AWS verwaltete Richtlinien für Amazon Athena
Eine von AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von AWS erstellt und verwaltet wird. Von AWS verwaltete Richtlinien stellen Berechtigungen für viele häufige Anwendungsfälle bereit, damit Sie beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass von AWS verwaltete Richtlinien möglicherweise nicht die geringsten Berechtigungen für Ihre spezifischen Anwendungsfälle gewähren, da sie für alle AWS-Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Die Berechtigungen, die in den von AWS verwalteten Richtlinien definiert sind, können nicht geändert werden. Wenn AWS-Berechtigungen aktualisiert, die in einer von AWS verwalteten Richtlinie definiert werden, wirkt sich das Update auf alle Prinzipalidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert am wahrscheinlichsten eine von AWS verwaltete Richtlinie, wenn ein neuer AWS-Service gestartet wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.
Überlegungen bei der Verwendung verwalteter Richtlinien mit Athena
Verwaltete Richtlinien sind einfach zu nutzen und werden automatisch mit den erforderlichen Aktionen aktualisiert, wenn sich der Service weiterentwickelt. Beachten Sie bei der Verwendung von verwalteten Richtlinien mit Athena die folgenden Punkte:
-
Um Amazon-Athena-Service-Aktionen für sich oder andere Benutzer von AWS Identity and Access Management (IAM) zuzulassen oder zu verweigern, hängen Sie Prinzipalen wie Benutzern oder Gruppen identitätsbasierte Richtlinien an.
-
Jede identitätsbasierte Richtlinie besteht aus Anweisungen, die die zugelassenen oder nicht zugelassenen Aktionen definieren. Weitere Informationen und Schritt-für-Schritt-Anweisungen für das Zuweisen einer Richtlinie zu einem Benutzer finden Sie auf der Seite zum Anfügen verwalteter Richtlinien im IAM-Benutzerhandbuch. Eine Liste der Aktionen finden Sie in der Amazon Athena-API-Referenz.
-
Vom Kunden verwaltete und eingebundene identitätsbasierte Richtlinien ermöglichen Ihnen, detailliertere Athena-Aktionen innerhalb einer Richtlinie zur Optimierung der Zugriffsregelung anzugeben. Wir empfehlen, dass Sie die
AmazonAthenaFullAccess-Richtlinie als Ausgangspunkt verwenden und dann bestimmte, in der Amazon Athena-API-Referenz definierte Aktionen zulassen oder verweigern. Weitere Informationen zu Inline-Richtlinien finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im IAM-Benutzerhandbuch. -
Wenn Sie außerdem Prinzipale verwalten, die Verbindungen per JDBC herstellen, müssen Sie die JDBC-Treiber-Anmeldeinformationen für Ihre Anwendung bereitstellen. Weitere Informationen finden Sie unter Zugriff über JDBC- und ODBC-Verbindungen kontrollieren.
-
Wenn Sie den AWS Glue-Datenkatalog verschlüsselt haben, müssen Sie zusätzliche Aktionen in den identitätsbasierten IAM-Richtlinien für Athena angeben. Weitere Informationen finden Sie unter Zugriff auf verschlüsselte Metadaten von Athena im AWS Glue Data Catalog konfigurieren.
-
Wenn Sie Arbeitsgruppen erstellen und verwenden, müssen Sie sicherstellen, dass Ihre Richtlinien einen entsprechenden Zugriff auf Arbeitsgruppenaktionen enthalten. Detaillierte Informationen hierzu finden Sie unter Verwenden Sie IAM-Richtlinien, um Arbeitsgruppen-Zugriff zu steuern und Beispiel Arbeitsgruppenrichtlinien.
AWS Verwaltete Richtlinie: AmazonAthenaFullAccess
Die verwaltete Richtlinie AmazonAthenaFullAccess gewährt vollständigen Zugriff auf Athena.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center-Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
Berechtigungsgruppierungen
Die AmazonAthenaFullAccess-Richtlinie wird in die folgenden Gruppen von Berechtigungen gruppiert.
-
athena– Ermöglicht Prinzipalen Zugriff auf Athena-Ressourcen. -
glue– Ermöglicht Prinzipalen Zugriff auf AWS Glue Katalogen, Datenbanken, Tabellen und Partitionen. Dies ist erforderlich, damit der Prinzipal die AWS Glue Data Catalog mit Athena verwenden kann. -
s3– Ermöglicht dem Prinzipal, Abfrageergebnisse aus Amazon S3 zu schreiben und zu lesen, öffentlich verfügbare Athena Datenbeispiele zu lesen, die sich in Amazon S3 befinden und Buckets aufzulisten. Dies ist erforderlich, damit der Prinzipal Athena verwenden kann, um mit Amazon S3 zu arbeiten. -
sns– Ermöglicht es Prinzipalen, Amazon-SNS-Themen aufzulisten und Themenattribute abzurufen. Dies ermöglicht es Prinzipalen, Amazon-SNS-Themen mit Athena für Überwachungs- und Warnzwecke zu verwenden. -
cloudwatch– Ermöglicht es Prinzipalen, CloudWatch-Alarme zu erstellen, zu lesen und zu löschen. Weitere Informationen finden Sie unter Verwenden Sie CloudWatch und EventBridge um Abfragen zu überwachen und Kosten zu kontrollieren. -
lakeformation– Ermöglicht es Prinzipalen, temporäre Anmeldeinformationen für den Zugriff auf Daten an einem Data-Lake-Standort anzufordern, der bei Lake Formation registriert ist. Weitere Informationen finden Sie unter Zugriffskontrolle im Benutzerhandbuch von AWS Lake Formation. -
datazone– Ermöglicht es Prinzipalen, Amazon DataZone-Projekte, -Domänen und -Umgebungen aufzulisten. Informationen zur Verwendung von DataZone in Athena finden Sie unter Amazon DataZone in Athena verwenden. -
pricing– Bietet Zugriff auf AWS Fakturierung und Kostenmanagement. Weitere Informationen finden Sie unter GetProducts in der AWS Fakturierung und Kostenmanagement-API-Referenz.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter AmazonAthenaFullAccess in der Referenz zu von AWS verwalteten Richtlinien.
