Erste Schritte mit Amazon Athena - AWS HealthLake
Gewähren von -ZugriffErste Schritte mit Athena

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Amazon Athena

Für die Integration HealthLake mit Amazon Athena müssen Sie Berechtigungen einrichten. Dazu erstellen Sie einen Athena-Benutzer, eine Gruppe oder eine Rolle und gewähren ihnen Zugriff auf FHIR-Ressourcen, die sich in einem HealthLake Datenspeicher befinden.

Einem Benutzer, einer Gruppe oder einer Rolle Zugriff auf einen HealthLake Datenspeicher gewähren (AWS Lake Formation Console)

Person: Administrator HealthLake

Die HealthLake Administrator-Persona ist ein Data Lake-Administrator in AWS Lake Formation. Sie gewähren Zugriff auf HealthLake Datenspeicher in Lake Formation.

Für jeden erstellten Datenspeicher sind zwei Einträge in der AWS Lake Formation Formation-Konsole sichtbar. Ein Eintrag ist ein Ressourcenlink. Namen von Ressourcenlinks werden immer kursiv angezeigt. Jeder Ressourcenlink wird mit dem Namen und dem Besitzer der verknüpften gemeinsam genutzten Ressource angezeigt. Für alle HealthLake Datenspeicher ist der Besitzer der gemeinsam genutzten Ressource das HealthLake Dienstkonto. Der andere Eintrag ist der HealthLake Datenspeicher im HealthLake Dienstkonto. Die Schritte in diesem Verfahren verwenden den Datenspeicher, der die Ressourcenverknüpfung darstellt.

Weitere Informationen zu Ressourcenlinks finden Sie unter So funktionieren Ressourcenlinks in Lake Formation im AWS Lake Formation Developer Guide.

Damit ein Benutzer, eine Gruppe oder eine Rolle Daten in Athena abfragen kann, müssen Sie die Describe-Berechtigung für die Ressourcendatenbank erteilen. Anschließend müssen Sie den Tabellen die Optionen Select und Describe gewähren.

SCHRITT 1: So gewähren Sie DESCRIBE-Berechtigungen für eine HealthLake Data Store-Resource Link-Datenbank

  1. Öffnen Sie die AWS Lake Formation Formation-Konsole: https://console.aws.amazon.com/lakeformation/

  2. Wählen Sie in der primären Navigationsleiste Datenbanken aus.

  3. Wählen Sie auf der Seite Datenbanken das Optionsfeld neben dem Namen des Datenspeichers, der kursiv gedruckt ist.

  4. Wählen Sie Aktionen (▼).

  5. Wählen Sie Grant (Erteilen).

  6. Wählen Sie auf der Seite Datenberechtigungen gewähren unter Principals die Option IAM-Benutzer oder -Rollen aus.

  7. Verwenden Sie unter IAM-Benutzer oder -Rollen den Abwärtspfeil (▼), oder suchen Sie nach dem IAM-Benutzer, der Rolle oder der Gruppe, zu der Sie in Athena Abfragen stellen möchten.

  8. Wählen Sie auf der Karte LF-Tags oder Katalogressourcen die Option Benannte Datenkatalogressourcen aus.

  9. Wählen Sie unter Datenbanken mit dem Abwärtspfeil (▼) die HealthLake Datenspeicher-Datenbank aus, auf die Sie gemeinsam zugreifen möchten.

  10. Wählen Sie auf der Karte Berechtigungen für Ressourcenlinks unter Berechtigungen für Ressourcenverknüpfungen die Option Beschreiben aus.

Wenn die Erteilung erfolgreich war, wird das Banner „Genehmigung erteilt“ angezeigt. Um die soeben erteilte Berechtigung einzusehen, wählen Sie Data Lake-Berechtigungen aus. Suchen Sie den Benutzer, die Gruppe und die Rolle in der Tabelle. In der Spalte Berechtigungen wird Describe aufgeführt.

Jetzt müssen Sie Grant on target verwenden, um Select und Describe für alle Tabellen in der Datenbank zu gewähren.

