Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Athena-Ressourcen markieren
Ein Tag besteht aus einem Schlüssel und einem Wert, die Sie beide selbst definieren können. Wenn Sie eine Athena-Ressource mit Tags markieren, weisen Sie ihr benutzerdefinierte Metadaten zu. Mit Tags können Sie AWS -Ressourcen auf unterschiedliche Weise kategorisieren (z. B. nach Zweck, Eigentümer oder Umgebung). In Athena sind Ressourcen wie Arbeitsgruppen, Datenkataloge und Kapazitätsreservierungen markierbare Ressourcen. So können Sie beispielsweise eine Reihe von Tags für Arbeitsgruppen in Ihrem Konto erstellen, mit deren Hilfe Sie Eigentümer von Arbeitsgruppen nachverfolgen oder Arbeitsgruppen anhand ihres Zwecks identifizieren können. Wenn Sie die Tags auch als Kostenzuordnungs-Tags in der Billing and Cost Management Kostenmanagementkonsole aktivieren, werden die mit laufenden Abfragen verbundenen Kosten in Ihrem Kosten- und Nutzungsbericht mit diesem Kostenzuordnungs-Tag angezeigt. Wir empfehlen, anhand der AWS bewährten Methoden für das [-Tagging](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) einen konsistenten Satz von Tags zu erstellen, um die Anforderungen Ihrer Organisation zu erfüllen.
Sie können mit Tags arbeiten, indem Sie die Athena-Konsole oder die API-Operationen verwenden.
**Topics**
+ [Grundlagen zu Tags (Markierungen)](#tag-basics)
+ [Tag-Einschränkungen](#tag-restrictions)
+ [Mit Tags für Arbeitsgruppen arbeiten](tags-console.md)
+ [Verwenden Sie API- und AWS CLI Tag-Operationen](tags-operations.md)
+ [Tagbasierte IAM-Zugriffssteuerungsrichtlinien verwenden](tags-access-control.md)
## Grundlagen zu Tags (Markierungen)
Ein Tag (Markierung) ist eine Markierung, die Sie einer Athena-Ressource zuordnen. Jeder Tag (Markierung) besteht aus einem Schlüssel und einem optionalen Wert, beides können Sie bestimmen.
Mithilfe von Tags können Sie Ihre AWS Ressourcen auf unterschiedliche Weise kategorisieren. Sie können zum Beispiel eine Reihe von Tags für die Arbeitsgruppen in Ihrem Konto definieren, um die Eigentümer oder den Zweck der einzelnen Arbeitsgruppen nachzuverfolgen.
Sie können Tags beim Erstellen einer neuen Athena-Arbeitsgruppe oder eines neuen Datenkatalogs hinzufügen. Außerdem können Sie Tags bearbeiten oder daraus entfernen. Sie können einen Tag in der Konsole bearbeiten. Wenn Sie API-Operationen zur Bearbeitung eines Tags verwenden, entfernen Sie den alten Tag und fügen Sie einen neuen hinzu. Wenn Sie eine Ressource löschen, werden alle Tags (Markierungen) der Ressource ebenfalls gelöscht.
Athena weist Ihren Ressourcen nicht automatisch Tags zu. Sie können Tag (Markierung)-Schlüssel und -Werte bearbeiten und Tags (Markierungen) jederzeit von einer Ressource entfernen. Sie können den Wert eines Tags (Markierung) zwar auf eine leere Zeichenfolge, jedoch nicht null festlegen. Fügen Sie der gleichen Ressource keine doppelten Tag-Schlüssel hinzu. In diesem Fall gibt Athena eine Fehlermeldung aus. Wenn Sie die **TagResource**-Aktion verwenden, um eine Ressource mit einem vorhandenen Tag-Schlüssel zu markieren, überschreibt der neue Tag-Wert den alten.
In IAM können Sie steuern, welche Benutzer in Ihrem Amazon-Web-Services-Konto zum Erstellen, Bearbeiten, Entfernen oder Auflisten von Tags berechtigt sind. Weitere Informationen finden Sie unter [Tagbasierte IAM-Zugriffssteuerungsrichtlinien verwenden](tags-access-control.md).
Eine vollständige Liste mit Amazon-Athena-Tag-Aktionen finden Sie unter den Namen von API-Aktionen in der [Amazon-Athena-API-Referenz](https://docs.aws.amazon.com/athena/latest/APIReference/).
Sie können Tags für Fakturierungszwecke verwenden. Weitere Informationen finden Sie unter [Verwendung von Tags für die Fakturierung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/custom-tags.html) im *AWS Fakturierung und Kostenmanagement -Benutzerhandbuch*.
Weitere Informationen finden Sie unter [Tag-Einschränkungen](#tag-restrictions).
## Tag-Einschränkungen
Für Tags gelten zwei Einschränkungen:
+ In Athena können Sie Arbeitsgruppen, Datenkataloge und Kapazitätsreservierungen mit Tags markieren. Abfragen können nicht markiert werden.
+ Die maximale Anzahl an Tags pro Ressource beträgt 50. Um innerhalb dieser grenze zu bleiben, prüfen und entfernen Sie nicht verwendete Tags.
+ Jeder Tag (Markierung) muss für jede Ressource eindeutig sein. Jeder Tag (Markierung) kann nur einen Wert haben. Fügen Sie derselben Ressource keine doppelten Tag-Schlüssel gleichzeitig hinzu. In diesem Fall gibt Athena eine Fehlermeldung aus. Wenn Sie eine Ressource mit einem vorhandenen Tag-Schlüssel in einer separaten `TagResource`-Aktion markieren, überschreibt der neue Tag-Wert den alten.
+ Die Tagschlüssellänge ist 1-128 Unicode-Zeichen in UTF-8.
+ Die Tagwertlänge ist 0-256 Unicode-Zeichen in UTF-8.
Tagging-Operationen, wie etwa das Hinzufügen, Bearbeiten, Entfernen oder Auflisten von Tags, erfordern, dass Sie für die Arbeitsgruppenressource einen ARN angeben.
+ Athena ermöglicht die Verwendung von Buchstaben, Ziffern, Leerräumen in UTF-8 sowie der folgenden Zeichen: \$1 - = . \$1 : / @.
+ Bei Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden.
+ Das `"aws:"` Präfix in Tag-Schlüsseln ist für die AWS Verwendung reserviert. Sie können keine Tag-Schlüssel oder mit diesem Präfix bearbeiten oder löschen. Tags mit diesem Präfix werden nicht für Ihr Tags-pro-Ressource-Limit angerechnet.
+ Die von Ihnen zugewiesenen Tags sind nur für Ihr Amazon-Web-Services-Konto verfügbar.
# Mit Tags für Arbeitsgruppen arbeiten
Mithilfe der Athena-Konsole können Sie sehen, welche Tags von den einzelnen Arbeitsgruppen in Ihrem Konto verwendet werden. Sie können Tags nur nach Arbeitsgruppe anzeigen. Sie können auch die Athena-Konsole verwenden, um Tags von jeweils einer Arbeitsgruppe anzuwenden, zu bearbeiten oder zu entfernen.
Sie können Arbeitsgruppen mithilfe der Tags, die Sie erstellt haben, suchen.
**Topics**
+ [Tags für einzelne Arbeitsgruppen anzeigen](#tags-display)
+ [Tags für einzelne Arbeitsgruppen hinzufügen und löschen](#tags-add-delete)
## Tags für einzelne Arbeitsgruppen anzeigen
**Um Tags für eine einzelne Arbeitsgruppe in der Athena-Konsole anzuzeigen**
1. Öffnen Sie die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Wenn der Navigationsbereich in der Konsole nicht sichtbar ist, wählen Sie das Erweiterungsmenü auf der linken Seite.
![\[Wählen Sie das Erweiterungsmenü aus.\]](http://docs.aws.amazon.com/de_de/athena/latest/ug/images/nav-pane-expansion.png)
1. Wählen Sie im Navigationsmenü **Workgroups** (Arbeitsgruppen) und dann die gewünschte Arbeitsgruppe aus.
1. Führen Sie eine der folgenden Aktionen aus:
+ Wählen Sie die Registerkarte **Tags** aus. Verwenden Sie das Suchfeld, wenn die Liste der Tags lang ist.
+ Wählen Sie **Edit** (Bearbeiten) und scrollen Sie dann nach unten zum Abschnitt **Tags**.
## Tags für einzelne Arbeitsgruppen hinzufügen und löschen
Sie können Tags für einzelne Arbeitsgruppen direkt auf der Registerkarte **Workgroups** (Arbeitsgruppen) verwalten.
