參閱標記 Athena 資源。 -
選擇建立工作群組。工作群組會出現在 Workgroups (工作群組) 頁面上的清單。
在查詢編輯器中,Athena 會在主控台右上角的工作群組選項中顯示目前的工作群組。您可以使用此選項來切換工作群組。當您執行查詢時,它們會在目前工作群組中執行。
-
建立 IAM 政策以允許使用者、群組或角色存取工作群組。政策建立工作群組成員資格和在
workgroup資源上的動作存取權。如需詳細資訊,請參閱使用 IAM 政策來控制工作群組存取。如需 JSON 政策的範例,請參閱設定對工作群組和標籤的存取。 -
(選用) 覆寫用戶端設定選項未強制執行工作群組範圍加密時,針對工作群組的所有查詢結果,在 Amazon S3 中設定最低層級的加密。您可以使用此功能,確保查詢結果絕不會儲存在處於未加密狀態的 Amazon S3 儲存貯體中。如需詳細資訊,請參閱設定工作群組的最低加密。
-
(選用) 使用 Amazon CloudWatch 和 Amazon EventBridge 來監控工作群組的查詢和控制成本。如需詳細資訊,請參閱使用 CloudWatch 和 EventBridge 監控查詢和控制成本。
-
(選用) 使用 Billing and Cost Management 主控台,以成本分配標籤標記工作群組。如需詳細資訊,請參閱AWS Billing 《 使用者指南》中的使用使用者定義的成本分配標籤。
-
(選用) 若要取得工作群組中查詢的專用處理容量,請將工作群組新增至容量保留。您可以將一或多個工作群組指派給保留。如需詳細資訊,請參閱管理查詢處理容量。
