View a markdown version of this page

Autorisations permettant de créer et d’utiliser une source de données dans Athena - Amazon Athena
AWS Glue Data Catalog connecteurs fédérés sans autorisations LambdaAWS Glue Data Catalog connecteurs fédérés avec autorisations LambdaAutorisations des connecteurs fédérés du catalogue de données Athena

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations permettant de créer et d’utiliser une source de données dans Athena

AWS Glue Data Catalog connecteurs fédérés sans autorisations Lambda

  • Autorisations principales d'IAM pour invoquer l'API Athena pour la gestion des connecteurs et les requêtes

    • Accès à Amazon Athena : la politique AmazonAthenaFullAccess gérée fournit un accès complet à Amazon Athena et un accès délimité aux dépendances nécessaires pour permettre l'interrogation, la rédaction des résultats et la gestion des données. Pour plus d'informations, consultez AmazonAthenaFullAccessle Guide de référence des politiques AWS gérées.

    • AWS Glue gestion des connexions : autorisations permettant de créer et de gérer des objets de AWS Glue connexion.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetConnection",
                "glue:CreateConnection",
                "glue:DeleteConnection",
                "glue:UpdateConnection"
            ],
            "Resource": "*"
        }
    ]
}
      Note

      L'exemple de politique est utilisé "Resource": "*" pour des raisons de simplicité. Pour les environnements de production, accordez des autorisations à des ressources spécifiques dans la mesure du possible.

    • AWS Lake Formation accès — Autorisations permettant de créer un AWS Glue catalogue et d'utiliser un contrôle d'accès précis.

      JSON
      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lakeformation:RegisterResource",
        "iam:ListRoles",
        "glue:CreateCatalog",
        "glue:GetCatalogs",
        "glue:GetCatalog"
      ],
      "Resource": "*"
    }
  ]
}

  • Rôle IAM dans le catalogue de données Glue

    • Cette section couvre les autorisations requises pour qu'Athena puisse approvisionner l'infrastructure et interroger votre source de données. Amazon Athena Federated Query nécessite les autorisations suivantes dans le rôle transmis au rôle IAM de Glue Data Catalog.

      Note

      Lorsque vous vous connectez à une source de données dans un VPC, Athena crée une Elastic Network Interface (ENI) dans votre compte au sein du VPC spécifié. Le rôle IAM nécessite des autorisations EC2 pour créer, décrire et supprimer cette interface réseau.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:ManagedConnector",
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem"
            ],
            "Resource": "*"
        }
    ]
}
      Note

      L'exemple de politique est utilisé "Resource": "*" pour des raisons de simplicité. Pour les environnements de production, accordez des autorisations à des ressources spécifiques dans la mesure du possible. Par exemple, étendez les autorisations de Secrets Manager à un secret spécifique ARNs.

      Explication des autorisations

      Actions autorisées

      Explication

      Obligatoire

      		 
       "glue:ManagedConnector"

      Permet à Athéna d'invoquer le connecteur.

      Obligatoire

      		 
      "secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue"

      Permet aux connecteurs de récupérer les informations d'identification de base de données stockées dans AWS Secrets Manager.

      Facultatif

      		 
      "ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface"

      Permet à Athena de configurer le réseau si la source de données se trouve dans un VPC.

      Facultatif

      		 
      "dynamodb:DescribeTable",
"dynamodb:ListTables",
"dynamodb:Scan",
"dynamodb:Query",
"dynamodb:GetItem",
"dynamodb:BatchGetItem"

      Permet à Athena d'interroger une source de données DynamoDB.

      Facultatif

AWS Glue Data Catalog connecteurs fédérés avec autorisations Lambda

  • Autorisations principales d'IAM pour invoquer l'API Athena pour la gestion des connecteurs et les requêtes

    • Accès à Amazon Athena : la politique AmazonAthenaFullAccess gérée fournit un accès complet à Amazon Athena et un accès délimité aux dépendances nécessaires pour permettre l'interrogation, la rédaction des résultats et la gestion des données. Pour plus d'informations, consultez AmazonAthenaFullAccessle Guide de référence des politiques AWS gérées.

    • Autorisations de gestion des connecteurs : les autorisations suivantes sont nécessaires pour appeler l' DataCatalog API Athena lors de l'utilisation de connecteurs Lambda. Consultez Autorisations requises pour créer un connecteur et un catalogue Athena.

    • AWS Lake Formation accès (si vous utilisez Lake Formation) : autorisations pour créer un AWS Glue catalogue et utiliser un contrôle d'accès précis.

      JSON
      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lakeformation:RegisterResource",
        "iam:ListRoles",
        "glue:CreateCatalog",
        "glue:GetCatalogs",
        "glue:GetCatalog"
      ],
      "Resource": "*"
    }
  ]
}

Autorisations des connecteurs fédérés du catalogue de données Athena

  • Autorisations principales d'IAM pour invoquer l'API Athena pour la gestion des connecteurs et les requêtes

    • Accès à Amazon Athena : la politique AmazonAthenaFullAccess gérée fournit un accès complet à Amazon Athena et un accès délimité aux dépendances nécessaires pour permettre l'interrogation, la rédaction des résultats et la gestion des données. Pour plus d'informations, consultez AmazonAthenaFullAccessle Guide de référence des politiques AWS gérées.

    • Autorisations de gestion des connecteurs : les autorisations suivantes sont nécessaires pour appeler l' DataCatalog API Athena lors de l'utilisation de connecteurs Lambda. Consultez Autorisations requises pour créer un connecteur et un catalogue Athena.