View a markdown version of this page

Autorizzazioni per creare e utilizzare un'origine dati in Athena - Amazon Athena
AWS Glue Data Catalog connettori federati senza autorizzazioni LambdaAWS Glue Data Catalog connettori federati con autorizzazioni LambdaAutorizzazioni dei connettori federati del catalogo dati Athena

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per creare e utilizzare un'origine dati in Athena

AWS Glue Data Catalog connettori federati senza autorizzazioni Lambda

  • Autorizzazioni principali IAM per richiamare l'API Athena per la gestione e l'interrogazione dei connettori

    • Accesso ad Amazon Athena: la policy AmazonAthenaFullAccess gestita fornisce l'accesso completo ad Amazon Athena e l'accesso mirato alle dipendenze necessarie per consentire l'interrogazione, la scrittura dei risultati e la gestione dei dati. Per ulteriori informazioni, consulta la Managed Policy AmazonAthenaFullAccessReference Guide AWS .

    • AWS Glue gestione delle connessioni: autorizzazioni per creare e gestire oggetti di AWS Glue connessione.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetConnection",
                "glue:CreateConnection",
                "glue:DeleteConnection",
                "glue:UpdateConnection"
            ],
            "Resource": "*"
        }
    ]
}
      Nota

      La policy di esempio utilizza "Resource": "*" per semplicità. Per gli ambienti di produzione, assegna le autorizzazioni a risorse specifiche, ove possibile.

    • AWS Lake Formation accesso: autorizzazioni per creare un AWS Glue catalogo e utilizzare un controllo degli accessi dettagliato.

      JSON
      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lakeformation:RegisterResource",
        "iam:ListRoles",
        "glue:CreateCatalog",
        "glue:GetCatalogs",
        "glue:GetCatalog"
      ],
      "Resource": "*"
    }
  ]
}

  • Ruolo IAM di Glue Data Catalog

    • Questa sezione descrive le autorizzazioni necessarie ad Athena per fornire l'infrastruttura e interrogare la fonte dei dati. Amazon Athena Federated Query richiede le seguenti autorizzazioni nel ruolo passato a Glue Data Catalog IAM Role.

      Nota

      Quando ti connetti a un'origine dati in un VPC, Athena crea un'interfaccia di rete elastica (ENI) nel tuo account all'interno del VPC specificato. Il ruolo IAM richiede le autorizzazioni EC2 per creare, descrivere ed eliminare questa interfaccia di rete.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:ManagedConnector",
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem"
            ],
            "Resource": "*"
        }
    ]
}
      Nota

      La policy di esempio utilizza "Resource": "*" per semplicità. Per gli ambienti di produzione, assegna le autorizzazioni a risorse specifiche, ove possibile. Ad esempio, assegna le autorizzazioni di Secrets Manager a un segreto ARNs specifico.

      Spiegazione delle autorizzazioni

      Azioni consentite

      Spiegazione

      Campo obbligatorio

      		 
       "glue:ManagedConnector"

      Consente ad Athena di richiamare il connettore.

      Richiesto

      		 
      "secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue"

      Consente ai connettori di recuperare le credenziali del database archiviate in. Gestione dei segreti AWS

      Facoltativo

      		 
      "ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface"

      Consente ad Athena di configurare la rete se l'origine dati si trova all'interno di un VPC.

      Facoltativo

      		 
      "dynamodb:DescribeTable",
"dynamodb:ListTables",
"dynamodb:Scan",
"dynamodb:Query",
"dynamodb:GetItem",
"dynamodb:BatchGetItem"

      Consente ad Athena di interrogare un'origine dati DynamoDB.

      Facoltativo

AWS Glue Data Catalog connettori federati con autorizzazioni Lambda

  • Autorizzazioni principali IAM per richiamare l'API Athena per la gestione e l'interrogazione dei connettori

    • Accesso ad Amazon Athena: la policy AmazonAthenaFullAccess gestita fornisce l'accesso completo ad Amazon Athena e l'accesso mirato alle dipendenze necessarie per consentire l'interrogazione, la scrittura dei risultati e la gestione dei dati. Per ulteriori informazioni, consulta la Managed Policy AmazonAthenaFullAccessReference Guide AWS .

    • Autorizzazioni di gestione dei connettori: le seguenti autorizzazioni sono necessarie per chiamare l' DataCatalog API Athena quando si utilizzano connettori basati su Lambda. Per informazioni, consulta Autorizzazioni necessarie per creare il connettore e il catalogo Athena.

    • AWS Lake Formation accesso (se si utilizza Lake Formation): autorizzazioni per creare un AWS Glue catalogo e utilizzare un controllo degli accessi granulare.

      JSON
      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lakeformation:RegisterResource",
        "iam:ListRoles",
        "glue:CreateCatalog",
        "glue:GetCatalogs",
        "glue:GetCatalog"
      ],
      "Resource": "*"
    }
  ]
}

Autorizzazioni dei connettori federati del catalogo dati Athena

  • Autorizzazioni principali IAM per richiamare l'API Athena per la gestione e l'interrogazione dei connettori

    • Accesso ad Amazon Athena: la policy AmazonAthenaFullAccess gestita fornisce l'accesso completo ad Amazon Athena e l'accesso mirato alle dipendenze necessarie per consentire l'interrogazione, la scrittura dei risultati e la gestione dei dati. Per ulteriori informazioni, consulta la Managed Policy AmazonAthenaFullAccessReference Guide AWS .

    • Autorizzazioni di gestione dei connettori: le seguenti autorizzazioni sono necessarie per chiamare l' DataCatalog API Athena quando si utilizzano connettori basati su Lambda. Per informazioni, consulta Autorizzazioni necessarie per creare il connettore e il catalogo Athena.