AWS verwaltete Richtlinien für Amazon Athena - Amazon Athena
Überlegungen bei der Verwendung verwalteter Richtlinien mit AthenaAmazonAthenaFullAccessAWSQuicksightAthenaAccessRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für Amazon Athena

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

Überlegungen bei der Verwendung verwalteter Richtlinien mit Athena

Verwaltete Richtlinien sind einfach zu nutzen und werden automatisch mit den erforderlichen Aktionen aktualisiert, wenn sich der Service weiterentwickelt. Beachten Sie bei der Verwendung von verwalteten Richtlinien mit Athena die folgenden Punkte:

  • Um Amazon Athena Athena-Serviceaktionen für Sie oder andere Benutzer, die AWS Identity and Access Management (IAM) verwenden, zuzulassen oder zu verweigern, fügen Sie prinzipalen Benutzern, wie Benutzern oder Gruppen, identitätsbasierte Richtlinien zu.

  • Jede identitätsbasierte Richtlinie besteht aus Anweisungen, die die zugelassenen oder nicht zugelassenen Aktionen definieren. Weitere Informationen und step-by-step Anweisungen zum Anhängen einer Richtlinie an einen Benutzer finden Sie unter Anhängen verwalteter Richtlinien im Benutzerhandbuch. IAM Eine Liste der Aktionen finden Sie in der Amazon Athena API Athena-Referenz.

  • Vom Kunden verwaltete und eingebundene identitätsbasierte Richtlinien ermöglichen Ihnen, detailliertere Athena-Aktionen innerhalb einer Richtlinie zur Optimierung der Zugriffsregelung anzugeben. Wir empfehlen Ihnen, die AmazonAthenaFullAccess Richtlinie als Ausgangspunkt zu verwenden und dann bestimmte Aktionen zuzulassen oder abzulehnen, die in der Amazon Athena API Athena-Referenz aufgeführt sind. Weitere Informationen zu Inline-Richtlinien finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im IAMBenutzerhandbuch.

  • Wenn Sie auch über Principals verfügen, die eine Verbindung herstellenJDBC, müssen Sie die JDBC Treiberanmeldedaten für Ihre Anwendung angeben. Weitere Informationen finden Sie unter Steuern Sie den Zugriff über JDBC und Verbindungen ODBC.

  • Wenn Sie den AWS Glue Datenkatalog verschlüsselt haben, müssen Sie zusätzliche Aktionen in den identitätsbasierten IAM Richtlinien für Athena angeben. Weitere Informationen finden Sie unter Konfigurieren Sie den Zugriff von Athena auf verschlüsselte Metadaten in AWS Glue Data Catalog.

  • Wenn Sie Arbeitsgruppen erstellen und verwenden, müssen Sie sicherstellen, dass Ihre Richtlinien einen entsprechenden Zugriff auf Arbeitsgruppenaktionen enthalten. Detaillierte Informationen hierzu finden Sie unter Verwenden Sie IAM Richtlinien, um den Zugriff auf Arbeitsgruppen zu kontrollieren und Beispiel für Arbeitsgruppenrichtlinien.

AWS verwaltete Richtlinie: AmazonAthenaFullAccess

Die verwaltete Richtlinie AmazonAthenaFullAccess gewährt vollständigen Zugriff auf Athena.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Berechtigungsgruppierungen

Die AmazonAthenaFullAccess-Richtlinie wird in die folgenden Gruppen von Berechtigungen gruppiert.

  • athena – Ermöglicht Prinzipalen Zugriff auf Athena-Ressourcen.

  • glue— Ermöglicht Prinzipalen den Zugriff auf AWS Glue Datenbanken, Tabellen und Partitionen. Dies ist erforderlich, damit der Principal das AWS Glue Data Catalog mit Athena verwenden kann.

  • s3 – Ermöglicht dem Prinzipal, Abfrageergebnisse aus Amazon S3 zu schreiben und zu lesen, öffentlich verfügbare Athena Datenbeispiele zu lesen, die sich in Amazon S3 befinden und Buckets aufzulisten. Dies ist erforderlich, damit der Prinzipal Athena verwenden kann, um mit Amazon S3 zu arbeiten.

  • sns— Ermöglicht Principals, SNS Amazon-Themen aufzulisten und Themenattribute abzurufen. Auf diese Weise können Principals SNS Amazon-Themen mit Athena für Überwachungs- und Warnzwecke verwenden.

  • cloudwatch— Ermöglicht es den Hauptbenutzern, Alarme zu erstellen, zu lesen und zu löschen. CloudWatch Weitere Informationen finden Sie unter Verwenden Sie CloudWatch und EventBridge , um Abfragen zu überwachen und die Kosten zu kontrollieren.

  • lakeformation – Ermöglicht es Prinzipalen, temporäre Anmeldeinformationen für den Zugriff auf Daten an einem Data-Lake-Standort anzufordern, der bei Lake Formation registriert ist. Weitere Informationen finden Sie unter Zugriffskontrolle im Benutzerhandbuch von AWS Lake Formation.

  • datazone— Ermöglicht Prinzipalen, DataZone Amazon-Projekte, -Domains und -Umgebungen aufzulisten. Hinweise zur Verwendung DataZone in Athena finden Sie unterVerwenden Sie Amazon DataZone in Athena.

