设置工作组 - Amazon Athena
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

设置工作组

设置工作组包括创建工作组并为其建立使用权限。首先确定您的组织需要哪些工作组,然后创建它们。然后,设置 IAM 工作组策略以控制 workgroup 资源的用户访问权限和操作。此时,可访问这些工作组的用户可以运行其中的查询。

注意

在第一次开始使用工作组时,使用这些任务设置它们。如果您的 Athena 账户已使用工作组,则每个账户的用户需要相应权限,才能运行该账户中一个或多个工作组中的查询。在运行查询之前,检查 IAM 策略以查看您可以访问的工作组,在需要时调整策略并切换到您要使用的工作组。

默认情况下,如果您尚未创建任何工作组,则您账户中的所有查询在主工作组中运行:


                所使用的主工作组的屏幕截图。

在 Athena 控制台中,工作组显示在 Workgroup: (工作组:)<workgroup_name> 选项卡上。控制台中会列出您切换到的工作组。当您运行查询时,它们会在该工作组中运行。您可以在控制台中运行该工作组中的查询,也可以通过 JDBC 或 ODBC 驱动程序来使用 API 操作、命令行界面或客户端应用程序。当您有权访问工作组时,您可以查看工作组的设置、指标和数据使用控制限制。此外,您可以具有编辑设置和数据使用控制限制的权限。

设置工作组

  1. 确定要创建的工作组。例如,您可以确定以下几点:

    • 哪些用户可以运行每个工作组中的查询,以及哪些用户拥有工作组配置。这决定了您创建的 IAM 策略。有关更多信息,请参阅用于访问工作组的 IAM 策略

    • Amazon S3 中的哪些位置用于各个工作组中运行的查询的查询结果。Amazon S3 中必须存在对应位置,然后 您才能为工作组查询结果指定它。使用工作组的所有用户必须能够访问此位置。有关更多信息,请参阅工作组设置

    • 需要哪些加密设置,以及哪些工作组中包含必须加密的查询。我们建议您为加密查询和未加密查询创建单独的工作组。由此可以强制实施工作组加密,并应用于其中运行的所有查询。有关更多信息,请参阅对 Amazon S3 中存储的查询结果进行加密

  2. 根据需要创建工作组,并为它们添加标签。打开 Athena 控制台,选择 Workgroup: (工作组:)<workgroup_name> 选项卡,然后选择 Create workgroup (创建工作组)。有关详细步骤,请参阅创建工作组

  3. 为您的用户、组或角色创建 IAM 策略,使他们能够访问工作组。这些策略建立工作组成员资格,以及对workgroup资源相关操作的访问权限。有关详细步骤,请参阅 用于访问工作组的 IAM 策略。例如,有关 JSON 策略,请参阅工作组策略示例

  4. 设置工作组设置。如果需要,在 Amazon S3 中指定查询结果位置和加密设置。您可以强制实施工作组设置。有关更多信息,请参阅工作组设置

    重要

    如果您覆盖客户端设置,Athena 将使用工作组的设置。这会影响您在控制台中、使用驱动程序、命令行界面或 API 操作运行的查询。

    虽然查询会继续运行,但基于特定 Amazon S3 存储桶中结果的可用性构建的自动化可能中断。我们建议您先通知您的用户,然后再进行覆盖。在设置要覆盖工作组设置后,您可以省略在驱动程序或 API 中指定客户端设置的操作。

  5. 通知用户哪些工作组将用于运行查询。发送电子邮件。就您账户中用户可使用的工作组、需要的 IAM 策略和工作组设置通知对应用户。

  6. 配置查询和工作组的成本控制限制,也称为数据使用控制限制。如要在超出阈值时收到通知,请创建 Amazon SNS 主题并配置订阅。有关详细步骤,请参阅 设置数据使用控制限制创建 Amazon SNS 主题Amazon Simple Notification Service 入门指南.

  7. 切换到工作组,以便您可以运行查询。要运行查询,请切换到相应的工作组。有关详细步骤,请参阅指定从中运行查询的工作组