限制用户在雅典娜上执行INSERT查询

Question

我想限制用户在雅典娜的主表（不是CTAS表）中执行INSERT查询。 如果可以的话，我能做到吗？ 用户将从Lambda执行查询。

Answer 1

雅典娜仅支持<controls:DataGridTextColumn …… Visibility="{x:Bind SourceClass.Visible,Mode=OneWay}" /> 和SourceClass.Visible作为IAM permission policies中的动作-因此，没有区别正在执行哪种类型的SQL命令（DDL，DML）。

但是，我认为您可以通过拒绝对StartQueryExecution和StopQueryExecution的访问权限来解决此问题，因此尝试执行INSERT的Athena查询将失败：

• 可以在目录，数据库和表级别上管理胶水权限，可以在AWS的Identity-Based Policies (IAM Policies) for Access Control for Glue
中找到一些示例
• 要拒绝的相关胶合动作：glue，S3，BatchCreatePartition-参见Actions, resources, and condition keys for AWS Glue
• 在CreatePartition上，您需要针对特定​​表的S3位置拒绝UpdatePartition或S3，请参见Actions defined by Amazon S3-再次可以在对象级中定义一个水桶。