Anmerkung
Sie müssen den Zugriff auf Service-eigenen Amazon S3-Buckets ausdrücklich zulassen, um Beispielabfragen und Beispieldatensätze zu speichern. Weitere Informationen finden Sie unter Datenperimeter.
AWS Verwaltete Richtlinie: AWSQuicksightAthenaAccess
AWSQuicksightAthenaAccess gewährt Zugriff auf Aktionen, die Quick Suite für die Integration mit Athena benötigt. Sie können die AWSQuicksightAthenaAccess-Richtlinie an Ihre IAM-Identitäten anfügen. Fügen Sie diese Richtlinie nur zu Prinzipalen hinzu, die Quick Suite mit Athena verwenden. Diese Richtlinie enthält einige Aktionen für Athena, die entweder veraltet und nicht in der aktuellen öffentlichen API eingebunden sind oder die ausschließlich mit dem JDBC- und ODBC-Treiber verwendet werden.
Berechtigungsgruppierungen
Die AWSQuicksightAthenaAccess-Richtlinie wird in die folgenden Gruppen von Berechtigungen gruppiert.
-
athena– Ermöglicht dem Prinzipal, Abfragen auf Athena-Ressourcen auszuführen. -
glue– Ermöglicht Prinzipalen Zugriff auf AWS Glue Katalogen, Datenbanken, Tabellen und Partitionen. Dies ist erforderlich, damit der Prinzipal die AWS Glue Data Catalog mit Athena verwenden kann. -
s3– Erlaubt dem Prinzipal, Abfrageergebnisse aus Amazon S3 zu schreiben und zu lesen. -
lakeformation– Ermöglicht es Prinzipalen, temporäre Anmeldeinformationen für den Zugriff auf Daten an einem Data-Lake-Standort anzufordern, der bei Lake Formation registriert ist. Weitere Informationen finden Sie unter Zugriffskontrolle im Benutzerhandbuch von AWS Lake Formation.
Informationen zum Anzeigen der Berechtigungen für diese Richtlinie finden Sie unter AWSQuicksightAthenaAccess in der AWS-verwalteten Richtlinienreferenz.
Athena-Updates für AWS-verwaltete Richtlinien
Anzeigen von Details zu Aktualisierungen für AWS-verwaltete Richtlinien für Athena, seit dieser Service mit der Verfolgung dieser Änderungen begonnen hat.
| Änderung | Beschreibung | Datum |
|---|---|---|
| AWSQuicksightAthenaAccess – Aktualisierungen vorhandener Richtlinien | Die glue:GetCatalog und glue:GetCatalogs Berechtigungen wurden hinzugefügt, um Athena-Benutzern den Zugriff auf SageMaker AI Lakehouse-Kataloge zu ermöglichen. |
02. Januar 2025 |
| AmazonAthenaFullAccess – Aktualisierung der bestehenden Richtlinie | Die glue:GetCatalog und glue:GetCatalogs Berechtigungen wurden hinzugefügt, um Athena-Benutzern den Zugriff auf SageMaker AI Lakehouse-Kataloge zu ermöglichen. |
02. Januar 2025 |
| AmazonAthenaFullAccess – Aktualisierung der bestehenden Richtlinie |
Ermöglicht Athena, die öffentlich dokumentierte AWS Glue |
18. Juni 2024 |
|
AmazonAthenaFullAccess – Aktualisierung der bestehenden Richtlinie |
Die Berechtigungen |
3. Januar 2024 |
|
AmazonAthenaFullAccess – Aktualisierung der bestehenden Richtlinie |
Die Berechtigungen |
3. Januar 2024 |
|
AmazonAthenaFullAccess – Aktualisierung der bestehenden Richtlinie |
Athena hat |
25. Januar 2023 |
|
AmazonAthenaFullAccess – Aktualisierung der bestehenden Richtlinie |
Athena hat |
14. November 2022 |
|
AmazonAthenaFullAccess und AWSQuicksightAthenaAccess – Aktualisierungen vorhandener Richtlinien |
Athena hat |
7. Juli 2021 |
|
Athena hat damit begonnen, Änderungen zu verfolgen |
Athena hat mit der Verfolgung von Änderungen für seine AWS-verwaltete Richtlinien begonnen. |
7. Juli 2021 |
