Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Balisage des ressources Athena
Une identification est constituée d’une clé et d’une valeur que vous définissez. Lorsque vous étiquetez une ressource Athena, vous lui attribuez des métadonnées personnalisées. Vous pouvez utiliser des étiquettes pour classer vos ressources AWS de différentes manières, par exemple, par objectif, par propriétaire ou par environnement. Dans Athena, les ressources telles que les groupes de travail, les catalogues de données et les réserves de capacité sont des ressources étiquetables. Par exemple, vous pouvez créer un ensemble d'identifications pour les groupes de travail de votre compte, afin de vous aider à suivre les propriétaires de groupes de travail ou à identifier les groupes de travail grâce à leur objectif. Si vous activez également les balises en tant que balises de répartition des coûts dans la console de Billing and Cost Management, les coûts associés à l’exécution de requêtes apparaissent dans votre rapport sur les coûts et l’utilisation avec cette balise de répartition des coûts. Nous vous recommandons d'utiliser les AWS bonnes pratiques de balisage [https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) pour créer un ensemble d'identifications cohérent capable de répondre aux exigences de votre organisation.
Vous pouvez utiliser les étiquettes à l'aide de la console Athena ou des opérations d'API.
**Topics**
+ [Principes de base des étiquettes](#tag-basics)
+ [Restrictions liées aux étiquettes](#tag-restrictions)
+ [Utilisation des balises pour les groupes de travail](tags-console.md)
+ [Utiliser les opérations d'API et de AWS CLI balises](tags-operations.md)
+ [Utilisation des politiques de contrôle d’accès IAM basé sur des balises](tags-access-control.md)
## Principes de base des étiquettes
L'étiquette est une identification que vous attribuez à une ressource Athena. Chaque identification est constituée d'une clé et d'une valeur facultative que vous définissez.
Les balises vous permettent de classer vos AWS ressources de différentes manières. Par exemple, vous pouvez définir un ensemble d'identifications pour les groupes de travail de votre compte vous permettant de suivre chaque propriétaire ou objectif de groupe de travail.
Vous pouvez ajouter des étiquettes lors de la création d'un nouveau groupe de travail ou catalogue de données Athena, ou vous pouvez ajouter, modifier ou supprimer des étiquettes de ceux-ci. Vous pouvez modifier une identification dans la console. Si vous utilisez les opérations d'API, pour modifier une identification, supprimez l'ancienne et ajoutez-en une nouvelle. Si vous supprimez une ressource, les identifications associées à celle-ci seront également supprimées.
Athena n'attribue pas automatiquement d'étiquettes à vos ressources. Vous pouvez modifier les clés et valeurs d'identification, et vous pouvez retirer des identifications d'une ressource à tout moment. Vous pouvez définir la valeur d'une identification sur une chaîne vide, mais vous ne pouvez pas définir la valeur d'une identification sur null. N'ajoutez pas de clés d'identification en double à la même ressource. Dans ce cas, Athena envoie un message d'erreur. Si vous utilisez l'action **TagResource** pour identifier une ressource à l'aide d'une clé d'identification existante, la nouvelle valeur d'identification remplace l'ancienne valeur.
Dans IAM, vous pouvez contrôler quels utilisateurs de votre compte Amazon Web Services disposent d'autorisations de créer, modifier et supprimer ou répertorier des étiquettes. Pour de plus amples informations, veuillez consulter [Utilisation des politiques de contrôle d’accès IAM basé sur des balises](tags-access-control.md).
Pour obtenir liste complète des actions des étiquettes Amazon Athena, consultez les noms des actions de l'API dans la rubrique [Référence d'API Amazon Athena](https://docs.aws.amazon.com/athena/latest/APIReference/).
Vous pouvez utiliser des identifications pour la facturation. Pour plus d'informations, consultez la rubrique [Utilisation d'identifications pour la facturation](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/custom-tags.html) dans le *guide de l'utilisateur AWS Billing and Cost Management *.
Pour de plus amples informations, veuillez consulter [Restrictions liées aux étiquettes](#tag-restrictions).
## Restrictions liées aux étiquettes
les identifications disposent des restrictions suivantes :
+ Dans Athena, vous pouvez baliser des groupes de travail, des catalogues de données et des réserves de capacité. Vous ne pouvez pas identifier de requêtes.
+ Le nombre maximum d'identifications par ressource est de 50. Pour rester dans la limite, vérifiez et supprimez les identifications non utilisées.
