AWSAmazon Athena 的 受管政策
AWS 受管政策是由 AWS 建立和管理的獨立政策。AWS 受管政策的設計在於為許多常見使用案例提供許可,如此您就可以開始將許可指派給使用者、群組和角色。
請謹記,AWS 受管政策可能不會授予您特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的客戶管理政策,以便進一步減少許可。
您無法更改 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,更新會影響政策連接的所有主體身分 (使用者、群組和角色)。在推出新的 AWS 服務 或有新的 API 操作可供現有服務使用時,AWS 很可能會更新 AWS 受管政策。
如需詳細資訊,請參閱 IAM 使用者指南中的 AWS 受管政策。
在搭配 Athena 使用受管政策時的考量事項
受管政策不但易於使用,且會隨著服務的演進,自動更新以具有所需動作。在搭配 Athena 使用受管政策時,請記得以下幾點:
-
若要使用 AWS Identity and Access Management (IAM),為您自己或其他使用者允許或拒絕 Amazon Athena 服務動作,請將身分型政策連接到委託人,例如使用者或群組。
-
每個身分型政策由陳述式組成,這些陳述式定義了允許或拒絕的動作。如需有關將政策連接到使用者的詳細資訊和逐步說明,請參閱《IAM 使用者指南》中的連接受管政策。如需動作的清單,請參閱《Amazon Athena API 參考》。
-
客戶受管和內嵌的身分型政策,可讓您在政策中指定更詳細的 Athena 動作來微調存取。我們建議您以
AmazonAthenaFullAccess政策做為起點,然後允許或拒絕 Amazon Athena API 參考中列出的特定動作。如需內嵌政策的詳細資訊,請參閱《IAM 使用者指南》中的受管政策和內嵌政策。 -
如果您也有使用 JDBC 連接的委託人,您必須向您的應用程式提供 JDBC 驅動程式登入資料。如需更多詳細資訊,請參閱 透過 JDBC 和 ODBC 連接控制存取。
-
如果您已加密 AWS Glue 資料目錄,則必須在 Athena 的身分型 IAM 政策中指定其他動作。如需更多詳細資訊,請參閱 設定從 Athena 存取 AWS Glue Data Catalog 中的加密中繼資料。
-
如果您建立和使用工作群組,請確保您的政策包含對群組動作的相關存取。如需詳細資訊,請參閱使用 IAM 政策來控制工作群組存取和工作群組政策範例。
AWS 受管政策:AmazonAthenaFullAccess
AmazonAthenaFullAccess 受管政策會授予 Athena 的完整存取權。
若要提供存取權,請新增許可到您的使用者、群組或角色:
-
AWS IAM Identity Center 中的使用者和群組:
建立權限合集。請按照《AWS IAM Identity Center 使用者指南》中的建立權限合集說明進行操作。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《IAM 使用者指南》的為第三方身分提供者 (聯合) 建立角色中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請按照《IAM 使用者指南》的為 IAM 使用者建立角色中的指示。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《IAM 使用者指南》的新增許可到使用者 (主控台)中的指示。
-
許可群組
AmazonAthenaFullAccess 政策會分組為以下許可集。
-
athena– 允許委託人存取 Athena 資源。 -
glue– 允許主體存取 AWS Glue 目錄、資料庫、資料表和分割區。主體需要此許可才能搭配 AWS Glue Data Catalog 使用 Athena。 -
s3– 允許委託人寫入和讀取來自 Simple Storage Service (Amazon S3) 的查詢結果,讀取位於 Simple Storage Service (Amazon S3) 中的公開可用 Athena 資料範例,並列出儲存貯體。委託人需要此許可才能使用 Athena 以與 Simple Storage Service (Amazon S3) 搭配運作。 -
sns– 允許委託人列出 Amazon SNS 主題並取得主題屬性。這可讓委託人將 Amazon SNS 主題搭配 Athena 使用,以用於監控和提醒用途。 -
