Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crea una connessione di un'origine dati
Per utilizzare un connettore di origine dati Athena, è necessario creare la AWS Glue connessione che memorizza le informazioni di connessione relative al connettore e all'origine dati. Quando si crea la connessione, si assegna all’origine dati un nome da utilizzare per fare riferimento all’origine dati nelle query SQL.
Puoi creare e configurare una connessione a un'origine dati in Athena utilizzando la [console](connect-to-a-data-source-console-steps.md) o le operazioni [CreateDataCatalogAPI](https://docs.aws.amazon.com/athena/latest/APIReference/API_CreateDataCatalog.html).
**Topics**
+ [Autorizzazioni per creare e utilizzare un'origine dati in Athena](connect-to-a-data-source-permissions.md)
+ [Usa la console Athena per connettere a un'origine dati](connect-to-a-data-source-console-steps.md)
+ [Utilizzare il AWS Serverless Application Repository per distribuire un connettore di origine dati](connect-data-source-serverless-app-repo.md)
+ [Crea un VPC per un connettore o una connessione di origine dati AWS Glue](athena-connectors-vpc-creation.md)
+ [Carica le immagini ECR sul tuo account AWS](pull-ecr-customer-account.md)
+ [Registra la tua connessione come Catalogo Dati Glue](register-connection-as-gdc.md)
+ [Abilitare le query federate tra account](xacct-fed-query-enable.md)
+ [Aggiornare un connettore di origine dati](connectors-updating.md)
# Autorizzazioni per creare e utilizzare un'origine dati in Athena
Per creare e utilizzare un'origine dati, sono necessari i seguenti set di autorizzazioni.
+ AmazonAthenaFullAccess che fornisce accesso completo ad Amazon Athena e accesso mirato alle dipendenze necessarie per consentire l'interrogazione, la scrittura dei risultati e la gestione dei dati. Per ulteriori informazioni, consulta la AWS Managed Policy [AmazonAthenaFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAthenaFullAccess.html)Reference Guide.
+ Autorizzazioni per chiamare l' CreateDataCatalog API. Queste autorizzazioni sono necessarie solo quando crei un'origine dati che si integra con connessioni Glue. Per ulteriori informazioni sulla policy di esempio, consultare [Autorizzazioni necessarie per creare il connettore e il catalogo Athena](athena-catalog-access.md).
+ Se si desidera utilizzare il controllo degli accessi fine-grain di Lake Formation, oltre alle autorizzazioni sopra elencate, si ha anche bisogno delle seguenti autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:RegisterResource",
"iam:ListRoles",
"glue:CreateCatalog",
"glue:GetCatalogs",
"glue:GetCatalog"
],
"Resource": "*"
}
]
}
```
------
# Usa la console Athena per connettere a un'origine dati
È possibile utilizzare la console Athena per creare e configurare una connessione a un’origine dati.
**Per creare una connessione a un'origine dati**
1. Apri la console Athena all'indirizzo [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Se il pannello di navigazione della console non è visibile, scegli il menu di espansione a sinistra.
![\[Scegli il menu di espansione.\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/nav-pane-expansion.png)
1. Nel pannello di navigazione scegliere **Origini dati e cataloghi**.
1. Nella pagina **Origini dati e cataloghi**, scegli **Crea origine dati**.
1. In **Choose a data source** (Scegli un'origine dati), scegli l'origine dati su cui eseguire una query con Athena, tenendo conto delle seguenti linee guida:
+ Scegli un’opzione di connessione che corrisponde all’origine dati. Athena dispone di connettori di origine dati predefiniti che è possibile configurare per origini, tra cui MySQL, Amazon DocumentDB e PostgreSQL.
+ Scegli ** AWS Glue Data Catalog- S3** se desideri interrogare i dati in Amazon S3 senza utilizzare un metastore Apache Hive o una delle altre opzioni di origine dati di query federate in questa pagina. Athena utilizza AWS Glue Data Catalog per archiviare i metadati e le informazioni sullo schema per le origini dati in Amazon S3. Si tratta dell'opzione di default (non federata). Per ulteriori informazioni, consulta [AWS Glue Data Catalog Utilizzalo per connetterti ai tuoi dati](data-sources-glue.md). Per i passaggi relativi all’utilizzo di questo flusso di lavoro, consultare [Registrare e utilizzare cataloghi dati in Athena](gdc-register.md).
+ Scegli **S3 - Apache Hive metastore** (Metastore Apache Hive - S3) per interrogare set di dati in Amazon S3 che utilizzano un metastore Apache Hive. Per ulteriori informazioni su questa opzione, consulta [Connect Athena a un metastore Apache Hive](connect-to-data-source-hive-connecting-athena-to-an-apache-hive-metastore.md).
+ Scegli **Custom or shared connector** (Connettore personalizzato o condiviso) se desideri creare un connettore origine dati personalizzato da utilizzare con Athena. Per informazioni sulla scrittura di un connettore origine dati, consulta [Sviluppare un connettore di origine dati utilizzando l’SDK di Athena Query Federation](connect-data-source-federation-sdk.md).
1. Scegli **Next (Successivo)**.
1. Nella pagina **Inserisci i dettagli dell’origine dati**, per **Nome origine dati**, inserisci il nome che desideri utilizzare nelle istruzioni SQL quando esegui una query sull’origine dati da Athena. Il nome può contenere fino a 127 caratteri e deve essere univoco all'interno dell'account. Non può essere modificato dopo la creazione. I caratteri validi sono a-z, A-z, 0-9, \$1 (trattino basso), @ (chiocciola) e - (trattino). I nomi `awsdatacatalog`, `hive`, `jmx` e `system` sono riservati ad Athena e non possono essere utilizzati per i nomi delle origini dati.
