Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden Sie IAM-Richtlinien, um Arbeitsgruppen-Zugriff zu steuern
Verwenden Sie zur Steuerung des Zugriffs auf Arbeitsgruppen IAM-Berechtigungen auf Ressourcenebene oder identitätsbasierte IAM-Richtlinien. Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten IAM-Methoden befolgen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Um auf Arbeitsgruppen zugreifen zu können, die für die Verbreitung vertrauenswürdiger Identitäten aktiviert sind, müssen IAM Identity Center-Benutzer den Arbeitsgruppen zugewiesen werden`IdentityCenterApplicationArn`, die durch die Antwort der [GetWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetWorkGroup.html)Athena-API-Aktion zurückgegeben werden.
Das folgende Verfahren gilt speziell für Athena.
IAM-spezifische Informationen finden Sie unter den Links am Ende dieses Abschnitts. Weitere Informationen zu JSON-Arbeitsgruppen-Beispielrichtlinien finden Sie unter [Beispiel Arbeitsgruppenrichtlinien](example-policies-workgroup.md).
**Verwenden Sie den visuellen Editor in der IAM-Konsole, um eine Arbeitsgruppenrichtlinie zu erstellen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich auf der linken Seite **Policies** (Richtlinien) und dann **Create Policy** (Richtlinie erstellen) aus.
1. Wählen Sie auf der Registerkarte **Visual editor** (Visueller Editor) die Option **Choose a service** (Wählen Sie einen Service) aus. Wählen Sie dann Athena aus, um es der Richtlinie hinzuzufügen.
1. Wählen Sie **Select actions** (Aktionen auswählen) und dann die Aktionen aus, die Sie der Richtlinie hinzufügen möchten. Im visuellen Editor werden die in Athena verfügbaren Aktionen angezeigt. Weitere Informationen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Athena](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html) in der *Service-Autorisierungs-Referenz*.
1. Wählen Sie **Add actions** (Aktionen hinzufügen) aus, um eine bestimmte Aktion einzugeben, oder verwenden Sie Platzhalter (\$1), um mehrere Aktionen anzugeben.
Standardmäßig lässt die Richtlinie, die Sie erstellen, die Aktionen zu, die Sie auswählen. Wenn Sie eine oder mehrere Aktionen auswählen, die Berechtigungen auf Ressourcenebene für die `workgroup`-Ressource in Athena unterstützen, listet der Editor die `workgroup`-Ressource auf.
1. Wählen Sie **Resources** (Ressourcen) aus, um die Arbeitsgruppen für Ihre Richtlinie anzugeben. Beispiele für JSON-Arbeitsgruppen-Richtlinien finden Sie unter [Beispiel Arbeitsgruppenrichtlinien](example-policies-workgroup.md).
1. Geben Sie die `workgroup`-Ressource wie folgt an:
```
arn:aws:athena:::workgroup/
```
1. Wählen Sie **Review policy (Richtlinie prüfen)** aus und geben Sie **Name** und **Description (Beschreibung)** (optional) für die zu erstellende Richtlinie ein. Prüfen Sie die Richtlinienübersicht, um sicherzustellen, dass Sie die beabsichtigten Berechtigungen erteilt haben.
1. Wählen Sie **Create policy** (Richtlinie erstellen) aus, um Ihre neue Richtlinie zu speichern.
1. Hängen Sie diese identitätsbasierte Richtlinie an einen Benutzer, eine Gruppe oder eine Rolle an.
Weitere Informationen finden Sie in den folgenden Themen in der *Service Authorization Reference* und im *IAM-Benutzerhandbuch*:
+ [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Athena](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)
+ [Erstellen von Richtlinien mit dem visuellen Editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-visual-editor)
+ [Hinzufügen und Entfernen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [Steuern des Zugriffs auf Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources)
Beispiele für JSON-Arbeitsgruppen-Richtlinien finden Sie unter [Beispiel Arbeitsgruppenrichtlinien](example-policies-workgroup.md).
Eine vollständige Liste mit Amazon-Athena-Aktionen finden Sie unter den Namen von API-Aktionen in der [Amazon-Athena-API-Referenz](https://docs.aws.amazon.com/athena/latest/APIReference/).
