メタデータテーブルを設定するためのアクセス許可の設定
メタデータテーブル設定を作成するには、メタデータテーブル設定の作成と管理、およびメタデータテーブルとメタデータテーブルが保存されているテーブルバケットの作成と管理の両方に必要な AWS Identity and Access Management (IAM) アクセス許可を持っている必要があります。
メタデータテーブル設定を作成および管理するには、次のアクセス許可が必要です。
-
s3:CreateBucketMetadataTableConfiguration– このアクセス許可により、汎用バケットのメタデータテーブル設定を作成できます。 -
s3:GetBucketMetadataTableConfiguration– このアクセス許可により、メタデータテーブル設定に関する情報を取得できます。 -
s3:DeleteBucketMetadataTableConfiguration– このアクセス許可により、メタデータテーブル設定を削除できます。
テーブルとテーブルバケットを作成して操作するには、特定の s3tables アクセス許可が必要です。メタデータテーブル設定を作成するには、少なくとも次の s3tables アクセス許可が必要です。
-
s3tables:CreateNamespace– このアクセス許可により、テーブルバケットに名前空間を作成できます。メタデータテーブルはデフォルトのaws_s3_metadata名前空間を使用します。 -
s3tables:GetTable– このアクセス許可により、メタデータテーブルに関する情報を取得できます。 -
s3tables:CreateTable– このアクセス許可により、メタデータテーブルを作成できます。 -
s3tables:PutTablePolicy– このアクセス許可により、メタデータテーブルポリシーを追加または更新できます。
すべてのテーブルとテーブルバケットのアクセス許可の詳細については、「Access management for S3 Tables」を参照してください。
重要
メタデータテーブルをクエリできるようにテーブルバケットを AWS 分析サービスと統合する場合は、追加のアクセス許可が必要です。詳細については、「Integrating Amazon S3 Tables with AWS analytics services」を参照してください。
テーブルバケットで AWS Key Management Service (AWS KMS) キーによるサーバー側の暗号化 (SSE-KMS) を使用している場合は、アクセス許可として
kms:GenerateDataKeyおよびkms:Decryptも必要です。さらに、metadata.s3.amazonaws.comおよびmaintenance.s3tables.amazonaws.comサービスプリンシパルが KMS キーにアクセスするためのアクセス許可を付与する必要があります。詳細については、「 S3 メタデータサービスプリンシパルに KMS キーを使用するアクセス許可を付与する 」を参照してください。
メタデータテーブルとテーブルバケットを作成して操作するには、次のポリシー例を使用できます。このポリシーでは、メタデータテーブル設定を適用する汎用バケットを amzn-s3-demo-source-bucketamzn-s3-demo-bucketuser input placeholders
{ "Version":"2012-10-17", "Statement":[ { "Sid":"PermissionsToWorkWithMetadataTables", "Effect":"Allow", "Action":[ "s3:CreateBucketMetadataTableConfiguration", "s3:GetBucketMetadataTableConfiguration", "s3:DeleteBucketMetadataTableConfiguration", "s3tables:*" ], "Resource":[ "arn:aws:s3:::bucket/amzn-s3-demo-source-bucket", "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket", "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket/table/*" ] } ] }
