Utilizzo dei tag con i bucket da tavolo S3 - Amazon Simple Storage Service
Metodi comuni per utilizzare i tag con i table bucketGestione dei tag per i bucket da tavolo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei tag con i bucket da tavolo S3

Un AWS tag è una coppia chiave-valore che contiene i metadati sulle risorse, in questo caso i bucket di tabella Amazon S3. Puoi taggare i table bucket S3 quando li crei o gestire i tag sui table bucket esistenti. Per informazioni generali sui tag, consulta Tagging per l’allocazione dei costi o il controllo degli accessi basato su attributi (ABAC).

Nota

Non sono previsti costi aggiuntivi per l'utilizzo dei tag sui table bucket oltre alle tariffe di richiesta API S3 standard. Per ulteriori informazioni, consulta Prezzi di Amazon S3.

Metodi comuni per utilizzare i tag con i table bucket

Usa i tag sui bucket da tavolo S3 per:

Controllo degli accessi basato sugli attributi (ABAC): ridimensiona le autorizzazioni di accesso e concedi l'accesso ai bucket di tabella S3 in base ai relativi tag. Per ulteriori informazioni, consulta Utilizzo dei tag per ABAC.

Secchielli da tavolo ABAC per S3

I table bucket Amazon S3 supportano il controllo degli accessi basato sugli attributi (ABAC) tramite tag. Utilizza le chiavi di condizione basate su tag nelle tue AWS organizzazioni, nelle politiche AWS Identity and Access Management (IAM) e S3 Table Bucket. ABAC in Amazon S3 supporta l'autorizzazione su più AWS account.

Nelle tue politiche IAM, puoi controllare l'accesso ai bucket di tabella S3 in base ai tag del bucket di tabella utilizzando la chiave s3tables:TableBucketTag/tag-key condition o le chiavi di condizione AWS globali:,, oppure. aws:ResourceTag/key-name aws:RequestTag/key-name aws:TagKeys

aws: /nome-chiave ResourceTag

Utilizza questa chiave di condizione per confrontare la coppia chiave-valore del tag specificata nella politica con la coppia chiave-valore associata alla risorsa. Ad esempio, potresti richiedere che l'accesso a un bucket di tabella sia consentito solo se il bucket di tabella ha la chiave tag con il valore. Department Marketing

Questa chiave condizionale si applica a tutte le azioni del table bucket eseguite utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI), APIs S3 o, ad eccezione AWS SDKs della richiesta API. CreateBucket

Per un esempio di policy, consulta 1.1 - policy del table bucket per limitare le operazioni sulle tabelle all'interno del table bucket utilizzando i tag.

Per ulteriori esempi di policy e ulteriori informazioni, consulta Controlling access to AWS resources nella Guida per l'utente.AWS Identity and Access Management

Nota

Per le azioni eseguite sulle tabelle, questa chiave di condizione agisce sui tag applicati alla tabella e non sui tag applicati al bucket di tabella contenente la tabella. Utilizza s3tables:TableBucketTag/tag-key invece il se desideri che le tue politiche ABAC agiscano sui tag del bucket della tabella quando esegui azioni relative alla tabella.

aws: /nome-chiave RequestTag

Utilizza questa chiave di condizione per confrontare la coppia chiave-valore del tag che è stata passata nella richiesta con la coppia di tag specificata nella politica. Ad esempio, puoi verificare se la richiesta di etichettare un bucket di tabella include la chiave del tag Department e se ha il valore. Accounting

Questa chiave di condizione si applica quando le chiavi dei tag vengono passate in una richiesta operativa TagResource o CreateTableBucket API o quando si tagga o si crea un bucket di tabella con tag utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI) o il. AWS SDKs

Per un esempio di policy, consulta 1.2 - Politica IAM per creare o modificare bucket di tabelle con tag specifici.

Per ulteriori esempi di policy e ulteriori informazioni, consulta Controllare l'accesso durante AWS le richieste nella Guida per l'utente.AWS Identity and Access Management

leggi: TagKeys

Usa questa chiave di condizione per confrontare le chiavi dei tag in una richiesta con le chiavi specificate nella politica per definire a quali tag è consentito l'accesso. Ad esempio, per consentire l'aggiunta di tag durante l'CreateTableBucketazione, è necessario creare una politica che consenta sia s3tables:CreateTableBucket le azioni che les3tables:TagResource. È quindi possibile utilizzare la chiave aws:TagKeys condition per far sì che nella richiesta vengano utilizzati solo tag specifici. CreateTableBucket

Questa chiave di condizione si applica quando le chiavi dei tag vengono passate in un'TagResourceoperazione CreateTableBucket API o quando si tagga, si rimuove o si crea un bucket di tabella con tag utilizzando la console Amazon S3, l'interfaccia a AWS riga di comando (CLI) o il. UntagResource AWS SDKs

Per un esempio di policy, consulta 1.3 - Politica IAM per controllare la modifica dei tag sulle risorse esistenti, mantenendo la governance dei tag.