# Beispiel Arbeitsgruppenrichtlinien
In diesem Abschnitt sind Beispielrichtlinien enthalten, die Sie verwenden können, um verschiedene Aktionen in Arbeitsgruppen zu aktivieren. Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten IAM-Methoden befolgen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
Eine Arbeitsgruppe ist eine IAM-Ressource, die von Athena verwaltet wird. Wenn Ihre Arbeitsgruppenrichtlinie daher Aktionen verwaltet, die `workgroup` als Eingabe verwenden, müssen Sie den ARN der Arbeitsgruppe wie folgt angeben:
```
"Resource": [arn:aws:athena:::workgroup/]
```
Hierbei ist `` der Name Ihrer Arbeitsgruppe. Eine Arbeitsgruppe mit dem Namen `test_workgroup` geben Sie beispielsweise wie folgt als Ressource an:
```
"Resource": ["arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup"]
```
Eine vollständige Liste mit Amazon-Athena-Aktionen finden Sie unter den Namen von API-Aktionen in der [Amazon-Athena-API-Referenz](https://docs.aws.amazon.com/athena/latest/APIReference/). Weitere Informationen zu IAM-Richtlinien finden Sie unter [Erstellen von Richtlinien mit dem visuellen Editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-visual-editor) im *IAM-Benutzerhandbuch*. Weitere Informationen zum Erstellen von IAM-Richtlinien für Arbeitsgruppen finden Sie unter [Verwenden Sie IAM-Richtlinien, um Arbeitsgruppen-Zugriff zu steuern](workgroups-iam-policy.md).
+ [Example policy for full access to all workgroups](#example1-full-access-all-wkgs)
+ [Example policy for full access to a specified workgroup](#example2-full-access-this-wkg)
+ [Example policy for running queries in a specified workgroup](#example3-user-access)
+ [Example policy for running queries in the primary workgroup](#example4-run-in-primary-access)
+ [Example policy for management operations on a specified workgroup](#example5-manage-wkgs-access)
+ [Example policy for listing workgroups](#example6-list-all-wkgs-access)
+ [Example policy for running and stopping queries in a specific workgroup](#example7-run-queries-access)
+ [Example policy for working with named queries in a specific workgroup](#example8-named-queries-access)
+ [Example policy for working with Spark notebooks](#example9-spark-workgroup)
**Example Beispielrichtlinie für Vollzugriff auf alle Arbeitsgruppen**
Die folgende Richtlinie erlaubt den vollständigen Zugriff auf alle möglicherweise in dem Konto vorhandenen Arbeitsgruppenressourcen. Wir empfehlen Ihnen, diese Richtlinie für die Benutzer in Ihrem Konto zu verwenden, die Arbeitsgruppen für alle anderen Benutzer verwalten müssen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:*"
],
"Resource": [
"*"
]
}
]
}
```
**Example Beispielrichtlinie für Vollzugriff auf eine angegebene Arbeitsgruppe**
Die folgende Richtlinie gewährt vollständigen Zugriff auf eine einzelne Arbeitsgruppenressource namens `workgroupA`. Sie können diese Richtlinie für Benutzer mit vollständiger Kontrolle über eine bestimmte Arbeitsgruppe verwenden.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListEngineVersions",
"athena:ListWorkGroups",
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"athena:BatchGetQueryExecution",
"athena:GetQueryExecution",
"athena:ListQueryExecutions",
"athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryResultsStream",
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:BatchGetNamedQuery",
"athena:ListNamedQueries",
"athena:DeleteNamedQuery",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:ListPreparedStatements",
"athena:UpdatePreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA"
]
},
{
"Effect": "Allow",
"Action": [
"athena:DeleteWorkGroup",
"athena:UpdateWorkGroup",
"athena:GetWorkGroup",
"athena:CreateWorkGroup"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA"
]
}
]
}
```
**Example Beispielrichtlinie für die Ausführung von Abfragen in einer angegebenen Arbeitsgruppe**
In der folgenden Richtlinie ist ein Benutzer berechtigt, Abfragen in der angegebenen `workgroupA` auszuführen und anzuzeigen. Der Benutzer darf keine Verwaltungsaufgaben für die Arbeitsgruppe selbst durchführen, sie also beispielsweise nicht aktualisieren oder löschen. Beachten Sie, dass die Beispielrichtlinie Benutzer nicht nur auf diese Arbeitsgruppe beschränkt oder anderen Arbeitsgruppen den Zugriff verweigert.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListEngineVersions",
"athena:ListWorkGroups",
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"athena:BatchGetQueryExecution",
"athena:GetQueryExecution",
"athena:ListQueryExecutions",
"athena:StartQueryExecution",
"athena:StopQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryResultsStream",
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:BatchGetNamedQuery",
"athena:ListNamedQueries",
"athena:DeleteNamedQuery",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:ListPreparedStatements",
"athena:UpdatePreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA"
]
}
]
}
```
**Example Beispielrichtlinie für die Ausführung von Abfragen in der primären Arbeitsgruppe**
Sie können das vorherige Beispiel ändern, um es einem bestimmten Benutzer zu gestatten, auch Abfragen in der primären Arbeitsgruppe auszuführen.
