Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen
Um eine Metadatentabellenkonfiguration zu erstellen, benötigen Sie die erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen, um sowohl Ihre Metadatentabellenkonfiguration zu erstellen und zu verwalten als auch Ihre Metadatentabellen und den Tabellen-Bucket, in dem Ihre Metadatentabellen gespeichert sind, zu erstellen und zu verwalten.
Um Ihre Konfiguration der Metadatentabellen zu erstellen und zu verwalten, benötigen Sie die folgenden Berechtigungen:
-
s3:CreateBucketMetadataTableConfiguration
– Mit dieser Berechtigung können Sie eine Metadatentabellenkonfiguration für Ihren Allzweck-Bucket erstellen. Um eine Metadatentabellenkonfiguration zu erstellen, sind zusätzliche Berechtigungen, einschließlich S3-Tabellenberechtigungen, erforderlich, wie in den folgenden Abschnitten erläutert. Eine Zusammenfassung der erforderlichen Berechtigungen finden Sie unterBucket-Operationen und -Berechtigungen. -
s3:GetBucketMetadataTableConfiguration
– Mit dieser Berechtigung können Sie Informationen über Ihre Metadatentabellenkonfiguration abrufen. -
s3:DeleteBucketMetadataTableConfiguration
– Mit dieser Berechtigung können Sie Ihre Metadatentabellenkonfiguration löschen. -
s3:UpdateBucketMetadataJournalTableConfiguration
— Mit dieser Berechtigung können Sie Ihre Journaltabellenkonfiguration so aktualisieren, dass Journaltabelleneinträge ablaufen. -
s3:UpdateBucketMetadataInventoryTableConfiguration
— Mit dieser Berechtigung können Sie Ihre Inventartabellenkonfiguration aktualisieren, um die Inventartabelle zu aktivieren oder zu deaktivieren. Um eine Inventartabellenkonfiguration zu aktualisieren, sind zusätzliche Berechtigungen, einschließlich Berechtigungen für S3-Tabellen, erforderlich. Eine Liste der erforderlichen Berechtigungen finden Sie unter Bucket-Operationen und -Berechtigungen.Anmerkung
Die
s3:DeleteBucketMetadataTableConfiguration
Berechtigungens3:CreateBucketMetadataTableConfiguration
s3:GetBucketMetadataTableConfiguration
, und werden sowohl für V1- als auch für V2-S3-Metadatenkonfigurationen verwendet. Für V2 lauten die Namen der entsprechenden API-OperationenCreateBucketMetadataConfiguration
GetBucketMetadataConfiguration
, undDeleteBucketMetadataConfiguration
.
Damit Sie Tabellen und Tabellen-Buckets erstellen und damit arbeiten können, benötigen Sie bestimmte s3tables
-Berechtigungen. Zum Erstellen einer Metadatentabellenkonfiguration müssen Sie zumindest über die folgenden s3tables
-Berechtigungen verfügen:
-
s3tables:CreateTableBucket
— Mit dieser Berechtigung können Sie einen AWS verwalteten Tabellen-Bucket erstellen. Alle Metadatentabellenkonfigurationen in Ihrem Konto und in derselben Region werden in einem einzigen AWS verwalteten Tabellen-Bucket mit dem Namen gespeichertaws-s3
. Weitere Informationen finden Sie unter Funktionsweise von Metadatentabellen und Mit AWS verwalteten Tabellen-Buckets arbeiten. -
s3tables:CreateNamespace
– Mit dieser Berechtigung können Sie einen Namespace in einem Tabellen-Bucket erstellen. Metadatentabellen verwenden in der Regel denb_
Namespace. Weitere Hinweise zu Namespaces für Metadatentabellen finden Sie unter. Funktionsweise von Metadatentabellengeneral_purpose_bucket_name
-
s3tables:CreateTable
— Mit dieser Berechtigung können Sie Ihre Metadatentabellen erstellen. -
s3tables:GetTable
— Mit dieser Berechtigung können Sie Informationen zu Ihren Metadatentabellen abrufen. -
s3tables:PutTablePolicy
— Mit dieser Berechtigung können Sie Ihre Richtlinien für Metadatentabellen hinzufügen oder aktualisieren. -
s3tables:PutTableEncryption
— Mit dieser Berechtigung können Sie die serverseitige Verschlüsselung für Ihre Metadatentabellen festlegen. Zusätzliche Berechtigungen sind erforderlich, wenn Sie Ihre Metadatentabellen mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verschlüsseln möchten. Weitere Informationen finden Sie unter Berechtigungen für SSE-KMS. -
kms:DescribeKey
— Mit dieser Berechtigung können Sie Informationen über einen KMS-Schlüssel abrufen.
