本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Athena 入門
若要將 HealthLake 與 Amazon Athena 整合,您必須設定許可。若要這樣做,您將建立 Athena 使用者、群組或角色,並授予他們 HealthLake 資料存放區中 FHIR 資源的存取權。
+ [授予使用者、群組或角色對 HealthLake 資料存放區的存取權 (AWS Lake Formation 主控台)](#getting-started-athena-admin)
+ [設定 Athena 帳戶](#getting-started-athena-user)
## 授予使用者、群組或角色對 HealthLake 資料存放區的存取權 (AWS Lake Formation 主控台)
**角色:HealthLake 管理員**
HealthLake 管理員角色是 AWS Lake Formation 中的資料湖管理員。他們授予 Lake Formation 中 HealthLake 資料存放區的存取權。
對於每個建立的資料存放區, AWS Lake Formation 主控台中會顯示兩個項目。一個項目是*資源連結*。資源連結名稱一律以*斜體*顯示。每個資源連結都會顯示其連結共用資源的名稱和擁有者。對於所有 HealthLake 資料存放區,共用資源擁有者是 HealthLake 服務帳戶。另一個項目是 HealthLake 服務帳戶中的 HealthLake 資料存放區。此程序中的步驟會使用資源連結的資料存放區。
若要進一步了解資源連結,請參閱 [Lake Formation 開發人員指南中的資源連結如何在 Lake Formation 中運作](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html)。 *AWS *
若要讓使用者、群組或角色能夠查詢 Athena 中的資料,您必須授予資源資料庫的**描述**許可。然後,您必須在資料表上授予**選取**和**描述**。
**步驟 1:授予 HealthLake 資料存放區資源連結資料庫的 **DESCRIBE** 許可**
1. 開啟 AWS Lake Formation 主控台:https://[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com//lakeformation)
1. 在主要導覽列中,選擇**資料庫**。
1. 在**資料庫**頁面上,選擇斜體資料存放區名稱旁的選項按鈕。
1. 選擇**動作 (▼)**。
1. 選擇 **Grant** (授予)。
1. 在**授予資料許可**頁面**的委託**人下,選擇 **IAM 使用者或角色**。
1. 在 **IAM 使用者或角色**下,使用**向下箭頭 (▼)**,或搜尋您想要在 Athena 中查詢的 IAM 使用者、角色或群組。
1. 在 **LF 標籤或目錄資源**卡下,選擇**具名資料目錄資源**選項。
1. 在**資料庫**下,使用**向下箭頭 (▼)** 選擇您要共用存取權的 HealthLake 資料存放區資料庫。
1. 在**資源連結許可**卡片的資源**連結許可**下,選擇**描述**。
當授予成功時,**授予許可成功**橫幅隨即出現。若要檢視您剛授予的許可,請選擇**資料湖許可**。在資料表中尋找使用者、群組和角色。在**許可**欄下,您會看到**描述**清單。
現在,您必須使用**目標上的授予**來授予資料庫中所有資料表的**選取**和**描述**。
**步驟 2:授予 HealthLake 資料存放區資源連結中所有資料表的存取權**
1. 開啟 AWS Lake Formation 主控台:https://[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com//lakeformation)
1. 在主要導覽列中,選擇**資料庫**。
1. 在**資料庫**頁面上,選擇斜體資料存放區名稱旁的選項按鈕。
1. 選擇**動作 (▼)**。
1. 選擇**對目標授予**。
1. 在**授予資料許可**頁面**的委託**人下,選擇 **IAM 使用者或角色**。
1. 在 **IAM 使用者或角色**下,使用**向下箭頭 (▼)** 或搜尋您想要在 Athena 中查詢的 IAM 使用者、群組或角色。
1. 在 **LF 標籤或目錄資源**卡片下,選擇**具名資料目錄資源**選項。
1. 在**資料庫**下,使用**向下箭頭 (▼)** 選擇您要授予存取權的 HealthLake 資料存放區資料庫。
1. 在**資料表**下,選擇**所有資料表**以與 HealthLake 使用者共用所有資料表。
1. 在**資料表許可**卡的**資料表許可**下,選擇**描述**和**選取**。
1. 選擇 **Grant** (授予)。
選擇授予後,會出現**授予許可成功**橫幅。指定的使用者現在可以在 Athena 中的 HealthLake 資料存放區上進行查詢。
## Athena 入門
**HealthLake 使用者**
HealthLake 使用者將使用 Athena 主控台 AWS CLI,或 AWS SDKs來查詢 HealthLake 管理員與其共用的 HealthLake 資料存放區。
若要使用 Athena 查詢資料存放區,您必須執行下列三件事。
+ 透過 Lake Formation 授予 IAM 使用者或角色對 HealthLake 資料存放區的存取權。如需詳細資訊,請參閱 [授予使用者、群組或角色對 HealthLake 資料存放區的存取權 (AWS Lake Formation 主控台)](#getting-started-athena-admin)。
+ 為您的 HealthLake 資料存放區建立工作群組。
+ 指定 Amazon S3 儲存貯體來存放查詢結果。
若要開始使用 Athena,請將 **AmazonAthenaFullAccess** 和 **AmazonS3FullAccess** AWS 受管政策新增至您的使用者、群組或角色。使用 AWS 受管政策是開始使用新服務的好方法。請記住,AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。設定 IAM 政策的許可時,請僅授予執行任務所需的許可。若要進一步了解 IAM 並套用最低權限,請參閱《*IAM 使用者指南*》中的[套用最低權限許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
**重要**
若要查詢 Athena 中的 HealthLake 資料存放區,您必須使用 **Athena 引擎第 3 版**。
工作群組是 資源,因此您可以使用 IAM 型政策來控制對特定工作群組的存取。若要進一步了解,請參閱《*Athena 使用者指南*》中的[使用工作群組來控制查詢存取和成本](https://docs.aws.amazon.com/athena/latest/ug/manage-queries-control-costs-with-workgroups.html)。
若要進一步了解設定工作群組,請參閱《*Athena 使用者指南*[https://docs.aws.amazon.com/athena/latest/ug/workgroups-procedure.html](https://docs.aws.amazon.com/athena/latest/ug/workgroups-procedure.html)》中的 。
**注意**
Amazon S3 儲存貯體所在的區域,且 Athena 主控台必須相符。
您必須指定 Amazon S3 中的查詢結果儲存貯體位置,然後才能執行查詢,否則您必須使用已指定儲存貯體,且其組態可覆寫用戶端設定的工作群組。每個執行的查詢都會自動儲存輸出檔案。
如需在 Athena 主控台中指定查詢結果位置的詳細資訊,請參閱《*Amazon Athena * [使用者指南》中的使用 Athena 主控台指定查詢結果位置](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location-console)。
若要查看如何在 Athena 中查詢 HealthLake 資料存放區的範例,請參閱 [使用 SQL 查詢 HealthLake 資料](integrating-athena-query-sql.md)。