用于访问数据目录的 IAM policy - Amazon Athena
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

用于访问数据目录的 IAM policy

要控制对数据目录的访问,请使用资源级 IAM 权限或基于身份的 IAM policy。

以下是 Athena 的特定过程。

有关 IAM 的特定信息,请参阅本节末尾列出的链接。有关示例 JSON 数据目录策略的信息,请参阅 数据目录示例策略

在 IAM 控制台中使用可视化编辑器创建数据目录策略

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择 Policies (策略),然后选择 Create policy (创建策略)

  3. 可视化编辑器选项卡上,选择选择服务。然后,选择要添加到策略的 Athena。

  4. 选择 Select actions (选择操作),然后选择要添加到策略的操作。可视化编辑器会显示 Athena 中可用的操作。有关更多信息,请参阅《服务授权参考》中的 Amazon Athena 的操作、资源和条件键

  5. 选择 add actions (添加操作) 以键入特定操作,或使用通配符 (*) 指定多个操作。

    预设情况下,您创建的策略允许执行选择的操作。如果您在 Athena 中选择对 datacatalog 资源执行一个或多个支持资源级权限的操作,则编辑器会列出 datacatalog 资源。

  6. 选择资源,为您的策略指定特定的数据目录。有关 JSON 数据目录策略的示例,请参阅数据目录示例策略

  7. 指定 datacatalog 资源,如下所示:

    arn:aws:athena:<region>:<user-account>:datacatalog/<datacatalog-name>

  8. 选择 Review policy (查看策略),然后为您创建的策略键入 Name (名称)Description (描述)(可选)。查看策略摘要以确保您已授予所需的权限。

  9. 选择创建策略可保存您的新策略。

  10. 将此基于身份的策略附加到用户、组或角色,并指定他们可访问的 datacatalog 资源。

有关详细信息,请参阅服务授权参考IAM 用户指南中的以下主题:

有关 JSON 数据目录策略的示例,请参阅数据目录示例策略

有关 Amazon Glue 权限和 Amazon Glue 爬网程序权限的信息,请参阅《Amazon Glue 开发人员指南》中的 为 Amazon Glue 设置 IAM 权限爬网程序先决条件

有关 Amazon Athena 操作的完整列表,请参阅 Amazon Athena API 参考中的 API 操作名称。