Einrichtung, administrativer und programmatischer Zugriff - Amazon Athena
So melden Sie sich für ein AWS-Konto anErstellen eines Benutzers mit AdministratorzugriffErteilen programmgesteuerten ZugriffsAnfügen von verwalteten Richtlinien für Athena

Einrichtung, administrativer und programmatischer Zugriff

Wenn Sie bereits bei Amazon Web Services registriert sind, können Sie Amazon Athena sofort verwenden. Wenn Sie sich nicht für AWS angemeldet haben oder Hilfe beim Einstieg benötigen, führen Sie die folgenden Aufgaben aus.

So melden Sie sich für ein AWS-Konto an

Wenn Sie kein AWS-Konto haben, führen Sie die folgenden Schritte zum Erstellen durch.

Anmeldung für ein AWS-Konto

  1. Öffnen Sie https://portal.aws.amazon.com/billing/signup.

  2. Folgen Sie den Online-Anweisungen.

    Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.

    Wenn Sie sich für ein AWS-Konto anmelden, wird ein Root-Benutzer des AWS-Kontos erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Administratorbenutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um Aufgaben auszuführen, die Root-Benutzerzugriff erfordern.

AWS sendet Ihnen eine Bestätigungs-E-Mail, sobald die Anmeldung abgeschlossen ist. Sie können jederzeit Ihre aktuelle Kontoaktivität anzeigen und Ihr Konto verwalten. Rufen Sie dazu https://aws.amazon.com/ auf und klicken Sie auf Mein Konto.

Erstellen eines Benutzers mit Administratorzugriff

Nachdem Sie sich für ein AWS-Kontoangemeldet haben, sichern Sie Ihr Root-Benutzer des AWS-Kontos, aktivieren Sie AWS IAM Identity Centerund erstellen Sie einen administrativen Benutzer, damit Sie nicht den Root-Benutzer für alltägliche Aufgaben verwenden.

Schützen Ihres Root-Benutzer des AWS-Kontos

  1. Melden Sie sich bei AWS-Managementkonsole als Kontobesitzer an, indem Sie Stammbenutzer auswählen und Ihre AWS-Konto-E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

    Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter Anmelden als Root-Benutzer im AWS-Anmeldung Benutzerhandbuch zu.

  2. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.

    Anweisungen dazu finden Sie unter Aktivieren eines virtuellen MFA-Geräts für den Root-Benutzer Ihres AWS-Konto (Konsole) im IAM-Benutzerhandbuch.

Erstellen eines Benutzers mit Administratorzugriff

  1. Aktivieren Sie das IAM Identity Center.

    Anweisungen finden Sie unter Aktivieren AWS IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.

  2. Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.

    Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie unter Konfigurieren des Benutzerzugriffs mit der Standard-IAM-Identity-Center-Verzeichnis im AWS IAM Identity Center-Benutzerhandbuch.

Anmelden als Administratorbenutzer

  • Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

    Hilfe bei der Anmeldung mit einem IAM-Identity-Center-Benutzer finden Sie unter Anmelden beim AWS-Zugangsportal im AWS-Anmeldung Benutzerhandbuch zu.

Weiteren Benutzern Zugriff zuweisen

  1. Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.

    Anweisungen hierzu finden Sie unter Berechtigungssatz erstellen im AWS IAM Identity Center Benutzerhandbuch.

  2. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.

    Eine genaue Anleitung finden Sie unter Gruppen hinzufügen im AWS IAM Identity Center Benutzerhandbuch.

Erteilen programmgesteuerten Zugriffs

Benutzer benötigen programmgesteuerten Zugriff, wenn sie außerhalb der AWS-Managementkonsole mit AWS interagieren möchten. Die Vorgehensweise, um programmgesteuerten Zugriff zu gewähren, hängt davon ab, welcher Benutzertyp auf zugreift AWS.

Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.

Welcher Benutzer benötigt programmgesteuerten Zugriff? Bis Von

Mitarbeiteridentität

(Benutzer, die in IAM Identity Center verwaltet werden)

 Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
IAM Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS-Ressourcen im IAM-Benutzerhandbuch.
IAM

(Nicht empfohlen)

Verwenden Sie langfristige Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.

Anfügen von verwalteten Richtlinien für Athena

Von Athena verwaltete Richtlinien gewähren Berechtigungen zur Verwendung der Athena-Funktionen. Sie können diese verwalteten Richtlinien an eine oder mehrere IAM-Rollen anfügen, die Benutzer annehmen können, um Athena zu verwenden.

Eine IAM-Rolle ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ist einem IAM-Benutzer ähnlich, weil es sich um eine AWS-Identität mit Berechtigungsrichtlinien handelt, die festlegen, welche Aktionen die Identität in AWS ausführen kann und welche nicht. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.

Weitere Informationen über Rollen finden Sie unter IAM-Rollen und Erstellen von IAM-Rollen im IAM-Benutzerhandbuch.

Um eine Rolle zu erstellen, die Zugriff auf Athena gewährt, fügen Sie der Rolle von Athena verwaltete Richtlinien hinzu. Für Athena gibt es zwei verwaltete Richtlinien: AmazonAthenaFullAccess und AWSQuicksightAthenaAccess. Diese Richtlinien erteilen Athena die Berechtigungen, für Sie Abfragen in Amazon S3 auszuführen und die Abfrageergebnisse in einem eigenen Bucket zu speichern. Den Inhalt dieser Richtlinien für Athena finden Sie unter AWS verwaltete Richtlinien für Amazon Athena.

Schritte zum Anfügen der von Athena verwalteten Richtlinien an eine Rolle finden Sie unter Hinzufügen von IAM-Identitätsberechtigungen (Konsole) im IAM-Benutzerhandbuch. Fügen Sie der von Ihnen erstellen Rolle die verwalteten AmazonAthenaFullAccess- und AWSQuicksightAthenaAccess-Richtlinien hinzu.

Anmerkung

Möglicherweise sind für den Zugriff auf den zugrunde liegenden Datensatz in Amazon S3 zusätzliche Berechtigungen erforderlich. Wenn Sie nicht der Kontoeigentümer sind oder anderweitig eingeschränkten Zugriff auf einen Bucket haben, wenden Sie sich an den Bucket-Eigentümer. Dieser kann Ihnen den Zugriff mithilfe einer ressourcenbasierten Bucket-Richtlinie gewähren. Alternativ wenden Sie sich an Ihren Kontoadministrator, um den Zugriff mithilfe einer rollenbasierten Richtlinie zu gewähren. Weitere Informationen finden Sie unter Zugriff auf Amazon S3 von Athena kontrollieren. Falls der Datensatz oder die Athena-Abfrageergebnisse verschlüsselt sind, benötigen Sie möglicherweise weitere Berechtigungen. Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand.