配置对工作组和标签的访问 - Amazon Athena

配置对工作组和标签的访问

工作组是由 Athena 管理的资源。因此,如果您的工作组策略使用获取 workgroup 作为输入的操作,您必须如下所示指定工作组的 ARN,其中 workgroup-name 是您的工作组的名称:

"Resource": [arn:aws:athena:region:AWSAcctID:workgroup/workgroup-name]

例如,对于 us-west-2 区域中用于 Amazon Web Services 账户 123456789012 的名为 test_workgroup 的工作组,请使用以下 ARN 指定工作组作为资源:

"Resource":["arn:aws:athena:us-east-2:123456789012:workgroup/test_workgroup"]

要访问启用了可信身份传播(TIP)的工作组,必须将 IAM Identity Center 用户分配给由 Athena GetWorkGroup API 操作的响应返回的 IdentityCenterApplicationArn

每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《IAM 用户指南》中的 IAM 安全最佳实践