Ausführliche Informationen zu allen Berechtigungen für Tabellen und Tabellen-Buckets finden Sie unter Zugriffsverwaltung für S3-Tabellen.
Wichtig
Wenn Sie Ihren Tabellen-Bucket auch in AWS Analysedienste integrieren möchten, sodass Sie Ihre Metadatentabelle abfragen können, benötigen Sie zusätzliche Berechtigungen. Weitere Informationen finden Sie unter Integration von Amazon S3 S3-Tabellen mit AWS Analysediensten.
Berechtigungen für SSE-KMS
Um Ihre Metadatentabellen mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) zu verschlüsseln, benötigen Sie zusätzliche Berechtigungen.
-
Der Benutzer oder die AWS Identity and Access Management (IAM-) Rolle benötigt die folgenden Berechtigungen. Sie können diese Berechtigungen mithilfe der IAM-Konsole gewähren:. https://console.aws.amazon.com/iam/
-
s3tables:PutTableEncryption
um die Tabellenverschlüsselung zu konfigurieren -
kms:DescribeKey
auf dem verwendeten AWS KMS Schlüssel
-
-
Für die Ressourcenrichtlinie für den KMS-Schlüssel benötigen Sie die folgenden Berechtigungen. Sie können diese Berechtigungen mithilfe der AWS KMS Konsole gewähren: https://console.aws.amazon.com/kms
. -
Erteilen Sie
kms:GenerateDataKey
die Erlaubnis fürmetadata.s3.amazonaws.com
undmaintenance.s3tables.amazonaws.com
. -
Erteilen Sie
metadata.s3.amazonaws.com
und diekms:Decrypt
Erlaubnismaintenance.s3tables.amazonaws.com
. -
Erteilen Sie dem aufrufenden AWS Schulleiter die
kms:DescribeKey
Erlaubnis.
-
Stellen Sie zusätzlich zu diesen Berechtigungen sicher, dass der vom Kunden verwaltete KMS-Schlüssel, der zum Verschlüsseln der Tabellen verwendet wird, noch vorhanden ist, aktiv ist und sich in derselben Region wie Ihr Allzweck-Bucket befindet.
Beispielrichtline
Um Metadatentabellen und Tabellen-Buckets zu erstellen und damit zu arbeiten, können Sie die folgende Beispielrichtlinie verwenden. In dieser Richtlinie wird der Allzweck-Bucket, auf den Sie die Metadatentabellenkonfiguration anwenden, als
bezeichnet. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie amzn-s3-demo-bucket
durch eigene Informationen. user input placeholders
Wenn Sie Ihre Metadatentabellenkonfiguration erstellen, werden Ihre Metadatentabellen in einem AWS
verwalteten Tabellen-Bucket gespeichert. Alle Metadatentabellenkonfigurationen in Ihrem Konto und in derselben Region werden in einem einzigen AWS verwalteten Tabellen-Bucket mit dem Namen gespeichertaws-s3
.
Um Metadatentabellen abzufragen, können Sie die folgende Beispielrichtlinie verwenden. Wenn Ihre Metadatentabellen mit SSE-KMS verschlüsselt wurden, benötigen Sie die angegebene kms:Decrypt
Berechtigung. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie
durch eigene Informationen.user input placeholders