~~NOCACHE~~

## 90.データカタログへのアクセス権限
Glueのデータカタログ(データベース/テーブル)はAthenaで分析可能です。
サンプルになりますが、以下のようにIAMポリシーでアクセス権を制御できます。

※なお・・・AthenaでCREATE TABLEをするとGlueにデータベースができるそうです。(知らなかった)
https://docs.aws.amazon.com/ja_jp/athena/latest/ug/tables-location-format.html

### サンプルIAMポリシー
#### 指定したデータベース/テーブルのみアクセス可能とする
下記は、Athenaの他にデータカタログとなるGlueのデータベースとテーブルを指定して許可するポリシーになります。
この他にデータカタログのソースへのアクセスも必要そうで、データソースがS3バケットの場合は、対象のS3バケットへのアクセス権も付与することでAthenaから分析可能になります。
<sxh bash; highlight: []; gutter:True>
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "Athena:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "",
            "Effect": "Allow",
            "Action": [
                "glue:*"
            ],
            "Resource": [
                "arn:aws:glue:[リージョン]:[アカウントID]:catalog",
                "arn:aws:glue:[リージョン]:[アカウントID]:database/[データベース名]",
                "arn:aws:glue:[リージョン]:[アカウントID]:table/[データベース名]/*"
            ]
        }
    ]
}
</sxh>

#### 指定したデータベース指定でアクセス拒否する場合
下記は、Glueのデータベースとテーブルを指定して拒否するポリシーになります。
<sxh bash; highlight: []; gutter:True>
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Deny",
            "Action": [
                "glue:*"
            ],
            "Resource": [
                "arn:aws:glue:[リージョン]:[アカウントID]:database/[データベース名]"
            ]
        }
    ]
}
</sxh>
{{tag>AWS Glue Athena なるほど}}