Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Beispiel für Arbeitsgruppenrichtlinien

RSS
Fokusmodus
Beispiel für Arbeitsgruppenrichtlinien - Amazon Athena

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

In diesem Abschnitt sind Beispielrichtlinien enthalten, die Sie verwenden können, um verschiedene Aktionen in Arbeitsgruppen zu aktivieren. Wenn Sie IAM Richtlinien verwenden, stellen Sie sicher, dass Sie sich an IAM bewährte Methoden halten. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

Eine Arbeitsgruppe ist eine von IAM Athena verwaltete Ressource. Wenn Ihre Arbeitsgruppenrichtlinie also Aktionen verwendet, die workgroup als Eingabe dienen, müssen Sie die Arbeitsgruppen wie folgt angeben: ARN

"Resource": [arn:aws:athena:<region>:<user-account>:workgroup/<workgroup-name>]

Hierbei ist <workgroup-name> der Name Ihrer Arbeitsgruppe. Eine Arbeitsgruppe mit dem Namen test_workgroup geben Sie beispielsweise wie folgt als Ressource an:

"Resource": ["arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup"]

Eine vollständige Liste der Amazon Athena Athena-Aktionen finden Sie unter den API Aktionsnamen in der Amazon Athena Athena-Referenz API. Weitere Informationen zu IAM Richtlinien finden Sie im IAMBenutzerhandbuch unter Richtlinien mit dem visuellen Editor erstellen. Weitere Informationen zum Erstellen von IAM Richtlinien für Arbeitsgruppen finden Sie unterVerwenden Sie IAM Richtlinien, um den Zugriff auf Arbeitsgruppen zu kontrollieren.

Beispielrichtlinie für Vollzugriff auf alle Arbeitsgruppen

Die folgende Richtlinie erlaubt den vollständigen Zugriff auf alle möglicherweise in dem Konto vorhandenen Arbeitsgruppenressourcen. Wir empfehlen Ihnen, diese Richtlinie für die Benutzer in Ihrem Konto zu verwenden, die Arbeitsgruppen für alle anderen Benutzer verwalten müssen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
Beispielrichtlinie für Vollzugriff auf eine angegebene Arbeitsgruppe

Die folgende Richtlinie gewährt vollständigen Zugriff auf eine einzelne Arbeitsgruppenressource namens workgroupA. Sie können diese Richtlinie für Benutzer mit vollständiger Kontrolle über eine bestimmte Arbeitsgruppe verwenden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:ListEngineVersions",
                "athena:ListWorkGroups",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:GetDatabase",
                "athena:ListTableMetadata",
                "athena:GetTableMetadata"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:GetQueryExecution",
                "athena:ListQueryExecutions",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:CreateNamedQuery",
                "athena:GetNamedQuery",
                "athena:BatchGetNamedQuery",
                "athena:ListNamedQueries",
                "athena:DeleteNamedQuery",
                "athena:CreatePreparedStatement",
                "athena:GetPreparedStatement",
                "athena:ListPreparedStatements",
                "athena:UpdatePreparedStatement",
                "athena:DeletePreparedStatement"
            ],
            "Resource": [
                "arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "athena:DeleteWorkGroup",
                "athena:UpdateWorkGroup",
                "athena:GetWorkGroup",
                "athena:CreateWorkGroup"
            ],
            "Resource": [
                "arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA"
            ]
        }
    ]
}
Beispielrichtlinie für die Ausführung von Abfragen in einer angegebenen Arbeitsgruppe

In der folgenden Richtlinie ist ein Benutzer berechtigt, Abfragen in der angegebenen workgroupA auszuführen und anzuzeigen. Der Benutzer darf keine Verwaltungsaufgaben für die Arbeitsgruppe selbst durchführen, sie also beispielsweise nicht aktualisieren oder löschen. Beachten Sie, dass die Beispielrichtlinie Benutzer nicht nur auf diese Arbeitsgruppe beschränkt oder anderen Arbeitsgruppen den Zugriff verweigert.

{
    "Version": "2012-10-17",
    "Statement": [
       {
            "Effect": "Allow",
            "Action": [
                "athena:ListEngineVersions",
                "athena:ListWorkGroups",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:GetDatabase",
                "athena:ListTableMetadata",
                "athena:GetTableMetadata"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "athena:GetWorkGroup", 
                "athena:BatchGetQueryExecution",
                "athena:GetQueryExecution",
                "athena:ListQueryExecutions",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:CreateNamedQuery",
                "athena:GetNamedQuery",
                "athena:BatchGetNamedQuery",
                "athena:ListNamedQueries",
                "athena:DeleteNamedQuery",
                "athena:CreatePreparedStatement",
                "athena:GetPreparedStatement",
                "athena:ListPreparedStatements",
                "athena:UpdatePreparedStatement",
                "athena:DeletePreparedStatement"
            ],
            "Resource": [
                "arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA"
            ]
        }
    ]
}
Beispielrichtlinie für die Ausführung von Abfragen in der primären Arbeitsgruppe

Sie können das vorherige Beispiel ändern, um es einem bestimmten Benutzer zu gestatten, auch Abfragen in der primären Arbeitsgruppe auszuführen.

