本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 亚马逊 Athena 入门
要 HealthLake 与 Amazon Athena 集成,您必须设置权限。为此,您需要创建 Athena 用户、群组或角色,并授予他们访问位于数据存储中的 FHIR 资源的权限。 HealthLake
+ [向用户、群组或角色授予对 HealthLake 数据存储的访问权限(AWS Lake Formation 控制台)](#getting-started-athena-admin)
+ [设置 Athena 账号](#getting-started-athena-user)
## 向用户、群组或角色授予对 HealthLake 数据存储的访问权限(AWS Lake Formation 控制台)
**角色: HealthLake 管理员**
HealthLake 管理员角色是 Lake Formation 中的数据 AWS 湖管理员。他们授予对 Lake Formation 中 HealthLake 数据存储的访问权限。
对于创建的每个数据存储,La AWS ke Formation 控制台中都有两个条目可见。一个条目是*资源链接*。资源链接名称始终以*斜*体显示。每个资源链接都显示其链接的共享资源的名称和所有者。对于所有 HealthLake 数据存储,共享资源所有者是 HealthLake 服务帐号。另一个条目是 HealthLake服务帐号中的 HealthLake 数据存储。此过程中的步骤使用作为资源链接的数据存储。
要了解有关资源链接的更多信息,请参阅 Lake For [mation 开发者指南中的资源链接在 Lak AWS e Formation 中的工作](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html)*原理*。
要使用户、群组或角色能够在 Athena 中查询数据,必须**授予**对资源数据库的 “描述” 权限。然后,您必须在表格上授予**选择**和**描述**权限。
****步骤 1:授予对 HealthLake 数据存储资源链接数据库的 DESCRIBE 权限****
1. 打开 AWS Lake Formation 控制台:[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com//lakeformation)
1. 在主导航栏中,选择**数据库**。
1. 在**数据库**页面上,选择斜体数据存储名称旁边的单选按钮。
1. 选择 “**操作” (▼)**。
1. 选择**授权**。
1. 在**授予数据权限**页面的**委托人**下,选择 **IAM 用户或角色**。
1. 在 **IAM 用户或角色**下,使用**向下箭头 (▼)**,或者搜索您希望能够在 Athena 中进行查询的 IAM 用户、角色或群组。
1. 在 **LF-Tags 或目录资源**卡下,选择**命名数据目录资源选项**。
1. 在**数据库**下,使用向**下箭头 (▼)** 选择要共享访问权限 HealthLake 的数据存储数据库。
1. 在**资源链接权限**卡片的**资源链接权限**下,选择**描述**。
成功授予后,将出现 “**授予权限” 成功**横幅。要查看您刚刚授予的权限,请选择**数据湖权限**。在表格中找到用户、组和角色。在 “**权限**” 列下,您将看到列出的 “**描述**”。
现在,您必须使用 **Grant on targ** et **来对数据库中的所有表授予**选择**和描述**权限。
**步骤 2:授予对 HealthLake 数据存储资源链接中所有表的访问权限**
1. 打开 AWS Lake Formation 控制台:[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com//lakeformation)
1. 在主导航栏中,选择**数据库**。
1. 在**数据库**页面上,选择斜体数据存储名称旁边的单选按钮。
1. 选择 “**操作” (▼)**。
1. 选择**向目标授予**。
1. 在**授予数据权限**页面的**委托人**下,选择 **IAM 用户或角色**。
1. 在 **IAM 用户或角色**下,使用**向下箭头 (▼)** 或搜索您希望能够在 Athena 中进行查询的 IAM 用户、群组或角色。
1. 在 **LF-Tags 或目录资源**卡下,选择**命名数据目录资源选项**。
1. 在**数据库**下,使用向**下箭头 (▼)** 选择要授予访问权限 HealthLake 的数据存储数据库。
1. 在 “**表**” 下,选择 “**所有表**” 以与 HealthLake 用户共享所有表。
1. 在 “**表权限”** 卡的 “**表格权限**” 下,选择 “**描述**并**选择”**。
1. 选择**授权**。
选择授予后,将出现 “**授予权限” 成功**横幅。现在,指定的用户可以在 Athena 中的 HealthLake 数据存储上进行查询。
## Athena 入门
**HealthLake 用户**
HealthLake 用户将使用 Athena 控制台 AWS CLI、 AWS SDKs 或来查询 HealthLake管理员与其共享的数据存储。 HealthLake
要使用 Athena 查询数据存储,必须执行以下三项操作。
+ 通过 Lake Formation 向 IAM 用户或角色授予访问 HealthLake 数据存储的权限。要了解更多信息,请参阅[向用户、群组或角色授予对 HealthLake 数据存储的访问权限(AWS Lake Formation 控制台)](#getting-started-athena-admin)。
+ 为您的 HealthLake 数据存储创建一个工作组。
+ 指定一个 Amazon S3 存储桶来存储您的查询结果。
要开始使用 Athena,请将**和** A FullAccess AWS mazonS3 托管策略添加到**AmazonAthenaFullAccess**您的用户、群组或角色中。使用 AWS 托管策略是开始使用新服务的好方法。请记住,AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。在使用 IAM policy 设置权限时,请仅授予执行任务所需的许可。*要了解有关 IAM 和应用最低权限的更多信息,请参阅 IAM 用户指南中的[应用最低权限权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。*
**重要**
要查询 Athena 中的 HealthLake 数据存储,必须使用 **A** thena 引擎版本 3。
工作组是资源,因此您可以使用基于 IAM 的策略来控制对特定工作组的访问权限。要了解更多信息,请参阅《*Athena* 用户指南》中的[使用工作组控制查询访问权限和费用](https://docs.aws.amazon.com/athena/latest/ug/manage-queries-control-costs-with-workgroups.html)。
要了解有关设置工作组的更多信息,请参阅[https://docs.aws.amazon.com/athena/latest/ug/workgroups-procedure.html](https://docs.aws.amazon.com/athena/latest/ug/workgroups-procedure.html)《*Athena 用户指南*》。
**注意**
您的 Amazon S3 存储桶所在的区域和 Athena 控制台必须匹配。
在运行查询之前,必须指定 Amazon S3 中的查询结果存储桶位置,或者您必须使用已指定存储桶且其配置覆盖客户端设置的工作组。对于运行的每个查询,将自动保存输出文件。
*有关在 Athena 控制台中指定查询结果位置的更多详情,[请参阅 Amazon Athena 用户指南中的使用 Athena 控制台指定查询结果](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location-console)位置。*
要查看如何在 Athena 中查询 HealthLake 数据存储的示例,请参阅。[使用 SQL 查询 HealthLake 数据](integrating-athena-query-sql.md)