AWSPoliticy gestite da per Amazon Athena
Una policy gestita da AWS è una policy autonoma creata e amministrata da AWS. Le policy gestite da AWS sono progettate per fornire autorizzazioni per molti casi d'uso comuni in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tenere presente che le policy gestite da AWS potrebbero non concedere autorizzazioni con privilegi minimi per i casi d'uso specifici perché possono essere utilizzate da tutti i clienti AWS. Consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle policy gestite da AWS. Se AWS aggiorna le autorizzazioni definite in una policy gestita da AWS, l'aggiornamento riguarda tutte le identità principali (utenti, gruppi e ruoli) a cui è collegata la policy. È molto probabile che AWS aggiorni una policy gestita da AWS quando viene lanciato un nuovo Servizio AWS o nuove operazioni API diventano disponibili per i servizi esistenti.
Per ulteriori informazioni, consultare Policy gestite da AWS nella Guida per l'utente di IAM.
Considerazioni sull'utilizzo di policy gestite con Athena
Le policy gestite sono facili da utilizzare e vengono aggiornate automaticamente con le operazioni richieste con l'evolvere del servizio. Quando utilizzi le policy gestite con Athena, tieni presente quanto segue:
-
Per consentire o negare operazioni di servizio Amazon Athena per te stesso o altri utenti che utilizzano AWS Identity and Access Management (IAM), devi allegare le policy basate su identità ai principali come utenti o gruppi.
-
Ogni policy basata su identità è formata da istruzioni che definiscono le operazioni consentite o negate. Per ulteriori informazioni e per le istruzioni dettagliate sul collegamento di una policy a un utente, consulta Collegamento di policy gestite nella Guida per l'utente di IAM. Per un elenco delle operazioni, consulta la documentazione di riferimento dell'API di Amazon Athena.
-
Le policy basate sulle identità gestite dal cliente e inline permettono di specificare operazioni Athena più dettagliate all'interno di una policy per ottimizzare l'accesso. Consigliamo di utilizzare la policy
AmazonAthenaFullAccesscome punto di partenza e successivamente concedere o negare operazioni specifiche elencate nella documentazione di riferimento dell'API di Amazon Athena. Per ulteriori informazioni sulle policy inline, consulta Policy gestite e policy inline nella Guida per l'utente di IAM. -
Se disponi anche di principali che si collegano utilizzando JDBC, devi fornire le credenziali del driver JDBC all'applicazione. Per ulteriori informazioni, consulta Accesso tramite connessioni JDBC e ODBC.
-
Se hai crittografato il Catalogo dati AWS Glue, devi specificare ulteriori operazioni nelle policy IAM basate su identità per Athena. Per ulteriori informazioni, consulta Accesso di Athena ai metadati crittografati nel AWS Glue Data Catalog.
-
Se crei e usi i gruppi di lavoro, verifica che le tue policy includano l'accesso rilevante alle operazioni dei gruppi di lavoro. Per informazioni dettagliate, consulta Utilizzare policy IAM per controllare l'accesso. e Esempi di policy per i gruppi di lavoro.
AWSPolicy gestita da : AmazonAthenaFullAccess
La policy gestita AmazonAthenaFullAccess concede accesso completo ad Athena.
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center.
-
Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.
-
Utenti IAM:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella pagina Create a role for an IAM user della Guida per l'utente IAM.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.
-
Raggruppamenti di autorizzazioni
La policy AmazonAthenaFullAccess è raggruppata nei seguenti set di autorizzazioni.
-
athena– consente ai principali di accedere alle risorse Athena. -
glue: consente ai principali di accedere a database, tabelle e partizioni AWS Glue. Questo passaggio è necessario affinché il principale possa utilizzare AWS Glue Data Catalog con Athena. -
s3– consente al principale di scrivere e leggere i risultati delle query da Amazon S3, di leggere esempi di dati Athena disponibili pubblicamente che risiedono in Amazon S3 e di elencare i bucket. Questo è necessario in modo che il principale possa utilizzare Athena per lavorare con Amazon S3. -
sns– consente ai principali di elencare gli argomenti di Amazon SNS e ottenere gli attributi degli argomenti. Ciò consente ai responsabili di utilizzare gli argomenti Amazon SNS con Athena a scopo di monitoraggio e avviso. -
cloudwatch– consente ai principali di creare, leggere ed eliminare gli allarmi CloudWatch. Per ulteriori informazioni, consulta Utilizzare CloudWatch ed EventBridge è per il monitoraggio delle query e il controllo dei costi. -
lakeformation– consente ai principali di richiedere credenziali temporanee per accedere ai dati in una posizione data lake registrata con Lake Formation. Per ulteriori informazioni, consulta Controlli dell'accesso ai dati sottostantinella Guida per sviluppatori AWS di Lake Formation. -
datazone– Consente ai principali di elencare progetti, domini e ambienti Amazon DataZone. Per ulteriori informazioni sull'utilizzo di DataZone in Athena, consulta la pagina Utilizzare Amazon DataZone in Athena. -
pricing– fornisce accesso completo a Gestione dei costi e fatturazione AWS. Per ulteriori informazioni, consulta GetProducts nella documentazione di riferimento delle API di Gestione dei costi e fatturazione AWS.
