# 容量预留的 IAM policy
要控制对容量预留的访问,使用资源级 IAM 权限或基于身份的 IAM policy。每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《*IAM 用户指南*》中的 [IAM 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
以下是 Athena 的特定过程。
有关 IAM 的特定信息,请参阅本节末尾列出的链接。有关示例 JSON 容量预留策略的信息,请参阅 [容量预留策略示例](example-policies-capacity-reservations.md)。
**在 IAM 控制台中使用可视化编辑器创建容量预留策略**
1. 登录 AWS 管理控制台,然后通过以下网址打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择 **Policies (策略)**,然后选择 **Create policy (创建策略)**。
1. 在**可视化编辑器**选项卡上,选择**选择服务**。然后,选择要添加到策略的 Athena。
1. 选择 **Select actions (选择操作)**,然后选择要添加到策略的操作。可视化编辑器会显示 Athena 中可用的操作。有关更多信息,请参阅《服务授权参考》**中的 [Amazon Athena 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)。
1. 选择**添加操作**输入特定操作,或使用通配符(\$1)指定多个操作。
预设情况下,您创建的策略允许执行选择的操作。如果您在 Athena 中选择对 `capacity-reservation` 资源执行一个或多个支持资源级权限的操作,则编辑器会列出 `capacity-reservation` 资源。
1. 选择**资源**指定特定于您的策略的容量预留。有关示例 JSON 容量预留策略的信息,请参阅 [容量预留策略示例](example-policies-capacity-reservations.md)。
1. 指定 `capacity-reservation` 资源,如下所示:
```
arn:aws:athena:::capacity-reservation/
```
1. 选择 **Review policy (查看策略)**,然后为您创建的策略键入 **Name (名称)** 和 **Description (描述)**(可选)。查看策略摘要以确保您已授予所需的权限。
1. 选择**创建策略**可保存您的新策略。
1. 将此基于身份的策略附加到用户、组或角色。
有关详细信息,请参阅*服务授权参考*和《*IAM 用户指南*》中的以下主题:
+ [Amazon Athena 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)
+ [使用可视化编辑器创建策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-visual-editor)
+ [添加和移除 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [控制对资源的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources)
有关示例 JSON 容量预留策略的信息,请参阅 [容量预留策略示例](example-policies-capacity-reservations.md)。
有关 Amazon Athena 操作的完整列表,请参阅 [Amazon Athena API 参考](https://docs.aws.amazon.com/athena/latest/APIReference/)中的 API 操作名称。
# 容量预留策略示例
本节包含可用于启用对容量预留执行的各种操作的策略示例。每当您使用 IAM 策略时,请确保遵循 IAM 最佳实践。有关更多信息,请参阅《[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 安全最佳实践*。
容量预留是由 Athena 托管的 IAM 资源。因此,如果容量预留策略使用将 `capacity-reservation` 用作输入的操作,则必须指定容量预留 ARN,如下所示:
```
"Resource": [arn:aws:athena:::capacity-reservation/]
```
其中,`` 为容量预留的名称。例如,对于名为 `test_capacity_reservation` 的容量预留,将其指定为资源,如下所示:
```
"Resource": ["arn:aws:athena:us-east-1:123456789012:capacity-reservation/test_capacity_reservation"]
```
有关 Amazon Athena 操作的完整列表,请参阅 [Amazon Athena API 参考](https://docs.aws.amazon.com/athena/latest/APIReference/)中的 API 操作名称。有关 IAM 策略的更多信息,请参阅《IAM 用户指南》**中的[使用可视化编辑器创建策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-visual-editor)。
**Example 用于列出容量预留的策略示例**
以下策略允许所有用户列出所有容量预留。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListCapacityReservations"
],
"Resource": "*"
}
]
}
```
**Example 适用于管理操作的策略示例**
以下策略允许用户创建、取消和更新容量预留 `test_capacity_reservation` 以及获取其详细信息。该策略还允许用户将 `workgroupA` 和 `workgroupB` 分配给 `test_capacity_reservation`。
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"athena:CreateCapacityReservation",
"athena:GetCapacityReservation",
"athena:CancelCapacityReservation",
"athena:UpdateCapacityReservation",
"athena:GetCapacityAssignmentConfiguration",
"athena:PutCapacityAssignmentConfiguration"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:capacity-reservation/test_capacity_reservation",
"arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA",
"arn:aws:athena:us-east-1:123456789012:workgroup/workgroupB"
]
}
]
}
```