AWS politiques gérées pour Amazon Athena - Amazon Athena

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour Amazon Athena

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d'informations, consultez la section Politiques AWS gérées dans le Guide de IAM l'utilisateur.

Aspects à prendre en compte lors de l'utilisation de politiques gérées avec Athena

Les politiques gérées sont faciles à utiliser et sont automatiquement mises à jour avec les actions requises, à mesure que le service évolue. Lorsque vous utilisez des politiques gérées avec Athena, gardez à l'esprit les points suivants :

  • Pour autoriser ou refuser des actions de service Amazon Athena pour vous-même ou pour d'autres utilisateurs utilisant AWS Identity and Access Management (IAM), vous devez associer des politiques basées sur l'identité aux principaux, tels que les utilisateurs ou les groupes.

  • Chaque politique basée sur une identité se compose d'instructions qui définissent les actions qui sont autorisées ou refusées. Pour plus d'informations et des step-by-step instructions relatives à l'attachement d'une politique à un utilisateur, consultez la section Attacher des politiques gérées dans le Guide de IAM l'utilisateur. Pour obtenir la liste des actions, consultez le manuel Amazon Athena API Reference.

  • Les politiques basées sur l'identité, gérées par le client et en ligne, vous permettent de spécifier des actions Athena plus détaillées au sein d'une politique pour affiner l'accès. Nous vous recommandons d'utiliser cette AmazonAthenaFullAccess politique comme point de départ, puis d'autoriser ou de refuser des actions spécifiques répertoriées dans la référence Amazon Athena API. Pour plus d'informations sur les politiques intégrées, voir Politiques gérées et politiques intégrées dans le Guide de l'IAMutilisateur.

  • Si vous avez également des clients principaux qui se connectent en utilisantJDBC, vous devez fournir les informations d'identification du JDBC pilote à votre application. Pour de plus amples informations, veuillez consulter Contrôlez l'accès JDBC et ODBC les connexions.

  • Si vous avez chiffré le catalogue de AWS Glue données, vous devez spécifier des actions supplémentaires dans les IAM politiques basées sur l'identité pour Athena. Pour de plus amples informations, veuillez consulter Configurez l'accès depuis Athena aux métadonnées chiffrées dans le AWS Glue Data Catalog.

  • Si vous créez et utilisez des groupes de travail, assurez-vous que vos politiques prévoient un accès pertinent aux actions du groupe de travail. Pour plus d'informations, consultez Utiliser des IAM politiques pour contrôler l'accès aux groupes de travail et Exemples de politiques de groupe de travail.

AWS politique gérée : AmazonAthenaFullAccess

La politique gérée par AmazonAthenaFullAccess accorde un accès complet à Athena.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Groupes d'autorisations

La politique est AmazonAthenaFullAccess regroupée dans les ensembles d'autorisations suivants.

  • athena : permet aux principaux d'accéder aux ressources Athena.

  • glue— Permet aux principaux d'accéder aux AWS Glue bases de données, aux tables et aux partitions. Cela est nécessaire pour que le directeur puisse utiliser le AWS Glue Data Catalog avec Athéna.

  • s3 : permet au principal d'écrire et de lire les résultats des requêtes à partir de Simple Storage Service (Amazon S3), de lire les exemples de données Athena disponibles publiquement qui résident dans Simple Storage Service (Amazon S3) et de répertorier les compartiments. Ceci est nécessaire pour que le principal puisse utiliser Athena pour travailler avec Simple Storage Service (Amazon S3).

  • sns— Permet aux directeurs de répertorier les SNS sujets Amazon et d'obtenir les attributs des sujets. Cela permet aux directeurs d'utiliser les SNS rubriques Amazon avec Athena à des fins de surveillance et d'alerte.

  • cloudwatch— Permet aux principaux de créer, de lire et de supprimer des CloudWatch alarmes. Pour de plus amples informations, veuillez consulter Utiliser CloudWatch et EventBridge surveiller les requêtes et contrôler les coûts.

  • lakeformation : permet aux principaux de demander des informations d'identification temporaires pour accéder aux données dans un emplacement de lac de données enregistré auprès de Lake Formation. Pour plus d'informations, consultez la rubrique Contrôle d'accès aux données sous-jacentes du Guide du développeur AWS Lake Formation.

  • datazone— Permet aux principaux de répertorier les DataZone projets, domaines et environnements Amazon. Pour plus d'informations sur l'utilisation DataZone dans Athena, consultez. Utiliser Amazon DataZone dans Athena

  • pricing— Donne accès à AWS Billing and Cost Management. Pour plus d'informations, reportez-vous GetProductsà la section AWS Billing and Cost Management APIRéférence.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "BaseAthenaPermissions", "Effect": "Allow", "Action": [ "athena:*" ], "Resource": [ "*" ] }, { "Sid": "BaseGluePermissions", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition", "glue:StartColumnStatisticsTaskRun", "glue:GetColumnStatisticsTaskRun", "glue:GetColumnStatisticsTaskRuns", "glue:GetCatalogImportStatus" ], "Resource": [ "*" ] }, { "Sid": "BaseQueryResultsPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Sid": "BaseAthenaExamplesPermissions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::athena-examples*" ] }, { "Sid": "BaseS3BucketPermissions", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": [ "*" ] }, { "Sid": "BaseSNSPermissions", "Effect": "Allow", "Action": [ "sns:ListTopics", "sns:GetTopicAttributes" ], "Resource": [ "*" ] }, { "Sid": "BaseCloudWatchPermissions", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarms", "cloudwatch:DeleteAlarms", "cloudwatch:GetMetricData" ], "Resource": [ "*" ] }, { "Sid": "BaseLakeFormationPermissions", "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] }, { "Sid": "BaseDataZonePermissions", "Effect": "Allow", "Action": [ "datazone:ListDomains", "datazone:ListProjects", "datazone:ListAccountEnvironments" ], "Resource": [ "*" ] }, { "Sid": "BasePricingPermissions", "Effect": "Allow", "Action": [ "pricing:GetProducts" ], "Resource": [ "*" ] } ] }