Wir empfehlen, dass Sie die primäre Arbeitsgruppenressource für alle Benutzer hinzufügen, die ansonsten für die Ausführung von Abfragen in ihren angegebenen Arbeitsgruppen konfiguriert sind. Es ist sinnvoll, diese Ressource ihren Arbeitsgruppen-Benutzerrichtlinien hinzuzufügen, falls ihre bezeichnete Arbeitsgruppe gelöscht oder deaktiviert wird. Sie können dann weiterhin Abfragen in der primären Arbeitsgruppe ausführen.
Um Benutzern in Ihrem Konto das Ausführen von Abfragen in der primären Arbeitsgruppe zu ermöglichen, fügen Sie wie im folgenden Beispiel eine Zeile mit dem ARN der primären Arbeitsgruppe zum Ressourcenabschnitt des [Example policy for running queries in a specified workgroup](#example3-user-access) hinzu.
```
arn:aws:athena:us-east-1:123456789012:workgroup/primary"
```
**Example Beispielrichtlinie für Verwaltungsvorgänge in einer angegebenen Arbeitsgruppe**
In der folgenden Richtlinie ist ein Benutzer berechtigt, eine Arbeitsgruppe zu erstellen, zu löschen, Details darüber abzurufen und die Arbeitsgruppe `test_workgroup` zu aktualisieren.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListEngineVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"athena:CreateWorkGroup",
"athena:GetWorkGroup",
"athena:DeleteWorkGroup",
"athena:UpdateWorkGroup"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup"
]
}
]
}
```
**Example Beispielrichtlinie für die Auflistung von Arbeitsgruppen**
Mit der folgenden Richtlinie erhalten alle Benutzer die Berechtigung, alle Arbeitsgruppen aufzulisten:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListWorkGroups"
],
"Resource": "*"
}
]
}
```
**Example Beispielrichtlinie für die Ausführung und Anhalten von Abfragen in einer angegebenen Arbeitsgruppe**
In dieser Richtlinie ist ein Benutzer berechtigt, Abfragen in der Arbeitsgruppe auszuführen:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup"
]
}
]
}
```
**Example Beispielrichtlinie für die Arbeit mit benannten Abfragen in einer angegebenen Arbeitsgruppe**
In der folgenden Richtlinie verfügt ein Benutzer über Berechtigungen zum Erstellen, Löschen und Abrufen von Informationen über benannte Abfragen in der angegebenen Arbeitsgruppe:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:DeleteNamedQuery"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/test_workgroup" ]
}
]
}
```
**Example -Beispielrichtlinie für die Nutzung von Spark-Notebooks in Athena**
Verwenden Sie für die Arbeit mit Spark-Notebooks in Athena beispielsweise die folgende Richtlinie.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreatingWorkGroupWithDefaults",
"Action": [
"athena:CreateWorkGroup",
"s3:CreateBucket",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"s3:GetBucketLocation",
"athena:ImportNotebook"
],
"Effect": "Allow",
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/Demo*",
"arn:aws:s3:::123456789012-us-east-1-athena-results-bucket-*",
"arn:aws:iam::123456789012:role/service-role/AWSAthenaSparkExecutionRole-*",
"arn:aws:iam::123456789012:policy/service-role/AWSAthenaSparkRolePolicy-*"
]
},
{
"Sid": "AllowRunningCalculations",
"Action": [
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:StartSession",
"athena:CreateNotebook",
"athena:ListNotebookMetadata",
"athena:ListNotebookSessions",
"athena:GetSessionStatus",
"athena:GetSession",
"athena:GetNotebookMetadata",
"athena:CreatePresignedNotebookUrl"
],
"Effect": "Allow",
"Resource": "arn:aws:athena:us-east-1:123456789012:workgroup/Demo*"
},
{
"Sid": "AllowListWorkGroupAndEngineVersions",
"Action": [
"athena:ListWorkGroups",
"athena:ListEngineVersions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```