亚马逊 Athena 入门 - AWS HealthLake
授予访问权限Athena 入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 Athena 入门

要 HealthLake 与 Amazon Athena 集成,您必须设置权限。为此,您需要创建 Athena 用户、群组或角色,并授予他们访问位于数据存储中的 FHIR 资源的权限。 HealthLake

向用户、群组或角色授予对 HealthLake 数据存储的访问权限(AWS Lake Formation 控制台)

角色: HealthLake 管理员

HealthLake 管理员角色是 Lake Formation 中的数据 AWS 湖管理员。他们授予对 Lake Formation 中 HealthLake 数据存储的访问权限。

对于创建的每个数据存储,La AWS ke Formation 控制台中都有两个条目可见。一个条目是资源链接。资源链接名称始终以体显示。每个资源链接都显示其链接的共享资源的名称和所有者。对于所有 HealthLake 数据存储,共享资源所有者是 HealthLake 服务帐号。另一个条目是 HealthLake服务帐号中的 HealthLake 数据存储。此过程中的步骤使用作为资源链接的数据存储。

要了解有关资源链接的更多信息,请参阅 Lake For mation 开发者指南中的资源链接在 Lak AWS e Formation 中的工作原理

要使用户、群组或角色能够在 Athena 中查询数据,必须授予对资源数据库的 “描述” 权限。然后,您必须在表格上授予选择描述权限。

步骤 1:授予对 HealthLake 数据存储资源链接数据库的 DESCRIBE 权限

  1. 打开 AWS Lake Formation 控制台:https://console.aws.amazon.com/lakeformation/

  2. 在主导航栏中,选择数据库

  3. 数据库页面上,选择斜体数据存储名称旁边的单选按钮。

  4. 选择 “操作” (▼)

  5. 选择授权

  6. 授予数据权限页面的委托人下,选择 IAM 用户或角色

  7. IAM 用户或角色下,使用向下箭头 (▼),或者搜索您希望能够在 Athena 中进行查询的 IAM 用户、角色或群组。

  8. LF-Tags 或目录资源卡下,选择命名数据目录资源选项

  9. 数据库下,使用向下箭头 (▼) 选择要共享访问权限 HealthLake 的数据存储数据库。

  10. 资源链接权限卡片的资源链接权限下,选择描述

成功授予后,将出现 “授予权限” 成功横幅。要查看您刚刚授予的权限,请选择数据湖权限。在表格中找到用户、组和角色。在 “权限” 列下,您将看到列出的 “描述”。

现在,您必须使用 Grant on targ et 来对数据库中的所有表授予选择和描述权限。

步骤 2:授予对 HealthLake 数据存储资源链接中所有表的访问权限

  1. 打开 AWS Lake Formation 控制台:https://console.aws.amazon.com/lakeformation/

  2. 在主导航栏中,选择数据库

  3. 数据库页面上,选择斜体数据存储名称旁边的单选按钮。

  4. 选择 “操作” (▼)

  5. 选择向目标授予

  6. 授予数据权限页面的委托人下,选择 IAM 用户或角色

  7. IAM 用户或角色下,使用向下箭头 (▼) 或搜索您希望能够在 Athena 中进行查询的 IAM 用户、群组或角色。

  8. LF-Tags 或目录资源卡下,选择命名数据目录资源选项

  9. 数据库下,使用向下箭头 (▼) 选择要授予访问权限 HealthLake 的数据存储数据库。

  10. 在 “” 下,选择 “所有表” 以与 HealthLake 用户共享所有表。

  11. 在 “表权限” 卡的 “表格权限” 下,选择 “描述选择”

  12. 选择授权

选择授予后,将出现 “授予权限” 成功横幅。现在,指定的用户可以在 Athena 中的 HealthLake 数据存储上进行查询。

Athena 入门

HealthLake 用户

HealthLake 用户将使用 Athena 控制台 AWS CLI、 AWS SDKs 或来查询 HealthLake管理员与其共享的数据存储。 HealthLake

要使用 Athena 查询数据存储,必须执行以下三项操作。

要开始使用 Athena,请将 A FullAccess AWS mazonS3 托管策略添加到AmazonAthenaFullAccess您的用户、群组或角色中。使用 AWS 托管策略是开始使用新服务的好方法。请记住,AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。在使用 IAM policy 设置权限时,请仅授予执行任务所需的许可。要了解有关 IAM 和应用最低权限的更多信息,请参阅 IAM 用户指南中的应用最低权限权限

重要

要查询 Athena 中的 HealthLake 数据存储,必须使用 A thena 引擎版本 3。

工作组是资源,因此您可以使用基于 IAM 的策略来控制对特定工作组的访问权限。要了解更多信息,请参阅《Athena 用户指南》中的使用工作组控制查询访问权限和费用

要了解有关设置工作组的更多信息,请参阅https://docs.aws.amazon.com/athena/latest/ug/workgroups-procedure.htmlAthena 用户指南》。

注意

您的 Amazon S3 存储桶所在的区域和 Athena 控制台必须匹配。

在运行查询之前,必须指定 Amazon S3 中的查询结果存储桶位置,或者您必须使用已指定存储桶且其配置覆盖客户端设置的工作组。对于运行的每个查询,将自动保存输出文件。

有关在 Athena 控制台中指定查询结果位置的更多详情,请参阅 Amazon Athena 用户指南中的使用 Athena 控制台指定查询结果位置。

要查看如何在 Athena 中查询 HealthLake 数据存储的示例,请参阅。使用 SQL 查询 HealthLake 数据