**Anmerkung**
Wenn Benutzer Tags hinzufügen sollen, wenn sie eine Arbeitsgruppe in der Konsole erstellen, oder Tags übergeben sollen, wenn sie die **CreateWorkGroup**-Aktion verwenden, stellen Sie sicher, dass Sie den Benutzern IAM-Berechtigungen für die Aktionen **TagResource** und **CreateWorkGroup** erteilen.
**So fügen Sie ein Tag hinzu, wenn Sie eine neue Arbeitsgruppe erstellen**
1. Öffnen Sie die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Wählen Sie im Navigationsmenü **Workgroups** (Arbeitsgruppen).
1. Wählen Sie **Create workgroup** (Arbeitsgruppe erstellen), und füllen Sie die Werte nach Bedarf ein. Die detaillierten Schritte finden Sie unter [Erstellen von Arbeitsgruppen](creating-workgroups.md).
1. Fügen Sie im Abschnitt **Tags** einen oder mehrere Tags hinzu, indem Sie Schlüssel und Werte angeben. Fügen Sie keine doppelten Tag-Schlüssel gleichzeitig derselben Arbeitsgruppe hinzu. In diesem Fall gibt Athena eine Fehlermeldung aus. Weitere Informationen finden Sie unter [Tag-Einschränkungen](tags.md#tag-restrictions).
1. Wählen Sie anschließend **Create workgroup** (Arbeitsgruppe erstellen).
**So fügen Sie einen Tag einer vorhandenen Arbeitsgruppe hinzu oder bearbeiten ihn:**
1. Öffnen Sie die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Wählen Sie im Navigationsbereich die Option **Workgroups** (Arbeitsgruppen) aus.
1. Wählen Sie die Arbeitsgruppe aus, die Sie ändern möchten.
1. Führen Sie eine der folgenden Aktionen aus:
+ Wählen Sie die Registerkarte **Tags** und dann **Manage tags** (Tags verwalten).
+ Wählen Sie **Edit** (Bearbeiten) und scrollen Sie dann nach unten zum Abschnitt **Tags**.
1. Geben Sie einen Schlüssel und den Wert für jedes Tag an. Weitere Informationen finden Sie unter [Tag-Einschränkungen](tags.md#tag-restrictions).
1. Wählen Sie **Save** (Speichern) aus.
**So löschen Sie einen Tag aus einer einzelnen Arbeitsgruppe:**
1. Öffnen Sie die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Wählen Sie im Navigationsbereich die Option **Workgroups** (Arbeitsgruppen) aus.
1. Wählen Sie die Arbeitsgruppe aus, die Sie ändern möchten.
1. Führen Sie eine der folgenden Aktionen aus:
+ Wählen Sie die Registerkarte **Tags** und dann **Manage tags** (Tags verwalten).
+ Wählen Sie **Edit** (Bearbeiten) und scrollen Sie dann nach unten zum Abschnitt **Tags**.
1. Wählen Sie in der Liste der Tags **Remove** (Entfernen) für das Tag, das Sie löschen möchten, und wählen Sie dann **Save** (Speichern).
# Verwenden Sie API- und AWS CLI Tag-Operationen
Verwenden Sie die folgenden Tag-Operationen, um Tags für eine Ressource hinzuzufügen, zu entfernen oder aufzulisten.
****
| API | CLI | Aktionsbeschreibung |
| --- | --- | --- |
| TagResource | tag-resource | Fügen Sie ein oder mehrere Tags für die Ressource hinzu, die den angegebenen ARN hat, oder überschreiben Sie diese. |
| UntagResource | untag-resource | Löschen Sie ein oder mehrere Tags aus der Ressource, die den angegebenen ARN hat. |
| ListTagsForResource | list‑tags‑for‑resource | Listen Sie ein oder mehrere Tags für die Ressource auf, die den angegebenen ARN hat. |
**Tags beim Erstellen von einer Ressource hinzufügen**
Um beim Erstellen einer Arbeitsgruppe oder eines Datenkatalogs Tags hinzuzufügen, verwenden Sie den `tags` Parameter zusammen mit den `CreateWorkGroup` `CreateDataCatalog` API-Operationen oder mit den `create-data-catalog` Befehlen AWS CLI `create-work-group` oder.
