Configuración de permisos para configurar tablas de metadatos - Amazon Simple Storage Service

Configuración de permisos para configurar tablas de metadatos

Para crear una configuración de tabla de metadatos, debe tener los permisos de AWS Identity and Access Management (IAM) necesarios tanto para crear y administrar la configuración de tabla de metadatos como para crear y administrar las tablas de metadatos y el bucket de tablas donde se almacenan las tablas de metadatos.

Para crear y administrar la configuración de tabla de metadatos, debe tener estos permisos:

  • s3:CreateBucketMetadataTableConfiguration: este permiso le permite crear una configuración de tabla de metadatos para el bucket de uso general. Para crear una configuración de tabla de metadatos, se requieren permisos adicionales, incluidos los permisos de Tablas de S3, tal y como se explica en las siguientes secciones. Para obtener un resumen de los permisos necesarios, consulte Permisos y operaciones de bucket.

  • s3:GetBucketMetadataTableConfiguration: este permiso le permite recuperar información sobre la configuración de tabla de metadatos.

  • s3:DeleteBucketMetadataTableConfiguration: este permiso le permite eliminar la configuración de tabla de metadatos.

  • s3:UpdateBucketMetadataJournalTableConfiguration: este permiso le permite actualizar la configuración de tabla del diario para que caduquen los registros de la tabla de diario.

  • s3:UpdateBucketMetadataInventoryTableConfiguration: este permiso le permite actualizar la configuración de tabla de inventario para habilitar o deshabilitar la tabla de inventario. Para actualizar la configuración de una tabla de inventario, se requieren permisos adicionales, incluidos los permisos de Tablas de S3. Para obtener una lista de los permisos necesarios, consulte Permisos y operaciones de bucket.

    nota

    Los permisos s3:CreateBucketMetadataTableConfiguration, s3:GetBucketMetadataTableConfiguration y s3:DeleteBucketMetadataTableConfiguration se utilizan para las configuraciones de Metadatos de S3 V1 y V2. Para V2, los nombres de las operaciones de la API correspondientes son CreateBucketMetadataConfiguration, GetBucketMetadataConfiguration y DeleteBucketMetadataConfiguration.

Para crear y trabajar con tablas y buckets de tablas, debe tener ciertos permisos de s3tables. Como mínimo, para crear una configuración de tabla de metadatos, debe tener los siguientes permisos de s3tables:

  • s3tables:CreateTableBucket: este permiso le permite crear un bucket de tablas administradas de AWS. Todas las configuraciones de tablas de metadatos de la cuenta y de la misma región se almacenan en un único bucket de tablas administradas de AWS denominado aws-s3. Para obtener más información, consulte Cómo funcionan las tablas de metadatos y Uso de buckets de tablas administradas de AWS.

  • s3tables:CreateNamespace: este permiso le permite crear un espacio de nombres en un bucket de tablas. Las tablas de metadatos suelen utilizar el espacio de nombres b_general_purpose_bucket_name. Para obtener más información sobre los espacios de nombres de las tablas de metadatos, consulte Cómo funcionan las tablas de metadatos.

  • s3tables:CreateTable: este permiso le permite crear las tablas de metadatos.

  • s3tables:GetTable: este permiso le permite recuperar información sobre las tablas de metadatos.

  • s3tables:PutTablePolicy: este permiso le permite agregar o actualizar las políticas de tabla de metadatos.

  • s3tables:PutTableEncryption: este permiso le permite establecer el cifrado del servidor para las tablas de metadatos. Se requieren permisos adicionales si desea cifrar las tablas de metadatos con cifrado del servidor con claves de AWS Key Management Service (AWS KMS) (SSE-KMS). Para obtener más información, consulte Permisos para SSE-KMS.

  • kms:DescribeKey: este permiso le permite recuperar información sobre una clave de KMS.

Para obtener información detallada sobre todos los permisos de tablas y buckets de tablas, consulte Administración de acceso para Tablas de S3.

importante

Si también desea integrar el bucket de tablas con servicios de análisis de AWS para poder consultar la tabla de metadatos, necesita permisos adicionales. Para obtener más información, consulte Integración de Tablas de Amazon S3 con servicios de análisis de AWS.

Permisos para SSE-KMS

Para cifrar las tablas de metadatos con cifrado del servidor con claves de AWS Key Management Service (AWS KMS) (SSE-KMS), debe tener permisos adicionales.

  1. El usuario o rol de AWS Identity and Access Management (IAM) necesita los siguientes permisos. Puede conceder estos permisos mediante la consola de IAM: https://console.aws.amazon.com/iam/.

    1. s3tables:PutTableEncryption para configurar el cifrado de tablas

    2. kms:DescribeKey en la clave de AWS KMS utilizada

  2. En la política de recursos de la clave de KMS, necesita los siguientes permisos. Puede conceder estos permisos mediante la consola de AWS KMS: https://console.aws.amazon.com/kms.

    1. Conceda el permiso kms:GenerateDataKey a metadata.s3.amazonaws.com y maintenance.s3tables.amazonaws.com.

    2. Conceda el permiso kms:Decrypt a metadata.s3.amazonaws.com y maintenance.s3tables.amazonaws.com.

    3. Conceda el permiso kms:DescribeKey a la entidad principal de AWS de invocación.

Además de estos permisos, asegúrese de que la clave de KMS administrada por el cliente utilizada para cifrar las tablas todavía existe, está activa y se encuentra en la misma región que el bucket de uso general.

Ejemplo de política de

Para crear y trabajar con tablas de metadatos y buckets de tablas, puede utilizar la siguiente política de ejemplo. En esta política, el bucket de uso general al que está aplicando la configuración de la tabla de metadatos se denomina amzn-s3-demo-bucket. Para utilizar esta política, sustituya user input placeholders por su información.

Al crear la configuración de las tablas de metadatos, estas se almacenan en un bucket de tablas administradas de AWS. Todas las configuraciones de tablas de metadatos de la cuenta y de la misma región se almacenan en un único bucket de tablas administradas de AWS denominado aws-s3.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PermissionsToWorkWithMetadataTables",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucketMetadataTableConfiguration",
                "s3:GetBucketMetadataTableConfiguration",
                "s3:DeleteBucketMetadataTableConfiguration",
                "s3:UpdateBucketMetadataJournalTableConfiguration",
                "s3:UpdateBucketMetadataInventoryTableConfiguration",
                "s3tables:*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/amzn-s3-demo-bucket",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*"
            ]
        }
    ]
}

Para consultar tablas de metadatos, puede utilizar la siguiente política de ejemplo. Si las tablas de metadatos se han cifrado con SSE-KMS, necesitará el permiso kms:Decrypt tal y como se muestra. Para utilizar esta política, sustituya user input placeholders por su información.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PermissionsToQueryMetadataTables",
            "Effect": "Allow",
            "Action": [
                "s3tables:GetTable",
                "s3tables:GetTableData",
                "s3tables:GetTableMetadataLocation",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*"
            ]
        }
    ]
}