Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

设置

如果您已注册了亚马逊云科技，则可以立即开始使用 Amazon Athena。如果您尚未注册 Amazon 或需要入门帮助，请确保完成以下任务。

注册 Amazon Web Services 账户

如果您还没有 Amazon Web Services 账户，请完成以下步骤来创建一个。

注册过程完成后，Amazon 会向您发送一封确认电子邮件。在任何时候，您都可以通过转至 https://aws.amazon.com/ 并选择我的账户来查看当前的账户活动并管理您的账户。

保护 IAM 用户

注册 Amazon Web Services 账户 后，启用多重身份验证 (MFA) 保护您的管理用户。有关说明，请参阅《IAM 用户指南》中的为 IAM 用户启用虚拟 MFA 设备（控制台）。

要授予其他用户访问您的 Amazon Web Services 账户资源的权限，请创建 IAM 用户。为了保护您的 IAM 用户，请启用 MFA 并仅向 IAM 用户授予执行任务所需的权限。

有关创建和保护 IAM 用户的更多信息，请参阅《IAM 用户指南》中的以下主题：

授权以编程方式访问

如果用户需要在 Amazon Web Services Management Console 之外与 Amazon 交互，则需要编程式访问权限。Amazon API 和 Amazon Command Line Interface 需要访问密钥。可能的话，创建临时凭证，该凭证由一个访问密钥 ID、一个秘密访问密钥和一个指示凭证何时到期的安全令牌组成。

要向用户授予编程式访问权限，请选择以下选项之一。

为 Athena 附加托管式策略

Athena 托管策略授予 Athena 功能使用权限。您可以将这些托管策略附加到一个或多个 IAM 角色，用户可以担任这些角色以便使用 Athena。

IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户，因为它是一个 Amazon 身份，具有确定其在 Amazon 中可执行和不可执行的操作的权限策略。但是，角色旨在让需要它的任何人代入，而不是唯一地与某个人员关联。此外，角色没有关联的标准长期凭证（如密码或访问密钥）。相反，当您代入角色时，它会为您提供角色会话的临时安全凭证。

有关角色的更多信息，请参阅《IAM 用户指南》中的 IAM 角色和创建 IAM 角色。

要创建向 Athena 授予访问权限的角色，您需要将 Athena 托管策略附加到该角色。Athena 有两个托管策略：AmazonAthenaFullAccess 和 AWSQuicksightAthenaAccess。这些策略向 Athena 授予查询 Amazon S3 的权限以及代表您将您的查询结果写入单独存储桶的权限。要查看适用于 Athena 的这些策略的内容，请参阅 Amazon Athena 的 Amazon 托管策略。

有关向角色附加 Athena 托管策略的步骤，请遵循《IAM 用户指南》中的添加 IAM 身份权限（控制台）进行操作，并将 AmazonAthenaFullAccess 和 AWSQuicksightAthenaAccess 托管策略添加到您创建的角色。