设置 - Amazon Athena
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

设置

如果您已注册 Amazon Web Services,则可以立即开始使用 Amazon Athena。如果您尚未注册 Amazon 或需要入门帮助,请确保完成以下任务。

注册 Amazon Web Services 账户

如果您还没有 Amazon Web Services 账户,请完成以下步骤来创建一个。

注册 Amazon Web Services 账户
  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,将接到一通电话,要求使用电话键盘输入一个验证码。

    当您注册 Amazon Web Services 账户时,系统将会创建一个 Amazon Web Services 账户根用户。根用户有权访问该账户中的所有 Amazon Web Services 和资源。作为安全最佳实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务

注册过程完成后,Amazon 会向您发送一封确认电子邮件。在任何时候,您都可以通过转至 https://aws.amazon.com/ 并选择我的账户来查看当前的账户活动并管理您的账户。

保护 IAM 用户

注册 Amazon Web Services 账户 后,启用多重身份验证(MFA)保护您的管理用户。有关说明,请参阅 IAM 用户指南中的 为 IAM 用户启用虚拟 MFA 设备(控制台)

要授予其他用户访问您的 Amazon Web Services 账户资源的权限,请创建 IAM 用户。为了保护您的 IAM 用户,请启用 MFA 并仅向 IAM 用户授予执行任务所需的权限。

有关创建和保护 IAM 用户的更多信息,请参阅《IAM 用户指南》中的以下主题:

授权以编程方式访问

如果用户需要在 Amazon Web Services Management Console 之外与 Amazon 交互,则需要编程式访问权限。Amazon API 和 Amazon Command Line Interface 需要访问密钥。可能的话,创建临时凭证,该凭证由一个访问密钥 ID、一个秘密访问密钥和一个指示凭证何时到期的安全令牌组成。

要向用户授予编程式访问权限,请选择以下选项之一。

哪个用户需要编程式访问权限? 目的 方式
IAM 使用短期凭证签署对 Amazon CLI 或 Amazon API 的编程式请求(直接或使用 Amazon SDK)。 按照《IAM 用户指南》将临时凭证用于 Amazon 资源中的说明进行操作。
IAM

(不推荐使用)

使用长期凭证签署对 Amazon CLI 或 Amazon API 的编程式请求(直接或使用 Amazon SDK)。
按照《IAM 用户指南》管理 IAM 用户的访问密钥中的说明进行操作。

为 Athena 附加托管式策略

Athena 托管策略授予 Athena 功能使用权限。您可以将这些托管策略附加到一个或多个 IAM 角色,用户可以担任这些角色以便使用 Athena。

IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 Amazon 身份,具有确定其在 Amazon 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。

有关角色的更多信息,请参阅《IAM 用户指南》中的 IAM 角色创建 IAM 角色

要创建向 Athena 授予访问权限的角色,您需要将 Athena 托管策略附加到该角色。Athena 有两个托管策略:AmazonAthenaFullAccessAWSQuicksightAthenaAccess。这些策略向 Athena 授予查询 Amazon S3 的权限以及代表您将您的查询结果写入单独存储桶的权限。要查看适用于 Athena 的这些策略的内容,请参阅 Amazon Athena 的 Amazon 托管策略

有关向角色附加 Athena 托管策略的步骤,请遵循《IAM 用户指南》中的添加 IAM 身份权限(控制台)进行操作,并将 AmazonAthenaFullAccessAWSQuicksightAthenaAccess 托管策略添加到您创建的角色。

注意

您可能需要额外的权限才能访问 Amazon S3 中的底层数据集。如果您不是账户拥有者或以其他方式限制了对某个存储桶的访问权限,请与存储桶拥有者联系以使用基于资源的存储桶策略授予访问权限,或与您的账户管理员联系以使用基于角色的策略授予访问权限。有关更多信息,请参阅 从 Athena 访问 Amazon S3。如果数据集或 Athena 查询结果是加密的,您可能需要额外的权限。有关更多信息,请参阅 静态加密