Configuración de permisos para configurar tablas de metadatos
Para crear una configuración de tabla de metadatos, debe tener los permisos de AWS Identity and Access Management (IAM) necesarios tanto para crear y administrar la configuración de tabla de metadatos como para crear y administrar la tabla de metadatos y el bucket de tablas donde se almacena la tabla de metadatos.
Para crear y administrar la configuración de tabla de metadatos, debe tener estos permisos:
-
s3:CreateBucketMetadataTableConfiguration: este permiso le permite crear una configuración de tabla de metadatos para el bucket de uso general. -
s3:GetBucketMetadataTableConfiguration: este permiso le permite recuperar información sobre la configuración de tabla de metadatos. -
s3:DeleteBucketMetadataTableConfiguration: este permiso le permite eliminar la configuración de tabla de metadatos.
Para crear y trabajar con tablas y buckets de tablas, debe tener ciertos permisos de s3tables. Como mínimo, para crear una configuración de tabla de metadatos, debe tener los siguientes permisos de s3tables:
-
s3tables:CreateNamespace: este permiso le permite crear un espacio de nombres en un bucket de tablas. Las tablas de metadatos utilizan el espacio de nombres deaws_s3_metadatapredeterminado. -
s3tables:GetTable: este permiso le permite recuperar información sobre la tabla de metadatos. -
s3tables:CreateTable: este permiso le permite crear la tabla de metadatos. -
s3tables:PutTablePolicy: este permiso le permite agregar o actualizar la política de tabla de metadatos.
Para obtener información detallada sobre todos los permisos de tablas y buckets de tablas, consulte Administración de acceso para Tablas de S3.
importante
Si también desea integrar el bucket de tablas con servicios de análisis de AWS para poder consultar la tabla de metadatos, necesita permisos adicionales. Para obtener más información, consulte Integración de Tablas de Amazon S3 con servicios de análisis de AWS.
Permisos para SSE-KMS
Para acceder a los buckets de tablas de S3 o tablas de S3 que utilizan el cifrado en el servidor con claves de AWS Key Management Service (AWS KMS) (SSE-KMS), debe incluir permisos adicionales.
-
El usuario o rol de IAM necesita los siguientes permisos. Puede conceder estos permisos mediante el uso de la consola de IAM: https://console.aws.amazon.com/iam/
. -
s3tables:PutTableEncryptionpara configurar el cifrado de tablas -
s3tables:PutTableBucketEncryptionpara configurar el cifrado de buckets de tablas -
kms:DescribeKeyen la clave de AWS KMS utilizada
-
-
En la política de recursos de la clave de KMS, necesita los siguientes permisos. Puede conceder estos permisos mediante la consola de KMS: https://console.aws.amazon.com/kms
. -
Permiso
kms:GenerateDataKeyparametadata.s3.amazonaws.comymaintenance.s3tables.amazonaws.com -
Permiso
kms:Decryptparametadata.s3.amazonaws.comymaintenance.s3tables.amazonaws.com -
Permiso
kms:DescribeKeya la entidad principal de AWS que invoca
-
Para obtener más información sobre cómo conceder los permisos necesarios al servicio de metadatos de S3, consulte la documentación sobre cómo Conceder a la entidad principal del servicio de metadatos de S3 permisos para usar la clave de KMS.
Ejemplo de política de
Para crear y trabajar con tablas de metadatos y buckets de tablas, puede utilizar la siguiente política de ejemplo. En esta política, el bucket de uso general al que está aplicando la configuración de la tabla de metadatos se denomina amzn-s3-demo-source-bucketamzn-s3-demo-bucketuser input placeholders
{ "Version":"2012-10-17", "Statement":[ { "Sid":"PermissionsToWorkWithMetadataTables", "Effect":"Allow", "Action":[ "s3:CreateBucketMetadataTableConfiguration", "s3:GetBucketMetadataTableConfiguration", "s3:DeleteBucketMetadataTableConfiguration", "s3tables:*" ], "Resource":[ "arn:aws:s3:::bucket/amzn-s3-demo-source-bucket", "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket", "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket/table/*" ] } ] }
