工作组是由 Athena 管理的资源。因此,如果您的工作组策略使用获取 workgroup 作为输入的操作,您必须如下所示指定工作组的 ARN,其中 workgroup-name
"Resource": [arn:aws:athena:region:AWSAcctID:workgroup/workgroup-name]
例如,对于 us-west-2 区域中用于 Amazon Web Services 账户 123456789012 的名为 test_workgroup 的工作组,请使用以下 ARN 指定工作组作为资源:
"Resource":["arn:aws:athena:us-east-2:123456789012:workgroup/test_workgroup"]要访问启用了可信身份传播(TIP)的工作组,必须将 IAM Identity Center 用户分配给由 Athena GetWorkGroup API 操作的响应返回的 IdentityCenterApplicationArn。
-
有关工作组策略的列表,请参阅工作组策略示例。
-
有关工作组的基于标签的策略列表,请参阅使用基于标签的 IAM 访问控制策略。
-
有关为工作组创建 IAM policy 的更多信息,请参阅 使用 IAM 策略控制工作组访问。
-
有关 Amazon Athena 操作的完整列表,请参阅 Amazon Athena API 参考中的 API 操作名称。
-
有关 IAM policy 的更多信息,请参阅《IAM 用户指南》中的使用可视化编辑器创建策略。
每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《IAM 用户指南》中的 IAM 安全最佳实践。
