Блог

Я хочу запретить пользователю выполнять запросы ВСТАВКИ в главной таблице (не в таблице CTAS) в athena. Если есть способ, я могу этого добиться? пользователь будет выполнять запросы из Lambda.

Athena просто поддерживает StartQueryExecution StopQueryExecution действия и как в политиках разрешений IAM, поэтому нет различий, какой тип SQL-команды (DDL, DML) выполняется.

Однако, я думаю, вы можете преодолеть это, отказав в разрешениях glue , и S3 поэтому запросы Athena, которые пытаются выполнить вставки, завершатся неудачей:

• правами доступа к клею можно управлять на уровне каталога, базы данных и таблицы, некоторые примеры можно найти в политиках AWS на основе идентификации (IAM Policies) для управления доступом к Glue
• Соответствующие действия склеивания, которые нужно запретить: BatchCreatePartition , CreatePartition , UpdatePartition — см. Раздел Действия, ресурсы и ключи условий для AWS Glue
• Если S3 вам нужно запретить PutObject или Put* для расположения конкретной таблицы в формате S3, см. Действия, определенные Amazon S3 — опять же, это может быть определено на уровне объекта в корзине.