SCHRITT 2: Gewähren Sie Zugriff auf alle Tabellen in einem HealthLake Datenspeicher-Ressourcenlink

  1. Öffnen Sie die AWS Lake Formation Formation-Konsole: https://console.aws.amazon.com/lakeformation/

  2. Wählen Sie in der primären Navigationsleiste Datenbanken aus.

  3. Wählen Sie auf der Seite Datenbanken das Optionsfeld neben dem Namen des Datenspeichers, der kursiv gedruckt ist.

  4. Wählen Sie Aktionen (▼).

  5. Wählen Sie Grant on target aus.

  6. Wählen Sie auf der Seite Datenberechtigungen gewähren unter Principals die Option IAM-Benutzer oder -Rollen aus.

  7. Verwenden Sie unter IAM-Benutzer oder -Rollen den Abwärtspfeil (▼) oder suchen Sie nach dem IAM-Benutzer, der Gruppe oder der Rolle, zu der Sie in Athena Abfragen stellen möchten.

  8. Wählen Sie unter LF-Tags oder Katalogressourcen die Option Benannte Datenkatalogressourcen aus.

  9. Wählen Sie unter Datenbanken mit dem Abwärtspfeil (▼) die HealthLake Datenspeicher-Datenbank aus, auf die Sie Zugriff gewähren möchten.

  10. Wählen Sie unter Tabellen die Option Alle Tabellen aus, um alle Tabellen für einen HealthLake Benutzer freizugeben.

  11. Wählen Sie auf der Karte Tabellenberechtigungen unter Tabellenberechtigungen die Option Beschreiben und auswählen aus.

  12. Wählen Sie Grant (Erteilen).

Nachdem Sie „Gewähren“ ausgewählt haben, wird das Erfolgsbanner „Berechtigungen gewähren“ angezeigt. Der angegebene Benutzer kann jetzt Abfragen an einem HealthLake Datenspeicher in Athena stellen.

Erste Schritte mit Athena

HealthLake Nutzer

Der HealthLake Benutzer verwendet die Athena-Konsole oder AWS SDKs fragt einen HealthLake Datenspeicher ab AWS CLI, der ihm vom HealthLake Administrator zur Verfügung gestellt wurde.

Um einen Datenspeicher mit Athena abzufragen, müssen Sie die folgenden drei Dinge tun.

Um mit Athena zu beginnen, fügen Sie Ihrem Benutzer, Ihrer Gruppe oder Rolle die FullAccess AWS verwalteten Richtlinien AmazonAthenaFullAccessund AmazonS3 hinzu. Die Verwendung einer AWS verwalteten Richtlinie ist eine hervorragende Möglichkeit, um mit der Nutzung eines neuen Dienstes zu beginnen. Beachten Sie, dass von AWS verwaltete Richtlinien möglicherweise keine Least-Privilege-Berechtigungen für Ihre speziellen Anwendungsfälle gewähren, da sie für alle AWS-Kunden verfügbar sind. Gewähren Sie die Berechtigungen mit IAM Richtlinien nur die zum Ausführen einer Aufgabe erforderlich sind. Weitere Informationen zu IAM und der Anwendung von Least-Privilege-Berechtigungen finden Sie im IAM-Benutzerhandbuch unter Anwenden von Least-Privilege-Berechtigungen.

Wichtig

Um einen HealthLake Datenspeicher in Athena abzufragen, müssen Sie die Athena-Engine Version 3 verwenden.

Arbeitsgruppen sind Ressourcen, und daher können Sie IAM-basierte Richtlinien verwenden, um den Zugriff auf bestimmte Arbeitsgruppen zu steuern. Weitere Informationen finden Sie im Athena-Benutzerhandbuch unter Verwendung von Arbeitsgruppen zur Kontrolle des Abfragezugriffs und der Kosten.

Weitere Informationen zur Einrichtung von Arbeitsgruppen finden Sie https://docs.aws.amazon.com/athena/latest/ug/workgroups-procedure.html im Athena-Benutzerhandbuch.

Anmerkung

Die Region, in der sich Ihr Amazon S3 S3-Bucket befindet, und die Athena-Konsole müssen übereinstimmen.

Bevor Sie eine Abfrage ausführen können, muss in Amazon S3 ein Speicherort für das Abfrageergebnis angegeben werden, oder Sie müssen eine Arbeitsgruppe verwenden, für die ein Bucket angegeben wurde und deren Konfiguration die Client-Einstellungen überschreibt. Ausgabedateien werden automatisch für jede Abfrage gespeichert, die ausgeführt wird.

Weitere Informationen zur Angabe von Speicherorten für Abfrageergebnisse in der Athena-Konsole finden Sie unter Angeben eines Speicherorts für Abfrageergebnisse mithilfe der Athena-Konsole im Amazon Athena Athena-Benutzerhandbuch.

Beispiele für die Abfrage Ihres HealthLake Datenspeichers in Athena finden Sie unter HealthLake Daten mit SQL abfragen.