  • pricing— Ermöglicht den Zugriff auf. AWS Billing and Cost Management Weitere Informationen finden Sie GetProductsin der AWS Billing and Cost Management APIReferenz.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BaseAthenaPermissions",
            "Effect": "Allow",
            "Action": [
                "athena:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition",
                "glue:StartColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRun",
                "glue:GetColumnStatisticsTaskRuns",
                "glue:GetCatalogImportStatus"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseQueryResultsPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Sid": "BaseAthenaExamplesPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::athena-examples*"
            ]
        },
        {
            "Sid": "BaseS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseSNSPermissions",
            "Effect": "Allow",
            "Action": [
                "sns:ListTopics",
                "sns:GetTopicAttributes"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseCloudWatchPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:GetMetricData"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseLakeFormationPermissions",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BaseDataZonePermissions",
            "Effect": "Allow",
            "Action": [
                "datazone:ListDomains",
                "datazone:ListProjects",
                "datazone:ListAccountEnvironments"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "BasePricingPermissions",
            "Effect": "Allow",
            "Action": [
                "pricing:GetProducts"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS verwaltete Richtlinie: AWSQuicksightAthenaAccess

AWSQuicksightAthenaAccessgewährt Zugriff auf Aktionen, die Amazon für die Integration mit Athena QuickSight benötigt. Sie können die AWSQuicksightAthenaAccess Richtlinie an Ihre IAM Identitäten anhängen. Hängen Sie diese Richtlinie nur an Principals an, die Amazon QuickSight mit Athena verwenden. Diese Richtlinie umfasst einige Aktionen für Athena, die entweder veraltet sind und nicht in der aktuellen Öffentlichkeit API enthalten sind oder die nur mit den JDBC Treibern und verwendet werden. ODBC

Berechtigungsgruppierungen

Die AWSQuicksightAthenaAccess-Richtlinie wird in die folgenden Gruppen von Berechtigungen gruppiert.

  • athena – Ermöglicht dem Prinzipal, Abfragen auf Athena-Ressourcen auszuführen.

  • glue— Ermöglicht Prinzipalen den Zugriff auf AWS Glue Datenbanken, Tabellen und Partitionen. Dies ist erforderlich, damit der Principal das AWS Glue Data Catalog mit Athena verwenden kann.

  • s3 – Erlaubt dem Prinzipal, Abfrageergebnisse aus Amazon S3 zu schreiben und zu lesen.

  • lakeformation – Ermöglicht es Prinzipalen, temporäre Anmeldeinformationen für den Zugriff auf Daten an einem Data-Lake-Standort anzufordern, der bei Lake Formation registriert ist. Weitere Informationen finden Sie unter Zugriffskontrolle im Benutzerhandbuch von AWS Lake Formation.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:ListQueryExecutions",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:DeleteDatabase",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:DeleteTable",
                "glue:BatchDeleteTable",
                "glue:UpdateTable",
                "glue:GetTable",
                "glue:GetTables",
                "glue:BatchCreatePartition",
                "glue:CreatePartition",
                "glue:DeletePartition",
                "glue:BatchDeletePartition",
                "glue:UpdatePartition",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:PutBucketPublicAccessBlock"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Athena-Updates für AWS verwaltete Richtlinien

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Athena an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen.

Änderung Beschreibung Datum

AmazonAthenaFullAccess – Aktualisierung auf eine bestehende Richtlinie

Ermöglicht Athena, den öffentlich dokumentierten Status AWS Glue GetCatalogImportStatus API zum Abrufen des Katalogimportstatus zu verwenden.

 18. Juni 2024

AmazonAthenaFullAccess – Aktualisierung auf eine bestehende Richtlinie

Die datazone:ListAccountEnvironments Berechtigungen datazone:ListDomainsdatazone:ListProjects, und wurden hinzugefügt, damit Athena-Benutzer mit DataZone Amazon-Domains, -Projekten und -Umgebungen arbeiten können. Weitere Informationen finden Sie unter Verwenden Sie Amazon DataZone in Athena.

 3. Januar 2024

AmazonAthenaFullAccess – Aktualisierung auf eine bestehende Richtlinie

Die glue:GetColumnStatisticsTaskRuns Berechtigungen glue:StartColumnStatisticsTaskRunglue:GetColumnStatisticsTaskRun, und wurden hinzugefügt, um Athena das Recht zu geben, aufzurufen AWS Glue , um Statistiken für die kostenbasierte Optimierungsfunktion abzurufen. Weitere Informationen finden Sie unter Verwenden Sie den kostenbasierten Optimierer.

 3. Januar 2024

AmazonAthenaFullAccess – Aktualisierung auf eine bestehende Richtlinie

Athena hat pricing:GetProducts hinzugefügt, um Zugriff auf AWS Billing and Cost Management zu gewähren. Weitere Informationen finden Sie GetProductsin der Referenz.AWS Billing and Cost Management API

 25. Januar 2023

AmazonAthenaFullAccess – Aktualisierung auf eine bestehende Richtlinie

Athena wurde hinzugefügtcloudwatch:GetMetricData, um CloudWatch metrische Werte abzurufen. Weitere Informationen finden Sie GetMetricDatain der CloudWatch APIAmazon-Referenz.

 14. November 2022

AmazonAthenaFullAccessund AWSQuicksightAthenaAccess— Aktualisierungen vorhandener Richtlinien

Athena hat s3:PutBucketPublicAccessBlock hinzugefügt, um die Blockierung des öffentlichen Zugriffs auf die von Athena erstellten Buckets zu ermöglichen.

 7. Juli 2021

Athena hat damit begonnen, Änderungen zu verfolgen

Athena begann, Änderungen an seinen AWS verwalteten Richtlinien zu verfolgen.

 7. Juli 2021