Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispiel Arbeitsgruppenrichtlinien
In diesem Abschnitt sind Beispielrichtlinien enthalten, die Sie verwenden können, um verschiedene Aktionen in Arbeitsgruppen zu aktivieren. Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten IAM-Methoden befolgen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
Eine Arbeitsgruppe ist eine IAM-Ressource, die von Athena verwaltet wird. Wenn Ihre Arbeitsgruppenrichtlinie daher Aktionen verwaltet, die `workgroup` als Eingabe verwenden, müssen Sie den ARN der Arbeitsgruppe wie folgt angeben:
```
"Resource": [arn:aws:athena:::workgroup/]
```
Hierbei ist `` der Name Ihrer Arbeitsgruppe. Eine Arbeitsgruppe mit dem Namen `test_workgroup` geben Sie beispielsweise wie folgt als Ressource an:
```
"Resource": ["arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup"]
```
Eine vollständige Liste mit Amazon-Athena-Aktionen finden Sie unter den Namen von API-Aktionen in der [Amazon-Athena-API-Referenz](https://docs.aws.amazon.com/athena/latest/APIReference/). Weitere Informationen zu IAM-Richtlinien finden Sie unter [Erstellen von Richtlinien mit dem visuellen Editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-visual-editor) im *IAM-Benutzerhandbuch*. Weitere Informationen zum Erstellen von IAM-Richtlinien für Arbeitsgruppen finden Sie unter [Verwenden Sie IAM-Richtlinien, um Arbeitsgruppen-Zugriff zu steuern](workgroups-iam-policy.md).
+ [Example policy for full access to all workgroups](#example1-full-access-all-wkgs)
+ [Example policy for full access to a specified workgroup](#example2-full-access-this-wkg)
+ [Example policy for running queries in a specified workgroup](#example3-user-access)
+ [Example policy for running queries in the primary workgroup](#example4-run-in-primary-access)
+ [Example policy for management operations on a specified workgroup](#example5-manage-wkgs-access)
+ [Example policy for listing workgroups](#example6-list-all-wkgs-access)
+ [Example policy for running and stopping queries in a specific workgroup](#example7-run-queries-access)
+ [Example policy for working with named queries in a specific workgroup](#example8-named-queries-access)
+ [Example policy for working with Spark notebooks](#example9-spark-workgroup)
**Example Beispielrichtlinie für Vollzugriff auf alle Arbeitsgruppen**
Die folgende Richtlinie erlaubt den vollständigen Zugriff auf alle möglicherweise in dem Konto vorhandenen Arbeitsgruppenressourcen. Wir empfehlen Ihnen, diese Richtlinie für die Benutzer in Ihrem Konto zu verwenden, die Arbeitsgruppen für alle anderen Benutzer verwalten müssen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:*"
],
"Resource": [
"*"
]
}
]
}
```
**Example Beispielrichtlinie für Vollzugriff auf eine angegebene Arbeitsgruppe**
Die folgende Richtlinie gewährt vollständigen Zugriff auf eine einzelne Arbeitsgruppenressource namens `workgroupA`. Sie können diese Richtlinie für Benutzer mit vollständiger Kontrolle über eine bestimmte Arbeitsgruppe verwenden.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListEngineVersions",
"athena:ListWorkGroups",
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"athena:BatchGetQueryExecution",
"athena:GetQueryExecution",
"athena:ListQueryExecutions",
"athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryResultsStream",
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:BatchGetNamedQuery",
"athena:ListNamedQueries",
"athena:DeleteNamedQuery",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:ListPreparedStatements",
"athena:UpdatePreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA"
]
},
{
"Effect": "Allow",
"Action": [
"athena:DeleteWorkGroup",
"athena:UpdateWorkGroup",
"athena:GetWorkGroup",
"athena:CreateWorkGroup"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA"
]
}
]
}
```
**Example Beispielrichtlinie für die Ausführung von Abfragen in einer angegebenen Arbeitsgruppe**
In der folgenden Richtlinie ist ein Benutzer berechtigt, Abfragen in der angegebenen `workgroupA` auszuführen und anzuzeigen. Der Benutzer darf keine Verwaltungsaufgaben für die Arbeitsgruppe selbst durchführen, sie also beispielsweise nicht aktualisieren oder löschen. Beachten Sie, dass die Beispielrichtlinie Benutzer nicht nur auf diese Arbeitsgruppe beschränkt oder anderen Arbeitsgruppen den Zugriff verweigert.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListEngineVersions",
"athena:ListWorkGroups",
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"athena:BatchGetQueryExecution",
"athena:GetQueryExecution",
"athena:ListQueryExecutions",
"athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryResultsStream",
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:BatchGetNamedQuery",
"athena:ListNamedQueries",
"athena:DeleteNamedQuery",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:ListPreparedStatements",
"athena:UpdatePreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA"
]
}
]
}
```
**Example Beispielrichtlinie für die Ausführung von Abfragen in der primären Arbeitsgruppe**
Sie können das vorherige Beispiel ändern, um es einem bestimmten Benutzer zu gestatten, auch Abfragen in der primären Arbeitsgruppe auszuführen.
Wir empfehlen, dass Sie die primäre Arbeitsgruppenressource für alle Benutzer hinzufügen, die ansonsten für die Ausführung von Abfragen in ihren angegebenen Arbeitsgruppen konfiguriert sind. Es ist sinnvoll, diese Ressource ihren Arbeitsgruppen-Benutzerrichtlinien hinzuzufügen, falls ihre bezeichnete Arbeitsgruppe gelöscht oder deaktiviert wird. Sie können dann weiterhin Abfragen in der primären Arbeitsgruppe ausführen.
Um Benutzern in Ihrem Konto das Ausführen von Abfragen in der primären Arbeitsgruppe zu ermöglichen, fügen Sie wie im folgenden Beispiel eine Zeile mit dem ARN der primären Arbeitsgruppe zum Ressourcenabschnitt des [Example policy for running queries in a specified workgroup](#example3-user-access) hinzu.
```
arn:aws:athena:us-east-1:123456789012:workgroup/primary"
```
**Example Beispielrichtlinie für Verwaltungsvorgänge in einer angegebenen Arbeitsgruppe**
In der folgenden Richtlinie ist ein Benutzer berechtigt, eine Arbeitsgruppe zu erstellen, zu löschen, Details darüber abzurufen und die Arbeitsgruppe `test_workgroup` zu aktualisieren.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListEngineVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"athena:CreateWorkGroup",
"athena:GetWorkGroup",
"athena:DeleteWorkGroup",
"athena:UpdateWorkGroup"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup"
]
}
]
}
```
**Example Beispielrichtlinie für die Auflistung von Arbeitsgruppen**
Mit der folgenden Richtlinie erhalten alle Benutzer die Berechtigung, alle Arbeitsgruppen aufzulisten:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListWorkGroups"
],
"Resource": "*"
}
]
}
```
**Example Beispielrichtlinie für die Ausführung und Anhalten von Abfragen in einer angegebenen Arbeitsgruppe**
In dieser Richtlinie ist ein Benutzer berechtigt, Abfragen in der Arbeitsgruppe auszuführen:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup"
]
}
]
}
```
**Example Beispielrichtlinie für die Arbeit mit benannten Abfragen in einer angegebenen Arbeitsgruppe**
In der folgenden Richtlinie verfügt ein Benutzer über Berechtigungen zum Erstellen, Löschen und Abrufen von Informationen über benannte Abfragen in der angegebenen Arbeitsgruppe:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:DeleteNamedQuery"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup" ]
}
]
}
```
**Example -Beispielrichtlinie für die Nutzung von Spark-Notebooks in Athena**
Verwenden Sie für die Arbeit mit Spark-Notebooks in Athena beispielsweise die folgende Richtlinie.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreatingWorkGroupWithDefaults",
"Action": [
"athena:CreateWorkGroup",
"s3:CreateBucket",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"s3:GetBucketLocation",
"athena:ImportNotebook"
],
"Effect": "Allow",
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/Demo*",
"arn:aws:s3:::123456789012-us-east-1-athena-results-bucket-*",
"arn:aws:iam::123456789012:role/service-role/AWSAthenaSparkExecutionRole-*",
"arn:aws:iam::123456789012:policy/service-role/AWSAthenaSparkRolePolicy-*"
]
},
{
"Sid": "AllowRunningCalculations",
"Action": [
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:StartSession",
"athena:CreateNotebook",
"athena:ListNotebookMetadata",
"athena:ListNotebookSessions",
"athena:GetSessionStatus",
"athena:GetSession",
"athena:GetNotebookMetadata",
"athena:CreatePresignedNotebookUrl"
],
"Effect": "Allow",
"Resource": "arn:aws:athena:us-east-1:123456789012:workgroup/Demo*"
},
{
"Sid": "AllowListWorkGroupAndEngineVersions",
"Action": [
"athena:ListWorkGroups",
"athena:ListEngineVersions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```