cloudwatch– 允許委託人建立、讀取和刪除 CloudWatch 警示。如需更多詳細資訊,請參閱 使用 CloudWatch 和 EventBridge 來監控查詢和控制成本。 -
lakeformation– 允許委託人要求臨時憑證,以存取位於向 Lake Formation 註冊的資料湖位置中的資料。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》中的基礎資料存取控制。 -
datazone– 允許主體列出 Amazon DataZone 專案、網域和環境。如需有關在 Athena 中使用 DataZone 的詳細資訊,請參閱 在 Athena 中使用 Amazon DataZone。 -
pricing- 提供對 AWS 帳單與成本管理 的存取。如需詳細資訊,請參閱《AWS 帳單與成本管理 API 參考》中的 GetProducts。
若要檢視此政策的許可,請參閱 AWS 受管政策參考中的 AmazonAthenaFullAccess。
注意
您必須明確允許存取服務擁有的 Amazon S3 儲存貯體,以存放範例查詢和範例資料集。如需更多詳細資訊,請參閱 資料周邊。
AWS 受管政策:AWSQuicksightAthenaAccess
AWSQuicksightAthenaAccess 會授予對 Quick Suite 與 Athena 整合時需執行的動作之存取權。您可將 AWSQuicksightAthenaAccess 政策連接到 IAM 身分。僅將此政策連接至搭配 Athena 使用 Quick Suite 的主體。此政策包含的 Athena 動作,有些已被取代且未包含在目前的公有 API 中,或是僅用於 JDBC 和 ODBC 驅動程式。
許可群組
AWSQuicksightAthenaAccess 政策會分組為以下許可集。
-
athena– 允許委託人在 Athena 資源上執行查詢。 -
glue– 允許主體存取 AWS Glue 目錄、資料庫、資料表和分割區。主體需要此許可才能搭配 AWS Glue Data Catalog 使用 Athena。 -
s3– 允許委託人從 Simple Storage Service (Amazon S3) 寫入和讀取查詢結果。 -
lakeformation– 允許委託人要求臨時憑證,以存取位於向 Lake Formation 註冊的資料湖位置中的資料。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》中的基礎資料存取控制。
若要檢視此政策的許可,請參閱 AWS 受管政策參考中的 AWSQuicksightAthenaAccess。
Athena AWS 受管政策的更新
檢視有關自此服務開始追蹤這些變更以來 Athena AWS 受管政策更新的詳細資訊。
| 變更 | 描述 | 日期 |
|---|---|---|
| AWSQuicksightAthenaAccess – 現有政策的更新 | 新增了 glue:GetCatalog 和 glue:GetCatalogs 許可,讓 Athena 使用者能夠存取 SageMaker AI Lakehouse 目錄。 |
2025 年 1 月 2 日 |
| AmazonAthenaFullAccess – 更新現有政策 | 新增了 glue:GetCatalog 和 glue:GetCatalogs 許可,讓 Athena 使用者能夠存取 SageMaker AI Lakehouse 目錄。 |
2025 年 1 月 2 日 |
| AmazonAthenaFullAccess – 更新現有政策 |
讓 Athena 使用已有公開文件的 AWS Glue |
2024 年 6 月 18 日 |
|
AmazonAthenaFullAccess – 更新現有政策 |
新增 |
2024 年 1 月 3 日 |
|
AmazonAthenaFullAccess – 更新現有政策 |
新增 |
2024 年 1 月 3 日 |
|
AmazonAthenaFullAccess – 更新現有政策 |
Athena 已新增 |
2023 年 1 月 25 日 |
|
AmazonAthenaFullAccess – 更新現有政策 |
Athena 新增了 |
2022 年 11 月 14 日 |
|
AmazonAthenaFullAccess 和 AWSQuicksightAthenaAccess - 現有政策的更新 |
Athena 新增了 |
2021 年 7 月 7 日 |
|
Athena 已開始追蹤變更 |
Athena 已開始追蹤其 AWS 受管政策的變更。 |
2021 年 7 月 7 日 |