+ Pour chaque ressource, chaque clé d'identification doit être unique, et chaque clé d'identification peut avoir une seule valeur. N'ajoutez pas simultanément de clés d'identification dupliquées à la même ressource. Dans ce cas, Athena envoie un message d'erreur. Si vous identifiez une ressource à l'aide d'une clé d'identification existante en exécutant une action `TagResource` distincte, la nouvelle valeur d'identification remplace l'ancienne.
+ La longueur de la clé d'identification est comprise entre 1 et 128 caractères Unicode en UTF-8
+ La longueur de la valeur d'identification est comprise entre 0 et 256 caractères Unicode en UTF-8
Les opérations de balisage, telles que l'ajout, la modification, la suppression ou la liste des identifications, exigent que vous spécifiez un ARN pour la ressource de groupe de travail.
+ Athena vous permet d'utiliser des lettres, des chiffres, des espaces représentés en UTF-8, ainsi que les caractères suivants : \$1 - = . \$1 : / @.
+ Les clés et valeurs d'identification sont sensibles à la casse.
+ Le `"aws:"` préfixe des clés de balise est réservé à l' AWS usage. Vous ne pouvez pas modifier ou supprimer des clés d'identification ayant ce préfixe. les identifications ayant ce préfixe ne sont pas comptabilisées dans votre limite d'identifications par ressource.
+ Les étiquettes que vous attribuez sont disponibles uniquement pour votre compte Amazon Web Services.
# Utilisation des balises pour les groupes de travail
À l'aide de la console Athena, vous pouvez voir quelles étiquettes sont en cours d'utilisation pour chaque groupe de travail de votre compte. Vous pouvez afficher des identifications uniquement par le groupe de travail. Vous pouvez également utiliser la console Athena pour appliquer, modifier ou supprimer des étiquettes dans un seul groupe de travail à la fois.
Vous pouvez rechercher des groupes de travail à l'aide des identifications créées.
**Topics**
+ [Affichage des balises de groupes de travail individuels](#tags-display)
+ [Ajout et suppression de balises sur un groupe de travail individuel](#tags-add-delete)
## Affichage des balises de groupes de travail individuels
**Affichage des identifications d'un groupe de travail individuel dans la console Athena**
1. Ouvrez la console à l'adresse [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Si le panneau de navigation de la console n'est pas visible, choisissez le menu d'extension sur la gauche.
![\[Choisissez le menu d'expansion.\]](http://docs.aws.amazon.com/fr_fr/athena/latest/ug/images/nav-pane-expansion.png)
1. Dans le menu de navigation, choisissez **Workgroups** (Groupes de travail), puis choisissez le groupe de travail souhaité.
1. Effectuez l’une des actions suivantes :
+ Sélectionnez l'onglet **Tags** (Identifications). Si la liste des identifications est longue, utilisez la zone de recherche.
+ Choisissez **Edit** (Modifier), puis faites défiler jusqu'à la section **Tags** (Identifications).
## Ajout et suppression de balises sur un groupe de travail individuel
Vous pouvez gérer les identifications d'un groupe de travail individuel directement à partir de l'onglet **Workgroups** (Groupes de travail).
**Note**
Si vous souhaitez que les utilisateurs ajoutent des étiquettes lorsqu'ils créent un groupe de travail dans la console ou transmettent des étiquettes lorsqu'ils utilisent l'action **CreateWorkGroup**, assurez-vous que vous accordez aux utilisateurs IAM des autorisations pour les actions **TagResource** et **CreateWorkGroup**.
**Ajout d'une identification lors de la création d'un nouveau groupe de travail**
1. Ouvrez la console à l'adresse [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Dans le menu de navigation, choisissez **Workgroups** (Groupes de travail).
1. Choisissez **Create workgroup** (Créer un groupe de travail) et saisissez les valeurs nécessaires. Pour obtenir des instructions complètes, consultez [Créer un groupe de travail](creating-workgroups.md).
1. Dans la section **Tags** (Identifications), ajoutez une ou plusieurs identifications en spécifiant les clés et les valeurs. N'ajoutez pas simultanément de clés d'identification dupliquées au même groupe de travail. Dans ce cas, Athena envoie un message d'erreur. Pour de plus amples informations, veuillez consulter [Restrictions liées aux étiquettes](tags.md#tag-restrictions).
1. Une fois que vous avez terminé, choisissez **Create workgroup** (Créer un groupe de travail).
**Pour ajouter une identification à un groupe de travail existant ou la modifier**
1. Ouvrez la console à l'adresse [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Dans le panneau de navigation, choisissez **Workgroups** (Groupes de travail).