1. Se l'origine dati scelta si integra con AWS Glue le connessioni.
1. Peri **dettagli della connessione AWS Glue **, inserire le informazioni richieste. Una connessione contiene le proprietà necessarie per connettersi a una particolare origine dati. Le proprietà richieste cambiano a seconda del tipo di connessione. Per ulteriori informazioni sulle proprietà relative al connettore, consultare [Connettori di origine dati disponibili](connectors-available.md). Per informazioni sulle proprietà di connessione aggiuntive, vedere le [proprietà di connessione AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/connection-properties.html) nella *Guida per l’utente AWS Glue *.
**Nota**
Quando si aggiornano le proprietà della connessione Glue, è necessario riavviare il connettore Lambda per ottenere le proprietà aggiornate. Per fare ciò, modificare le proprietà dell’ambiente e salvarlo senza modificare nulla.
Quando si aggiorna una connessione Glue, le seguenti proprietà non verranno aggiornate automaticamente nella funzione Lambda corrispondente. È necessario aggiornare manualmente la funzione Lambda per queste proprietà.
Configurazione VPC Lambda: `security_group_ids`, `subnet_ids`
Ruolo di esecuzione Lambda: `spill_bucket`, `secret_name`, `spill_kms_key_id`
1. In **Ruolo IAM esecuzione Lambda**, scegliere una delle seguenti opzioni:
+ **Crea e usa un nuovo ruolo di esecuzione**: (impostazione predefinita) Athena crea un ruolo di esecuzione che utilizzerà quindi per accedere alle risorse per tuo AWS Lambda conto. Athena richiede questo ruolo per creare un’origine dati federata.
+ **Utilizza un ruolo di esecuzione esistente**: usare questa opzione per scegliere un ruolo di esecuzione esistente. Per questa opzione, scegliere il ruolo di esecuzione che desideri utilizzare dal menu a discesa **Ruolo di esecuzione**.
1. Se l’origine dati scelta non si integra con le connessioni AWS Glue .
1. Per **Lambda function** (Funzione Lambda), scegli **Create Lambda function** (Crea funzione Lambda). La pagina delle funzioni per il connettore che hai scelto si apre nella AWS Lambda console. La pagina include informazioni dettagliate sul connettore.
1. Sotto **Impostazioni applicazione**, leggere la descrizione per ogni impostazione dell'applicazione e quindi inserire i valori corrispondenti alle proprie esigenze.
Le impostazioni dell'applicazione visualizzate variano a seconda del connettore di origini dati. Le impostazioni minime richieste includono:
+ **AthenaCatalogName**— Un nome, in minuscolo, per la funzione Lambda che indica l'origine dati a cui è destinata, ad esempio. `cloudwatchlogs`
+ **SpillBucket**— Un bucket Amazon S3 nel tuo account per archiviare i dati che superano i limiti di dimensione della risposta della funzione Lambda.
**Nota**
I dati fuoriusciti non vengono riutilizzati nelle esecuzioni successive e possono essere eliminati in modo sicuro. Athena non elimina questi dati al posto tuo. Per gestire questi oggetti, prendi in considerazione l'aggiunta di una policy del ciclo di vita degli oggetti che elimina i dati precedenti dal bucket spill di Amazon S3. Per ulteriori informazioni, consultare [Gestione del ciclo di vita dello storage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) nella Guida per l’utente di Amazon S.
1. Seleziona **I acknowledge that this app creates custom IAM roles and resource policies** (Sono consapevole che questa app crea ruoli IAM personalizzati e policy della risorsa). Per ulteriori informazioni, scegliere il link **Info (Informazioni)** .
1. Seleziona **Implementa**. Al termine dell'implementazione, la funzione Lambda viene visualizzata nella sezione **Resources** (Risorse) nella console Lambda.
Dopo aver implementato il connettore origine dati nell'account, puoi connetterlo ad Athena.
1. Torna alla pagina **Enter data source details** (Inserisci i dettagli dell'origine dati) nella console Athena.
1. Nella sezione **Connection details** (Dettagli di connessione), scegli l'icona di aggiornamento accanto alla casella di ricerca **Select or enter a Lambda function** (Seleziona o inserisci una funzione Lambda).
1. Scegli il nome della funzione appena creata nella console Lambda. Viene visualizzato l'ARN della funzione Lambda.
1. (Facoltativo) Per **Tags** (Tag), aggiungi coppie chiave-valore da associare a questa origine dati. Per ulteriori informazioni sui tag, consulta [Assegnare tag alle risorse di Athena](tags.md).
1. Scegli **Next (Successivo)**.
1. Nella pagina **Verifica e crea**, esamina i dettagli dell’origine dati. Per apportare modifiche, scegliere **Modifica**
1. Leggere le informazioni in **Athena creerà risorse nel tuo account**. Se si è d'accordo, selezionare **Dichiaro di essere consapevole del fatto che Athena creerà risorse per mio conto**.
1. Seleziona **Create data source (Crea origine dati)**. **Athena ** creerà per te le seguenti risorse.
+ Ruolo IAM di esecuzione Lambda
+ AWS Glue connessione (solo se l'origine dati è compatibile con Connections) AWS Glue
+ funzione Lambda
La sezione **Data source details** (Dettagli sull'origine dati) della pagina dell'origine dati mostra le informazioni relative al nuovo connettore. È ora possibile utilizzare il connettore nelle query Athena.
Per informazioni sull'utilizzo di connettori dati nelle query, consulta [Eseguire query federate](running-federated-queries.md).
# Utilizzare il AWS Serverless Application Repository per distribuire un connettore di origine dati
Per implementare un connettore origine dati è possibile utilizzare [AWS Serverless Application Repository](https://aws.amazon.com/serverless/serverlessrepo/) invece di utilizzare una connessione AWS Glue .
**Nota**
Si consiglia di utilizzare il SAR solo se si dispone di un connettore personalizzato o se si richiede l’uso di un connettore precedente. In caso contrario, si consiglia l’utilizzo della console Athena.
Puoi utilizzare il AWS Serverless Application Repository per trovare il connettore che desideri utilizzare, fornire i parametri richiesti dal connettore e quindi distribuire il connettore al tuo account. Quindi, dopo aver distribuito il connettore, utilizza la console Athena per rendere disponibile l'origine dati ad Athena.
## Implementazione del connettore sull'account
**Da utilizzare AWS Serverless Application Repository per distribuire un connettore di origine dati nel tuo account**
1. Accedi Console di gestione AWS e apri il **Serverless App** Repository.
1. Nel pannello di navigazione, scegli **Available applications (Applicazioni disponibili)**.
1. Seleziona l'opzione **Visualizzare le app che creano ruoli IAM personalizzati o policy delle risorse**.
1. Nella casella di ricerca digita il nome del connettore. Per un elenco dei connettori dati Athena predefiniti, consulta [Connettori di origine dati disponibili](connectors-available.md).
1. Scegliere il nome del connettore. In seguito a questa operazione, si apre la pagina della funzione Lambda **Dettagli dell'applicazione** nella console AWS Lambda .
1. Sul lato destro della pagina dei dettagli, inserisci le informazioni richieste in **Application settings** (Impostazioni dell'applicazione). Le impostazioni minime richieste includono quanto segue. Per informazioni sulle opzioni configurabili rimanenti per i connettori dati creati da Athena, consultate il [corrispondente argomento Connettori disponibili su](https://github.com/awslabs/aws-athena-query-federation/wiki/Available-Connectors). GitHub
+ **AthenaCatalogName**— Un nome per la funzione Lambda in minuscolo che indica l'origine dati a cui è destinata, ad esempio. `cloudwatchlogs`
+ **SpillBucket**— Specificate un bucket Amazon S3 nel vostro account per ricevere dati da payload di risposta di grandi dimensioni che superano i limiti di dimensione della risposta della funzione Lambda.
1. Seleziona **I acknowledge that this app creates custom IAM roles and resource policies** (Sono consapevole che questa app crea ruoli IAM personalizzati e policy della risorsa). Per ulteriori informazioni, scegliere il link **Info (Informazioni)** .
1. Nella parte inferiore destra della pagina **Application settings** (Impostazioni dell'applicazione), scegli **Deploy** (Implementa). Al termine dell'implementazione, la funzione Lambda viene visualizzata nella sezione **Resources** (Risorse) nella console Lambda.
## Rendere disponibile il connettore in Athena
A questo punto, puoi usare la console Athena per rendere disponibile il connettore origine dati per Athena.
**Per rendere disponibile il connettore origine dati per Athena**
1. Apri la console Athena all'indirizzo [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Se il pannello di navigazione della console non è visibile, scegli il menu di espansione a sinistra.
![\[Scegli il menu di espansione.\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/nav-pane-expansion.png)
1. Nel pannello di navigazione scegliere **Origini dati e cataloghi**.
1. Nella pagina **Origini dati e cataloghi**, scegliere **Crea origine dati**.
1. In **Choose a data source** (Scegli un'origine dati), scegli l'origine dati per la quale è stato creato un connettore in AWS Serverless Application Repository. Questo tutorial utilizza **Amazon CloudWatch Logs** come fonte di dati federata.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Enter data source details** (Inserisci i dettagli dell'origine dati), per **Data source name** (Nome origine dati), inserisci il nome che desideri utilizzare nelle istruzioni SQL quando esegui una query sull'origine dati da Athena (ad esempio, `CloudWatchLogs`). Il nome può contenere fino a 127 caratteri e deve essere univoco all'interno dell'account. Non può essere modificato dopo la creazione. I caratteri validi sono a-z, A-z, 0-9, \$1 (trattino basso), @ (chiocciola) e - (trattino). I nomi `awsdatacatalog`, `hive`, `jmx` e `system` sono riservati ad Athena e non possono essere utilizzati per i nomi delle origini dati.
1. Nella sezione **Connection details** (Dettagli di connessione), usa la casella **Select or enter a Lambda function** (Seleziona o inserisci una funzione Lambda) per scegliere il nome della funzione appena creata. Viene visualizzato l'ARN della funzione Lambda.
1. (Facoltativo) Per **Tags** (Tag), aggiungi coppie chiave-valore da associare a questa origine dati. Per ulteriori informazioni sui tag, consulta [Assegnare tag alle risorse di Athena](tags.md).
1. Scegli **Next (Successivo)**.
1. Nella pagina **Review and create** (Rivedi e crea), esamina i dettagli dell'origine dati, quindi scegli **Create data source** (Crea origine dati).
1. La sezione **Data source details** (Dettagli sull'origine dati) della pagina dell'origine dati mostra le informazioni relative al nuovo connettore. È ora possibile utilizzare il connettore nelle query Athena.
Per informazioni sull'utilizzo di connettori dati nelle query, consulta [Eseguire query federate](running-federated-queries.md).
# Crea un VPC per un connettore o una connessione di origine dati AWS Glue
Alcuni connettori e AWS Glue connessioni di origine dati Athena richiedono un VPC e un gruppo di sicurezza. In questo argomento viene illustrato come creare un VPC con una sottorete e un gruppo di sicurezza per il VPC. Come parte di questo processo, recuperi il file IDs per il VPC, la sottorete e il gruppo di sicurezza che create. Questi IDs sono necessari quando si configura la AWS Glue connessione o il connettore di origine dati per l'uso con Athena.