AWS politique gérée : AWSQuicksightAthenaAccess

AWSQuicksightAthenaAccessdonne accès aux actions dont Amazon a QuickSight besoin pour s'intégrer à Athena. Vous pouvez associer la AWSQuicksightAthenaAccess politique à votre IAM identité. N'associez cette politique qu'aux principaux utilisateurs d'Amazon QuickSight avec Athena. Cette politique inclut certaines actions pour Athena qui sont soit obsolètes et ne sont pas incluses dans le public actuelAPI, soit utilisées uniquement avec les pilotes et. JDBC ODBC

Groupes d'autorisations

La politique est AWSQuicksightAthenaAccess regroupée dans les ensembles d'autorisations suivants.

  • athena : permet au principal d'exécuter des requêtes sur les ressources Athena.

  • glue— Permet aux principaux d'accéder aux AWS Glue bases de données, aux tables et aux partitions. Cela est nécessaire pour que le directeur puisse utiliser le AWS Glue Data Catalog avec Athéna.

  • s3 : permet au principal d'écrire et de lire les résultats des requêtes depuis Simple Storage Service (Amazon S3).

  • lakeformation – Permet aux principaux de demander des informations d'identification temporaires pour accéder aux données dans un emplacement de lac de données enregistré auprès de Lake Formation. Pour plus d'informations, consultez la rubrique Contrôle d'accès aux données sous-jacentes du Guide du développeur AWS Lake Formation.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:BatchGetQueryExecution", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetQueryResultsStream", "athena:ListQueryExecutions", "athena:StartQueryExecution", "athena:StopQueryExecution", "athena:ListWorkGroups", "athena:ListEngineVersions", "athena:GetWorkGroup", "athena:GetDataCatalog", "athena:GetDatabase", "athena:GetTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase", "glue:GetDatabase", "glue:GetDatabases", "glue:UpdateDatabase", "glue:CreateTable", "glue:DeleteTable", "glue:BatchDeleteTable", "glue:UpdateTable", "glue:GetTable", "glue:GetTables", "glue:BatchCreatePartition", "glue:CreatePartition", "glue:DeletePartition", "glue:BatchDeletePartition", "glue:UpdatePartition", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-*" ] }, { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess" ], "Resource": [ "*" ] } ] }

Athena met à jour ses politiques gérées AWS

Consultez les détails des mises à jour des politiques AWS gérées pour Athena depuis que ce service a commencé à suivre ces modifications.

Modification Description Date

AmazonAthenaFullAccess – Mise à jour de la politique existante

Permet à Athena d'utiliser les documents publics pour récupérer le statut AWS Glue GetCatalogImportStatus API d'importation du catalogue.

18 juin 2024

AmazonAthenaFullAccess – Mise à jour de la politique existante

Les datazone:ListAccountEnvironments autorisations datazone:ListDomainsdatazone:ListProjects, et ont été ajoutées pour permettre aux utilisateurs d'Athena de travailler avec des DataZone domaines, des projets et des environnements Amazon. Pour de plus amples informations, veuillez consulter Utiliser Amazon DataZone dans Athena.

3 janvier 2024

AmazonAthenaFullAccess – Mise à jour de la politique existante

Les glue:GetColumnStatisticsTaskRuns autorisationsglue:StartColumnStatisticsTaskRun,glue:GetColumnStatisticsTaskRun, et ont été ajoutées pour donner à Athena le droit d'appeler pour récupérer les statistiques relatives AWS Glue à la fonction d'optimisation basée sur les coûts. Pour de plus amples informations, veuillez consulter Utilisez l'optimiseur basé sur les coûts.

3 janvier 2024

AmazonAthenaFullAccess – Mise à jour de la politique existante

Athena a ajouté pricing:GetProducts pour donner accès à AWS Billing and Cost Management. Pour plus d'informations, reportez-vous GetProductsà la section AWS Billing and Cost Management APIRéférence.

25 janvier 2023

AmazonAthenaFullAccess – Mise à jour de la politique existante

Athena a été ajoutée cloudwatch:GetMetricData pour récupérer les valeurs CloudWatch métriques. Pour plus d'informations, consultez GetMetricDatale Amazon CloudWatch API Reference.

14 novembre 2022

AmazonAthenaFullAccesset AWSQuicksightAthenaAccess— Mises à jour des politiques existantes

Athena a ajouté s3:PutBucketPublicAccessBlock pour permettre le blocage de l'accès public aux compartiments créés par Athena.

7 juillet 2021

Athena a commencé à suivre les modifications

Athena a commencé à suivre les modifications apportées à ses politiques AWS gérées.

7 juillet 2021