Impostazione delle autorizzazioni per la configurazione delle tabelle di metadati

Per creare una configurazione di tabella di metadati, devi disporre delle autorizzazioni necessarie AWS Identity and Access Management (IAM) per creare e gestire la configurazione della tabella di metadati e per creare e gestire le tabelle di metadati e il bucket di tabelle in cui sono archiviate le tabelle di metadati.

Per creare e gestire la configurazione delle tabelle di metadati, è necessario disporre di queste autorizzazioni:

• s3:CreateBucketMetadataTableConfiguration - Questa autorizzazione consente di creare una configurazione della tabella dei metadati per il bucket per uso generico. Per creare una configurazione della tabella di metadati, sono necessarie autorizzazioni aggiuntive, incluse le autorizzazioni per le tabelle S3, come spiegato nelle sezioni seguenti. Per un riepilogo delle autorizzazioni richieste, consulta. Operazioni e autorizzazioni del bucket

• s3:GetBucketMetadataTableConfiguration - Questa autorizzazione consente di recuperare informazioni sulla configurazione della tabella dei metadati.

• s3:DeleteBucketMetadataTableConfiguration - Questa autorizzazione consente di eliminare la configurazione della tabella di metadati.

• s3:UpdateBucketMetadataJournalTableConfiguration— Questa autorizzazione consente di aggiornare la configurazione della tabella del diario in modo che i record della tabella del diario scadano.

• s3:UpdateBucketMetadataInventoryTableConfiguration— Questa autorizzazione consente di aggiornare la configurazione della tabella di inventario per abilitare o disabilitare la tabella di inventario. Per aggiornare la configurazione di una tabella di inventario, sono necessarie autorizzazioni aggiuntive, incluse le autorizzazioni S3 Tables. Per un elenco delle autorizzazioni richieste, consulta Operazioni e autorizzazioni del bucket.

  Nota

  Le s3:DeleteBucketMetadataTableConfiguration autorizzazioni s3:CreateBucketMetadataTableConfigurations3:GetBucketMetadataTableConfiguration, e vengono utilizzate per le configurazioni di metadati S3 V1 e V2. Per V2, i nomi delle operazioni API corrispondenti sono, e. CreateBucketMetadataConfiguration GetBucketMetadataConfiguration DeleteBucketMetadataConfiguration

Per creare e lavorare con le tabelle e i bucket di tabelle, è necessario disporre di determinate autorizzazioni s3tables. Come minimo, per creare la configurazione di una tabella di metadati, è necessario disporre delle seguenti autorizzazioni s3tables:

• s3tables:CreateTableBucket— Questa autorizzazione consente di creare un bucket di tabelle AWS gestito. Tutte le configurazioni della tabella di metadati nel tuo account e nella stessa regione sono archiviate in un unico bucket di tabella AWS gestito denominato. aws-s3 Per ulteriori informazioni, consulta la sezione Lavorare con Come funzionano le tabelle di metadati i bucket di tabelle AWS gestiti.

• s3tables:CreateNamespace - Questa autorizzazione consente di creare uno spazio dei nomi in un bucket di tabella. Le tabelle di metadati utilizzano in genere lo spazio dei nomib_general_purpose_bucket_name. Per ulteriori informazioni sugli spazi dei nomi delle tabelle di metadati, consulta. Come funzionano le tabelle di metadati

• s3tables:CreateTable— Questa autorizzazione consente di creare tabelle di metadati.

• s3tables:GetTable— Questa autorizzazione consente di recuperare informazioni sulle tabelle di metadati.

• s3tables:PutTablePolicy— Questa autorizzazione consente di aggiungere o aggiornare le politiche relative alle tabelle di metadati.

• s3tables:PutTableEncryption— Questa autorizzazione consente di impostare la crittografia lato server per le tabelle di metadati. Sono necessarie autorizzazioni aggiuntive se si desidera crittografare le tabelle di metadati con la crittografia lato server con chiavi () (SSE-KMS). AWS Key Management Service AWS KMSPer ulteriori informazioni, consulta Autorizzazioni per SSE-KMS.

• kms:DescribeKey— Questa autorizzazione consente di recuperare informazioni su una chiave KMS.

Per informazioni dettagliate su tutte le autorizzazioni per le tabelle e i bucket delle tabelle, consulta Gestione degli accessi per le tabelle S3.

Importante

Se desideri inoltre integrare il tuo table bucket con i servizi di AWS analisi in modo da poter interrogare la tabella dei metadati, hai bisogno di autorizzazioni aggiuntive. Per ulteriori informazioni, consulta Integrazione delle tabelle Amazon S3 AWS con i servizi di analisi.

Autorizzazioni per SSE-KMS

Per crittografare le tabelle di metadati con la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), devi disporre di autorizzazioni aggiuntive.

1. L'utente o il ruolo AWS Identity and Access Management (IAM) necessita delle seguenti autorizzazioni. Puoi concedere queste autorizzazioni utilizzando la console IAM:. https://console.aws.amazon.com/iam/

   1. s3tables:PutTableEncryptionper configurare la crittografia delle tabelle

   2. kms:DescribeKeysulla AWS KMS chiave utilizzata

2. Per quanto riguarda la politica delle risorse per la chiave KMS, sono necessarie le seguenti autorizzazioni. Puoi concedere queste autorizzazioni utilizzando la AWS KMS console: /kms. https://console.aws.amazon.com

   1. Concedi l'kms:GenerateDataKeyautorizzazione a e. metadata.s3.amazonaws.com maintenance.s3tables.amazonaws.com

   2. Concedi kms:Decrypt l'autorizzazione a metadata.s3.amazonaws.com emaintenance.s3tables.amazonaws.com.

   3. Concedi kms:DescribeKey l'autorizzazione al AWS principale invocante.

Oltre a queste autorizzazioni, assicurati che la chiave KMS gestita dal cliente utilizzata per crittografare le tabelle esista ancora, sia attiva e si trovi nella stessa regione del bucket generico.

Policy di esempio

Per creare e lavorare con le tabelle di metadati e i bucket di tabelle, si può utilizzare il seguente esempio di policy. In questa policy, il bucket per uso generico a cui si applica la configurazione della tabella dei metadati è indicato come amzn-s3-demo-bucket. Per utilizzare questa policy, sostituisci user input placeholders con le tue informazioni.

Quando crei la configurazione della tabella di metadati, le tabelle di metadati vengono archiviate in un bucket di tabelle gestito. AWS Tutte le configurazioni della tabella di metadati nel tuo account e nella stessa regione sono archiviate in un unico AWS bucket di tabelle gestito denominato. aws-s3

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PermissionsToWorkWithMetadataTables",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucketMetadataTableConfiguration",
                "s3:GetBucketMetadataTableConfiguration",
                "s3:DeleteBucketMetadataTableConfiguration",
                "s3:UpdateBucketMetadataJournalTableConfiguration",
                "s3:UpdateBucketMetadataInventoryTableConfiguration",
                "s3tables:*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/amzn-s3-demo-bucket",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*"
            ]
        }
    ]
}

Per interrogare le tabelle di metadati, puoi utilizzare la seguente politica di esempio. Se le tue tabelle di metadati sono state crittografate con SSE-KMS, avrai bisogno dell'autorizzazione come mostrato. kms:Decrypt Per utilizzare questa policy, sostituisci user input placeholders con le tue informazioni.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PermissionsToQueryMetadataTables",
            "Effect": "Allow",
            "Action": [
                "s3tables:GetTable",
                "s3tables:GetTableData",
                "s3tables:GetTableMetadataLocation",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*"
            ]
        }
    ]
}