Por que os usuários do IAM podem usar o Athena para acessar meus recursos do Catálogo de dados mesmo depois de eu restringir suas permissões em Lake Formation?

Breve descrição

Para restringir o acesso do usuário do IAM, atualize as configurações de segurança padrão dos recursos novos e existentes do Catálogo de Dados para usar o modelo de permissões do Lake Formation.

Para saber mais sobre as permissões padrão do Lake Formation, consulte Atualização das permissões de dados do AWS Glue para o modelo do AWS Lake Formation.

Resolução

Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Atualizar as configurações de segurança padrão para um novo recurso do Catálogo de dados

Para um novo recurso de Catálogo de dados em seu data lake, consulte Como alterar as configurações padrão do seu data lake. As atualizações das configurações de segurança padrão se aplicam somente aos novos recursos.

Para atualizar as configurações de segurança somente para novos recursos específicos, crie o recurso. Em seguida, atualize as permissões somente no recurso. Para obter mais informações, consulte Conceder permissões em recursos do Catálogo de dados.

Atualizar as configurações de segurança de um recurso existente do Catálogo de dados

Para remover as permissões IAMAllowedPrincipals de um banco de dados existente, realize as seguintes etapas:

1. Abra o console do AWS Lake Formation.
2. No painel de navegação, em Catálogo de dados, escolha Bancos de dados.
3. Selecione o círculo ao lado do banco de dados que você deseja atualizar.
4. Escolha Ações, em seguida, escolha Editar.
5. Em Permissões padrão para tabelas recém-criadas, desmarque Usar somente o controle de acesso do IAM para novas tabelas neste banco de dados.
6. Escolha Salvar.
7. Na página Bancos de dados, verifique se o banco de dados está selecionado. Escolha Ações e, em seguida, escolha Revogar.
8. Na caixa de diálogo Revogar permissões, na lista de usuários e perfis do IAM, em Grupo, escolha IAMAllowedPrincipals.
9. Em Permissões do banco de dados, verifique se Super está selecionado e escolha Revogar.

Para remover as permissões IAMAllowedPrincipals em uma tabela existente, realize as seguintes etapas:

1. Abra o console do AWS Lake Formation.
2. No painel de navegação, selecione Tópicos.
3. Na página Tabelas, selecione o círculo ao lado da tabela que você deseja atualizar.
4. Escolha Ações e, em seguida, escolha Revogar.
5. Na caixa de diálogo Revogar permissões, na lista de usuários e perfis do IAM, em Grupo, escolha IAMAllowedPrincipals.
6. Em Permissões da tabela, verifique se Super está selecionado e escolha Revogar.

Observação: certifique-se de que o caminho do Amazon Simple Storage Service (Amazon S3) para o banco de dados ou a tabela esteja registrado no Lake Formation.

Depois de alterar as configurações de segurança de um recurso existente, use o AWS CLI ou o console do Lake Formation para conceder permissões de tabela ao usuário do IAM.

Para realizar operações de Lake Formation, o usuário deve ter permissões de Lake Formation e IAM. Para consultar uma tabela do Athena quando o Lake Formation gerencia permissões, o usuário deve ter as seguintes permissões do IAM:

{  
    "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Sid": "minimumAWSGlueLakeFormationAthenapermissiontorunselectqueryontable",  
            "Effect": "Allow",  
            "Action": [  
                "lakeformation:GetDataAccess",  
                "glue:SearchTables",  
                "glue:GetTables",  
                "glue:GetPartitions",  
                "glue:GetDatabases",  
                "glue:GetTable",  
                "glue:GetDatabase",  
                "athena:GetNamespace",  
                "athena:ListWorkGroups",  
                "athena:GetCatalogs",  
                "athena:GetNamespaces",  
                "athena:GetExecutionEngine",  
                "athena:GetExecutionEngines",  
                "athena:GetTables",  
                "athena:GetTable"  
            ],  
            "Resource": "*"  
        },  
        {  
            "Sid": "AthenaPermissionToRunQueryInAWorkergroup",  
            "Effect": "Allow",  
            "Action": [  
                "athena:StartQueryExecution",  
                "athena:GetQueryResults",  
                "athena:DeleteNamedQuery",  
                "athena:GetNamedQuery",  
                "athena:ListQueryExecutions",  
                "athena:StopQueryExecution",  
                "athena:GetQueryResultsStream",  
                "athena:ListNamedQueries",  
                "athena:CreateNamedQuery",  
                "athena:GetQueryExecution",  
                "athena:BatchGetNamedQuery",  
                "athena:BatchGetQueryExecution"  
            ],  
            "Resource": [  
                "arn:aws:athena:*:*:workgroup/*"  
            ]  
        },  
        {  
            "Sid": "allowS3PermissionToSaveAthenaQueryResults",  
            "Effect": "Allow",  
            "Action": [  
                "s3:PutObject",  
                "s3:GetObject",  
                "s3:ListBucketMultipartUploads",  
                "s3:AbortMultipartUpload",  
                "s3:CreateBucket",  
                "s3:ListBucket",  
                "s3:GetBucketLocation",  
                "s3:ListMultipartUploadParts"  
            ],  
            "Resource": [  
                "arn:aws:s3:::aws-athena-query-results-*"  
            ]  
        }  
    ]  
}