View a markdown version of this page

Permisos para crear y utilizar un origen de datos en Athena - Amazon Athena
AWS Glue Data Catalog conectores federados sin permisos de LambdaConectores federados de AWS Glue Data Catalog sin permisos de LambdaPermisos de conectores federados del catálogo de datos de Athena

Permisos para crear y utilizar un origen de datos en Athena

AWS Glue Data Catalog conectores federados sin permisos de Lambda

  • Permisos de entidad principal de IAM para invocar la API de Athena para la administración y consulta de conectores

    • Acceso de Amazon Athena: AmazonAthenaFullAccess que proporciona acceso completo a Amazon Athena y acceso delimitado a las dependencias necesarias para permitir la consulta, la escritura de resultados y la administración de datos. Para obtener más información, consulte AmazonAthenaFullAccess en la Guía de referencia de políticas administradas por AWS.

    • Administración de conexiones de AWS Glue: permisos para crear y administrar objetos de conexión de AWS Glue.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetConnection",
                "glue:CreateConnection",
                "glue:DeleteConnection",
                "glue:UpdateConnection"
            ],
            "Resource": "*"
        }
    ]
}
      nota

      Este ejemplo de política utiliza "Resource": "*" por motivos de simplicidad. En el caso de los entornos de producción, limite los permisos a recursos específicos siempre que sea posible.

    • Acceso de AWS Lake Formation: permisos para crear un catálogo de AWS Glue y utilizar un control de acceso detallado.

      JSON
      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lakeformation:RegisterResource",
        "iam:ListRoles",
        "glue:CreateCatalog",
        "glue:GetCatalogs",
        "glue:GetCatalog"
      ],
      "Resource": "*"
    }
  ]
}

  • Rol de IAM del Catálogo de datos de Glue

    • En esta sección se describen los permisos necesarios para que Athena aprovisione la infraestructura y consulte el origen de datos. La consulta federada de Amazon Athena requiere los siguientes permisos en el rol transferido al rol de IAM del Catálogo de datos de Glue.

      nota

      Cuando se conecta a un origen de datos en una VPC, Athena crea una interfaz de red elástica (ENI) en su cuenta dentro de la VPC especificada. El rol de IAM requiere permisos de EC2 para crear, describir y eliminar esta interfaz de red.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:ManagedConnector",
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem"
            ],
            "Resource": "*"
        }
    ]
}
      nota

      Este ejemplo de política utiliza "Resource": "*" por motivos de simplicidad. En el caso de los entornos de producción, limite los permisos a recursos específicos siempre que sea posible. Por ejemplo, limite los permisos de Secrets Manager a ARN de secretos específicos.

      Explicación de permisos

      Acciones permitidas

      Explicación

      Obligatorio

      		 
       "glue:ManagedConnector"

      Permite a Athena invocar el conector.

      Obligatorio

      		 
      "secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue"

      Permite que los conectores recuperen las credenciales de la base de datos almacenadas en AWS Secrets Manager.

      Opcional

      		 
      "ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface"

      Permite a Athena configurar la red si el origen de datos está dentro de una VPC.

      Opcional

      		 
      "dynamodb:DescribeTable",
"dynamodb:ListTables",
"dynamodb:Scan",
"dynamodb:Query",
"dynamodb:GetItem",
"dynamodb:BatchGetItem"

      Permite a Athena consultar un origen de datos de DynamoDB.

      Opcional

Conectores federados de AWS Glue Data Catalog sin permisos de Lambda

  • Permisos de entidad principal de IAM para invocar la API de Athena para la administración y consulta de conectores

    • Acceso de Amazon Athena: AmazonAthenaFullAccess que proporciona acceso completo a Amazon Athena y acceso delimitado a las dependencias necesarias para permitir la consulta, la escritura de resultados y la administración de datos. Para obtener más información, consulte AmazonAthenaFullAccess en la Guía de referencia de políticas administradas por AWS.

    • Permisos de administración de conectores: se necesitan los siguientes permisos para llamar a la API DataCatalog de Athena cuando se utilizan conectores basados en Lambda. Consulte Permisos necesarios para crear el conector y el catálogo de Athena.

    • Acceso de AWS Lake Formation (si se usa Lake Formation): permisos para crear un catálogo de AWS Glue y utilizar un control de acceso detallado.

      JSON
      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lakeformation:RegisterResource",
        "iam:ListRoles",
        "glue:CreateCatalog",
        "glue:GetCatalogs",
        "glue:GetCatalog"
      ],
      "Resource": "*"
    }
  ]
}

Permisos de conectores federados del catálogo de datos de Athena

  • Permisos de entidad principal de IAM para invocar la API de Athena para la administración y consulta de conectores

    • Acceso de Amazon Athena: AmazonAthenaFullAccess que proporciona acceso completo a Amazon Athena y acceso delimitado a las dependencias necesarias para permitir la consulta, la escritura de resultados y la administración de datos. Para obtener más información, consulte AmazonAthenaFullAccess en la Guía de referencia de políticas administradas por AWS.

    • Permisos de administración de conectores: se necesitan los siguientes permisos para llamar a la API DataCatalog de Athena cuando se utilizan conectores basados en Lambda. Consulte Permisos necesarios para crear el conector y el catálogo de Athena.