# 配置对工作组和标签的访问
<a name="workgroups-access"></a>

工作组是由 Athena 管理的资源。因此，如果您的工作组策略使用获取 `workgroup` 作为输入的操作，您必须如下所示指定工作组的 ARN，其中 `workgroup-name` 是您的工作组的名称：

```
"Resource": [arn:aws:athena:region:AWSAcctID:workgroup/workgroup-name]
```

例如，对于 `us-west-2` 区域中用于 Amazon Web Services 账户 `123456789012` 的名为 `test_workgroup` 的工作组，请使用以下 ARN 指定工作组作为资源：

```
"Resource":["arn:aws:athena:us-east-2:123456789012:workgroup/test_workgroup"]
```

要访问启用了可信身份传播（TIP）的工作组，必须将 IAM Identity Center 用户分配给由 Athena [GetWorkGroup](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetWorkGroup.html) API 操作的响应返回的 `IdentityCenterApplicationArn`。
+ 有关工作组策略的列表，请参阅[工作组策略示例](example-policies-workgroup.md)。
+ 有关工作组的基于标签的策略列表，请参阅[使用基于标签的 IAM 访问控制策略](tags-access-control.md)。
+ 有关为工作组创建 IAM 策略的更多信息，请参阅 [使用 IAM 策略控制工作组访问](workgroups-iam-policy.md)。
+ 有关 Amazon Athena 操作的完整列表，请参阅 [Amazon Athena API 参考](https://docs.aws.amazon.com/athena/latest/APIReference/)中的 API 操作名称。
+ 有关 IAM 策略的更多信息，请参阅《IAM 用户指南》**中的[使用可视化编辑器创建策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-visual-editor)。

每当您使用 IAM 策略时，请确保遵循 IAM 最佳实践。有关更多信息，请参阅《[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 安全最佳实践*。