1. Choisissez le groupe de travail à modifier.
1. Effectuez l’une des actions suivantes :
+ Choisissez l'onglet **Tags** (Identifications), puis **Manage tags** (Gérer les identifications).
+ Choisissez **Edit** (Modifier), puis faites défiler jusqu'à la section **Tags** (Identifications).
1. Spécifiez une clé et une valeur pour chaque identification. Pour de plus amples informations, veuillez consulter [Restrictions liées aux étiquettes](tags.md#tag-restrictions).
1. Choisissez **Enregistrer**.
**Pour supprimer une identification d'un groupe de travail individuel**
1. Ouvrez la console à l'adresse [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Dans le panneau de navigation, choisissez **Workgroups** (Groupes de travail).
1. Choisissez le groupe de travail à modifier.
1. Effectuez l’une des actions suivantes :
+ Choisissez l'onglet **Tags** (Identifications), puis **Manage tags** (Gérer les identifications).
+ Choisissez **Edit** (Modifier) puis faites défiler jusqu'à la section **Tags** (Identifications).
1. Dans la liste des identifications, choisissez **Remove** (Supprimer) pour l'identification à supprimer, puis choisissez **Save** (Enregistrer).
# Utiliser les opérations d'API et de AWS CLI balises
Utilisez les opérations d'identification suivantes pour ajouter, supprimer ou répertorier des identifications sur une ressource.
****
| API | INTERFACE DE LIGNE DE COMMANDE (CLI) | Description de l'action |
| --- | --- | --- |
| TagResource | tag-resource | Ajoutez ou remplacez une ou plusieurs identifications sur la ressource où l'ARN est spécifié. |
| UntagResource | untag-resource | Supprimez une ou plusieurs identifications de la ressource ayant l'ARN spécifié. |
| ListTagsForResource | list‑tags‑for‑resource | Répertorie une ou plusieurs identifications pour la ressource qui a l'ARN spécifié. |
**Ajout de balises lors de la création d’une ressource**
Pour ajouter des balises lorsque vous créez un groupe de travail ou un catalogue de données, utilisez le `tags` paramètre avec les opérations `CreateWorkGroup` ou `CreateDataCatalog` API ou avec les `create-data-catalog` commandes AWS CLI `create-work-group` or.
## Gestion des balises à l’aide d’actions d’API
Les exemples suivants montrent comment utiliser les actions d’API de balisage pour gérer les balises sur les groupes de travail et les catalogues de données. Les exemples sont dans le langage de programmation Java.
### Exemple — TagResource
L'exemple suivant ajoute deux identifications au groupe de travail `workgroupA`:
```
List tags = new ArrayList<>();
tags.add(new Tag().withKey("tagKey1").withValue("tagValue1"));
tags.add(new Tag().withKey("tagKey2").withValue("tagValue2"));
TagResourceRequest request = new TagResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA")
.withTags(tags);
client.tagResource(request);
```
L'exemple suivant ajoute deux identifications au catalogue de données `datacatalogA`:
```
List tags = new ArrayList<>();
tags.add(new Tag().withKey("tagKey1").withValue("tagValue1"));
tags.add(new Tag().withKey("tagKey2").withValue("tagValue2"));
TagResourceRequest request = new TagResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA")
.withTags(tags);
client.tagResource(request);
```
**Note**
N'ajoutez pas de clés d'identification en double à la même ressource. Dans ce cas, Athena envoie un message d'erreur. Si vous identifiez une ressource à l'aide d'une clé d'identification existante en exécutant une action `TagResource` distincte, la nouvelle valeur d'identification remplace l'ancienne.
### Exemple — UntagResource
L'exemple suivant supprime `tagKey2` du groupe de travail `workgroupA` :
```
List tagKeys = new ArrayList<>();
tagKeys.add("tagKey2");
UntagResourceRequest request = new UntagResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA")
.withTagKeys(tagKeys);
client.untagResource(request);
```
L'exemple suivant supprime `tagKey2` du catalogue de données `datacatalogA` :
```
List tagKeys = new ArrayList<>();
tagKeys.add("tagKey2");
UntagResourceRequest request = new UntagResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA")
.withTagKeys(tagKeys);
client.untagResource(request);
```
### Exemple — ListTagsForResource
L'exemple suivant répertorie les identifications du groupe de travail `workgroupA`:
```
ListTagsForResourceRequest request = new ListTagsForResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA");
ListTagsForResourceResult result = client.listTagsForResource(request);
List resultTags = result.getTags();
```
L'exemple suivant répertorie les identifications du catalogue de données `datacatalogA`:
```
ListTagsForResourceRequest request = new ListTagsForResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA");
ListTagsForResourceResult result = client.listTagsForResource(request);
List resultTags = result.getTags();
```
## Gérez les balises à l'aide du AWS CLI
Les exemples suivants montrent comment utiliser le pour AWS CLI créer et gérer des balises dans des catalogues de données.
