设置、管理和编程访问
如果您已注册 Amazon Web Services,则可以立即开始使用 Amazon Athena。如果您尚未注册 AWS 或需要入门帮助,请确保完成以下任务。
注册 AWS 账户
要开始使用 AWS,您需要有 AWS 账户。有关创建 AWS 账户的信息,请参阅《AWS 账户管理 参考指南》中的 AWS 账户入门指南。
授权以编程方式访问
如果用户需要在 AWS 管理控制台 之外与 AWS 交互,则需要编程式访问权限。授予编程式访问权限的方法取决于访问 AWS 的用户类型。
要向用户授予编程式访问权限,请选择以下选项之一。
| 哪个用户需要编程式访问权限? | 目的 | 方式 |
|---|---|---|
| IAM | (推荐)使用控制台凭证作为临时凭证来签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 |
按照您希望使用的界面的说明进行操作。
|
|
人力身份 (在 IAM Identity Center 中管理的用户) |
使用临时凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 |
按照您希望使用的界面的说明进行操作。
|
| IAM | 使用临时凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 | 按照《IAM 用户指南》中将临时凭证用于 AWS 资源中的说明进行操作。 |
| IAM | (不推荐使用) 使用长期凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 |
按照您希望使用的界面的说明进行操作。
|
为 Athena 附加托管式策略
Athena 托管策略授予 Athena 功能使用权限。您可以将这些托管策略附加到一个或多个 IAM 角色,用户可以担任这些角色以便使用 Athena。
IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 AWS 身份,具有确定其在 AWS 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。
有关角色的更多信息,请参阅《IAM 用户指南》中的 IAM 角色和创建 IAM 角色。
要创建向 Athena 授予访问权限的角色,您需要将 Athena 托管策略附加到该角色。Athena 有两个托管策略:AmazonAthenaFullAccess 和 AWSQuicksightAthenaAccess。这些策略向 Athena 授予查询 Amazon S3 的权限以及代表您将您的查询结果写入单独存储桶的权限。要查看适用于 Athena 的这些策略的内容,请参阅 Amazon Athena 的 AWS 托管策略。
有关向角色附加 Athena 托管策略的步骤,请遵循《IAM 用户指南》中的添加 IAM 身份权限(控制台)进行操作,并将 AmazonAthenaFullAccess 和 AWSQuicksightAthenaAccess 托管策略添加到您创建的角色。
注意
您可能需要额外的权限才能访问 Amazon S3 中的底层数据集。如果您不是账户拥有者或以其他方式限制了对某个存储桶的访问权限,请与存储桶拥有者联系以使用基于资源的存储桶策略授予访问权限,或与您的账户管理员联系以使用基于角色的策略授予访问权限。有关更多信息,请参阅 控制从 Athena 对 Amazon S3 的访问。如果数据集或 Athena 查询结果是加密的,您可能需要额外的权限。有关更多信息,请参阅 静态加密。
