S3 Tables の AWS マネージドポリシー - Amazon Simple Storage Service
AmazonS3TablesFullAccessAmazonS3TablesReadOnlyAccessAmazonS3TablesLakeFormationServiceRoleポリシーの更新

S3 Tables の AWS マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス権の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AmazonS3TablesFullAccess

AmazonS3TablesFullAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、Amazon S3 Tables への完全なアクセスを可能にするアクセス許可を付与します。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3tables:*"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AmazonS3TablesReadOnlyAccess

AmazonS3TablesReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、Amazon S3 Tables への読み取り専用アクセスを可能にするアクセス許可を付与します。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3tables:Get*",
                "s3tables:List*"
            ],
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AmazonS3TablesLakeFormationServiceRole

AmazonS3TablesLakeFormationServiceRole ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、AWS Lake Formation サービスロールに S3 Tables へのアクセスを許可するアクセス許可を付与します。AWS KMS アクセス許可は、Lake Formation が暗号化されたテーブルにアクセスできるようにするために使用されます。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PermissionsForS3ListTableBuckets",
            "Effect": "Allow",
            "Action": [
                "s3tables:ListTableBuckets"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "DataAccessPermissionsForS3TablesResources",
            "Effect": "Allow",
            "Action": [
                "s3tables:CreateTableBucket",
                "s3tables:GetTableBucket",
                "s3tables:CreateNamespace",
                "s3tables:GetNamespace",
                "s3tables:ListNamespaces",
                "s3tables:DeleteNamespace",
                "s3tables:DeleteTableBucket",
                "s3tables:CreateTable",
                "s3tables:DeleteTable",
                "s3tables:GetTable",
                "s3tables:ListTables",
                "s3tables:RenameTable",
                "s3tables:UpdateTableMetadataLocation",
                "s3tables:GetTableMetadataLocation",
                "s3tables:GetTableData",
                "s3tables:PutTableData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "KMSDataAccessPermissionsForS3TablesResources",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "s3.*.amazonaws.com"
                    ],
                    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3tables:*:*:bucket/*/table/*"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "KMSDescribeKeyAccessPermissionsForS3TablesResources",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "s3tables.*.amazonaws.com"
                    ]
                },
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                }
            }
        }
    ]
}

AWS マネージドポリシーに対する Amazon S3 Tables の更新

Amazon S3 Tables の AWS マネージドポリシーの更新に関する詳細を、S3 Tables がこれらの変更の追跡を開始した以降の分について表示します。

変更 説明 日付

Amazon S3 Tables に AmazonS3TablesLakeFormationServiceRole が追加されました。

S3 Tables に、AmazonS3TablesLakeFormationServiceRole という新しい AWS 管理ポリシーが追加されました。このポリシーは、Lake Formation サービスロールに S3 Tables へのアクセスを許可するアクセス許可を付与します。

 2025 年 5 月 19 日

Amazon S3 Tables に AmazonS3TablesFullAccess が追加されました。

S3 Tables に、AmazonS3TablesFullAccess という新しい AWS 管理ポリシーが追加されました。このポリシーは、Amazon S3 Tables への完全なアクセスを可能にするアクセス許可を付与します。

 2024 年 12 月 3 日

Amazon S3 Tables に AmazonS3TablesReadOnlyAccess が追加されました。

S3 Tables に、AmazonS3TablesReadOnlyAccess という新しい AWS 管理ポリシーが追加されました。このポリシーは、Amazon S3 Tables への読み取り専用アクセスを可能にするアクセス許可を付与します。

 2024 年 12 月 3 日

Amazon S3 Tables で変更の追跡を開始しました。

Amazon S3 Tables が AWS マネージドポリシーの変更の追跡を開始しました。

 2024 年 12 月 3 日