**Creazione di un VPC da utilizzare con un connettore origine dati Athena.**
1. Accedi a Console di gestione AWS e apri la console Amazon VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Seleziona **Crea VPC**.
1. Nella pagina **Crea VPC**, alla voce **Impostazioni VPC**, per **Risorse da creare**, selezionare **VPC e altro**.
1. Alla voce **Generazione automatica tag nome**, per **Genera automaticamente** inserisci un valore che verrà utilizzato per generare i tag dei nomi per tutte le risorse del VPC.
1. Seleziona **Crea VPC**.
1. Al termine del processo, scegliere **Visualizza VPC.**
1. Nella sezione **Details** (Dettagli), alla voce **VPC ID** (ID VPC), copia l'ID VPC per riferimento futuro.
Ora è tutto pronto per recuperare l'ID della sottorete per il VPC appena creato.
**Recupero dell'ID della sottorete VPC**
1. Nel pannello di navigazione della console del VPC, seleziona **Subnets (Sottoreti)**.
1. Selezionare il nome di una sottorete la cui colonna **VPC** ha l’ID VPC annotato.
1. Nella sezione **Dettagli**, alla voce **ID sottorete**, copia il tuo ID sottorete per un riferimento successivo.
Successivamente, crea un gruppo di sicurezza per la VPC.
**Creazione di un gruppo di sicurezza per il proprio VPC**
1. Nel pannello di navigazione della console del VPC; seleziona **Sicurezza**, **Gruppi di sicurezza**.
1. Scegliere **Create Security Group** (Crea gruppo di sicurezza).
1. Nella pagina **Create Security Group (Crea gruppo di sicurezza)** immettere le seguenti informazioni:
+ In **Security group name** (Nome gruppo di sicurezza), inserisci un nome per il tuo gruppo di sicurezza.
+ In **Description** (Descrizione), inserisci una breve descrizione per il tuo gruppo di sicurezza. È richiesta una descrizione.
+ In **VPC**, selezionare l’ID VPC del VPC creato per il connettore origine dati.
+ In **Inbound rules** (Regole in entrata) e **Outbound rules** (Regole in uscita), aggiungi tutte le regole in entrata e in uscita necessarie.
1. Scegliere **Create Security Group** (Crea gruppo di sicurezza).
1. Nella pagina **Details** (Dettagli) per il gruppo di sicurezza, copia la voce nel campo **Security group ID** (ID gruppo di sicurezza) per riferimento successivo.
## Considerazioni importanti sull’utilizzo di VPC con connettori Athena
Le seguenti istruzioni si applicano a tutti i connettori Athena, poiché tutti i connettori possono utilizzare VPC.
**Nota**
Quando si utilizza un VPC con connessioni AWS Glue, è necessario configurare i seguenti PrivateLink endpoint:
Simple Storage Service (Amazon S3)
AWS Glue
AWS Secrets Manager
In alternativa, è possibile utilizzare l’accesso pubblico a Internet, sebbene ciò non sia consigliato per motivi di sicurezza.
**avvertimento**
L’utilizzo dell’accesso a un internet pubblico può esporre le risorse a ulteriori rischi per la sicurezza. Si consiglia vivamente di utilizzare gli PrivateLink endpoint per una maggiore sicurezza nella configurazione VPC.
# Carica le immagini ECR sul tuo account AWS
Le funzioni Lambda del connettore di federazione Athena utilizzano immagini di container archiviate in repository Amazon ECR gestiti da Athena. Per eseguire scansioni di sicurezza su queste immagini di container, bisogna prima copiarle in un repository Amazon ECR nel proprio account. Questa sezione fornisce step-by-step istruzioni su come copiare un'immagine nel repository e configurare la funzione Lambda per l'utilizzo dell'immagine.
## Prerequisiti
+ Un connettore di federazione Athena: il connettore può essere creato tramite qualsiasi fonte, a condizione che utilizzi un'immagine del container.
**Nota**
Per verificare l’implementazione delle immagini, controllare la scheda Immagine nel proprio Connettore Lambda di federazione Athena
+ Docker installato e funzionante
+ AWS CLI installato
+ Credenziali dell’account con autorizzazioni di estrazione appropriate
## Come trasferire un'immagine
1. Individuare l’URI dell’immagine dal connettore Lambda di federazione Athena
**Example**
```
account_id_1.dkr.ecr.us-east-1.amazonaws.com/athena-federation-repository:2025.15.1
```
1. Generare un token di autenticazione Docker per l’account gestito da Athena:
```
aws ecr get-login-password --region regionID | docker login --username AWS --password-stdin athena-managed-registry
```
Dove:
+ *regionID*è la tua regione di distribuzione (ad es. us-east-1)
+ *athena-managed-registry*è la parte del registro dell'URI dell'immagine (ad esempio, account\$1id\$11.dkr. ecr.us-east-1.amazonaws.com)
1. Estrarre l’immagine dall’account gestito da Athena:
```
docker pull athenaImageURI
```
1. Autenticare Docker nel registro:
```
aws ecr get-login-password --region regionID | docker login --username AWS --password-stdin customer-registry
```
*customer-registry*Dov'è il registro ECR (ad esempio, account\$1id\$12.dkr. ecr.us-east-1.amazonaws.com)
1. Aggiungere un tag all’immagine estratta per il tuo repository.
```
docker tag athenaImageURI yourImageURI
```
1. Invia l’immagine al tuo repository:
```
docker push yourImageURI
```
1. Aggiorna il tuo Connettore di federazione:
1. Vai alla tua funzione Lambda
1. Seleziona **Implementa nuovaimmagine**
1. Inserire l’URI della nuova immagine
L’immagine del connettore federato Athena si trova ora nel proprio account, il che consente di eseguire scansioni CVE sull’immagine.
