AWS Glue Data Catalog konektor federasi tanpa izin Lambda AWS Glue Data Catalog konektor federasi dengan izin Lambda Izin konektor federasi katalog data Athena

Izin untuk membuat dan menggunakan sumber data di Athena

AWS Glue Data Catalog konektor federasi tanpa izin Lambda

Izin utama IAM untuk memanggil Athena API untuk manajemen konektor dan kueri
- Akses Amazon Athena — Kebijakan AmazonAthenaFullAccess terkelola menyediakan akses penuh ke Amazon Athena dan akses cakupan ke dependensi yang diperlukan untuk mengaktifkan kueri, menulis hasil, dan manajemen data. Untuk informasi selengkapnya, lihat AmazonAthenaFullAccessdi Panduan Referensi Kebijakan AWS Terkelola.
- AWS Glue manajemen koneksi — Izin untuk membuat dan mengelola objek AWS Glue koneksi.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetConnection",
                "glue:CreateConnection",
                "glue:DeleteConnection",
                "glue:UpdateConnection"
            ],
            "Resource": "*"
        }
    ]
}
```
  catatan
  Contoh kebijakan digunakan "Resource": "*" untuk kesederhanaan. Untuk lingkungan produksi, lingkup izin ke sumber daya tertentu jika memungkinkan.
- AWS Lake Formation akses — Izin untuk membuat AWS Glue Katalog dan menggunakan kontrol akses berbutir halus.
  JSON
  
  { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:RegisterResource", "iam:ListRoles", "glue:CreateCatalog", "glue:GetCatalogs", "glue:GetCatalog" ], "Resource": "*" } ] }

Peran IAM Katalog Data Glue

Bagian ini mencakup izin yang diperlukan bagi Athena untuk menyediakan infrastruktur dan menanyakan sumber data Anda. Kueri Federasi Amazon Athena memerlukan izin berikut dalam peran yang diteruskan ke Peran IAM Katalog Data Glue.

catatan

Saat Anda terhubung ke sumber data di VPC, Athena membuat Antarmuka Jaringan Elastis (ENI) di akun Anda dalam VPC yang ditentukan. Peran IAM memerlukan izin EC2 untuk membuat, mendeskripsikan, dan menghapus antarmuka jaringan ini.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:ManagedConnector",
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem"
            ],
            "Resource": "*"
        }
    ]
}

catatan

Contoh kebijakan digunakan "Resource": "*" untuk kesederhanaan. Untuk lingkungan produksi, lingkup izin ke sumber daya tertentu jika memungkinkan. Misalnya, lingkup Secrets Manager izin untuk rahasia ARNs tertentu.

Penjelasan perizinan
Tindakan yang diizinkan	Penjelasan	Diperlukan
`"glue:ManagedConnector"`	Memungkinkan Athena untuk memanggil konektor.	Diperlukan
`"secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue"`	Memungkinkan konektor untuk mengambil kredenal database yang disimpan di. AWS Secrets Manager	Opsional
`"ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface"`	Memungkinkan Athena untuk mengatur jaringan jika sumber data berada dalam VPC.	Opsional
`"dynamodb:DescribeTable", "dynamodb:ListTables", "dynamodb:Scan", "dynamodb:Query", "dynamodb:GetItem", "dynamodb:BatchGetItem"`	Memungkinkan Athena untuk query sumber data DynamoDB.	Opsional

AWS Glue Data Catalog konektor federasi dengan izin Lambda

Izin utama IAM untuk memanggil Athena API untuk manajemen konektor dan kueri
- Akses Amazon Athena — Kebijakan AmazonAthenaFullAccess terkelola menyediakan akses penuh ke Amazon Athena dan akses cakupan ke dependensi yang diperlukan untuk mengaktifkan kueri, menulis hasil, dan manajemen data. Untuk informasi selengkapnya, lihat AmazonAthenaFullAccessdi Panduan Referensi Kebijakan AWS Terkelola.
- Izin manajemen konektor — Izin berikut diperlukan untuk memanggil Athena DataCatalog API saat menggunakan konektor berbasis Lambda. Lihat Izin diperlukan untuk membuat konektor dan katalog Athena.
- AWS Lake Formation access (jika menggunakan Lake Formation) — Izin untuk membuat AWS Glue Katalog dan menggunakan kontrol akses berbutir halus.
  JSON
  
  { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:RegisterResource", "iam:ListRoles", "glue:CreateCatalog", "glue:GetCatalogs", "glue:GetCatalog" ], "Resource": "*" } ] }

Izin konektor federasi katalog data Athena

Izin utama IAM untuk memanggil Athena API untuk manajemen konektor dan kueri
- Akses Amazon Athena — Kebijakan AmazonAthenaFullAccess terkelola menyediakan akses penuh ke Amazon Athena dan akses cakupan ke dependensi yang diperlukan untuk mengaktifkan kueri, menulis hasil, dan manajemen data. Untuk informasi selengkapnya, lihat AmazonAthenaFullAccessdi Panduan Referensi Kebijakan AWS Terkelola.
- Izin manajemen konektor — Izin berikut diperlukan untuk memanggil Athena DataCatalog API saat menggunakan konektor berbasis Lambda. Lihat Izin diperlukan untuk membuat konektor dan katalog Athena.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Buat koneksi sumber data

Gunakan konsol Athena