### Ajout de balises à une ressource : tag-resource
La commande `tag-resource` ajoute une ou plusieurs identifications à une ressource spécifiée.
**Syntaxe**
`aws athena tag-resource --resource-arn arn:aws:athena:region:account_id:datacatalog/catalog_name --tags Key=string,Value=string Key=string,Value=string`
Le paramètre `--resource-arn` spécifie la ressource à laquelle les identifications sont ajoutées. Le paramètre `--tags` spécifie une liste de paires clé-valeur séparées par des espaces à ajouter en tant qu’identifications à la ressource.
**Example**
L'exemple suivant ajoute des identifications au catalogue de données `mydatacatalog`.
```
aws athena tag-resource --resource-arn arn:aws:athena:us-east-1:111122223333:datacatalog/mydatacatalog --tags Key=Color,Value=Orange Key=Time,Value=Now
```
Pour afficher le résultat, utilisez la commande `list-tags-for-resource`.
Pour plus d'informations sur l'ajout de balises lors de l'utilisation de la commande `create-data-catalog`, consultez [Enregistrement d'un catalogue : Create-data-catalog](datastores-hive-cli.md#datastores-hive-cli-registering-a-catalog).
### Répertoriez les balises d'une ressource : list-tags-for-resource
La commande `list-tags-for-resource` répertorie les identifications de la ressource spécifiée.
**Syntaxe**
`aws athena list-tags-for-resource --resource-arn arn:aws:athena:region:account_id:datacatalog/catalog_name`
Le paramètre `--resource-arn` spécifie la ressource pour laquelle les identifications sont répertoriées.
L'exemple suivant répertorie les identifications du catalogue de données `mydatacatalog`.
```
aws athena list-tags-for-resource --resource-arn arn:aws:athena:us-east-1:111122223333:datacatalog/mydatacatalog
```
L'exemple de résultat suivant est au format JSON.
```
{
"Tags": [
{
"Key": "Time",
"Value": "Now"
},
{
"Key": "Color",
"Value": "Orange"
}
]
}
```
### Suppression des balises d’une ressource. : untag-resource
La commande `untag-resource` supprime les clés d'identification spécifiées et leurs valeurs associées provenant de la ressource spécifiée.
**Syntaxe**
`aws athena untag-resource --resource-arn arn:aws:athena:region:account_id:datacatalog/catalog_name --tag-keys key_name [key_name ...]`
Le paramètre `--resource-arn` spécifie la ressource à partir de laquelle les identifications sont supprimées. Le paramètre `--tag-keys` prend une liste de noms de clés séparés par des espaces. Pour chaque nom de clé spécifié, la commande `untag-resource` supprime à la fois la clé et sa valeur.
L'exemple suivant supprime les clés `Color` et `Time`, et leurs valeurs issues de la ressource de catalogue `mydatacatalog`.
```
aws athena untag-resource --resource-arn arn:aws:athena:us-east-1:111122223333:datacatalog/mydatacatalog --tag-keys Color Time
```
# Utilisation des politiques de contrôle d’accès IAM basé sur des balises
Le fait de disposer d'étiquettes vous permet d'écrire une politique IAM qui inclut le bloc `Condition` permettant de contrôler l'accès à une ressource en fonction de ses étiquettes. Cette section présente des exemples de stratégies de balisage pour les ressources des groupes de travail et des catalogues de données.