# Registra la tua connessione come Catalogo Dati Glue
Dopo aver creato l’origine dati, è possibile utilizzare la console Athena per registrare la tua connessione come Catalogo Dati Glue. Una volta registrato, è possibile gestire il catalogo di dati federato e abilitare il controllo granulare degli accessi utilizzando Lake Formation. Per ulteriori informazioni, consultare [Creazione di un catalogo federato](https://docs.aws.amazon.com/lake-formation/latest/dg/create-fed-catalog-data-source.html).
È possibile registrare i seguenti connettori con cui integrarli per un controllo granulare degli accessi. AWS Glue
+ Redshift
+ BigQuery
+ DynamoDB (anteprima)
+ Snowflake (anteprima)
+ MySQL
+ PostgreSQL
+ AWS CMDB
+ Timestream
+ Archiviazione Azure Data Lake
+ Azure Synapse
+ IBM Db2
+ IBM Db2 AS/400 (Db2 iSeries)
+ DocumentDB
+ Google Cloud Storage
+ HBase
+ OpenSearch
+ Oracle
+ SAP HANA
+ SQL Server
+ TPC-DS
+ Cloudera Hive
+ Cloudwatch
+ Parametri Cloudwatch
+ Teradata
+ Vertica
## Prerequisiti
Prima di iniziare, è necessario completare i seguenti prerequisiti.
+ Assicurati di disporre dei ruoli e delle autorizzazioni richieste per registrare le sedi. Per ulteriori informazioni, consulta i [Requisiti per i ruoli](https://docs.aws.amazon.com/lake-formation/latest/dg/registration-role.html) nella Guida per gli AWS Lake Formation sviluppatori.
+ Assicurarsi di disporre dei ruoli richiesti in Lake Formation. Per ulteriori informazioni, consulta [Prerequisiti per la connessione del Data Catalog a fonti di dati esterne](https://docs.aws.amazon.com/lake-formation/latest/dg/federated-catalog-data-connection.html) nella Guida per gli AWS Lake Formation sviluppatori.
+ Il ruolo registrato in Glue deve disporre delle autorizzazioni elencate nell’esempio seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/spill-prefix/*",
"arn:aws:s3:::amzn-s3-demo-bucket/spill-prefix"
]
},
{
"Sid": "lambdainvoke",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:lambda_function_name"
},
{
"Sid": "gluepolicy",
"Effect": "Allow",
"Action": "glue:*",
"Resource": [
"arn:aws:glue:us-east-1:111122223333:connection/",
"arn:aws:glue:us-east-1:111122223333:catalog"
]
}
]
}
```
------
+ L’utente è responsabile di determinare e gestire un accesso appropriato ai dati. Con controlli di accesso dettagliati sulle query federate, si consiglia di utilizzare la policy gestita. [AmazonAthenaFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAthenaFullAccess.html) Se si desidera utilizzare una policy personalizzata, assicurarsi che gli utenti che eseguono le query federate non abbiano accesso alle seguenti risorse.
+ `lambda:InvokeFunction` sul connettore Lambda specificato nella connessione Glue
+ Accesso alla posizione del bucket spill in IAM
+ Accesso alla connessione Glue associata al proprio catalogo federato
+ Il ruolo di Lake Formation in IAM
## Registrare la propria connessione utilizzando la console
**Per registrare la propria connessione come Catalogo Dati Glue**
1. Apri la console Athena all'indirizzo [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Nel pannello di navigazione scegliere **Origini dati e cataloghi**.
1. Dall’elenco **Origini dati**, scegliere l’origine dati creata per aprire la pagina **Dettagli dell’origine dati**.
1. **Scegli Inizia con. AWS Lake Formation**
**Nota**
Dopo aver scelto questa opzione, bisogna gestire la funzione Lambda in proprio. Athena non eliminerà la funzione Lambda.
1. Per **Nome catalogo dati**, fornire un nome univoco per il proprio catalogo.
1. Scegliere il **ruolo IAM di Lake Formation** che concede il permesso a Lake Formation di invocare la funzione Lambda. Assicurarsi che il ruolo disponga delle autorizzazioni mostrate nell’[esempio.](#register-connection-as-gdc-pre)
1. Nella casella di testo, digitare **conferma** per eliminare l’origine dati Athena, sostituirla con una registrazione del catalogo dati Glue.
**Nota**
Questa azione eliminerà l’origine dati Athena e creerà un nuovo catalogo dati Glue al suo posto. Una volta completata questa procedura, potrebbe essere necessario aggiornare le query che accedono all’origine dati per fare invece riferimento al catalogo dati Glue appena creato.
1. Scegliere **Crea catalogo e vai a Lake Formation**. Si apre la console Lake Formation in cui è possibile gestire il catalogo e concedere le autorizzazioni agli utenti su cataloghi, database e tabelle.
# Abilitare le query federate tra account
La query federata consente di eseguire query su origini dati diverse da Amazon S3 utilizzando connettori di origine dati implementati su AWS Lambda. La funzione di query federata tra account consente alla funzione Lambda e alle origini dati che devono essere sottoposte a query di trovarsi in account diversi.
**Nota**
Utilizzare questo metodo solo se non è stata registrata l’origine dati federata con AWS Glue Data Catalog. Se hai registrato la tua fonte di dati con AWS Glue Data Catalog, utilizza il modello di funzionalità e autorizzazioni AWS Glue Data Catalog cross-account. Per ulteriori informazioni, consultare [Concedere accesso multi-account](https://docs.aws.amazon.com/glue/latest/dg/cross-account-access.html) nella *Guida per l’utente AWS Glue *.
