Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen

Um eine Metadatentabellenkonfiguration zu erstellen, benötigen Sie die erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen, um sowohl Ihre Metadatentabellenkonfiguration zu erstellen und zu verwalten als auch Ihre Metadatentabellen und den Tabellen-Bucket, in dem Ihre Metadatentabellen gespeichert sind, zu erstellen und zu verwalten.

Um Ihre Konfiguration der Metadatentabellen zu erstellen und zu verwalten, benötigen Sie die folgenden Berechtigungen:

  • s3:CreateBucketMetadataTableConfiguration – Mit dieser Berechtigung können Sie eine Metadatentabellenkonfiguration für Ihren Allzweck-Bucket erstellen. Um eine Metadatentabellenkonfiguration zu erstellen, sind zusätzliche Berechtigungen, einschließlich S3-Tabellenberechtigungen, erforderlich, wie in den folgenden Abschnitten erläutert. Eine Zusammenfassung der erforderlichen Berechtigungen finden Sie unterBucket-Operationen und -Berechtigungen.

  • s3:GetBucketMetadataTableConfiguration – Mit dieser Berechtigung können Sie Informationen über Ihre Metadatentabellenkonfiguration abrufen.

  • s3:DeleteBucketMetadataTableConfiguration – Mit dieser Berechtigung können Sie Ihre Metadatentabellenkonfiguration löschen.

  • s3:UpdateBucketMetadataJournalTableConfiguration— Mit dieser Berechtigung können Sie Ihre Journaltabellenkonfiguration so aktualisieren, dass Journaltabelleneinträge ablaufen.

  • s3:UpdateBucketMetadataInventoryTableConfiguration— Mit dieser Berechtigung können Sie Ihre Inventartabellenkonfiguration aktualisieren, um die Inventartabelle zu aktivieren oder zu deaktivieren. Um eine Inventartabellenkonfiguration zu aktualisieren, sind zusätzliche Berechtigungen, einschließlich Berechtigungen für S3-Tabellen, erforderlich. Eine Liste der erforderlichen Berechtigungen finden Sie unter Bucket-Operationen und -Berechtigungen.

    Anmerkung

    Die s3:DeleteBucketMetadataTableConfiguration Berechtigungen s3:CreateBucketMetadataTableConfigurations3:GetBucketMetadataTableConfiguration, und werden sowohl für V1- als auch für V2-S3-Metadatenkonfigurationen verwendet. Für V2 lauten die Namen der entsprechenden API-Operationen CreateBucketMetadataConfigurationGetBucketMetadataConfiguration, undDeleteBucketMetadataConfiguration.

Damit Sie Tabellen und Tabellen-Buckets erstellen und damit arbeiten können, benötigen Sie bestimmte s3tables-Berechtigungen. Zum Erstellen einer Metadatentabellenkonfiguration müssen Sie zumindest über die folgenden s3tables-Berechtigungen verfügen:

  • s3tables:CreateTableBucket— Mit dieser Berechtigung können Sie einen AWS verwalteten Tabellen-Bucket erstellen. Alle Metadatentabellenkonfigurationen in Ihrem Konto und in derselben Region werden in einem einzigen AWS verwalteten Tabellen-Bucket mit dem Namen gespeichertaws-s3. Weitere Informationen finden Sie unter Funktionsweise von Metadatentabellen und Mit AWS verwalteten Tabellen-Buckets arbeiten.

  • s3tables:CreateNamespace – Mit dieser Berechtigung können Sie einen Namespace in einem Tabellen-Bucket erstellen. Metadatentabellen verwenden in der Regel den b_general_purpose_bucket_name Namespace. Weitere Hinweise zu Namespaces für Metadatentabellen finden Sie unter. Funktionsweise von Metadatentabellen

  • s3tables:CreateTable— Mit dieser Berechtigung können Sie Ihre Metadatentabellen erstellen.

  • s3tables:GetTable— Mit dieser Berechtigung können Sie Informationen zu Ihren Metadatentabellen abrufen.

  • s3tables:PutTablePolicy— Mit dieser Berechtigung können Sie Ihre Richtlinien für Metadatentabellen hinzufügen oder aktualisieren.

