View a markdown version of this page

Permissões para criar e usar uma fonte de dados no Athena - Amazon Athena
Conectores federados do AWS Glue Data Catalog sem permissões do LambdaConectores federados do AWS Glue Data Catalog com permissões do LambdaPermissões dos conectores federados do catálogo de dados do Athena

Permissões para criar e usar uma fonte de dados no Athena

Conectores federados do AWS Glue Data Catalog sem permissões do Lambda

  • Permissões de entidade principal do IAM para invocar a API do Athena para gerenciamento e consulta de conectores

    • Acesso ao Amazon Athena – A política gerenciada AmazonAthenaFullAccess fornece acesso total ao Amazon Athena e acesso limitado às dependências necessárias para permitir a consulta, a gravação de resultados e o gerenciamento de dados. Para obter mais informações, consulte AmazonAthenaFullAccess no Guia de referência de política gerenciada da AWS.

    • Gerenciamento de conexões do AWS Glue – Permissões para criar e gerenciar objetos de conexão do AWS Glue.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetConnection",
                "glue:CreateConnection",
                "glue:DeleteConnection",
                "glue:UpdateConnection"
            ],
            "Resource": "*"
        }
    ]
}
      nota

      O exemplo de política usa "Resource": "*" para simplificar. No caso de ambientes de produção, limite o escopo das permissões a recursos específicos sempre que possível.

    • Acesso à AWS Lake Formation – Permissões para criar um catálogo do AWS Glue e usar um controle de acesso refinado.

      JSON
      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lakeformation:RegisterResource",
        "iam:ListRoles",
        "glue:CreateCatalog",
        "glue:GetCatalogs",
        "glue:GetCatalog"
      ],
      "Resource": "*"
    }
  ]
}

  • Perfil do IAM do Catálogo de dados do Glue

    • Esta seção aborda as permissões necessárias para que o Athena provisione a infraestrutura e consulte sua fonte de dados. O Amazon Athena Federated Query exige que as permissões a seguir no perfil sejam transmitidas para o Perfil do IAM do Catálogo de dados do Glue.

      nota

      Quando você se conecta a uma fonte de dados em uma VPC, o Athena cria uma interface de rede elástica (ENI) em sua conta dentro da VPC especificada. O perfil do IAM requer permissões do EC2 para criar, descrever e excluir essa interface de rede.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:ManagedConnector",
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem"
            ],
            "Resource": "*"
        }
    ]
}
      nota

      O exemplo de política usa "Resource": "*" para simplificar. No caso de ambientes de produção, limite o escopo das permissões a recursos específicos sempre que possível. Por exemplo, defina o escopo das permissões do Secrets Manager para ARNs secretos específicos.

      Explicação de permissões

      Ações permitidas

      Explicação

      Obrigatória

      		 
       "glue:ManagedConnector"

      Permite que o Athena invoque o conector.

      Obrigatório

      		 
      "secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue"

      Permite que os conectores recuperem as credenciais do banco de dados armazenadas no AWS Secrets Manager.

      Opcional

      		 
      "ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface"

      Permite que o Athena configure a rede se a fonte de dados estiver em uma VPC.

      Opcional

      		 
      "dynamodb:DescribeTable",
"dynamodb:ListTables",
"dynamodb:Scan",
"dynamodb:Query",
"dynamodb:GetItem",
"dynamodb:BatchGetItem"

      Permite que o Athena consulte uma fonte de dados do DynamoDB.

      Opcional

Conectores federados do AWS Glue Data Catalog com permissões do Lambda

  • Permissões de entidade principal do IAM para invocar a API do Athena para gerenciamento e consulta de conectores

    • Acesso ao Amazon Athena – A política gerenciada AmazonAthenaFullAccess fornece acesso total ao Amazon Athena e acesso limitado às dependências necessárias para permitir a consulta, a gravação de resultados e o gerenciamento de dados. Para obter mais informações, consulte AmazonAthenaFullAccess no Guia de referência de política gerenciada da AWS.

    • Permissões de gerenciamento de conectores – As permissões a seguir são necessárias para chamar a API DataCatalog do Athena ao usar conectores baseados em Lambda. Consulte Permissões necessárias para criar o conector e o catálogo do Athena.

    • Acesso à AWS Lake Formation (com o uso do Lake Formation) – Permissões para criar um catálogo do AWS Glue e usar um controle de acesso refinado.

      JSON
      {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lakeformation:RegisterResource",
        "iam:ListRoles",
        "glue:CreateCatalog",
        "glue:GetCatalogs",
        "glue:GetCatalog"
      ],
      "Resource": "*"
    }
  ]
}

Permissões dos conectores federados do catálogo de dados do Athena

  • Permissões de entidade principal do IAM para invocar a API do Athena para gerenciamento e consulta de conectores

    • Acesso ao Amazon Athena – A política gerenciada AmazonAthenaFullAccess fornece acesso total ao Amazon Athena e acesso limitado às dependências necessárias para permitir a consulta, a gravação de resultados e o gerenciamento de dados. Para obter mais informações, consulte AmazonAthenaFullAccess no Guia de referência de política gerenciada da AWS.

    • Permissões de gerenciamento de conectores – As permissões a seguir são necessárias para chamar a API DataCatalog do Athena ao usar conectores baseados em Lambda. Consulte Permissões necessárias para criar o conector e o catálogo do Athena.