In qualità di amministratore dei dati, puoi abilitare query federate tra più account condividendo il connettore dati con l'account di un analista di dati o, in qualità di analista di dati, utilizzando un ARN Lambda condiviso da un amministratore di dati da aggiungere al tuo account. Quando vengono apportate modifiche di configurazione a un connettore nell'account di origine, la configurazione aggiornata viene automaticamente applicata alle istanze condivise del connettore negli account di altri utenti.
## Considerazioni e limitazioni
+ La funzione di query federata tra account è disponibile per i connettori dati di metastore non Hive che utilizzano un'origine dati basata su Lambda.
+ La funzionalità non è disponibile per il tipo di origine AWS Glue Data Catalog dati. Per informazioni sull'accesso a AWS Glue Data Catalog s da più account, vedere[Configurare l'accesso tra account ai cataloghi di AWS Glue dati](security-iam-cross-account-glue-catalog-access.md).
+ Se la risposta della funzione Lambda del connettore supera il limite di dimensione della risposta Lambda di 6 MB, Athena crittografa, raggruppa e trasferisce automaticamente la risposta a un bucket Amazon S3 da te configurato. L'entità che esegue la query Athena deve avere accesso al luogo dello sversamento affinché Athena possa leggere i dati fuoriusciti. Ti consigliamo di impostare una policy del ciclo di vita di Amazon S3 per eliminare gli oggetti dal luogo di fuoriuscita, poiché i dati non sono necessari dopo il completamento della query.
+ L'utilizzo di query federate su più server Regioni AWS non è supportato.
## Autorizzazioni richieste
Per configurare le autorizzazioni richieste, è necessario eseguire azioni sia nell'Account A () che nell'Account B (*444455556666*). *111122223333*
### Azioni per l’account A
Affinché l'account A dell'amministratore dei dati condivida una funzione Lambda con l'account B dell'analista dati, l'account B richiede la funzione di richiamo Lambda e l'accesso al bucket spill. Di conseguenza, l'account A dovrebbe aggiungere una [policy basata sulle risorse](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) alla funzione Lambda e un [accesso principale](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html) al relativo bucket spill in Amazon S3.
1. La seguente policy concede a Lambda le autorizzazioni di richiamo funzione all'account B su una funzione Lambda nell'account A.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountInvocationStatement",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/username"
]
},
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:444455556666:function:lambda-function-name"
}
]
}
```
------
1. La seguente policy consente l'accesso del bucket spill al principale nell'account B.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::111122223333:user/username"]
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::spill-bucket",
"arn:aws:s3:::spill-bucket/*"
]
}
]
}
```
------
1. Se la funzione Lambda crittografa lo spill bucket con una AWS KMS chiave anziché la crittografia predefinita offerta dall'SDK di federazione, la politica AWS KMS chiave nell'Account A deve concedere l'accesso all'utente nell'Account B, come nell'esempio seguente.
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal":
{
"AWS": ["arn:aws:iam::account-B-id:user/username"]
},
"Action": [ "kms:Decrypt" ],
"Resource": "*" // Resource policy that gets placed on the KMS key.
}
```
### Azioni per l’account B
Affinché l'Account A condivida il connettore con l'Account B, l'Account B deve creare un ruolo chiamato `AthenaCrossAccountCreate-account-A-id` che l'Account A assume chiamando l' AWS azione API Security Token Service. [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
1. Utilizza la console IAM o AWS CLI per creare il `AthenaCrossAccountCreate-account-A-id` ruolo come ruolo personalizzato in termini di policy di fiducia. Una policy di fiducia personalizzata delega l'accesso e consente ad altri di eseguire azioni sul tuo AWS account. Per i passaggi, consultare [Creare un ruolo utilizzando criteri di attendibilità personalizzati](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) nella *Guida per l’utente IAM*.
La relazione di attendibilità dovrebbe avere un oggetto principale in cui la chiave è `AWS` e il valore è l’ARN dell’account A, come nell’esempio seguente.
```
...
"Principal":
{
"AWS": ["arn:aws:iam::account-A-id:user/username"]
},
...
```
1. Inoltre, nell’account B, creare un criterio come il seguente che consenta l’azione `CreateDataCatalog`.
```
{
"Effect": "Allow",
"Action": "athena:CreateDataCatalog",
"Resource": "arn:aws:athena:*:account-B-id:datacatalog/*"
}
```
1. Aggiungere il criterio che consente l’azione `CreateDataCatalog` al ruolo `AthenaCrossAccountCreate-account-A-id` creato utilizzando l’account B.
## Condivisione di un'origine dati nell'account A con l'account B
Dopo che le autorizzazioni sono state impostate, è possibile utilizzare la pagina **Origini dati e cataloghi** nella console Athena per condividere un connettore dati nel proprio account (account A) con un altro account (account B). L'account A mantiene il pieno controllo e la proprietà del connettore. Quando l'account A apporta modifiche di configurazione al connettore, la configurazione aggiornata si applica al connettore condiviso nell'account B.
**Nota**
È possibile condividere solo un'origine dati di tipo Lambda e non è possibile condividere origini dati che utilizzano connessioni AWS Glue . Per ulteriori informazioni, consulta [Connettori di origine dati disponibili](connectors-available.md).
**Per condividere un'origine dati Lambda nell'account A con l'account B**
1. Apri la console Athena all'indirizzo [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Se il pannello di navigazione della console non è visibile, scegli il menu di espansione a sinistra.