Per ulteriori esempi di policy e ulteriori informazioni, consulta Controlling access based on tag keys nella Guida per l'utente.AWS Identity and Access Management

s3tables: /tag-key TableBucketTag

Usa questa chiave di condizione per concedere autorizzazioni a dati specifici nei bucket di tabelle utilizzando i tag. Questa chiave condizionale agisce, principalmente, sui tag assegnati al bucket di tabella per tutte le azioni delle tabelle S3. Anche quando crei una tabella con tag, questa chiave di condizione agisce sui tag applicati al bucket di tabella che contiene quella tabella. Le eccezioni sono:

  • Quando crei un bucket da tabella con tag, questa chiave di condizione agisce sui tag della richiesta.

Per un esempio di policy, consulta 1.4 - Utilizzo di s3tables: chiave di condizione TableBucketTag .

Esempi di politiche ABAC per i table bucket

Vedi i seguenti esempi di politiche ABAC per i table bucket Amazon S3.

Nota

Se utilizzi Lake Formation per gestire l'accesso alle tue tabelle Amazon S3 e disponi di una policy basata sulle risorse IAM o S3 Tables che limita gli utenti IAM e i ruoli IAM in base ai tag principali, devi associare gli stessi tag principali al ruolo IAM utilizzato da Lake Formation per accedere ai tuoi dati Amazon S3 (ad esempio) e concedere a questo ruolo le autorizzazioni necessarie. LakeFormationDataAccessRole Ciò è necessario affinché la politica di controllo degli accessi basata su tag funzioni correttamente con l'integrazione dell'analisi di S3 Tables.

1.1 - policy del table bucket per limitare le operazioni sulle tabelle all'interno del table bucket utilizzando i tag

In questa policy del table bucket, i principali IAM specificati (utenti e ruoli) possono eseguire l'GetTableazione su qualsiasi tabella nel table bucket solo se il valore del tag della tabella corrisponde al valore del project tag del principale. project

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowGetTable",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3tables:GetTable",
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}
1.2 - Politica IAM per creare o modificare bucket di tabelle con tag specifici
Nota

Se utilizzi AWS Lake Formation per gestire l'accesso alle tue tabelle Amazon S3 e utilizzi ABAC con Amazon S3 Tables, assicurati di assegnare anche il ruolo IAM a cui Lake Formation assume l'accesso richiesto. Per ulteriori informazioni sulla configurazione del ruolo IAM per Lake Formation, consulta Prerequisiti per l'integrazione del catalogo di tabelle Amazon S3 con Data Catalog e Lake Formation nella AWS Lake Formation guida per gli sviluppatori.

In questa policy IAM, gli utenti o i ruoli con questa policy possono creare bucket di tabella S3 solo se etichettano il bucket di tabella con la chiave del tag project e il valore del tag Trinity nella richiesta di creazione del bucket di tabella. Possono anche aggiungere o modificare tag su bucket di tabelle S3 esistenti purché la TagResource richiesta includa la coppia chiave-valore del tag. project:Trinity Questa politica non concede autorizzazioni di lettura, scrittura o eliminazione sui table bucket o sui relativi oggetti. 

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateTableBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3tables:CreateTableBucket",
        "s3tables:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}
1.3 - Politica IAM per controllare la modifica dei tag sulle risorse esistenti, mantenendo la governance dei tag

In questa policy IAM, i dirigenti IAM (utenti o ruoli) possono modificare i tag su un table bucket solo se il valore del tag del table bucket corrisponde al valore del project tag del table bucket. project Solo i quattro tag project e quelli cost-center specificati nelle chiavi di aws:TagKeys condizione sono consentiti per questi bucket di tabella. environment owner Questo aiuta a rafforzare la governance dei tag, previene le modifiche non autorizzate dei tag e mantiene lo schema di tagging coerente in tutti i bucket della tabella.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3tables:TagResource",
        "s3tables:UntagResource"
      ],
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}
1.4 - Utilizzo di s3tables: chiave di condizione TableBucketTag

In questa policy IAM, l'istruzione condition consente l'accesso ai dati del bucket di tabella solo se il bucket di tabella ha la chiave Environment e il valore del tag. Production s3tables:TableBucketTag/<tag-key>Si differenzia dalla chiave di aws:ResourceTag/<tag-key> condizione perché, oltre a controllare l'accesso ai bucket di tabella in base ai relativi tag, consente di controllare l'accesso alle tabelle in base ai tag del bucket di tabella principale.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificTables",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*",
      "Condition": {
        "StringEquals": {
          "s3tables:TableBucketTag/Environment": "Production"
        }
      }
    }
  ]
}

Gestione dei tag per i bucket da tavolo

Puoi aggiungere o gestire tag per i bucket di tabelle S3 utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI), AWS SDKs o utilizzando S3:, e. APIs TagResourceUntagResourceListTagsForResource Per ulteriori informazioni, consulta gli argomenti seguenti:

Argomenti