Datenkatalog-Beispielrichtlinien - Amazon Athena

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenkatalog-Beispielrichtlinien

In diesem Abschnitt finden Sie Beispielrichtlinien, die Sie verwenden können, um verschiedene Aktionen zu Datenkatalogen zu aktivieren.

Ein Datenkatalog ist eine IAM-Ressource, die von Athena verwaltet wird. Wenn Ihre Datenkatalogrichtlinie Aktionen verwendet, die datacatalog als Eingabe verwenden, müssen Sie daher den ARN des Datenkatalogs wie folgt angeben:

"Resource": [arn:aws:athena:<region>:<user-account>:datacatalog/<datacatalog-name>]

Der <datacatalog-name> ist der Name Ihres Datenkatalogs. Geben Sie diesen beispielsweise für einen Datenkatalog mit dem Namen test_datacatalog wie folgt als Ressource an:

"Resource": ["arn:aws:athena:us-east-1:123456789012:datacatalog/test_datacatalog"]

Eine vollständige Liste mit Amazon-Athena-Aktionen finden Sie unter den Namen von API-Aktionen in der Amazon-Athena-API-Referenz. Weitere Informationen zu IAM-Richtlinien finden Sie unter Erstellen von Richtlinien mit dem visuellen Editor im IAM-Benutzerhandbuch. Weitere Informationen zum Erstellen von IAM-Richtlinien für Arbeitsgruppen finden Sie unter Steuern Sie den Zugriff auf Datenkataloge mit IAM-Richtlinien.

Beispielrichtlinie für vollständigen Zugriff auf alle Datenkataloge

Die folgende Richtlinie erlaubt den vollständigen Zugriff auf alle möglicherweise in dem Konto vorhandenen Datenkatalogressourcen. Wir empfehlen, diese Richtlinie für die Benutzer in Ihrem Konto zu verwenden, die Datenkataloge für alle anderen Benutzer verwalten müssen.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "athena:*"
         ],
         "Resource":[
            "*"
         ]
      }
   ]
}
Beispielrichtlinie für vollständigen Zugriff auf einen angegebenen Datenkatalog

Die folgende Richtlinie gewährt vollständigen Zugriff auf eine einzelne Datenkatalogressource mit dem Namen datacatalogA. Sie können diese Richtlinie für Benutzer mit vollständiger Kontrolle über einen bestimmten Datenkatalog verwenden.

JSON
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[
   "athena:ListDataCatalogs", "athena:ListWorkGroups", "athena:GetDatabase", "athena:ListDatabases",
   "athena:ListTableMetadata", "athena:GetTableMetadata" ], "Resource":"*" }, { "Effect":"Allow",
   "Action":[ "athena:StartQueryExecution", "athena:GetQueryResults", "athena:DeleteNamedQuery",
   "athena:GetNamedQuery", "athena:ListQueryExecutions", "athena:StopQueryExecution",
   "athena:GetQueryResultsStream", "athena:ListNamedQueries", "athena:CreateNamedQuery",
   "athena:GetQueryExecution", "athena:BatchGetNamedQuery", "athena:BatchGetQueryExecution",
   "athena:DeleteWorkGroup", "athena:UpdateWorkGroup", "athena:GetWorkGroup",
   "athena:CreateWorkGroup" ], "Resource":[
      "arn:aws:athena:us-east-1:123456789012:workgroup/*"
   ] }, { "Effect":"Allow", "Action":[ "athena:CreateDataCatalog", "athena:DeleteDataCatalog",
   "athena:GetDataCatalog", "athena:GetDatabase", "athena:GetTableMetadata", "athena:ListDatabases",
   "athena:ListTableMetadata", "athena:UpdateDataCatalog" ],
      "Resource":"arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA"
   } ] }
Beispielrichtlinie für die Abfrage eines angegebenen Datenkatalogs

In der folgenden Richtlinie ist ein Benutzer berechtigt, Abfragen in der angegebenen datacatalogA auszuführen. Der Benutzer darf keine Managementaufgaben für die Arbeitsgruppe selbst durchführen, sie also beispielsweise nicht aktualisieren oder löschen.

JSON
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[
   "athena:StartQueryExecution" ], "Resource":[
      "arn:aws:athena:us-east-1:123456789012:workgroup/*"
   ] }, { "Effect":"Allow", "Action":[ "athena:GetDataCatalog" ], "Resource":[
      "arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA"
   ] } ] }
Beispielrichtlinie für Verwaltungsvorgänge in einem angegebenen Datenkatalog

In der folgenden Richtlinie ist ein Benutzer berechtigt, einen Datenkatalog datacatalogA zu erstellen, zu löschen, Details darüber abzurufen und den Datenkatalog zu aktualisieren.

JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [
    "athena:CreateDataCatalog", "athena:GetDataCatalog", "athena:DeleteDataCatalog",
    "athena:UpdateDataCatalog" ], "Resource": [
        "arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA"
    ] } ] }
Beispielrichtlinie für das Auflisten von Datenkatalogen

Mit der folgenden Richtlinie erhalten alle Benutzer die Berechtigung, alle Datenkataloge aufzulisten:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:ListDataCatalogs"
            ],
            "Resource": "*"
        }
    ]
}
Beispielrichtlinie für Metadatenoperationen in Datenkatalogen

Die folgende Richtlinie ermöglicht Metadatenoperationen in Datenkatalogen:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}