# Athena에서 데이터 소스를 생성하고 사용할 수 있는 권한
## Lambda 권한이 없는 AWS Glue Data Catalog 페더레이션 커넥터
+ **커넥터 관리 및 쿼리를 위해 Athena API를 간접적으로 호출할 수 있는 IAM 위탁자 권한**
+ **Amazon Athena 액세스** – AmazonAthenaFullAccess 관리형 정책은 Amazon Athena에 대한 전체 액세스 권한과 쿼리, 결과 작성, 데이터 관리를 활성화하는 데 필요한 종속 항목에 대한 범위 지정 액세스 권한을 제공합니다. 자세한 내용은 AWS 관리형 정책 참조 안내서의 [AmazonAthenaFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAthenaFullAccess.html)를 참조하세요.
+ **AWS Glue 연결 관리** - AWS Glue 연결 객체를 생성하고 관리할 수 있는 권한입니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetConnection",
"glue:CreateConnection",
"glue:DeleteConnection",
"glue:UpdateConnection"
],
"Resource": "*"
}
]
}
```
**참고**
예제 정책에서는 편의상 `"Resource": "*"`를 사용합니다. 프로덕션 환경에서는 가능하면 특정 리소스로 권한 범위를 제한하세요.
+ **AWS Lake Formation 액세스** - AWS Glue 카탈로그를 생성하고 세분화된 액세스 제어를 사용할 수 있는 권한입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:RegisterResource",
"iam:ListRoles",
"glue:CreateCatalog",
"glue:GetCatalogs",
"glue:GetCatalog"
],
"Resource": "*"
}
]
}
```
------
+ **Glue 데이터 카탈로그 IAM 역할**
+ 이 섹션에서는 Athena가 인프라를 프로비저닝하고 데이터 소스를 쿼리하는 데 필요한 권한을 다룹니다. Amazon Athena 페더레이션 쿼리를 사용하려면 **Glue 데이터 카탈로그 IAM 역할**에 전달된 역할에 다음 권한이 필요합니다.
**참고**
VPC의 데이터 소스에 연결하면 Athena에서 지정된 VPC 내의 계정에 탄력적 네트워크 인터페이스(ENI)를 생성합니다. IAM 역할에는 이 네트워크 인터페이스를 생성, 설명 및 삭제할 수 있는 EC2 권한이 필요합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:ManagedConnector",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"dynamodb:Scan",
"dynamodb:Query",
"dynamodb:GetItem",
"dynamodb:BatchGetItem"
],
"Resource": "*"
}
]
}
```
**참고**
예제 정책에서는 편의상 `"Resource": "*"`를 사용합니다. 프로덕션 환경에서는 가능하면 특정 리소스로 권한 범위를 제한하세요. 예를 들어, 특정 시크릿 ARN으로 Secrets Manager 권한 범위를 제한합니다.
**권한에 대한 설명**
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/connect-to-a-data-source-permissions.html)
## Lambda 권한이 있는 AWS Glue Data Catalog 페더레이션 커넥터
+ **커넥터 관리 및 쿼리를 위해 Athena API를 간접적으로 호출할 수 있는 IAM 위탁자 권한**
+ **Amazon Athena 액세스** – AmazonAthenaFullAccess 관리형 정책은 Amazon Athena에 대한 전체 액세스 권한과 쿼리, 결과 작성, 데이터 관리를 활성화하는 데 필요한 종속 항목에 대한 범위 지정 액세스 권한을 제공합니다. 자세한 내용은 AWS 관리형 정책 참조 안내서의 [AmazonAthenaFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAthenaFullAccess.html)를 참조하세요.
+ **커넥터 관리 권한** - Lambda 기반 커넥터를 사용할 때 Athena DataCatalog API를 직접적으로 호출하려면 다음 권한이 필요합니다. [커넥터 및 Athena 카탈로그를 생성하기 위해 필요한 권한](athena-catalog-access.md)을(를) 참조하세요.
+ **AWS Lake Formation 액세스(Lake Formation을 사용하는 경우)** - AWS Glue 카탈로그를 생성하고 세분화된 액세스 제어를 사용할 수 있는 권한입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:RegisterResource",
"iam:ListRoles",
"glue:CreateCatalog",
"glue:GetCatalogs",
"glue:GetCatalog"
],
"Resource": "*"
}
]
}
```
------
## Athena 데이터 카탈로그 페더레이션 커넥터 권한
+ **커넥터 관리 및 쿼리를 위해 Athena API를 간접적으로 호출할 수 있는 IAM 위탁자 권한**
+ **Amazon Athena 액세스** – AmazonAthenaFullAccess 관리형 정책은 Amazon Athena에 대한 전체 액세스 권한과 쿼리, 결과 작성, 데이터 관리를 활성화하는 데 필요한 종속 항목에 대한 범위 지정 액세스 권한을 제공합니다. 자세한 내용은 AWS 관리형 정책 참조 안내서의 [AmazonAthenaFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAthenaFullAccess.html)를 참조하세요.
+ **커넥터 관리 권한** - Lambda 기반 커넥터를 사용할 때 Athena DataCatalog API를 직접적으로 호출하려면 다음 권한이 필요합니다. [커넥터 및 Athena 카탈로그를 생성하기 위해 필요한 권한](athena-catalog-access.md)을(를) 참조하세요.