AWS Glue Data Catalog 沒有 Lambda 許可的聯合連接器 AWS Glue Data Catalog 具有 Lambda 許可的聯合連接器 Athena 資料目錄聯合連接器許可

在 Athena 中建立和使用資料來源的許可

AWS Glue Data Catalog 沒有 Lambda 許可的聯合連接器

叫用 Athena API 以進行連接器管理和查詢的 IAM 主體許可

Amazon Athena 存取 – AmazonAthenaFullAccess 受管政策提供對 Amazon Athena 的完整存取，以及對啟用查詢、寫入結果和資料管理所需的相依性的範圍存取。如需詳細資訊，請參閱《 AWS 受管政策參考指南》中的 AmazonAthenaFullAccess。

AWS Glue 連線管理 – 建立和管理 AWS Glue 連線物件的許可。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetConnection",
                "glue:CreateConnection",
                "glue:DeleteConnection",
                "glue:UpdateConnection"
            ],
            "Resource": "*"
        }
    ]
}

注意

為簡化"Resource": "*"起見，範例政策使用。對於生產環境，盡可能將許可範圍限定為特定資源。

AWS Lake Formation access – 建立 AWS Glue 目錄並使用精細存取控制的許可。

Glue Data Catalog IAM 角色

本節涵蓋 Athena 佈建基礎設施和查詢資料來源所需的許可。Amazon Athena 聯合查詢在傳遞給 Glue Data Catalog IAM 角色的角色中需要下列許可。

注意

當您連線到 VPC 中的資料來源時，Athena 會在指定 VPC 內的帳戶中建立彈性網路界面 (ENI)。IAM 角色需要 EC2 許可才能建立、描述和刪除此網路界面。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:ManagedConnector",
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "dynamodb:DescribeTable",
                "dynamodb:ListTables",
                "dynamodb:Scan",
                "dynamodb:Query",
                "dynamodb:GetItem",
                "dynamodb:BatchGetItem"
            ],
            "Resource": "*"
        }
    ]
}

注意

為簡化"Resource": "*"起見，範例政策使用。對於生產環境，盡可能將許可範圍限定為特定資源。例如，將 Secrets Manager 許可範圍限定為特定秘密 ARNs。

許可說明
允許的動作	說明	必要
`"glue:ManagedConnector"`	允許 Athena 叫用連接器。	必要
`"secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue"`	允許連接器擷取存放於的資料庫登入資料 AWS Secrets Manager。	選用
`"ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface"`	如果資料來源位於 VPC 內，允許 Athena 設定聯網。	選用
`"dynamodb:DescribeTable", "dynamodb:ListTables", "dynamodb:Scan", "dynamodb:Query", "dynamodb:GetItem", "dynamodb:BatchGetItem"`	允許 Athena 查詢 DynamoDB 資料來源。	選用

AWS Glue Data Catalog 具有 Lambda 許可的聯合連接器

叫用 Athena API 以進行連接器管理和查詢的 IAM 主體許可
- Amazon Athena 存取 – AmazonAthenaFullAccess 受管政策提供 Amazon Athena 的完整存取權，以及啟用查詢、寫入結果和資料管理所需的相依性範圍存取。如需詳細資訊，請參閱《 AWS 受管政策參考指南》中的 AmazonAthenaFullAccess。
- 連接器管理許可 – 使用 Lambda 型連接器時，需要下列許可才能呼叫 Athena DataCatalog API。請參閱建立連接器和 Athena 目錄所需的許可。
- AWS Lake Formation access （如果使用 Lake Formation) – 建立 AWS Glue 目錄並使用精細存取控制的許可。
  JSON
  
  { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:RegisterResource", "iam:ListRoles", "glue:CreateCatalog", "glue:GetCatalogs", "glue:GetCatalog" ], "Resource": "*" } ] }

Athena 資料目錄聯合連接器許可

叫用 Athena API 以進行連接器管理和查詢的 IAM 主體許可
- Amazon Athena 存取 – AmazonAthenaFullAccess 受管政策提供對 Amazon Athena 的完整存取，以及對啟用查詢、寫入結果和資料管理所需的相依性的範圍存取。如需詳細資訊，請參閱《 AWS 受管政策參考指南》中的 AmazonAthenaFullAccess。
- 連接器管理許可 – 使用 Lambda 型連接器時，需要下列許可才能呼叫 Athena DataCatalog API。請參閱建立連接器和 Athena 目錄所需的許可。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

建立資料來源連線

使用 Athena 主控台