用于访问数据目录的 IAM 策略 - Amazon Athena
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于访问数据目录的 IAM 策略

要控制对数据目录的访问,请使用资源级 IAM 权限或基于身份的 IAM 策略。

以下是 Athena 的特定过程。

有关 IAM 的特定信息,请参阅本节末尾列出的链接。有关示例 JSON 数据目录策略的信息,请参阅 数据目录示例策略

在 IAM 控制台中使用可视化编辑器创建数据目录策略

  1. 登录 AWS 管理控制台,并通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择 Policies (策略),然后选择 Create policy (创建策略)

  3. 可视化编辑器选项卡上,选择选择服务。然后,选择要添加到策略的 Athena。

  4. 选择 Select actions (选择操作),然后选择要添加到策略的操作。可视化编辑器会显示 Athena 中可用的操作。有关更多信息,请参阅 https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazonathena.html 中的 Amazon Athena 的操作、资源和条件键服务授权参考。

  5. 选择 add actions (添加操作) 以键入特定操作,或使用通配符 (*) 指定多个操作。

    默认情况下,您创建的策略允许执行选择的操作。如果您在 Athena 中选择对 datacatalog 资源执行一个或多个支持资源级权限的操作,则编辑器会列出 datacatalog 资源。

  6. 选择资源,为您的策略指定特定的数据目录。有关 JSON 数据目录策略的示例,请参阅数据目录示例策略

  7. 指定 datacatalog 资源,如下所示:

    arn:aws:athena:<region>:<user-account>:datacatalog/<datacatalog-name>
  8. 选择 Review policy (查看策略),然后为您创建的策略键入 Name (名称)Description (描述)(可选)。查看策略摘要以确保您已授予所需的权限。

  9. 选择 Create policy (创建策略) 可保存您的新策略。

  10. 将此基于身份的策略附加到用户、组或角色,并指定他们可访问的 datacatalog 资源。

有关更多信息,请参阅 服务授权参考 和 IAM 用户指南 中的以下主题:

有关 JSON 数据目录策略的示例,请参阅数据目录示例策略

有关 Amazon Athena 操作的完整列表,请参阅 Amazon Athena API 参考中的 API 操作名称。