本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Athena 的 受管政策
AWS 受管政策是由 AWS AWS .managed 政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 最有可能在新 AWS 服務 啟動或新API操作可用於現有 服務時更新受 AWS 管政策。
如需詳細資訊,請參閱 IAM 使用者指南 中的 AWS 受管政策。
在搭配 Athena 使用受管政策時的考量事項
受管政策不但易於使用,且會隨著服務的演進,自動更新以具有所需動作。在搭配 Athena 使用受管政策時,請記得以下幾點:
-
若要使用 AWS Identity and Access Management (IAM) 為您自己或其他使用者允許或拒絕 Amazon Athena 服務動作,您可以將身分型政策連接到主體,例如使用者或群組。
-
每個身分型政策由陳述式組成,這些陳述式定義了允許或拒絕的動作。如需將政策連接至使用者的詳細資訊和 step-by-step指示,請參閱 IAM 使用者指南 中的連接受管政策。如需動作清單,請參閱 Amazon Athena API參考 。
-
客戶受管和內嵌的身分型政策,可讓您在政策中指定更詳細的 Athena 動作來微調存取。我們建議您使用
AmazonAthenaFullAccess政策作為起點,然後允許或拒絕 Amazon Athena API參考 中列出的特定動作。如需內嵌政策的詳細資訊,請參閱 IAM 使用者指南 中的 受管政策和內嵌政策。 -
如果您還有使用 連線的主體JDBC,則必須將JDBC驅動程式憑證提供給應用程式。如需詳細資訊,請參閱通過JDBC和ODBC連接控制訪問。
-
如果您已加密 AWS Glue Data Catalog,您必須在 Athena 的身分型IAM政策中指定其他動作。如需詳細資訊,請參閱設定從 Athena 存取加密中繼資料 AWS Glue Data Catalog。
-
如果您建立和使用工作群組,請確保您的政策包含對群組動作的相關存取。如需詳細資訊,請參閱使用IAM政策來控制工作群組存取和工作群組政策範例。
AWS 受管政策: AmazonAthenaFullAccess
AmazonAthenaFullAccess 受管政策會授予 Athena 的完整存取權。
若要提供存取權,請新增許可到您的使用者、群組或角色:
-
中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
IAM 透過身分提供者在 中管理的使用者:
建立聯合身分的角色。請遵循 IAM 使用者指南 中為第三方身分提供者 (聯合) 建立角色的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請遵循 IAM 使用者指南 中為IAM使用者建立角色的指示。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南 中將許可新增至使用者 (主控台) 中的指示。
-
許可群組
AmazonAthenaFullAccess 政策會分組為以下許可集。
-
athena– 允許委託人存取 Athena 資源。 -
glue– 允許主體存取 AWS Glue 資料庫、資料表和分割區。這是必要的,以便委託人可以 AWS Glue Data Catalog 搭配 Athena 使用 。 -
s3– 允許委託人寫入和讀取來自 Simple Storage Service (Amazon S3) 的查詢結果,讀取位於 Simple Storage Service (Amazon S3) 中的公開可用 Athena 資料範例,並列出儲存貯體。委託人需要此許可才能使用 Athena 以與 Simple Storage Service (Amazon S3) 搭配運作。 -
sns– 允許主體列出 Amazon SNS主題並取得主題屬性。這可讓主體將 Amazon SNS主題與 Athena 搭配使用,以用於監控和提醒目的。 -
cloudwatch– 允許主體建立、讀取和刪除 CloudWatch 警示。如需詳細資訊,請參閱使用 CloudWatch 和 EventBridge 來監控查詢和控制成本。 -
lakeformation– 允許委託人要求臨時憑證,以存取位於向 Lake Formation 註冊的資料湖位置中的資料。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》中的基礎資料存取控制。 -
datazone– 允許主體列出 Amazon DataZone 專案、網域和環境。如需有關 DataZone 在 Athena 中使用 的資訊,請參閱 DataZone 在 Athena 使用 Amazon。 -
pricing– 提供 的存取權 AWS Billing and Cost Management。如需詳細資訊,請參閱 參考 GetProducts 中的 。 AWS Billing and Cost Management API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BaseAthenaPermissions", "Effect": "Allow", "Action": [ "athena:*" ], "Resource": [ "*" ] }, { "Sid": "BaseGluePermissions", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition", "glue:StartColumnStatisticsTaskRun", "glue:GetColumnStatisticsTaskRun", "glue:GetColumnStatisticsTaskRuns", "glue:GetCatalogImportStatus" ], "Resource": [ "*" ] }, { "Sid": "BaseQueryResultsPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Sid": "BaseAthenaExamplesPermissions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::athena-examples*" ] }, { "Sid": "BaseS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": [ "*" ] }, { "Sid": "BaseSNSPermissions", "Effect": "Allow", "Action": [ "sns:ListTopics", "sns:GetTopicAttributes" ], "Resource": [ "*" ] }, { "Sid": "BaseCloudWatchPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarms", "cloudwatch:DeleteAlarms", "cloudwatch:GetMetricData" ], "Resource": [ "*" ] }, { "Sid": "BaseLakeFormationPermissions", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] }, { "Sid": "BaseDataZonePermissions", "Effect": "Allow", "Action": [ "datazone:ListDomains", "datazone:ListProjects", "datazone:ListAccountEnvironments" ], "Resource": [ "*" ] }, { "Sid": "BasePricingPermissions", "Effect": "Allow", "Action": [ "pricing:GetProducts" ], "Resource": [ "*" ] } ] }
AWS 受管政策: AWSQuicksightAthenaAccess
AWSQuicksightAthenaAccess 會授予 Amazon 與 Athena 整合 QuickSight 所需的動作存取權。您可以將AWSQuicksightAthenaAccess政策連接至身分IAM。僅將此政策連接到 QuickSight 搭配 Athena 使用 Amazon 的主體。此政策包含一些 Athena 的動作,這些動作已取代且未包含在目前的公有 中API,或僅與 JDBC和 ODBC驅動程式搭配使用。
許可群組
AWSQuicksightAthenaAccess 政策會分組為以下許可集。
-
athena– 允許委託人在 Athena 資源上執行查詢。 -
glue– 允許主體存取 AWS Glue 資料庫、資料表和分割區。這是必要的,以便委託人可以 AWS Glue Data Catalog 搭配 Athena 使用 。 -
s3– 允許委託人從 Simple Storage Service (Amazon S3) 寫入和讀取查詢結果。 -
lakeformation– 允許委託人要求臨時憑證,以存取位於向 Lake Formation 註冊的資料湖位置中的資料。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》中的基礎資料存取控制。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:BatchGetQueryExecution", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetQueryResultsStream", "athena:ListQueryExecutions", "athena:StartQueryExecution", "athena:StopQueryExecution", "athena:ListWorkGroups", "athena:ListEngineVersions", "athena:GetWorkGroup", "athena:GetDataCatalog", "athena:GetDatabase", "athena:GetTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] } ] }
AWS 受管政策的 Athena 更新
檢視自此服務開始追蹤這些變更以來,Athena 受 AWS 管政策更新的詳細資訊。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AmazonAthenaFullAccess – 更新現有政策 |
讓 Athena 使用公開記錄 AWS Glue 的 |
2024 年 6 月 18 日 |
|
AmazonAthenaFullAccess – 更新現有政策 |
新增 |
2024 年 1 月 3 日 |
|
AmazonAthenaFullAccess – 更新現有政策 |
新增 |
2024 年 1 月 3 日 |
|
AmazonAthenaFullAccess – 更新現有政策 |
Athena 已新增 |
2023 年 1 月 25 日 |
|
AmazonAthenaFullAccess – 更新現有政策 |
Athena 已新增 |
2022 年 11 月 14 日 |
|
AmazonAthenaFullAccess 和 AWSQuicksightAthenaAccess – 現有政策的更新 |
Athena 新增了 |
2021 年 7 月 7 日 |
|
Athena 已開始追蹤變更 |
Athena 開始追蹤其 AWS 受管政策的變更。 |
2021 年 7 月 7 日 |
