Amazon Athena 入門 - AWS HealthLake
授與 存取權Athena 入門

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Athena 入門

若要將 HealthLake 與 Amazon Athena 整合,您必須設定許可。若要這樣做,您將建立 Athena 使用者、群組或角色,並授予他們 HealthLake 資料存放區中 FHIR 資源的存取權。

授予使用者、群組或角色對 HealthLake 資料存放區的存取權 (AWS Lake Formation 主控台)

角色:HealthLake 管理員

HealthLake 管理員角色是 AWS Lake Formation 中的資料湖管理員。他們授予 Lake Formation 中 HealthLake 資料存放區的存取權。

對於每個建立的資料存放區, AWS Lake Formation 主控台中會顯示兩個項目。一個項目是資源連結。資源連結名稱一律以斜體顯示。每個資源連結都會顯示其連結共用資源的名稱和擁有者。對於所有 HealthLake 資料存放區,共用資源擁有者是 HealthLake 服務帳戶。另一個項目是 HealthLake 服務帳戶中的 HealthLake 資料存放區。此程序中的步驟會使用資源連結的資料存放區。

若要進一步了解資源連結,請參閱 Lake Formation 開發人員指南中的資源連結如何在 Lake Formation 中運作AWS

若要讓使用者、群組或角色能夠查詢 Athena 中的資料,您必須授予資源資料庫的描述許可。然後,您必須在資料表上授予選取描述

步驟 1:授予 HealthLake 資料存放區資源連結資料庫的 DESCRIBE 許可

  1. 開啟 AWS Lake Formation 主控台:https://https://console.aws.amazon.com/lakeformation/

  2. 在主要導覽列中,選擇資料庫

  3. 資料庫頁面上,選擇斜體資料存放區名稱旁的選項按鈕。

  4. 選擇動作 (▼)

  5. 選擇 Grant (授予)。

  6. 授予資料許可頁面的委託人下,選擇 IAM 使用者或角色

  7. IAM 使用者或角色下,使用向下箭頭 (▼),或搜尋您想要在 Athena 中查詢的 IAM 使用者、角色或群組。

  8. LF 標籤或目錄資源卡下,選擇具名資料目錄資源選項。

  9. 資料庫下,使用向下箭頭 (▼) 選擇您要共用存取權的 HealthLake 資料存放區資料庫。

  10. 資源連結許可卡的資源連結許可下,選擇描述

當授予成功時,授予許可成功橫幅隨即顯示。若要檢視您剛授予的許可,請選擇資料湖許可。在資料表中尋找使用者、群組和角色。在許可欄下,您會看到描述已列出。

現在,您必須使用目標上的授予來授予資料庫中所有資料表的選取描述

步驟 2:授予 HealthLake 資料存放區資源連結中所有資料表的存取權

  1. 開啟 AWS Lake Formation 主控台:https://https://console.aws.amazon.com/lakeformation/

  2. 在主要導覽列中,選擇資料庫

  3. 資料庫頁面上,選擇斜體資料存放區名稱旁的選項按鈕。

  4. 選擇動作 (▼)

  5. 選擇對目標授予

  6. 授予資料許可頁面的委託人下,選擇 IAM 使用者或角色

  7. IAM 使用者或角色下,使用向下箭頭 (▼) 或搜尋您想要在 Athena 中查詢的 IAM 使用者、群組或角色。

  8. LF 標籤或目錄資源卡下,選擇具名資料目錄資源選項。

  9. 資料庫下,使用向下箭頭 (▼) 選擇您要授予存取權的 HealthLake 資料存放區資料庫。

  10. 資料表下,選擇所有資料表以與 HealthLake 使用者共用所有資料表。

  11. 資料表許可卡的資料表許可下,選擇描述選取

  12. 選擇 Grant (授予)。

選擇授予後,會出現授予許可成功橫幅。指定的使用者現在可以在 Athena 中的 HealthLake 資料存放區上進行查詢。

Athena 入門

HealthLake 使用者

HealthLake 使用者將使用 Athena 主控台 AWS CLI,或 AWS SDKs來查詢 HealthLake 管理員與其共用的 HealthLake 資料存放區。

若要使用 Athena 查詢資料存放區,您必須執行下列三項作業。

若要開始使用 Athena,請將 AmazonAthenaFullAccessAmazonS3FullAccess AWS 受管政策新增至您的使用者、群組或角色。使用 AWS 受管政策是開始使用新服務的好方法。請記住,AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。設定 IAM 政策的許可時,請僅授予執行任務所需的許可。若要進一步了解 IAM 並套用最低權限,請參閱《IAM 使用者指南》中的套用最低權限許可

重要

若要查詢 Athena 中的 HealthLake 資料存放區,您必須使用 Athena 引擎第 3 版

工作群組是 資源,因此您可以使用 IAM 型政策來控制對特定工作群組的存取。若要進一步了解,請參閱《Athena 使用者指南》中的使用工作群組來控制查詢存取和成本

若要進一步了解設定工作群組,請參閱《Athena 使用者指南https://docs.aws.amazon.com/athena/latest/ug/workgroups-procedure.html》中的 。

注意

Amazon S3 儲存貯體所在的區域,且 Athena 主控台必須相符。

您必須指定 Amazon S3 中的查詢結果儲存貯體位置,然後才能執行查詢,否則您必須使用已指定儲存貯體,且其組態可覆寫用戶端設定的工作群組。每個執行的查詢都會自動儲存輸出檔案。

如需在 Athena 主控台中指定查詢結果位置的詳細資訊,請參閱《Amazon Athena 使用者指南》中的使用 Athena 主控台指定查詢結果位置

若要查看如何在 Athena 中查詢 HealthLake 資料存放區的範例,請參閱 使用 SQL 查詢 HealthLake 資料