# AWSAmazon Athena の 管理ポリシー
<a name="security-iam-awsmanpol"></a>

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

## Athena で管理ポリシーを使用する際の考慮事項
<a name="managed-policies-considerations"></a>

マネージドポリシーは使用しやすく、サービスの高度化に伴い必要になるアクションで自動的に更新されます。Athena で管理ポリシーを使用する場合は、次の点に注意してください。
+ AWS Identity and Access Management (IAM) を使用して自分自身または他のユーザーに対して Amazon Athena サービスアクションを許可または拒否するには、ユーザーやグループなどのプリンシパルにアイデンティティベースのポリシーをアタッチします。
+ 各アイデンティティベースのポリシーは、許可または拒否されるアクションを定義するステートメントで構成されます。ポリシーをユーザーにアタッチするための詳細情報および手順については、「*IAM ユーザーガイド*」の「[管理ポリシーのアタッチ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#attach-managed-policy-console)」を参照してください。アクションの一覧については、「[Amazon Athena API リファレンス](https://docs.aws.amazon.com/athena/latest/APIReference/)」を参照してください。
+  カスタマーマネージドポリシーとアイデンティティベースのインラインポリシーは、アクセス許可を微調整するために、ポリシー内でより詳細な Athena アクションを指定できるようにします。****`AmazonAthenaFullAccess` ポリシーを開始点として使用し、次に「[Amazon Athena API リファレンス](https://docs.aws.amazon.com/athena/latest/APIReference/)」に示されている特定のアクションを許可または拒否することをお勧めします。インラインポリシーの詳細については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)」を参照してください。
+ JDBC を使用して接続するプリンシパルに対しては、JDBC ドライバーの認証情報をアプリケーションに提供する必要があります。詳細については、「[JDBC および ODBC 接続を介したアクセスの制御](policy-actions.md)」を参照してください。
+ AWS Glue データカタログを暗号化している場合は、Athena のアイデンティティベースの IAM ポリシーで追加のアクションを指定する必要があります。詳細については、「[AWS Glue Data Catalog で Athena から暗号化されたメタデータへのアクセスを構成する](access-encrypted-data-glue-data-catalog.md)」を参照してください。
+ ワークグループを作成して使用する場合、ポリシーにワークグループアクションへの関連するアクセス許可が含まれていることを確認してください。詳細については、「[IAM ポリシーを使用してワークグループのアクセスを制御する](workgroups-iam-policy.md)」および「[ワークグループのポリシーの例](example-policies-workgroup.md)」を参照してください。

## AWS 管理ポリシー: AmazonAthenaFullAccess
<a name="amazonathenafullaccess-managed-policy"></a>

`AmazonAthenaFullAccess` マネージドポリシーは Athena への完全なアクセス許可を付与します。

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM アイデンティティセンター のユーザーとグループ:

  アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
  + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
  + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。「IAM ユーザーガイド」の「[ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」の指示に従います。

### アクセス許可のグループ化
<a name="amazonathenafullaccess-managed-policy-groupings"></a>

`AmazonAthenaFullAccess` ポリシーは、以下のアクセス許可セットにグループ化されます。
+ **`athena`** – Athena リソースへのアクセスをプリンシパルに許可します。
+ **`glue`** – AWS Glue カタログ、データベース、テーブル、およびパーティションへのアクセスをプリンシパルに許可します。これは、プリンシパルが Athena で AWS Glue Data Catalog を使用するのに必要です。
+ **`s3`** – Amazon S3 からのクエリ結果の書き込みと読み込み、Amazon S3 に存在する公開されている Athena データサンプルの読み込み、およびバケットの一覧表示をプリンシパルに許可します。これは、プリンシパルが Athena を使用して Amazon S3 を操作できるようにするために必要です。
+ **`sns`** – Amazon SNS トピックの一覧表示と、トピック属性の取得をプリンシパルに許可します。これにより、プリンシパルは Amazon SNS トピックを Athena とともに使用して、モニタリングおよびアラートの目的で使用できるようになります。
+ **`cloudwatch`** – CloudWatch アラームの作成、読み込み、削除をプリンシパルに許可します。詳細については、「[CloudWatch と EventBridge を使用してクエリをモニタリングし、コストを管理する](workgroups-control-limits.md)」を参照してください。
+ **`lakeformation`** - プリンシパルが一時的な認証情報を要求して、Lake Formation に登録されているデータレイクの場所にあるデータにアクセスできるようにします。詳細については、「*AWS Lake Formation デベロッパーガイド*」の「[Underlying Data Access Control](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-underlying-data.html)」(基盤となるデータアクセスコントロール) を参照してください。
+ **`datazone`**— プリンシパルで Amazon DataZone プロジェクト、ドメイン、環境を一覧表示できるようにします。Athena での DataZone の使用に関する詳細については、「[Athena で Amazon DataZone を使用する](datazone-using.md)」を参照してください。
+ **`pricing`** -へのアクセスを提供します。AWS Billing and Cost Management詳細については、「*AWS Billing and Cost Management API リファレンス*」の「[GetProducts](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_pricing_GetProducts.html)」を参照してください。