## Exemples de politique d'identification pour les groupes de travail
### Exemple : stratégie de balisage de base
La politique IAM suivante vous permet d'exécuter des requêtes et d'interagir avec des étiquettes pour le groupe de travail nommé `workgroupA` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListWorkGroups",
"athena:ListEngineVersions",
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"athena:TagResource",
"athena:UntagResource",
"athena:ListTagsForResource",
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:BatchGetQueryExecution",
"athena:ListQueryExecutions",
"athena:StopQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryResultsStream",
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:BatchGetNamedQuery",
"athena:ListNamedQueries",
"athena:DeleteNamedQuery",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:ListPreparedStatements",
"athena:UpdatePreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA"
}
]
}
```
------
### Exemple : bloc de stratégie refusant des actions sur un groupe de travail basé sur une paire clé de balise-valeur de balise
Les identifications associées à un groupe de travail existant sont appelées identifications de ressource. les identifications de ressources vous permettent d'écrire des blocs de politique comme les suivants qui refusent les actions répertoriées sur un groupe de travail marqué avec une paire clé-valeur comme `stack`, `production`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"athena:GetWorkGroup",
"athena:UpdateWorkGroup",
"athena:DeleteWorkGroup",
"athena:TagResource",
"athena:UntagResource",
"athena:ListTagsForResource",
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:BatchGetQueryExecution",
"athena:ListQueryExecutions",
"athena:StopQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryResultsStream",
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:BatchGetNamedQuery",
"athena:ListNamedQueries",
"athena:DeleteNamedQuery",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:ListPreparedStatements",
"athena:UpdatePreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:workgroup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stack": "production"
}
}
}
]
}
```
------
### Exemple : bloc de stratégie limitant les demandes d’action de changement de balise aux balises spécifiées
Les identifications qui sont transmises en tant que paramètres aux opérations qui modifient les identifications (par exemple `TagResource`, `UntagResource` ou `CreateWorkGroup` avec des identifications) sont appelées identifications de requête. L'exemple de bloc de politique suivant n'autorise l'opération `CreateWorkGroup` que si l'une des identifications passées a la clé `costcenter` et la valeur `1`, `2` ou `3`.
**Note**
Si vous voulez permettre à un rôle IAM de transmettre des identifications dans le cadre d'une opération `CreateWorkGroup`, assurez-vous d'accorder au rôle des autorisations pour les actions `TagResource` et `CreateWorkGroup`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:CreateWorkGroup",
"athena:TagResource"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:workgroup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
------
## Exemples de politique d'identification pour les catalogues de données
### Exemple : stratégie de balisage de base
La politique IAM suivante vous permet d'interagir avec les étiquettes pour le catalogue de données nommé `datacatalogA` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListWorkGroups",
"athena:ListEngineVersions",
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"athena:TagResource",
"athena:UntagResource",
"athena:ListTagsForResource",
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:BatchGetQueryExecution",
"athena:ListQueryExecutions",
"athena:StopQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryResultsStream",
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:BatchGetNamedQuery",
"athena:ListNamedQueries",
"athena:DeleteNamedQuery"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/*"
]
},
{
"Effect": "Allow",
"Action": [
"athena:CreateDataCatalog",
"athena:GetDataCatalog",
"athena:UpdateDataCatalog",
"athena:DeleteDataCatalog",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata",
"athena:TagResource",
"athena:UntagResource",
"athena:ListTagsForResource"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA"
}
]
}
```
------
### Exemple : bloc de stratégie refusant des actions sur un catalogue de données basé sur une paire clé de balise-valeur de balise
Vous pouvez utiliser des identifications de ressource pour écrire des blocs de politique qui refusent des actions spécifiques sur les catalogues de données qui sont balisés avec des paires clé-valeur d'identification spécifiques. L'exemple de politique suivant refuse les actions sur les catalogues de données qui ont la paire clé-valeur d'identification `stack`, `production`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"athena:CreateDataCatalog",
"athena:GetDataCatalog",
"athena:UpdateDataCatalog",
"athena:DeleteDataCatalog",
"athena:GetDatabase",
"athena:ListDatabases",
"athena:GetTableMetadata",
"athena:ListTableMetadata",
"athena:StartQueryExecution",
"athena:TagResource",
"athena:UntagResource",
"athena:ListTagsForResource"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:datacatalog/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stack": "production"
}
}
}
]
}
```
------
### Exemple : bloc de stratégie limitant les demandes d’action de changement de balise aux balises spécifiées
Les identifications qui sont transmises en tant que paramètres aux opérations qui modifient les identifications (par exemple `TagResource`, `UntagResource` ou `CreateDataCatalog` avec des identifications) sont appelées identifications de requête. L'exemple de bloc de politique suivant n'autorise l'opération `CreateDataCatalog` que si l'une des identifications passées a la clé `costcenter` et la valeur `1`, `2` ou `3`.
**Note**
Si vous voulez permettre à un rôle IAM de transmettre des identifications dans le cadre d'une opération `CreateDataCatalog`, assurez-vous d'accorder au rôle des autorisations pour les actions `TagResource` et `CreateDataCatalog`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:CreateDataCatalog",
"athena:TagResource"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:datacatalog/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
------