View a markdown version of this page

Berechtigungen zum Erstellen und Verwenden einer Datenquelle in Athena - Amazon Athena
AWS Glue Data Catalog Verbundkonnektoren ohne Lambda-BerechtigungenAWS Glue Data Catalog Verbundkonnektoren mit Lambda-BerechtigungenBerechtigungen für Verbundkonnektoren im Athena-Datenkatalog

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen zum Erstellen und Verwenden einer Datenquelle in Athena

AWS Glue Data Catalog Verbundkonnektoren ohne Lambda-Berechtigungen

  • IAM-Prinzipalberechtigungen zum Aufrufen der Athena-API für die Verwaltung und Abfrage von Konnektoren

    • Amazon Athena-Zugriff — Die AmazonAthenaFullAccess verwaltete Richtlinie bietet vollen Zugriff auf Amazon Athena und bereichsbezogenen Zugriff auf die Abhängigkeiten, die für das Abfragen, Schreiben von Ergebnissen und Datenmanagement erforderlich sind. Weitere Informationen finden Sie im Referenzhandbuch für AmazonAthenaFullAccessverwaltete Richtlinien. AWS

    • AWS Glue Verbindungsverwaltung — Berechtigungen zum Erstellen und Verwalten von AWS Glue Verbindungsobjekten.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetConnection",
                "glue:CreateConnection",
                "glue:DeleteConnection",
                "glue:UpdateConnection"
            ],
            "Resource": "*"
        }
    ]
}
      Anmerkung

      Die Beispielrichtlinie verwendet der Einfachheit "Resource": "*" halber. In Produktionsumgebungen sollten Sie die Berechtigungen nach Möglichkeit auf bestimmte Ressourcen beschränken.

    • AWS Lake Formation Zugriff — Berechtigungen zum Erstellen eines AWS Glue Katalogs und zur Verwendung einer detaillierten Zugriffskontrolle.

      JSON
      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lakeformation:RegisterResource",
        "iam:ListRoles",
        "glue:CreateCatalog",
        "glue:GetCatalogs",
        "glue:GetCatalog"
      ],
      "Resource": "*"
    }
  ]
}

  • IAM-Rolle „Glue Data Catalog“

    • In diesem Abschnitt werden die Berechtigungen behandelt, die Athena benötigt, um die Infrastruktur bereitzustellen und Ihre Datenquelle abzufragen. Amazon Athena Federated Query benötigt die folgenden Berechtigungen in der Rolle, die an die Glue Data Catalog IAM-Rolle übergeben wurde.

      Anmerkung

      Wenn Sie eine Verbindung zu einer Datenquelle in einer VPC herstellen, erstellt Athena ein Elastic Network Interface (ENI) in Ihrem Konto innerhalb der angegebenen VPC. Die IAM-Rolle benötigt EC2-Berechtigungen, um diese Netzwerkschnittstelle zu erstellen, zu beschreiben und zu löschen.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:ManagedConnector",
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem"
            ],
            "Resource": "*"
        }
    ]
}
      Anmerkung

      Die Beispielrichtlinie verwendet der Einfachheit "Resource": "*" halber. In Produktionsumgebungen sollten Sie die Berechtigungen nach Möglichkeit auf bestimmte Ressourcen beschränken. Richten Sie beispielsweise Secrets Manager Manager-Berechtigungen auf ein bestimmtes Geheimnis ein ARNs.

      Erläuterung der Berechtigungen

      Zulässige Aktionen

      Erklärung

      Erforderlich

      		 
       "glue:ManagedConnector"

      Ermöglicht Athena, den Konnektor aufzurufen.

      Erforderlich

      		 
      "secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue"

      Ermöglicht Konnektoren das Abrufen von Datenbankanmeldeinformationen, die in gespeichert sind. AWS Secrets Manager

      Optional

      		 
      "ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface"

      Ermöglicht Athena, Netzwerke einzurichten, wenn sich die Datenquelle in einer VPC befindet.

      Optional

      		 
      "dynamodb:DescribeTable",
"dynamodb:ListTables",
"dynamodb:Scan",
"dynamodb:Query",
"dynamodb:GetItem",
"dynamodb:BatchGetItem"

      Ermöglicht Athena, eine DynamoDB-Datenquelle abzufragen.

      Optional

AWS Glue Data Catalog Verbundkonnektoren mit Lambda-Berechtigungen

  • IAM-Prinzipalberechtigungen zum Aufrufen der Athena-API für die Verwaltung und Abfrage von Konnektoren

    • Amazon Athena-Zugriff — Die AmazonAthenaFullAccess verwaltete Richtlinie bietet vollen Zugriff auf Amazon Athena und bereichsbezogenen Zugriff auf die Abhängigkeiten, die für das Abfragen, Schreiben von Ergebnissen und Datenmanagement erforderlich sind. Weitere Informationen finden Sie im Referenzhandbuch für AmazonAthenaFullAccessverwaltete Richtlinien. AWS

    • Connector-Verwaltungsberechtigungen — Die folgenden Berechtigungen sind erforderlich, um die DataCatalog Athena-API aufzurufen, wenn Lambda-basierte Konnektoren verwendet werden. Siehe Berechtigungen erforderlich zum Erstellen des Connectors und des Athena-Katalogs.

    • AWS Lake Formation access (bei Verwendung von Lake Formation) — Berechtigungen zum Erstellen eines AWS Glue Katalogs und zur Verwendung einer detaillierten Zugriffskontrolle.

      JSON
      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lakeformation:RegisterResource",
        "iam:ListRoles",
        "glue:CreateCatalog",
        "glue:GetCatalogs",
        "glue:GetCatalog"
      ],
      "Resource": "*"
    }
  ]
}

Berechtigungen für Verbundkonnektoren im Athena-Datenkatalog

  • IAM-Prinzipalberechtigungen zum Aufrufen der Athena-API für die Verwaltung und Abfrage von Konnektoren

    • Amazon Athena-Zugriff — Die AmazonAthenaFullAccess verwaltete Richtlinie bietet vollen Zugriff auf Amazon Athena und bereichsbezogenen Zugriff auf die Abhängigkeiten, die für das Abfragen, Schreiben von Ergebnissen und Datenmanagement erforderlich sind. Weitere Informationen finden Sie im Referenzhandbuch für AmazonAthenaFullAccessverwaltete Richtlinien. AWS

    • Connector-Verwaltungsberechtigungen — Die folgenden Berechtigungen sind erforderlich, um die DataCatalog Athena-API aufzurufen, wenn Lambda-basierte Konnektoren verwendet werden. Siehe Berechtigungen erforderlich zum Erstellen des Connectors und des Athena-Katalogs.