# Permisos para crear y utilizar un origen de datos en Athena
## AWS Glue Data Catalog conectores federados sin permisos de Lambda
+ **Permisos de entidad principal de IAM para invocar la API de Athena para la administración y consulta de conectores**
+ **Acceso de Amazon Athena**: AmazonAthenaFullAccess que proporciona acceso completo a Amazon Athena y acceso delimitado a las dependencias necesarias para permitir la consulta, la escritura de resultados y la administración de datos. Para obtener más información, consulte [AmazonAthenaFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAthenaFullAccess.html) en la Guía de referencia de políticas administradas por AWS.
+ **Administración de conexiones de AWS Glue**: permisos para crear y administrar objetos de conexión de AWS Glue.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetConnection",
"glue:CreateConnection",
"glue:DeleteConnection",
"glue:UpdateConnection"
],
"Resource": "*"
}
]
}
```
**nota**
Este ejemplo de política utiliza `"Resource": "*"` por motivos de simplicidad. En el caso de los entornos de producción, limite los permisos a recursos específicos siempre que sea posible.
+ **Acceso de AWS Lake Formation**: permisos para crear un catálogo de AWS Glue y utilizar un control de acceso detallado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:RegisterResource",
"iam:ListRoles",
"glue:CreateCatalog",
"glue:GetCatalogs",
"glue:GetCatalog"
],
"Resource": "*"
}
]
}
```
------
+ **Rol de IAM del Catálogo de datos de Glue**
+ En esta sección se describen los permisos necesarios para que Athena aprovisione la infraestructura y consulte el origen de datos. La consulta federada de Amazon Athena requiere los siguientes permisos en el rol transferido al **rol de IAM del Catálogo de datos de Glue**.
**nota**
Cuando se conecta a un origen de datos en una VPC, Athena crea una interfaz de red elástica (ENI) en su cuenta dentro de la VPC especificada. El rol de IAM requiere permisos de EC2 para crear, describir y eliminar esta interfaz de red.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:ManagedConnector",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"dynamodb:Scan",
"dynamodb:Query",
"dynamodb:GetItem",
"dynamodb:BatchGetItem"
],
"Resource": "*"
}
]
}
```
**nota**
Este ejemplo de política utiliza `"Resource": "*"` por motivos de simplicidad. En el caso de los entornos de producción, limite los permisos a recursos específicos siempre que sea posible. Por ejemplo, limite los permisos de Secrets Manager a ARN de secretos específicos.
**Explicación de permisos**
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/athena/latest/ug/connect-to-a-data-source-permissions.html)
## Conectores federados de AWS Glue Data Catalog sin permisos de Lambda
+ **Permisos de entidad principal de IAM para invocar la API de Athena para la administración y consulta de conectores**
+ **Acceso de Amazon Athena**: AmazonAthenaFullAccess que proporciona acceso completo a Amazon Athena y acceso delimitado a las dependencias necesarias para permitir la consulta, la escritura de resultados y la administración de datos. Para obtener más información, consulte [AmazonAthenaFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAthenaFullAccess.html) en la Guía de referencia de políticas administradas por AWS.
+ **Permisos de administración de conectores**: se necesitan los siguientes permisos para llamar a la API DataCatalog de Athena cuando se utilizan conectores basados en Lambda. Consulte [Permisos necesarios para crear el conector y el catálogo de Athena](athena-catalog-access.md).
+ **Acceso de AWS Lake Formation (si se usa Lake Formation)**: permisos para crear un catálogo de AWS Glue y utilizar un control de acceso detallado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:RegisterResource",
"iam:ListRoles",
"glue:CreateCatalog",
"glue:GetCatalogs",
"glue:GetCatalog"
],
"Resource": "*"
}
]
}
```
------
## Permisos de conectores federados del catálogo de datos de Athena
+ **Permisos de entidad principal de IAM para invocar la API de Athena para la administración y consulta de conectores**
+ **Acceso de Amazon Athena**: AmazonAthenaFullAccess que proporciona acceso completo a Amazon Athena y acceso delimitado a las dependencias necesarias para permitir la consulta, la escritura de resultados y la administración de datos. Para obtener más información, consulte [AmazonAthenaFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAthenaFullAccess.html) en la Guía de referencia de políticas administradas por AWS.
+ **Permisos de administración de conectores**: se necesitan los siguientes permisos para llamar a la API DataCatalog de Athena cuando se utilizan conectores basados en Lambda. Consulte [Permisos necesarios para crear el conector y el catálogo de Athena](athena-catalog-access.md).