# 使用 IAM 策略控制对数据目录的访问权限
<a name="datacatalogs-iam-policy"></a>

要控制对数据目录的访问，请使用资源级 IAM 权限或基于身份的 IAM policy。

以下是 Athena 的特定过程。

有关 IAM 的特定信息，请参阅本节末尾列出的链接。有关示例 JSON 数据目录策略的信息，请参阅 [数据目录示例策略](datacatalogs-example-policies.md)。

**在 IAM 控制台中使用可视化编辑器创建数据目录策略**

1. 登录 Amazon Web Services 管理控制台，然后通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/)。

1. 在左侧的导航窗格中，选择 **Policies (策略)**，然后选择 **Create policy (创建策略)**。

1. 在**可视化编辑器**选项卡上，选择**选择服务**。然后，选择要添加到策略的 Athena。

1. 选择 **Select actions (选择操作)**，然后选择要添加到策略的操作。可视化编辑器会显示 Athena 中可用的操作。有关更多信息，请参阅《服务授权参考》**中的 [Amazon Athena 的操作、资源和条件键](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazonathena.html)。

1. 选择 **add actions (添加操作)** 以键入特定操作，或使用通配符 (\$1) 指定多个操作。

   预设情况下，您创建的策略允许执行选择的操作。如果您在 Athena 中选择对 `datacatalog` 资源执行一个或多个支持资源级权限的操作，则编辑器会列出 `datacatalog` 资源。

1. 选择**资源**，为您的策略指定特定的数据目录。有关 JSON 数据目录策略的示例，请参阅[数据目录示例策略](datacatalogs-example-policies.md)。

1. 指定 `datacatalog` 资源，如下所示：

   ```
   arn:aws:athena:<region>:<user-account>:datacatalog/<datacatalog-name>
   ```

1. 选择 **Review policy (查看策略)**，然后为您创建的策略键入 **Name (名称)** 和 **Description (描述)**（可选）。查看策略摘要以确保您已授予所需的权限。

1. 选择**创建策略**可保存您的新策略。

1. 将此基于身份的策略附加到用户、组或角色，并指定他们可访问的 `datacatalog` 资源。

有关详细信息，请参阅*服务授权参考*和 *IAM 用户指南*中的以下主题：
+ [Amazon Athena 的操作、资源和条件键](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazonathena.html)
+ [使用可视化编辑器创建策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-visual-editor)
+ [添加和移除 IAM 策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [控制对资源的访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources)

有关 JSON 数据目录策略的示例，请参阅[数据目录示例策略](datacatalogs-example-policies.md)。

有关 Amazon Glue 权限和 Amazon Glue 爬网程序权限的信息，请参阅《Amazon Glue 开发人员指南》中的 [为 Amazon Glue 设置 IAM 权限](https://docs.amazonaws.cn/glue/latest/dg/getting-started-access.html) 和 [爬网程序先决条件](https://docs.amazonaws.cn/glue/latest/dg/crawler-prereqs.html)。

有关 Amazon Athena 操作的完整列表，请参阅 [Amazon Athena API 参考](https://docs.amazonaws.cn/athena/latest/APIReference/)中的 API 操作名称。