Athena에서 데이터 소스를 생성하고 사용할 수 있는 권한
Lambda 권한이 없는 AWS Glue Data Catalog 페더레이션 커넥터
-
커넥터 관리 및 쿼리를 위해 Athena API를 간접적으로 호출할 수 있는 IAM 위탁자 권한
Amazon Athena 액세스 – AmazonAthenaFullAccess 관리형 정책은 Amazon Athena에 대한 전체 액세스 권한과 쿼리, 결과 작성, 데이터 관리를 활성화하는 데 필요한 종속 항목에 대한 범위 지정 액세스 권한을 제공합니다. 자세한 내용은 AWS 관리형 정책 참조 안내서의 AmazonAthenaFullAccess를 참조하세요.
-
AWS Glue 연결 관리 - AWS Glue 연결 객체를 생성하고 관리할 수 있는 권한입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:GetConnection", "glue:CreateConnection", "glue:DeleteConnection", "glue:UpdateConnection" ], "Resource": "*" } ] }참고
예제 정책에서는 편의상
"Resource": "*"를 사용합니다. 프로덕션 환경에서는 가능하면 특정 리소스로 권한 범위를 제한하세요. -
AWS Lake Formation 액세스 - AWS Glue 카탈로그를 생성하고 세분화된 액세스 제어를 사용할 수 있는 권한입니다.
-
Glue 데이터 카탈로그 IAM 역할
-
이 섹션에서는 Athena가 인프라를 프로비저닝하고 데이터 소스를 쿼리하는 데 필요한 권한을 다룹니다. Amazon Athena 페더레이션 쿼리를 사용하려면 Glue 데이터 카탈로그 IAM 역할에 전달된 역할에 다음 권한이 필요합니다.
참고
VPC의 데이터 소스에 연결하면 Athena에서 지정된 VPC 내의 계정에 탄력적 네트워크 인터페이스(ENI)를 생성합니다. IAM 역할에는 이 네트워크 인터페이스를 생성, 설명 및 삭제할 수 있는 EC2 권한이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:ManagedConnector", "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "dynamodb:DescribeTable", "dynamodb:ListTables", "dynamodb:Scan", "dynamodb:Query", "dynamodb:GetItem", "dynamodb:BatchGetItem" ], "Resource": "*" } ] }참고
예제 정책에서는 편의상
"Resource": "*"를 사용합니다. 프로덕션 환경에서는 가능하면 특정 리소스로 권한 범위를 제한하세요. 예를 들어, 특정 시크릿 ARN으로 Secrets Manager 권한 범위를 제한합니다.권한에 대한 설명 허용된 작업
설명
필수
"glue:ManagedConnector"Athena가 커넥터를 간접적으로 호출할 수 있습니다.
필수
"secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue"커넥터가 AWS Secrets Manager에 저장된 데이터베이스 자격 증명을 검색할 수 있습니다.
선택 사항
"ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface"데이터 소스가 VPC 내에 있는 경우 Athena가 네트워킹을 설정할 수 있습니다.
선택 사항
"dynamodb:DescribeTable", "dynamodb:ListTables", "dynamodb:Scan", "dynamodb:Query", "dynamodb:GetItem", "dynamodb:BatchGetItem"Athena가 DynamoDB 데이터 소스를 쿼리할 수 있습니다.
선택 사항
-
Lambda 권한이 있는 AWS Glue Data Catalog 페더레이션 커넥터
-
커넥터 관리 및 쿼리를 위해 Athena API를 간접적으로 호출할 수 있는 IAM 위탁자 권한
Amazon Athena 액세스 – AmazonAthenaFullAccess 관리형 정책은 Amazon Athena에 대한 전체 액세스 권한과 쿼리, 결과 작성, 데이터 관리를 활성화하는 데 필요한 종속 항목에 대한 범위 지정 액세스 권한을 제공합니다. 자세한 내용은 AWS 관리형 정책 참조 안내서의 AmazonAthenaFullAccess를 참조하세요.
-
커넥터 관리 권한 - Lambda 기반 커넥터를 사용할 때 Athena DataCatalog API를 직접적으로 호출하려면 다음 권한이 필요합니다. 커넥터 및 Athena 카탈로그를 생성하기 위해 필요한 권한을(를) 참조하세요.
-
AWS Lake Formation 액세스(Lake Formation을 사용하는 경우) - AWS Glue 카탈로그를 생성하고 세분화된 액세스 제어를 사용할 수 있는 권한입니다.
Athena 데이터 카탈로그 페더레이션 커넥터 권한
-
커넥터 관리 및 쿼리를 위해 Athena API를 간접적으로 호출할 수 있는 IAM 위탁자 권한
Amazon Athena 액세스 – AmazonAthenaFullAccess 관리형 정책은 Amazon Athena에 대한 전체 액세스 권한과 쿼리, 결과 작성, 데이터 관리를 활성화하는 데 필요한 종속 항목에 대한 범위 지정 액세스 권한을 제공합니다. 자세한 내용은 AWS 관리형 정책 참조 안내서의 AmazonAthenaFullAccess를 참조하세요.
-
커넥터 관리 권한 - Lambda 기반 커넥터를 사용할 때 Athena DataCatalog API를 직접적으로 호출하려면 다음 권한이 필요합니다. 커넥터 및 Athena 카탈로그를 생성하기 위해 필요한 권한을(를) 참조하세요.