## Tags mit API-Aktionen verwalten
Die folgenden Beispiele zeigen, wie Tag-API-Aktionen zum Verwalten von Tags auf Arbeitsgruppen und Datenkatalogen verwendet werden. Die Beispiele werden in der Programmiersprache Java gegeben.
### Beispiel — TagResource
Im folgenden Beispiel werden der Arbeitsgruppe `workgroupA` zwei Tags hinzugefügt:
```
List tags = new ArrayList<>();
tags.add(new Tag().withKey("tagKey1").withValue("tagValue1"));
tags.add(new Tag().withKey("tagKey2").withValue("tagValue2"));
TagResourceRequest request = new TagResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA")
.withTags(tags);
client.tagResource(request);
```
Im folgenden Beispiel werden dem Datenkatalog `datacatalogA` zwei Tags hinzugefügt:
```
List tags = new ArrayList<>();
tags.add(new Tag().withKey("tagKey1").withValue("tagValue1"));
tags.add(new Tag().withKey("tagKey2").withValue("tagValue2"));
TagResourceRequest request = new TagResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA")
.withTags(tags);
client.tagResource(request);
```
**Anmerkung**
Fügen Sie der gleichen Ressource keine doppelten Tag-Schlüssel hinzu. In diesem Fall gibt Athena eine Fehlermeldung aus. Wenn Sie eine Ressource mit einem vorhandenen Tag-Schlüssel in einer separaten `TagResource`-Aktion markieren, überschreibt der neue Tag-Wert den alten.
### Beispiel — UntagResource
Im folgenden Beispiel wird `tagKey2` aus der Arbeitsgruppe `workgroupA` entfernt:
```
List tagKeys = new ArrayList<>();
tagKeys.add("tagKey2");
UntagResourceRequest request = new UntagResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA")
.withTagKeys(tagKeys);
client.untagResource(request);
```
Im folgenden Beispiel wird `tagKey2` aus dem Datenkatalog `datacatalogA` entfernt:
```
List tagKeys = new ArrayList<>();
tagKeys.add("tagKey2");
UntagResourceRequest request = new UntagResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA")
.withTagKeys(tagKeys);
client.untagResource(request);
```
### Beispiel — ListTagsForResource
Im folgenden Beispiel werden Tags für die Arbeitsgruppe `workgroupA` aufgelistet:
```
ListTagsForResourceRequest request = new ListTagsForResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA");
ListTagsForResourceResult result = client.listTagsForResource(request);
List resultTags = result.getTags();
```
Im folgenden Beispiel werden Tags für den Datenkatalog `datacatalogA` aufgelistet:
```
ListTagsForResourceRequest request = new ListTagsForResourceRequest()
.withResourceARN("arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA");
ListTagsForResourceResult result = client.listTagsForResource(request);
List resultTags = result.getTags();
```
## Verwalte Tags mit dem AWS CLI
Die folgenden Beispiele zeigen, wie Sie mit AWS CLI dem Tags in Datenkatalogen erstellen und verwalten können.
### Tags einer Ressource hinzufügen: Tag-Ressource
Der `tag-resource`-Befehl fügt einzelne oder mehrere Tags einer angegebenen Ressource hinzu
**Syntax**
`aws athena tag-resource --resource-arn arn:aws:athena:region:account_id:datacatalog/catalog_name --tags Key=string,Value=string Key=string,Value=string`
Der `--resource-arn`-Parameter gibt die Ressource an, der die Tags hinzugefügt werden. Der `--tags`-Parameter gibt eine Liste von durch Leerzeichen getrennten Schlüssel-Wert-Paaren an, die der Ressource als Tags hinzugefügt werden sollen.
**Example**
Im folgenden Beispiel werden dem `mydatacatalog`-Datenkatalog Tags hinzugefügt.
```
aws athena tag-resource --resource-arn arn:aws:athena:us-east-1:111122223333:datacatalog/mydatacatalog --tags Key=Color,Value=Orange Key=Time,Value=Now
```
Um das Ergebnis anzuzeigen, verwenden Sie den `list-tags-for-resource`-Befehl.
Weitere Informationen zum Hinzufügen von Tags bei Verwendung des `create-data-catalog`-Befehls finden Sie unter [Registrierung eines Katalogs: Create-data-catalog](datastores-hive-cli.md#datastores-hive-cli-registering-a-catalog).
### Listet die Tags für eine Ressource auf: list-tags-for-resource
Der `list-tags-for-resource`-Befehl listet die Tags für die angegebene Ressource auf.
