使用 IAM 策略控制工作组访问
要控制对工作组的访问,使用资源级 IAM 权限或基于身份的 IAM policy。每当您使用 IAM policy 时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《IAM 用户指南》中的 IAM 安全最佳实践。
注意
要访问启用了可信身份传播的工作组,必须将 IAM Identity Center 用户分配给由 Athena GetWorkGroup API 操作的响应返回的 IdentityCenterApplicationArn
。
以下是 Athena 的特定过程。
有关 IAM 的特定信息,请参阅本节末尾列出的链接。有关示例 JSON 工作组策略的信息,请参阅工作组策略示例。
要在 IAM 控制台中使用可视化编辑器创建工作组策略
登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择 Policies (策略),然后选择 Create policy (创建策略)。
-
在可视化编辑器选项卡上,选择选择服务。然后,选择要添加到策略的 Athena。
-
选择 Select actions (选择操作),然后选择要添加到策略的操作。可视化编辑器会显示 Athena 中可用的操作。有关更多信息,请参阅《服务授权参考》中的 Amazon Athena 的操作、资源和条件键。
-
选择 add actions (添加操作) 以键入特定操作,或使用通配符 (*) 指定多个操作。
预设情况下,您创建的策略允许执行选择的操作。如果您在 Athena 中选择对
workgroup
资源执行一个或多个支持资源级权限的操作,则编辑器会列出workgroup
资源。 -
选择 Resources (资源),为您的策略指定特定的工作组。有关示例 JSON 工作组策略,请参阅工作组策略示例。
-
指定
workgroup
资源,如下所示:arn:aws:athena:
<region>
:<user-account>
:workgroup/<workgroup-name>
-
选择 Review policy (查看策略),然后为您创建的策略键入 Name (名称) 和 Description (描述)(可选)。查看策略摘要以确保您已授予所需的权限。
-
选择创建策略可保存您的新策略。
-
将此基于身份的策略附加到用户、组或角色。
有关详细信息,请参阅服务授权参考和《IAM 用户指南》中的以下主题:
有关示例 JSON 工作组策略,请参阅工作组策略示例。
有关 Amazon Athena 操作的完整列表,请参阅 Amazon Athena API 参考中的 API 操作名称。