本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon Athena 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有 服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## 在搭配 Athena 使用受管政策時的考量事項
受管政策不但易於使用,且會隨著服務的演進,自動更新以具有所需動作。在搭配 Athena 使用受管政策時,請記得以下幾點:
+ 若要使用 AWS Identity and Access Management (IAM),為您自己或其他使用者允許或拒絕 Amazon Athena 服務動作,請將身分型政策連接到委託人,例如使用者或群組。
+ 每個身分型政策由陳述式組成,這些陳述式定義了允許或拒絕的動作。如需有關將政策連接到使用者的詳細資訊和逐步說明,請參閱《IAM 使用者指南》**中的[連接受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#attach-managed-policy-console)。如需動作的清單,請參閱《[Amazon Athena API 參考](https://docs.aws.amazon.com/athena/latest/APIReference/)》。
+ *客戶受管*和*內嵌*的身分型政策,可讓您在政策中指定更詳細的 Athena 動作來微調存取。我們建議您以 `AmazonAthenaFullAccess` 政策做為起點,然後允許或拒絕 [Amazon Athena API 參考](https://docs.aws.amazon.com/athena/latest/APIReference/)中列出的特定動作。如需內嵌政策的詳細資訊,請參閱《IAM 使用者指南》**中的[受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
+ 如果您也有使用 JDBC 連接的委託人,您必須向您的應用程式提供 JDBC 驅動程式登入資料。如需詳細資訊,請參閱[透過 JDBC 和 ODBC 連接控制存取](policy-actions.md)。
+ 如果您已加密 AWS Glue Data Catalog,您必須在 Athena 的身分型 IAM 政策中指定其他動作。如需詳細資訊,請參閱[在 中設定從 Athena 到加密中繼資料的存取權 AWS Glue Data Catalog](access-encrypted-data-glue-data-catalog.md)。
+ 如果您建立和使用工作群組,請確保您的政策包含對群組動作的相關存取。如需詳細資訊,請參閱[使用 IAM 政策來控制工作群組存取](workgroups-iam-policy.md)和[工作群組政策範例](example-policies-workgroup.md)。
## AWS 受管政策:AmazonAthenaFullAccess
`AmazonAthenaFullAccess` 受管政策會授予 Athena 的完整存取權。
若要提供存取權,請新增許可到您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《IAM 使用者指南》**的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的指示。
### 許可群組
`AmazonAthenaFullAccess` 政策會分組為以下許可集。
+ **`athena`** – 允許委託人存取 Athena 資源。
+ **`glue`** – 允許主體存取 AWS Glue 目錄、資料庫、資料表和分割區。這是必要的,以便委託人可以搭配 Athena 使用 AWS Glue Data Catalog。
+ **`s3`** – 允許委託人寫入和讀取來自 Simple Storage Service (Amazon S3) 的查詢結果,讀取位於 Simple Storage Service (Amazon S3) 中的公開可用 Athena 資料範例,並列出儲存貯體。委託人需要此許可才能使用 Athena 以與 Simple Storage Service (Amazon S3) 搭配運作。
+ **`sns`** – 允許委託人列出 Amazon SNS 主題並取得主題屬性。這可讓委託人將 Amazon SNS 主題搭配 Athena 使用,以用於監控和提醒用途。
+ **`cloudwatch`** – 允許委託人建立、讀取和刪除 CloudWatch 警示。如需詳細資訊,請參閱[使用 CloudWatch 和 EventBridge 來監控查詢和控制成本](workgroups-control-limits.md)。
+ **`lakeformation`** – 允許委託人要求臨時憑證,以存取位於向 Lake Formation 註冊的資料湖位置中的資料。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》**中的[基礎資料存取控制](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-underlying-data.html)。
+ **`datazone`** – 允許主體列出 Amazon DataZone 專案、網域和環境。如需有關在 Athena 中使用 DataZone 的詳細資訊,請參閱 [在 Athena 中使用 Amazon DataZone](datazone-using.md)。
+ **`pricing`** – 提供 的存取權 AWS 帳單與成本管理。如需詳細資訊,請參閱《AWS 帳單與成本管理 API 參考》**中的 [GetProducts](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_pricing_GetProducts.html)。
若要檢視此政策的許可,請參閱《 AWS 受管政策參考》中的 [AmazonAthenaFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAthenaFullAccess.html)。
**注意**
您必須明確允許存取服務擁有的 Amazon S3 儲存貯體,以存放範例查詢和範例資料集。如需詳細資訊,請參閱[資料周邊](data-perimeters.md)。
## AWS 受管政策:AWSQuicksightAthenaAccess
`AWSQuicksightAthenaAccess` 會授予 Quick 與 Athena 整合所需的動作存取權。您可將 `AWSQuicksightAthenaAccess` 政策連接到 IAM 身分。僅將此政策連接到使用 Quick with Athena 的委託人。此政策包含的 Athena 動作,有些已被取代且未包含在目前的公有 API 中,或是僅用於 JDBC 和 ODBC 驅動程式。
### 許可群組
`AWSQuicksightAthenaAccess` 政策會分組為以下許可集。
+ **`athena`** – 允許委託人在 Athena 資源上執行查詢。
+ **`glue`** – 允許主體存取 AWS Glue 目錄、資料庫、資料表和分割區。這是必要的,以便委託人可以搭配 Athena 使用 AWS Glue Data Catalog。
+ **`s3`** – 允許委託人從 Simple Storage Service (Amazon S3) 寫入和讀取查詢結果。
+ **`lakeformation`** – 允許委託人要求臨時憑證,以存取位於向 Lake Formation 註冊的資料湖位置中的資料。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》**中的[基礎資料存取控制](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-underlying-data.html)。
若要檢視此政策的許可,請參閱《 AWS 受管政策參考》中的 [AWSQuicksightAthenaAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuicksightAthenaAccess.html)。
## AWS 受管政策的 Athena 更新
檢視自此服務開始追蹤這些變更以來,Athena AWS 受管政策更新的詳細資訊。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSQuicksightAthenaAccess](#awsquicksightathenaaccess-managed-policy) – 現有政策的更新 | 新增了 glue:GetCatalog 和 glue:GetCatalogs 許可,讓 Athena 使用者能夠存取 SageMaker AI Lakehouse 目錄。 | 2025 年 1 月 2 日 |
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) – 更新現有政策 | 新增了 glue:GetCatalog 和 glue:GetCatalogs 許可,讓 Athena 使用者能夠存取 SageMaker AI Lakehouse 目錄。 | 2025 年 1 月 2 日 |
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) – 更新現有政策 | 讓 Athena 使用公開記載 AWS Glue 的 `GetCatalogImportStatus` API 擷取目錄匯入狀態。 | 2024 年 6 月 18 日 |
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) – 更新現有政策 | 新增 `datazone:ListDomains`、`datazone:ListProjects`、和 `datazone:ListAccountEnvironments` 許可,讓 Athena 使用者能夠使用 Amazon DataZone 網域、專案和環境。如需詳細資訊,請參閱[在 Athena 中使用 Amazon DataZone](datazone-using.md)。 | 2024 年 1 月 3 日 |
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) – 更新現有政策 | 新增 `glue:StartColumnStatisticsTaskRun`、 `glue:GetColumnStatisticsTaskRun`和 `glue:GetColumnStatisticsTaskRuns`許可,讓 Athena 有權呼叫 AWS Glue 來擷取成本型最佳化工具功能的統計資料。如需詳細資訊,請參閱[使用成本型最佳化工具](cost-based-optimizer.md)。 | 2024 年 1 月 3 日 |
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) – 更新現有政策 | Athena 已新增 `pricing:GetProducts`,以提供對 AWS 帳單與成本管理的存取。如需詳細資訊,請參閱《AWS 帳單與成本管理 API 參考》**中的 [GetProducts](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_pricing_GetProducts.html)。 | 2023 年 1 月 25 日 |
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) – 更新現有政策 | Athena 新增了 `cloudwatch:GetMetricData` 以擷取 CloudWatch 指標值。如需詳細資訊,請參閱《Amazon CloudWatch API 參考**》中的 [GetMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricData.html)。 | 2022 年 11 月 14 日 |
| [AmazonAthenaFullAccess](#amazonathenafullaccess-managed-policy) 和 [AWSQuicksightAthenaAccess](#awsquicksightathenaaccess-managed-policy) - 現有政策的更新 | Athena 新增了 `s3:PutBucketPublicAccessBlock`,以封鎖對 Athena 建立的儲存貯體的公開存取。 | 2021 年 7 月 7 日 |
| Athena 已開始追蹤變更 | Athena 開始追蹤其 AWS 受管政策的變更。 | 2021 年 7 月 7 日 |