AWSDynamoDB跨账户访问Athena _程序开发

AWSDynamoDB跨账户访问Athena

创始人

2024-09-24 22:31:09

0次

在 DynamoDB 的源账户创建一个 IAM role，并赋予该 role DAXReadOnlyAccess 和 AthenaSelectedDatabasesAccess 权限。
创建一个名为 Assume-DynamoDB-Role-Policy 的 IAM 信任策略，用于分析器账户允许访问 DynamoDB role。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{SOURCE_ACCOUNT}:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

其中，{SOURCE_ACCOUNT} 是 DynamoDB 源账户的账户 ID。

在 Athena 目标账户上创建一个 IAM rol，并赋予该 role 下列权限：

AmazonAthenaFullAccess
AthenaQueryExecitionAccess
AWSGlueSchemaRegistryReadOnlyAccess
CloudWatchLogsReadOnlyAccess
AmazonS3ReadOnlyAccess

创建一个名为 CrossAccount-Athena-Trust-Policy 的 IAM 信任策略，用于 DynamoDB aws 访问 Athena 的 role 允许 Athena role 做查询读取操作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{TARGET_ACCOUNT}:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

其中，{TARGET_ACCOUNT} 是 Athena 目标账户的账户 ID。

然后，以 DynamoDB 源账户所拥有的 IAM role 身份登录到 Athena 目标账户。
在 Athena 中创建一个外部表并使用 DynamoDB 在 Athena 中访问的 IAM role：

CREATE EXTERNAL TABLE MyDynamoTable (
  keycol string,
  valuecol string
) STORED BY 'org.apache.hadoop.hive.dynamodb.DynamoDBStorageHandler'
TBLPROPERTIES (
  "dynamodb

上一篇：AWSDynamoDB局部索引项集合大小限制

下一篇：AWSDynamoDB流处理使用GoLambda的方法

AWSDynamoDB跨账户访问Athena

相关内容

热门资讯