Anmerkung

Wir empfehlen, dass Sie die primäre Arbeitsgruppenressource für alle Benutzer hinzufügen, die ansonsten für die Ausführung von Abfragen in ihren angegebenen Arbeitsgruppen konfiguriert sind. Es ist sinnvoll, diese Ressource ihren Arbeitsgruppen-Benutzerrichtlinien hinzuzufügen, falls ihre bezeichnete Arbeitsgruppe gelöscht oder deaktiviert wird. Sie können dann weiterhin Abfragen in der primären Arbeitsgruppe ausführen.

Damit Benutzer in Ihrem Konto Abfragen in der primären Arbeitsgruppe ausführen können, fügen Sie dem Ressourcenbereich ARN von eine Zeile hinzu, die die der primären Arbeitsgruppe enthältExample policy for running queries in a specified workgroup, wie im folgenden Beispiel.

arn:aws:athena:us-east-1:123456789012:workgroup/primary"
Beispielrichtlinie für Verwaltungsvorgänge in einer angegebenen Arbeitsgruppe

In der folgenden Richtlinie ist ein Benutzer berechtigt, eine Arbeitsgruppe zu erstellen, zu löschen, Details darüber abzurufen und die Arbeitsgruppe test_workgroup zu aktualisieren. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:ListEngineVersions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "athena:CreateWorkGroup",
                "athena:GetWorkGroup",
                "athena:DeleteWorkGroup",
                "athena:UpdateWorkGroup"
            ],
            "Resource": [
                "arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup"
            ]
        }
    ]
}
Beispielrichtlinie für die Auflistung von Arbeitsgruppen

Mit der folgenden Richtlinie erhalten alle Benutzer die Berechtigung, alle Arbeitsgruppen aufzulisten:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:ListWorkGroups"
            ],
            "Resource": "*"
        }
    ]
}
Beispielrichtlinie für die Ausführung und Anhalten von Abfragen in einer angegebenen Arbeitsgruppe

In dieser Richtlinie ist ein Benutzer berechtigt, Abfragen in der Arbeitsgruppe auszuführen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:StartQueryExecution",
                "athena:StopQueryExecution"
            ],
            "Resource": [
                "arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup"
            ]
        }
    ]
}
Beispielrichtlinie für die Arbeit mit benannten Abfragen in einer angegebenen Arbeitsgruppe

In der folgenden Richtlinie verfügt ein Benutzer über Berechtigungen zum Erstellen, Löschen und Abrufen von Informationen über benannte Abfragen in der angegebenen Arbeitsgruppe:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:CreateNamedQuery",
                "athena:GetNamedQuery",
                "athena:DeleteNamedQuery"
            ],
            "Resource": [
                "arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup"            ]
        }
    ]
}
Beispiel
-Beispielrichtlinie für die Nutzung von Spark-Notebooks in Athena

Verwenden Sie für die Arbeit mit Spark-Notebooks in Athena beispielsweise die folgende Richtlinie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreatingWorkGroupWithDefaults",
            "Action": [
                "athena:CreateWorkGroup",
                "s3:CreateBucket",
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:AttachRolePolicy",
                "s3:GetBucketLocation",
                "athena:ImportNotebook"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:athena:us-east-1:123456789012:workgroup/Demo*",
                "arn:aws:s3:::123456789012-us-east-1-athena-results-bucket-*",
                "arn:aws:iam::123456789012:role/service-role/AWSAthenaSparkExecutionRole-*",
                "arn:aws:iam::123456789012:policy/service-role/AWSAthenaSparkRolePolicy-*"
            ]
        },
        {
            "Sid": "AllowRunningCalculations",
            "Action": [
                "athena:ListWorkGroups",
                "athena:GetWorkGroup",
                "athena:StartSession",
                "athena:CreateNotebook",
                "athena:ListNotebookMetadata",
                "athena:ListNotebookSessions",
                "athena:GetSessionStatus",
                "athena:GetSession",
                "athena:GetNotebookMetadata",
                "athena:CreatePresignedNotebookUrl"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:athena:us-east-1:123456789012:workgroup/Demo*"
        },
        {
            "Sid": "AllowListWorkGroupAndEngineVersions",
            "Action": [
                "athena:ListWorkGroups",
                "athena:ListEngineVersions"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.