Per vedere le autorizzazioni per questa policy, consulta AmazonSQSReadOnlyAccess nella Guida di riferimento sulle policy gestite da .
Nota
È necessario consentire esplicitamente l'accesso ai bucket Amazon S3 di proprietà del servizio per archiviare query di esempio e set di dati di esempio. Per ulteriori informazioni, consulta Perimetri dei dati.
AWSPolicy gestita da : AWSQuicksightAthenaAccess
AWSQuicksightAthenaAccess garantisce l'accesso alle operazioni richieste da Amazon QuickSight per l'integrazione con Athena. È possibile allegare la policy AWSQuicksightAthenaAccess alle identità IAM. Allega questa policy solo ai principali che utilizzano Amazon QuickSight con Athena. Questa policy include alcune operazioni per Athena che sono obsolete e non incluse nell'API pubblica corrente oppure che vengono utilizzate solo con i driver JDBC e ODBC.
Raggruppamenti di autorizzazioni
La policy AWSQuicksightAthenaAccess è raggruppata nei seguenti set di autorizzazioni.
-
athena– consente al principale di eseguire query sulle risorse Athena. -
glue: consente ai principali di accedere a database, tabelle e partizioni AWS Glue. Questo passaggio è necessario affinché il principale possa utilizzare AWS Glue Data Catalog con Athena. -
s3– consente al principale di scrivere e leggere i risultati delle query da Amazon S3. -
lakeformation– consente ai principali di richiedere credenziali temporanee per accedere ai dati in una posizione data lake registrata con Lake Formation. Per ulteriori informazioni, consulta Controlli dell'accesso ai dati sottostantinella Guida per sviluppatori AWS di Lake Formation.
Per visualizzare le autorizzazioni per questa policy, consultare AWSVPCTransitGatewayServiceRolePolicy nella Guida di riferimento della policy gestita .
Aggiornamenti di Athena alle policy gestite da AWS
Visualizza i dettagli sugli aggiornamenti alle policy gestite AWS per Athena da quando questo servizio ha iniziato a tenere traccia delle modifiche.
| Modifica | Descrizione | Data |
|---|---|---|
| AmazonAthenaFullAccess e AWSQuicksightAthenaAccess — Aggiornamenti alle policy esistenti | Sono state aggiunte le autorizzazioni glue:GetCatalog e glue:GetCatalogs per consentire agli utenti Athena di accedere ai cataloghi SageMaker AI Lakehouse. |
02 gennaio 2025 |
| AmazonAthenaFullAccess: aggiornamento della policy esistente | Sono state aggiunte le autorizzazioni glue:GetCatalog e glue:GetCatalogs per consentire agli utenti Athena di accedere ai cataloghi SageMaker AI Lakehouse. |
02 gennaio 2025 |
| AmazonAthenaFullAccess: aggiornamento della policy esistente |
Consente ad Athena di utilizzare l'API AWS Glue |
18 giugno 2024 |
|
AmazonAthenaFullAccess: aggiornamento della policy esistente |
Sono state aggiunte le autorizzazioni |
3 gennaio 2024 |
|
AmazonAthenaFullAccess: aggiornamento della policy esistente |
Le autorizzazioni |
3 gennaio 2024 |
|
AmazonAthenaFullAccess: aggiornamento della policy esistente |
Athena ha aggiunto |
25 gennaio 2023 |
|
AmazonAthenaFullAccess: aggiornamento della policy esistente |
Athena ha aggiunto |
14 novembre 2022 |
|
AmazonAthenaFullAccess e AWSQuicksightAthenaAccess — Aggiornamenti alle policy esistenti |
Athena ha aggiunto |
7 luglio 2021 |
|
Athena ha iniziato a monitorare le modifiche |
Athena ha iniziato a monitorare le modifiche per le sue policy gestite da AWS. |
7 luglio 2021 |
