Verwendung von Arbeitsgruppen zur Kontrolle des Abfragenzugriffs und der Kosten - Amazon Athena
Überlegungen und Einschränkungen

Verwendung von Arbeitsgruppen zur Kontrolle des Abfragenzugriffs und der Kosten

Sie können Athena-Arbeitsgruppen verwenden, um Workloads zu trennen, den Teamzugriff zu kontrollieren, die Konfiguration durchzusetzen, Abfragemetriken zu verfolgen und Kosten zu kontrollieren.

Ihre Workloads trennen

Sie können Arbeitsgruppen verwenden, um Workloads zu trennen. So können Sie beispielsweise zwei unabhängige Arbeitsgruppen erstellen, eine für automatisierte geplante Anwendungen wie beispielsweise die Berichterstellung und eine andere zur Ad-hoc-Nutzung durch Analysten.

Zugriff durch Teams steuern

Da Arbeitsgruppen als IAM-Ressourcen fungieren, können Sie identitätsbasierte Richtlinien auf Ressourcenebene verwenden, um zu kontrollieren, wer auf eine Arbeitsgruppe zugreifen und darin Abfragen ausführen darf. Um Abfragen für zwei verschiedene Teams in Ihrer Organisation zu isolieren, können Sie für jedes Team eine separate Arbeitsgruppe erstellen. Jede Arbeitsgruppe verfügt über einen eigenen Abfrageverlauf und eine Liste gespeicherter Abfragen für die Abfragen in dieser Arbeitsgruppe, nicht jedoch für alle Abfragen im Konto. Weitere Informationen finden Sie unter Verwenden Sie IAM-Richtlinien, um Arbeitsgruppen-Zugriff zu steuern.

Konfiguration erzwingen

Sie können optional dieselben arbeitsgruppenweiten Einstellungen für alle Abfragen erzwingen, die in der Arbeitsgruppe ausgeführt werden. Diese Einstellungen umfassen einen Abfrageergebnisstandort in Amazon S3, den erwarteten Bucket-Eigentümer, die Verschlüsselung und die Steuerung von Objekten, die in den Abfrageergebnis-Bucket geschrieben werden. Weitere Informationen finden Sie unter Override client-side settings (Clientseitige Einstellungen überschreiben).

Verfolgen Sie Abfragekennzahlen, Abfrageereignisse und kontrollieren Sie Kosten

Um Abfragemetriken und Abfrageereignisse zu verfolgen und die Kosten für jede Athena-Arbeitsgruppe zu kontrollieren, können Sie folgende Features verwenden:

  • Abfragemetriken veröffentlichen – Veröffentlichen Sie die Abfragemetriken für Ihre Arbeitsgruppe in CloudWatch. Sie können Abfragemetriken für jede Arbeitsgruppe in der Athena-Konsole anzeigen. In CloudWatch, können Sie benutzerdefinierte Dashboards erstellen und Schwellenwerte sowie Alarme für diese Metriken festlegen. Weitere Informationen finden Sie unter CloudWatch-Abfragemetriken in Athena aktivieren und Athena-Abfragenmetriken mit CloudWatch überwachen.

  • Überwachung der Athena-Nutzungsmetriken – Sehen Sie sich an, wie Ihr Konto Ressourcen nutzt, indem Sie Ihre aktuelle Servicenutzung über CloudWatch-Diagramme und Dashboards anzeigen. Weitere Informationen finden Sie unter . Athena-Nutzungsmetriken mit CloudWatch überwachen

  • Überwachen von Abfrageereignissen – Verwenden Sie Amazon EventBridge, um Echtzeitbenachrichtigungen zum Status Ihrer Abfragen zu erhalten. Weitere Informationen finden Sie unter Athena-Abfrageereignisse mit EventBridge überwachen.

  • Datenverwendungskontrollen erstellen – In Athena können Sie Datenverwendungskontrollen pro Abfrage und pro Arbeitsgruppe konfigurieren. Athena bricht Abfragen ab, wenn sie den angegebenen Schwellenwert überschreiten, oder aktiviert einen Amazon SNS-Alarm, wenn ein Arbeitsgruppen-Schwellenwert überschritten wird. Weitere Informationen finden Sie unter Datennutzungskontrollen pro Abfrage und pro Arbeitsgruppe konfigurieren.

