Consenti l'accesso a un connettore dati Athena per il metastore Hive esterno - Amazon Athena

Consenti l'accesso a un connettore dati Athena per il metastore Hive esterno

Negli esempi di policy di autorizzazione in questo argomento vengono illustrate le operazioni consentite obbligatorie e le risorse per le quali sono consentite. Esamina attentamente queste policy e modificale in base si tuoi requisiti prima di collegare policy di autorizzazione simili a identità IAM.

Esempio
: consenti a un principale IAM di eseguire query sui dati utilizzando Athena Data Connector per il metastore Hive esterno

La seguente policy è collegata ai principali IAM oltre alla AWSPolicy gestita da : AmazonAthenaFullAccess, che concede l'accesso completo a operazioni Athena.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction",
                "lambda:GetLayerVersion",
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunction",
                "arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction",
                "arn:aws:lambda:*:111122223333:layer:MyAthenaLambdaLayer:*"
            ]
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
            "Resource": "arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"
        }
    ]
}
Spiegazione delle autorizzazioni
Operazioni consentite Spiegazione 
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"

Le operazioni s3 consentono di leggere e scrivere nella risorsa specificata come "arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation", dove MyLambdaSpillLocation identifica il bucket spill specificato nella configurazione della funzione o delle funzioni Lambda richiamate. L'identificatore di risorsa arn:aws:lambda:*:MyAWSAcctId:layer:MyAthenaLambdaLayer:* è richiesto solo se utilizzi un livello Lambda per creare dipendenze di runtime personalizzate per ridurre le dimensioni degli artefatti della funzione in fase di distribuzione. Il * nell'ultima posizione è un carattere jolly per la versione del livello.

 
"lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
 Consente alle query di richiamare le funzioni AWS Lambda specificate nel blocco Resource. Ad esempio, arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction, dove MyAthenaLambdaFunction specifica il nome di una funzione Lambda da richiamare. Più funzioni possono essere specificate come mostrato nell'esempio.
Esempio
: consenti a un principale IAM di creare un Athena Data Connector per il metastore Hive esterno

La seguente policy è collegata ai principali IAM oltre alla AWSPolicy gestita da : AmazonAthenaFullAccess, che concede l'accesso completo a operazioni Athena.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "lambda:GetFunction",
                "lambda:ListFunctions",
                "lambda:GetLayerVersion",
                "lambda:InvokeFunction",
                "lambda:CreateFunction",
                "lambda:DeleteFunction",
                "lambda:PublishLayerVersion",
                "lambda:DeleteLayerVersion",
                "lambda:UpdateFunctionConfiguration",
                "lambda:PutFunctionConcurrency",
                "lambda:DeleteFunctionConcurrency"
            ],
            "Resource": "arn:aws:lambda:*:111122223333: function: MyAthenaLambdaFunctionsPrefix*"
        }
    ]
}

Spiegazione delle autorizzazioni

Consente alle query di richiamare le funzioni AWS Lambda per le funzioni AWS Lambda specificate nel blocco Resource. Ad esempio, arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction, dove MyAthenaLambdaFunction specifica il nome di una funzione Lambda da richiamare. Più funzioni possono essere specificate come mostrato nell'esempio.