![\[Scegli il menu di espansione.\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/nav-pane-expansion.png)
1. Scegliere **Origini dati e cataloghi**.
1. Sulla pagina **Origini dati e cataloghi**, scegliere il collegamento del connettore da condividere.
1. Nella pagina dei dettagli relativa a un’origine dati Lambda, dal menu **Azioni** nell’angolo in alto a destra, selezionare **Condividi**.
1. Nella sezione **Condividi *Lambda-name* con un altro account**? finestra di dialogo, inserisci le informazioni richieste.
+ Per **Data source name** (Nome origine dati), inserisci il nome dell'origine dati copiata come desideri che appaia nell'altro account.
+ Per **Account ID** (ID account), inserisci l'ID dell'account con cui desideri condividere l'origine dati (in questo caso, l'account B).
1. Scegli **Condividi**. Il connettore dati condiviso specificato viene creato nell'account B. Le modifiche di configurazione apportate al connettore nell'account A si applicano al connettore nell'account B.
## Aggiunta di un'origine dati condivisa dall'account A all'account B
In qualità di analista di dati, potresti ricevere l'ARN di un connettore da aggiungere al tuo account da un amministratore dei dati. È possibile utilizzare la pagina **Origini dati e cataloghi** della console Athena per aggiungere l’ARN Lambda fornito dall’amministratore al proprio account.
**Per aggiungere l'ARN Lambda di un connettore dati condiviso al tuo account**
1. Apri la console Athena all'indirizzo [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Se il pannello di navigazione non è visibile, scegliere il menu di espansione a sinistra.
1. Scegliere **Origini dati e cataloghi**.
1. Nella pagina **Origini dati e cataloghi** scegliere **Crea origine dati**.
1. Nella pagina **Scegli un'origine dati**, selezionare **Connettore personalizzato o condiviso**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Inserisci i dettagli dell’origine dati**, nella sezione **Dettagli della connessione**, per **Seleziona o inserisci una funzione Lambda**, inserire l’ARN Lambda dell’account A.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rivedi e crea** scegliere **Crea origine dati**.
## Risoluzione dei problemi
Se viene visualizzato un messaggio di errore che indica che l'account A non dispone delle autorizzazioni per assumere un ruolo nell'account B, assicurarsi che il nome del ruolo creato nell'account B sia scritto correttamente e che la policy appropriata sia collegata.
# Aggiornare un connettore di origine dati
Athena consiglia di aggiornare regolarmente i connettori di origine dati utilizzati alla versione più recente per sfruttare le nuove funzionalità e miglioramenti. L’aggiornamento di un connettore di origine dati include i seguenti passaggi:
# Connessioni Glue (consigliate)
## Trovare la versione più recente di Athena Query Federation
Il numero di versione più recente dei connettori di origine dati di Athena Data corrisponde all'ultima versione di Athena Query Federation. In alcuni casi, le GitHub versioni possono essere leggermente più recenti di quelle disponibili su AWS Serverless Application Repository (SAR).
**Come trovare il numero di versione più recente di Athena Query Federation**
1. Visita l' GitHub URL [https://github.com/awslabs/aws-athena-query-federation/releases/latest](https://github.com/awslabs/aws-athena-query-federation/releases/latest).
1. Prendi nota del numero della versione nell'intestazione della pagina principale nel seguente formato:
***year*Rilascio v.** *week\$1of\$1year*. *iteration\$1of\$1week***di Athena Query Federation**
Ad esempio, il numero di rilascio per la versione di **rilascio v2023.8.3 di Athena Query Federation** è 2023.8.3.
## Trovare la versione del proprio connettore
Seguire questi passaggi per determinare la versione del connettore in uso.
**Per trovare la versione del connettore**
1. Nella pagina della console Lambda dell’applicazione Lambda, selezionare la scheda **Immagine**.
1. Nella scheda Immagine, individuare l’URI dell’immagine. L’URI segue questo formato:
```
Image_location_account.dkr.ecr.us-west-2.amazonaws.com/athena-federation-repository:Version
```
1. Il numero di versione nell’URI dell’immagine segue il formato `year.week_of_year.iteration_of_week` (ad esempio, `2021.42.1`). Questo numero rappresenta la versione del connettore in uso.
## Implementazione di una nuova versione del connettore
Segui questi passaggi per implementare una nuova versione del connettore.
**Per implementare una nuova versione del connettore**
1. Trovare la versione desiderata seguendo la procedura per trovare la versione più recente di Athena Query Federation.
1. Nella funzione Lambda del connettore federato, individuare l’URI dell’immagine e aggiornare il tag alla versione desiderata. Esempio:
Da:
```
509399631660.dkr.ecr.us-east-1.amazonaws.com/athena-federation-repository:2025.15.1
```
A:
```
509399631660.dkr.ecr.us-east-1.amazonaws.com/athena-federation-repository:2025.26.1
```
**Nota**
Se la versione attualmente in uso è precedente alla 2025.15.1, bisogna tenere in considerazione queste importanti modifiche:
Il nome del repository è stato aggiornato a `athena-federation-repository`
Per le versioni precedenti a questo aggiornamento, il comando override potrebbe non essere impostato. È necessario impostarlo sul gestore composito.
# Connessioni legacy
## Trovare la versione più recente di Athena Query Federation
Il numero di versione più recente dei connettori di origine dati di Athena Data corrisponde all'ultima versione di Athena Query Federation. In alcuni casi, le GitHub versioni possono essere leggermente più recenti di quelle disponibili su AWS Serverless Application Repository (SAR).
**Come trovare il numero di versione più recente di Athena Query Federation**
1. Visita l' GitHub URL [https://github.com/awslabs/aws-athena-query-federation/releases/latest](https://github.com/awslabs/aws-athena-query-federation/releases/latest).
