AWS IoT Analytics 資源的 Amazon S3 政策

您可以將已處理的資料存放區訊息存放在由 管理的 Amazon S3 儲存貯體中， AWS IoT Analytics 或存放在您管理的儲存貯體中。當您建立資料存放區時，請使用 datastoreStorage API 參數選取您想要的 Amazon S3 儲存貯體。預設值為服務受管 Amazon S3 儲存貯體。

如果您選擇將資料存放區訊息儲存在您管理的 Amazon S3 儲存貯體中，您必須授予 AWS IoT Analytics 許可，才能在 Amazon S3 儲存貯體上執行這些動作：

• s3:GetBucketLocation

• s3:PutObject

• s3:DeleteObject

如果您使用資料存放區做為 SQL 查詢資料集的來源，請設定 Amazon S3 儲存貯體政策，以 AWS IoT Analytics 授予許可來叫用 Amazon Athena 查詢儲存貯體內容。

注意

建議您在儲存貯體政策aws:SourceArn中指定 ，以協助防止混淆代理人安全問題。這只允許來自指定帳戶的請求來限制存取。如需有關混淆代理人問題的詳細資訊，請參閱 預防跨服務混淆代理人。

以下是授予這些必要許可的儲存貯體政策範例。

{
    "Version": "2012-10-17",
    "Id": "MyPolicyID",
    "Statement": [
        {
            "Sid": "MyStatementSid",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotanalytics.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:iotanalytics:us-east-1:123456789012:dataset/DOC-EXAMPLE-DATASET",
                        "arn:aws:iotanalytics:us-east-1:123456789012:datastore/DOC-EXAMPLE-DATASTORE"
                    ]
                }
            }
        }
    ]
}

如需詳細資訊，請參閱《Amazon Athena 使用者指南》中的跨帳戶存取。

注意

如果您更新客戶受管資料存放區的選項或許可，您可能需要重新處理頻道資料，以確保任何先前擷取的資料都包含在資料集內容中。如需詳細資訊，請參閱重新處理頻道資料。