  • Kostenzuordnungs-Tags verwenden – Verwenden Sie die Fakturierung und Kostenmanagement-Konsole, um Arbeitsgruppen mit Kostenzuordnungs-Tags zu versehen. Die Kosten, die mit den laufenden Abfragen in der Arbeitsgruppe verknüpft sind, werden in Ihren Kosten- und Nutzungsberichten mit dem entsprechenden Kostenzuordnungs-Tag angezeigt. Weitere Informationen finden Sie unter Verwendung von Tags zur Kostenzuordnung im AWS Billing-Benutzerhandbuch.

  • Kapazitätsreservierung verwenden – Sie können Kapazitätsreservierungen mit der von Ihnen angegebenen Anzahl von Datenverarbeitungseinheiten erstellen und der Reservierung eine oder mehrere Arbeitsgruppen hinzufügen. Weitere Informationen finden Sie unter Kapazität zur Abfrageverarbeitung verwalten.

Weitere Informationen zur Verwendung von Athena-Arbeitsgruppen zum Trennen von Workloads, Steuern des Benutzerzugriffs und Verwalten der Abfrageverwendung und -kosten finden Sie im AWS-Big-Data-Blog-Beitrag Trennen von Abfragen und Verwalten von Kosten mit Amazon Athena-Arbeitsgruppen.

Anmerkung

Auf Amazon-Athena-Ressourcen kann jetzt in Amazon SageMaker Unified Studio (Vorschau) zugegriffen werden, sodass Sie auf die Daten Ihrer Organisation zugreifen und mit den besten Tools darauf reagieren können. Sie können gespeicherte Abfragen von einer Athena-Arbeitsgruppe zu einem SageMaker Unified Studio-Projekt migrieren, Projekte mit vorhandenen Athena-Arbeitsgruppen konfigurieren und die erforderlichen Berechtigungen über IAM-Rollenaktualisierungen beibehalten. Weitere Informationen finden Sie unter Migrieren von Amazon-Athena-Ressourcen zu Amazon SageMaker Unified Studio (Vorschau).

Überlegungen und Einschränkungen

Beachten Sie bei der Verwendung der Arbeitsgruppen in Athena die folgenden Punkte:

  • Jedes Konto hat eine primäre Arbeitsgruppe. Wenn Sie keine Arbeitsgruppen erstellt haben, werden alle Abfragen in Ihrem Konto standardmäßig in der primären Arbeitsgruppe ausgeführt. Die primäre Arbeitsgruppe kann nicht gelöscht werden. Die Standardberechtigungen ermöglichen allen authentifizierten Benutzern den Zugriff auf diese Arbeitsgruppe.

  • Wenn Sie Zugriff auf eine Arbeitsgruppe haben, können Sie die Einstellungen der Arbeitsgruppe, ihre Metriken und Limits für die Datennutzungskontrolle anzeigen. Mit zusätzlichen Berechtigungen können Sie die Einstellungen und Grenzwerte für die Datenverwendungssteuerung bearbeiten.

  • Wenn Sie Abfragen ausführen, werden sie in der aktuellen Arbeitsgruppe ausgeführt. Sie können Abfragen im Kontext einer Arbeitsgruppe in der Konsole, über API-Vorgänge, über die Befehlszeilenschnittstelle oder über eine Clientanwendung mithilfe eines JDBC- oder ODBC-Treibers ausführen.

  • Im Abfrage-Editor der Athena-Konsole können Sie bis zu zehn Abfrage-Tabs in jeder Arbeitsgruppe öffnen. Wenn Sie zwischen Arbeitsgruppen wechseln, bleiben Ihre Abfrageregisterkarten für maximal drei Arbeitsgruppen geöffnet.

  • Sie können bis zu 1000 Arbeitsgruppen pro AWS-Region in Ihrem Konto erstellen.

  • Arbeitsgruppen können deaktiviert werden. Durch das Deaktivieren einer Arbeitsgruppe wird verhindert, dass Abfragen in dieser Arbeitsgruppe ausgeführt werden, bis Sie die Arbeitsgruppe wieder aktivieren.

  • Athena warnt Sie, wenn Sie versuchen, eine Arbeitsgruppe zu löschen, die gespeicherte Abfragen enthält. Bevor Sie eine Arbeitsgruppe löschen, auf die andere Benutzer Zugriff haben, stellen Sie sicher, dass diese Benutzer Zugriff auf eine andere Arbeitsgruppe haben, über die sie Abfragen ausführen können.

Themen