针对用户访问的托管策略 - Amazon Athena
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

针对用户访问的托管策略

要使用 AWS Identity and Access Management (IAM) 为您自己或其他用户允许或拒绝 Amazon Athena 服务操作,请将基于身份的策略附加到委托人,例如用户或组。

每个基于身份的策略均包含用于定义允许或拒绝的操作的语句。有关将策略附加到用户的更多信息和分步说明,请参阅 AWS Identity and Access Management 用户指南 中的附加托管策略。有关操作的列表,请参见 Amazon Athena API 参考

托管策略易于使用,并且随着服务的发展而自动使用必需的操作进行更新。

Athena 具有如下托管策略:

  • AmazonAthenaFullAccess 托管策略授予对 Athena 的完全访问权限。将此策略附加到需要对 Athena 的完全访问权限的用户和其他委托人。请参阅 AmazonAthenaFullAccess 托管策略

  • AWSQuicksightAthenaAccess 托管策略授予对 Amazon QuickSight 需要才能与 Athena 集成的操作的访问权限。将此策略附加到将 Amazon QuickSight 与 Athena 结合使用的委托人。请参阅 AWSQuicksightAthenaAccess 托管策略

客户托管 策略和基于身份的内联 策略允许您在策略内指定更详细的 Athena 操作来精调访问权限。我们建议您使用 AmazonAthenaFullAccess 策略作为起始点,然后允许或拒绝 Amazon Athena API 参考 中所列的特定操作。有关内联策略的更多信息,请参阅 AWS Identity and Access Management 用户指南 中的托管策略与内联策略

如果您还具有使用 JDBC 连接的委托人,则必须为您的应用程序提供 JDBC 驱动程序凭证。有关更多信息,请参阅用于 JDBC 连接的服务操作

如果您将 AWS Glue 与 Athena 结合使用,并且已加密 AWS Glue 数据目录,则必须在基于身份的 IAM 策略中为 Athena 指定其他操作。有关更多信息,请参阅针对 AWS Glue 数据目录中加密元数据的访问权限

重要

如果您创建和使用工作组,请确保您的策略包括对工作组操作的相应访问权限。有关详细信息,请参阅 用于访问工作组的 IAM 策略工作组策略示例