このポリシーのアクセス許可を表示するには、「AWS マネージドポリシーリファレンス」の「[AmazonAthenaFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAthenaFullAccess.html)」を参照してください。

**注記**  
サンプルクエリとサンプルデータセットを保存するには、サービス所有の Amazon S3 バケットへのアクセスを明示的に許可する必要があります。詳細については、「[データ境界](data-perimeters.md)」を参照してください。

## AWS 管理ポリシー: AWSQuicksightAthenaAccess
<a name="awsquicksightathenaaccess-managed-policy"></a>

`AWSQuicksightAthenaAccess` は、Quick が Athena との統合に必要なアクションへのアクセスを許可します。`AWSQuicksightAthenaAccess` ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、Athena で Quick を使用するプリンシパルのみにアタッチします。このポリシーには、非推奨となったために現行のパブリック API に含まれていない、または JDBC ドライバーおよび ODBC ドライバーのみで使用される Athena 用のアクションがいくつか含まれています。

### アクセス許可のグループ化
<a name="awsquicksightathenaaccess-managed-policy-groupings"></a>

`AWSQuicksightAthenaAccess` ポリシーは、以下のアクセス許可セットにグループ化されます。
+ **`athena`** – Athena リソースに対するクエリの実行をプリンシパルに許可します。
+ **`glue`** – AWS Glue カタログ、データベース、テーブル、およびパーティションへのアクセスをプリンシパルに許可します。これは、プリンシパルが Athena で AWS Glue Data Catalog を使用するのに必要です。
+ **`s3`** – Amazon S3 からのクエリ結果の書き込みおよび読み込みを行うことをプリンシパルに許可します。
+ **`lakeformation`** - プリンシパルが一時的な認証情報を要求して、Lake Formation に登録されているデータレイクの場所にあるデータにアクセスできるようにします。詳細については、「*AWS Lake Formation デベロッパーガイド*」の「[Underlying Data Access Control](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-underlying-data.html)」(基盤となるデータアクセスコントロール) を参照してください。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「[AWSQuicksightAthenaAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuicksightAthenaAccess.html)」を参照してください。

## Athena による AWS 管理ポリシーの更新
<a name="managed-policies-updates"></a>

Athena の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
| [AWSQuicksightAthenaAccess](#awsquicksightathenaaccess-managed-policy) – 既存のポリシーの更新 | Athena ユーザーが SageMaker AI Lakehouse カタログにアクセスできるようにするために glue:GetCatalog と glue:GetCatalogs のアクセス許可が追加されました。 | 2025 年 1 月 2 日 | 
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) - 既存のポリシーへの更新 | Athena ユーザーが SageMaker AI Lakehouse カタログにアクセスできるようにするために glue:GetCatalog と glue:GetCatalogs のアクセス許可が追加されました。 | 2025 年 1 月 2 日 | 
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) - 既存のポリシーへの更新 | Athena が公開されている AWS Glue `GetCatalogImportStatus` API を使用してカタログのインポートステータスを取得できるようにします。 | 2024 年 6 月 18 日 | 
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) - 既存のポリシーへの更新 | `datazone:ListDomains`、`datazone:ListProjects`、`datazone:ListAccountEnvironments` のアクセス許可が追加され、Athena ユーザーが Amazon DataZone のドメイン、プロジェクト、環境を操作できるようになりました。詳細については、「[Athena で Amazon DataZone を使用する](datazone-using.md)」を参照してください。 | 2024 年 1 月 3 日 | 
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) - 既存のポリシーへの更新 | `glue:StartColumnStatisticsTaskRun`、`glue:GetColumnStatisticsTaskRun`、`glue:GetColumnStatisticsTaskRuns` のアクセス許可が追加されたのは、Athena に AWS Glue を呼び出してコストベースのオプティマイザー機能の統計を取得する許可を与えるためです。詳細については、「[コストベースオプティマイザーを使用する](cost-based-optimizer.md)」を参照してください。 | 2024 年 1 月 3 日 | 
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) - 既存のポリシーへの更新 | Athena は、AWS Billing and Cost Management へのアクセスを提供するために `pricing:GetProducts` を追加しました。詳細については、「*AWS Billing and Cost Management API リファレンス*」の「[GetProducts](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_pricing_GetProducts.html)」を参照してください。 | 2023 年 1 月 25 日 | 
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) - 既存のポリシーへの更新 | CloudWatch メトリクス値を取得するため、Athena は `cloudwatch:GetMetricData` を追加しました。詳細については、「*Amazon CloudWatch API リファレンス*」の「[GetMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricData.html)」を参照してください。 | 2022 年 11 月 14 日 | 
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) および [AWSQuicksightAthenaAccess](#awsquicksightathenaaccess-managed-policy) – 既存のポリシーの更新 | Athena が `s3:PutBucketPublicAccessBlock` を追加して、Athena によって作成されたバケットのパブリックアクセスのブロックを有効にしました。 | 2021 年 7 月 7 日 | 
| Athena が変更の追跡を開始 | Athena が AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 7 月 7 日 |