本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定存取工作群組和標籤
<a name="workgroups-access"></a>

工作群組是由 Athena 管理的資源。因此，如果您的工作群組政策使用的動作接受 `workgroup` 做為輸入，您必須指定工作群組的 ARN，如下所示，其中 `{{workgroup-name}}` 是工作群組的名稱：

```
"Resource": [arn:aws:athena:{{region}}:{{AWSAcctID}}:workgroup/{{workgroup-name}}]
```

例如，在 Amazon Web Services 帳戶 `123456789012` 的 `us-west-2` 區域中，對於名為 `test_workgroup` 的工作群組，使用以下 ARN 將工作群組指定為資源：

```
"Resource":["arn:aws:athena:us-east-2:123456789012:workgroup/test_workgroup"]
```

若要存取啟用受信任身分傳播 (TIP) 的工作群組，IAM Identity Center 使用者必須指派給 Athena [GetWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetWorkGroup.html) API 動作回應所傳回的 `IdentityCenterApplicationArn`。
+ 如需工作群組政策的清單，請參閱[工作群組政策範例](example-policies-workgroup.md)。
+ 如需工作群組的標籤型政策清單，請參閱[使用標籤型 IAM 存取控制政策](tags-access-control.md)。
+ 如需有關為工作群組建立 IAM 政策的詳細資訊，請參閱[使用 IAM 政策來控制工作群組存取](workgroups-iam-policy.md)。
+ 如需 Amazon Athena 動作的完整清單，請參閱《[Amazon Athena API 參考](https://docs.aws.amazon.com/athena/latest/APIReference/)》中的 API 動作名稱。
+ 如需有關 IAM 政策的詳細資訊，請參閱《IAM 使用者指南》**中的[使用視覺化編輯器來建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-visual-editor)。

每當您使用 IAM 政策時，請務必遵循 IAM 最佳實務。如需詳細資訊，請參閱《IAM 使用者指南》**中的 [IAM 中的安全性最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。