**Syntax**
`aws athena list-tags-for-resource --resource-arn arn:aws:athena:region:account_id:datacatalog/catalog_name`
Der `--resource-arn`-Parameter gibt die Ressource an, für die die Tags aufgelistet werden.
Im folgenden Beispiel werden die Tags für den `mydatacatalog`-Datenkatalog aufgelistet.
```
aws athena list-tags-for-resource --resource-arn arn:aws:athena:us-east-1:111122223333:datacatalog/mydatacatalog
```
Das folgende Beispielergebnis verwendet das JSON-Format.
```
{
"Tags": [
{
"Key": "Time",
"Value": "Now"
},
{
"Key": "Color",
"Value": "Orange"
}
]
}
```
### Tags aus einer Ressource entfernen: untag-resource
Der `untag-resource`-Befehl entfernt die angegebenen Tag-Schlüssel und die zugehörigen Werte von der angegebenen Ressource.
**Syntax**
`aws athena untag-resource --resource-arn arn:aws:athena:region:account_id:datacatalog/catalog_name --tag-keys key_name [key_name ...]`
Der `--resource-arn`-Parameter gibt die Ressource an, von der die Tags entfernt werden. Der `--tag-keys`-Parameter erstellt eine durch Leerzeichen getrennte Liste von Schlüsselnamen. Für jeden angegebenen Schlüsselnamen entfernt der `untag-resource`-Befehl sowohl den Schlüssel als auch seinen Wert.
Im folgenden Beispiel werden die Schlüssel `Color` und `Time` sowie deren Werte aus der `mydatacatalog`-Katalogressource entfernt.
```
aws athena untag-resource --resource-arn arn:aws:athena:us-east-1:111122223333:datacatalog/mydatacatalog --tag-keys Color Time
```
# Tagbasierte IAM-Zugriffssteuerungsrichtlinien verwenden
Mit Tags können Sie eine IAM-Richtlinie schreiben, die den `Condition`-Block enthält, um den Zugriff auf eine Ressource basierend auf ihren Tags zu steuern. Dieser Abschnitt enthält Beispiele für Tag-Richtlinien für Arbeitsgruppen und Datenkatalogressourcen.
## Tag-Richtlinienbeispiele für Arbeitsgruppen
### Beispiel – Grundlegende Tagging-Richtlinie
Die folgende IAM-Richtlinie ermöglicht Ihnen das Ausführen von Abfragen und die Interaktion mit Tags für die Arbeitsgruppe mit dem Namen `workgroupA`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListWorkGroups",
"athena:ListEngineVersions",
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"athena:TagResource",
"athena:UntagResource",
"athena:ListTagsForResource",
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:BatchGetQueryExecution",
"athena:ListQueryExecutions",
"athena:StopQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryResultsStream",
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:BatchGetNamedQuery",
"athena:ListNamedQueries",
"athena:DeleteNamedQuery",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:ListPreparedStatements",
"athena:UpdatePreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:workgroup/workgroupA"
}
]
}
```
------
### Beispiel – Richtlinienblock, der Aktionen auf einer Arbeitsgruppe auf der Grundlage eines Tagschlüssel-/Tagwert-Paares verweigert
Tags, die einer bestehenden Ressource, beispielsweise einer Arbeitsgruppe, zugeordnet sind, werden als Ressourcen-Tags bezeichnet. Mit Ressourcen-Tags können Sie Richtlinienblöcke wie die folgenden schreiben, die die aufgelisteten Aktionen für jede Arbeitsgruppe ablehnen, die mit einem Schlüssel-Wert-Paar wie `stack`, `production` gekennzeichnet sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"athena:GetWorkGroup",
"athena:UpdateWorkGroup",
"athena:DeleteWorkGroup",
"athena:TagResource",
"athena:UntagResource",
"athena:ListTagsForResource",
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:BatchGetQueryExecution",
"athena:ListQueryExecutions",
"athena:StopQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryResultsStream",
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:BatchGetNamedQuery",
"athena:ListNamedQueries",
"athena:DeleteNamedQuery",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:ListPreparedStatements",
"athena:UpdatePreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:workgroup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stack": "production"
}
}
}
]
}
```
------
### Beispiel – Richtlinienblock, der Tags ändernde Aktionsanfragen auf die angegebenen Tags beschränkt
Tags, die als Parameter an Operationen übergeben werden, die Tags ändern (z. B. `TagResource`, `UntagResource` oder `CreateWorkGroup` mit Tags) werden als Anforderungs-Tags bezeichnet. Der folgende Beispielrichtlinienblock erlaubt die `CreateWorkGroup`-Operation nur, wenn eines der übergebenen Tags den Schlüssel `costcenter` und den Wert `1`, `2` oder `3` hat.