1. Prendi nota del numero della versione nell'intestazione della pagina principale nel seguente formato:
***year*Rilascio v.** *week\$1of\$1year*. *iteration\$1of\$1week***di Athena Query Federation**
Ad esempio, il numero di rilascio per la versione di **rilascio v2023.8.3 di Athena Query Federation** è 2023.8.3.
## Trovare e annotare i nomi delle risorse
Per prepararti all'aggiornamento, individua e prendi nota delle seguenti informazioni:
1. Il nome della funzione Lambda del connettore.
1. Variabili di ambiente della funzione Lambda.
1. Il nome dell'applicazione Lambda, che gestisce la funzione Lambda del connettore.
**Come trovare i nomi delle risorse dalla console Athena**
1. Apri la console Athena all'indirizzo [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Se il pannello di navigazione della console non è visibile, scegli il menu di espansione a sinistra.
![\[Scegli il menu di espansione.\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/nav-pane-expansion.png)
1. Nel pannello di navigazione scegliere **Origini dati e cataloghi**.
1. Nella colonna **Nome origine dati**, seleziona il link dell'origine dati del tuo connettore.
1. Nella sezione **Dettagli origine dati**, in **Funzione Lambda**, seleziona il link alla tua funzione Lambda.
![\[Seleziona il link della funzione Lambda.\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/connectors-updating-1.png)
1. Nella pagina **Funzioni**, nella colonna **Nome funzione**, annota il nome della funzione per il connettore.
![\[Prendi nota del nome della funzione.\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/connectors-updating-2.png)
1. Scegli il link del nome della funzione.
1. Nella sezione **Panoramica funzioni**, seleziona la scheda **Configurazione**.
1. Nel riquadro a sinistra, seleziona **Variabili di ambiente**.
1. Nella sezione **Variabili ambiente**, prendi nota delle chiavi e dei valori corrispondenti.
1. Scorri fino alla parte superiore della pagina.
1. Nel messaggio **Questa funzione appartiene a un'applicazione. Fai clic qui per gestirlo**, seleziona il link **Fai clic qui**.
1. **Nella *your\$1application\$1name* pagina **serverlessrepo-**, prendi nota del nome della tua applicazione senza serverlessrepo.** Ad esempio, se il nome dell'applicazione è **serverlessrepo** -, il nome dell'applicazione è. DynamoDbTestApp **DynamoDbTestApp**
1. Resta sulla pagina della console Lambda dell'applicazione, quindi continua con i passaggi descritti in **Individuazione della versione del connettore in uso**.
## Trovare la versione del connettore in uso
Segui questi passaggi per trovare la versione del connettore in uso.
**Come trovare la versione del connettore in uso**
1. Nella pagina della console Lambda dell'applicazione Lambda, seleziona la scheda **Implementazioni**.
1. Nella scheda **Distribuzioni** espandi il **modello SAM**.
1. Cercare **CodeUri**.
1. Nel campo **Chiave** sotto **CodeUri**, trova la seguente stringa:
```
applications-connector_name-versions-year.week_of_year.iteration_of_week/hash_number
```
L'esempio seguente mostra una stringa per il CloudWatch connettore:
```
applications-AthenaCloudwatchConnector-versions-2021.42.1/15151159...
```
1. Registra il valore per*year*. *week\$1of\$1year*. *iteration\$1of\$1week*(ad esempio, **2021.42.1**). Questa è la versione del tuo connettore.
## Implementare una nuova versione del connettore
Segui questi passaggi per implementare una nuova versione del connettore.
**Come implementare una nuova versione del connettore**
1. Apri la console Athena all'indirizzo [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Se il pannello di navigazione della console non è visibile, scegli il menu di espansione a sinistra.
![\[Scegli il menu di espansione.\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/nav-pane-expansion.png)
1. Nel pannello di navigazione scegliere **Origini dati e cataloghi**.
1. Nella pagina **Origini dati e cataloghi**, scegliere **Crea origine dati**.
1. Seleziona l'origine dati che intendi aggiornare, quindi seleziona **Avanti**.
1. Nella sezione **Dettagli connessione**, seleziona **Crea funzione Lambda**. Si apre la console Lambda dove potrai implementare l'applicazione aggiornata.
![\[Pagina del connettore nella console. AWS Lambda\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/connectors-updating-3.png)
1. Poiché di fatto non stai creando una nuova origine dati, puoi chiudere la scheda della console Athena.
1. Nella pagina della console Lambda del connettore, esegui le seguenti operazioni:
1. Assicurati di aver rimosso il prefisso **serverlessrepo-** dal nome dell'applicazione, quindi copia il nome dell'applicazione nel campo **Nome applicazione**.
1. Copia il nome della funzione Lambda nel **AthenaCatalogName**campo. Alcuni connettori chiamano questo campo **LambdaFunctionName**.
1. Copia le variabili di ambiente registrate nei campi corrispondenti.
1. Seleziona l'opzione **Sono consapevole che questa app crea ruoli IAM personalizzati e policy delle risorse**, quindi scegli **Implementa**.
1. Per verificare che l'applicazione sia stata aggiornata, seleziona la scheda **Implementazioni**.
La sezione **Cronologia delle implementazioni** mostra che l'aggiornamento è completo.
![\[Aggiornamento del connettore completato.\]](http://docs.aws.amazon.com/it_it/athena/latest/ug/images/connectors-updating-4.png)
1. Per confermare il nuovo numero di versione, puoi espandere il **modello SAM** come prima **CodeUri**, trovare e controllare il numero di versione del connettore nel campo **Chiave**.
Ora puoi usare il connettore aggiornato per creare query federate Athena.