

# Athena 中的 Identity and Access Management
<a name="security-iam-athena"></a>

Amazon Athena 使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 策略来限制对 Athena 操作的访问。有关 Athena 的完整权限列表，请参阅《服务授权参考**》中的 [Amazon Athena 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonathena.html)。

每当您使用 IAM 策略时，请确保遵循 IAM 最佳实践。有关更多信息，请参阅《[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 安全最佳实践*。

运行 Athena 查询所需的权限包含以下内容：
+ 存储查询底层数据的 Amazon S3 位置。有关更多信息，请参阅《*Amazon Simple Storage Service 用户指南*》中的 [Amazon S3 中的身份和访问管理](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)。
+ 在 AWS Glue Data Catalog 中存储的元数据和资源，例如数据库和表，包括加密元数据的其他操作。有关更多信息，请参阅《AWS Glue 开发人员指南**》中的[为 AWS Glue 设置 IAM 权限](https://docs.aws.amazon.com/glue/latest/dg/getting-started-access.html)和[在 AWS Glue 中设置加密](https://docs.aws.amazon.com/glue/latest/dg/set-up-encryption.html)。
+ Athena API 操作。有关 Athena 中 API 操作的完整列表，请参阅 *Amazon Athena API 参考*中的[操作](https://docs.aws.amazon.com/athena/latest/APIReference/API_Operations.html)。

以下主题提供了有关 Athena 的特定区域权限的更多信息。

**Topics**
+ [AWS 托管策略](security-iam-awsmanpol.md)
+ [数据边界](data-perimeters.md)
+ [通过 JDBC 和 ODBC 连接访问](policy-actions.md)
+ [控制从 Athena 对 Amazon S3 的访问](s3-permissions.md)
+ [对 S3 存储桶的跨账户访问](cross-account-permissions.md)
+ [对 AWS Glue 中数据库和表的访问](fine-grained-access-to-glue-resources.md)
+ [授予 AWS Glue 数据目录跨账户访问权限](security-iam-cross-account-glue-catalog-access.md)
+ [针对数据目录中加密元数据的访问权限](access-encrypted-data-glue-data-catalog.md)
+ [对工作组和标签的访问](workgroups-access.md)
+ [使用 IAM 策略控制工作组访问](workgroups-iam-policy.md)
+ [已启用 IAM Identy Center 的工作组](workgroups-identity-center.md)
+ [配置最低加密](workgroups-minimum-encryption.md)
+ [配置对于预编译语句的访问](security-iam-athena-prepared-statements.md)
+ [使用 CalledVia 上下文密钥](security-iam-athena-calledvia.md)
+ [允许访问适用于外部配置 Hive 元存储的 Athena 数据连接器](hive-metastore-iam-access.md)
+ [允许 Lambda 函数访问外部 Hive 元存储](hive-metastore-iam-access-lambda.md)
+ [创建连接器和 Athena 目录所需的权限](athena-catalog-access.md)
+ [允许访问 Athena 联合查询](federated-query-iam-access.md)
+ [允许访问 UDF](udf-iam-access.md)
+ [允许使用 Athena 访问机器学习](machine-learning-iam-access.md)
+ [启用对 Athena API 的联合访问](access-federation-saml.md)