  • s3tables:PutTableEncryption— Mit dieser Berechtigung können Sie die serverseitige Verschlüsselung für Ihre Metadatentabellen festlegen. Zusätzliche Berechtigungen sind erforderlich, wenn Sie Ihre Metadatentabellen mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verschlüsseln möchten. Weitere Informationen finden Sie unter Berechtigungen für SSE-KMS.

  • kms:DescribeKey— Mit dieser Berechtigung können Sie Informationen über einen KMS-Schlüssel abrufen.

Ausführliche Informationen zu allen Berechtigungen für Tabellen und Tabellen-Buckets finden Sie unter Zugriffsverwaltung für S3-Tabellen.

Wichtig

Wenn Sie Ihren Tabellen-Bucket auch in AWS Analysedienste integrieren möchten, sodass Sie Ihre Metadatentabelle abfragen können, benötigen Sie zusätzliche Berechtigungen. Weitere Informationen finden Sie unter Integration von Amazon S3 S3-Tabellen mit AWS Analysediensten.

Berechtigungen für SSE-KMS

Um Ihre Metadatentabellen mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) zu verschlüsseln, benötigen Sie zusätzliche Berechtigungen.

  1. Der Benutzer oder die AWS Identity and Access Management (IAM-) Rolle benötigt die folgenden Berechtigungen. Sie können diese Berechtigungen mithilfe der IAM-Konsole gewähren:. https://console.aws.amazon.com/iam/

    1. s3tables:PutTableEncryptionum die Tabellenverschlüsselung zu konfigurieren

    2. kms:DescribeKeyauf dem verwendeten AWS KMS Schlüssel

  2. Für die Ressourcenrichtlinie für den KMS-Schlüssel benötigen Sie die folgenden Berechtigungen. Sie können diese Berechtigungen mithilfe der AWS KMS Konsole gewähren: https://console.aws.amazon.com/kms.

    1. Erteilen Sie kms:GenerateDataKey die Erlaubnis für metadata.s3.amazonaws.com undmaintenance.s3tables.amazonaws.com.

    2. Erteilen Sie metadata.s3.amazonaws.com und die kms:Decrypt Erlaubnismaintenance.s3tables.amazonaws.com.

    3. Erteilen Sie dem aufrufenden AWS Schulleiter die kms:DescribeKey Erlaubnis.

Stellen Sie zusätzlich zu diesen Berechtigungen sicher, dass der vom Kunden verwaltete KMS-Schlüssel, der zum Verschlüsseln der Tabellen verwendet wird, noch vorhanden ist, aktiv ist und sich in derselben Region wie Ihr Allzweck-Bucket befindet.

Beispielrichtline

Um Metadatentabellen und Tabellen-Buckets zu erstellen und damit zu arbeiten, können Sie die folgende Beispielrichtlinie verwenden. In dieser Richtlinie wird der Allzweck-Bucket, auf den Sie die Metadatentabellenkonfiguration anwenden, als amzn-s3-demo-bucket bezeichnet. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen.

Wenn Sie Ihre Metadatentabellenkonfiguration erstellen, werden Ihre Metadatentabellen in einem AWS verwalteten Tabellen-Bucket gespeichert. Alle Metadatentabellenkonfigurationen in Ihrem Konto und in derselben Region werden in einem einzigen AWS verwalteten Tabellen-Bucket mit dem Namen gespeichertaws-s3.

JSON
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PermissionsToWorkWithMetadataTables", "Effect": "Allow", "Action": [ "s3:CreateBucketMetadataTableConfiguration", "s3:GetBucketMetadataTableConfiguration", "s3:DeleteBucketMetadataTableConfiguration", "s3:UpdateBucketMetadataJournalTableConfiguration", "s3:UpdateBucketMetadataInventoryTableConfiguration", "s3tables:*", "kms:DescribeKey" ], "Resource": [ "arn:aws:s3:::bucket/amzn-s3-demo-bucket", "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3", "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*" ] } ] }

Um Metadatentabellen abzufragen, können Sie die folgende Beispielrichtlinie verwenden. Wenn Ihre Metadatentabellen mit SSE-KMS verschlüsselt wurden, benötigen Sie die angegebene kms:Decrypt Berechtigung. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen.

JSON
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PermissionsToQueryMetadataTables", "Effect": "Allow", "Action": [ "s3tables:GetTable", "s3tables:GetTableData", "s3tables:GetTableMetadataLocation", "kms:Decrypt" ], "Resource": [ "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3", "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*" ] } ] }