**Anmerkung**
Wenn Sie zulassen möchten, dass eine IAM-Rolle Tags als Teil einer `CreateWorkGroup`-Operation weitergibt, stellen Sie sicher, dass Sie der Rolle Berechtigungen für die `TagResource`- und `CreateWorkGroup`-Aktionen erteilen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:CreateWorkGroup",
"athena:TagResource"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:workgroup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
------
## Tag-Richtlinienbeispiele für Datenkataloge
### Beispiel – Grundlegende Tagging-Richtlinie
Mit der folgenden IAM-Richtlinie können Sie mit Tags für den Datenkatalog mit dem Namen `datacatalogA` interagieren:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListWorkGroups",
"athena:ListEngineVersions",
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"athena:TagResource",
"athena:UntagResource",
"athena:ListTagsForResource",
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:BatchGetQueryExecution",
"athena:ListQueryExecutions",
"athena:StopQueryExecution",
"athena:GetQueryResults",
"athena:GetQueryResultsStream",
"athena:CreateNamedQuery",
"athena:GetNamedQuery",
"athena:BatchGetNamedQuery",
"athena:ListNamedQueries",
"athena:DeleteNamedQuery"
],
"Resource": [
"arn:aws:athena:us-east-1:123456789012:workgroup/*"
]
},
{
"Effect": "Allow",
"Action": [
"athena:CreateDataCatalog",
"athena:GetDataCatalog",
"athena:UpdateDataCatalog",
"athena:DeleteDataCatalog",
"athena:ListDatabases",
"athena:GetDatabase",
"athena:ListTableMetadata",
"athena:GetTableMetadata",
"athena:TagResource",
"athena:UntagResource",
"athena:ListTagsForResource"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:datacatalog/datacatalogA"
}
]
}
```
------
### Beispiel – Richtlinienblock, der Aktionen in einem Datenkatalog auf der Grundlage eines Tag-Schlüssel-/Tag-Wert-Paares verweigert
Sie können Ressourcen-Tags verwenden, um Richtlinienblöcke zu schreiben, die bestimmte Aktionen in Datenkatalogen verweigern, die mit bestimmten Tag-Schlüssel-Wert-Paaren markiert sind. In der folgenden Beispielrichtlinie werden Aktionen für Datenkataloge verweigert, die das Tag-Schlüssel-Wert-Paar `stack`, `production` haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"athena:CreateDataCatalog",
"athena:GetDataCatalog",
"athena:UpdateDataCatalog",
"athena:DeleteDataCatalog",
"athena:GetDatabase",
"athena:ListDatabases",
"athena:GetTableMetadata",
"athena:ListTableMetadata",
"athena:StartQueryExecution",
"athena:TagResource",
"athena:UntagResource",
"athena:ListTagsForResource"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:datacatalog/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stack": "production"
}
}
}
]
}
```
------
### Beispiel – Richtlinienblock, der Tags ändernde Aktionsanfragen auf die angegebenen Tags beschränkt
Tags, die als Parameter an Operationen übergeben werden, die Tags ändern (z. B. `TagResource`, `UntagResource` oder `CreateDataCatalog` mit Tags) werden als Anforderungs-Tags bezeichnet. Der folgende Beispielrichtlinienblock erlaubt die `CreateDataCatalog`-Operation nur, wenn eines der übergebenen Tags den Schlüssel `costcenter` und den Wert `1`, `2` oder `3` hat.
**Anmerkung**
Wenn Sie zulassen möchten, dass eine IAM-Rolle Tags als Teil einer `CreateDataCatalog`-Operation weitergibt, stellen Sie sicher, dass Sie der Rolle Berechtigungen für die `TagResource`- und `CreateDataCatalog`-Aktionen erteilen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:CreateDataCatalog",
"athena:TagResource"
],
"Resource": "arn:aws:athena:us-east-1:123456789012:datacatalog/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
------