Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen - Amazon Simple Storage Service

Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen

Um eine Metadatentabellenkonfiguration zu erstellen, müssen Sie über die erforderlichen AWS Identity and Access Management (IAM)-Berechtigungen verfügen, um sowohl Ihre Metadatentabellenkonfiguration als auch Ihre Metadatentabellen und den Tabellen-Bucket, in dem Ihre Metadatentabellen gespeichert sind, zu erstellen und zu verwalten.

Um Ihre Konfiguration der Metadatentabellen zu erstellen und zu verwalten, benötigen Sie die folgenden Berechtigungen:

  • s3:CreateBucketMetadataTableConfiguration – Mit dieser Berechtigung können Sie eine Metadatentabellenkonfiguration für Ihren Allzweck-Bucket erstellen. Zum Erstellen einer Metadatentabellenkonfiguration sind zusätzliche Berechtigungen, einschließlich S3-Tabellenberechtigungen, erforderlich, wie in den folgenden Abschnitten erläutert. Eine Zusammenfassung der erforderlichen Berechtigungen finden Sie unter Bucket-Operationen und -Berechtigungen.

  • s3:GetBucketMetadataTableConfiguration – Mit dieser Berechtigung können Sie Informationen über Ihre Metadatentabellenkonfiguration abrufen.

  • s3:DeleteBucketMetadataTableConfiguration – Mit dieser Berechtigung können Sie Ihre Metadatentabellenkonfiguration löschen.

  • s3:UpdateBucketMetadataJournalTableConfiguration – Mit dieser Berechtigung können Sie Ihre Journaltabellenkonfiguration aktualisieren, um Journaltabelleneinträge ablaufen zu lassen.

  • s3:UpdateBucketMetadataInventoryTableConfiguration – Mit dieser Berechtigung können Sie Ihre Inventartabellenkonfiguration aktualisieren, um die Inventartabelle zu aktivieren oder zu deaktivieren. Um eine Bestandstabellenkonfiguration zu aktualisieren, sind zusätzliche Berechtigungen, einschließlich S3-Tabellenberechtigungen, erforderlich. Eine Liste der erforderlichen Berechtigungen finden Sie unter Bucket-Operationen und -Berechtigungen.

    Anmerkung

    Die s3:CreateBucketMetadataTableConfiguration-, s3:GetBucketMetadataTableConfiguration- und s3:DeleteBucketMetadataTableConfiguration-Berechtigungen werden sowohl für V1- als auch für V2-S3-Metadatenkonfigurationen verwendet. Für V2 lauten die Namen der entsprechenden API-Operationen CreateBucketMetadataConfiguration, GetBucketMetadataConfiguration und DeleteBucketMetadataConfiguration.

Damit Sie Tabellen und Tabellen-Buckets erstellen und damit arbeiten können, benötigen Sie bestimmte s3tables-Berechtigungen. Zum Erstellen einer Metadatentabellenkonfiguration müssen Sie zumindest über die folgenden s3tables-Berechtigungen verfügen:

  • s3tables:CreateTableBucket – Diese Berechtigung ermöglicht es Ihnen, einen von AWS verwalteten Tabellen-Buckets zu erstellen. Alle Metadatentabellenkonfigurationen in Ihrem Konto und in derselben Region werden in einem einzigen AWS-verwalteten Tabellen-Bucket namens aws-s3 gespeichert. Weitere Informationen finden Sie unter Funktionsweise von Metadatentabellen und Arbeiten mit AWS verwalteten Tabellen-Buckets.

  • s3tables:CreateNamespace – Mit dieser Berechtigung können Sie einen Namespace in einem Tabellen-Bucket erstellen. Metadatentabellen verwenden normalerweise den Namespace b_general_purpose_bucket_name. Weitere Informationen zu Metadatentabellen-Namespaces finden Sie unter Funktionsweise von Metadatentabellen.

  • s3tables:CreateTable - Mit dieser Berechtigung können Sie Ihre Metadatentabellen erstellen.

  • s3tables:GetTable – Mit dieser Berechtigung können Sie Informationen über Ihre Metadatentabellen abrufen.

  • s3tables:PutTablePolicy – Mit dieser Berechtigung können Sie Ihre Richtlinien für Metadatentabellen hinzufügen oder aktualisieren.

  • s3tables:PutTableEncryption – Mit dieser Berechtigung können Sie die serverseitige Verschlüsselung für Ihre Metadatentabellen festlegen. Zusätzliche Berechtigungen sind erforderlich, wenn Sie Ihre Metadatentabellen mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS) verschlüsseln wollen. Weitere Informationen finden Sie unter Berechtigungen für SSE-KMS.

  • kms:DescribeKey – Mit dieser Berechtigung können Sie Informationen über Ihren KMS-Schlüssel abrufen.

Ausführliche Informationen zu allen Berechtigungen für Tabellen und Tabellen-Buckets finden Sie unter Zugriffsverwaltung für S3-Tabellen.

Wichtig

Wenn Sie Ihren Tabellen-Bucket auch in AWS-Analysedienste integrieren möchten, sodass Sie Ihre Metadatentabelle abfragen können, benötigen Sie zusätzliche Berechtigungen. Weitere Informationen finden Sie unter Integration von Amazon-S3-Tabellen mit AWS-Analytikservices.

Berechtigungen für SSE-KMS

Um Ihre Metadatentabellen mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS)-Schlüsseln (SSE-KMS) zu verschlüsseln, benötigen Sie zusätzliche Berechtigungen.

  1. Der Benutzer oder die AWS Identity and Access Management (IAM)-Rolle benötigt die folgenden Berechtigungen. Sie können diese Berechtigungen über die IAM-Konsole erteilen: https://console.aws.amazon.com/iam/.

    1. s3tables:PutTableEncryption um die Tabellenverschlüsselung zu konfigurieren

    2. kms:DescribeKey auf dem verwendeten AWS KMS-Schlüssel

  2. Für die Ressourcenrichtlinie für den KMS-Schlüssel benötigen Sie die folgenden Berechtigungen. Sie können diese Berechtigungen über die Konsole AWS KMS erteilen: https://console.aws.amazon.com/kms.

    1. Erteilen von kms:GenerateDataKey-Berechtigungen für metadata.s3.amazonaws.com und maintenance.s3tables.amazonaws.com.

    2. Erteilen von kms:Decrypt-Berechtigungen für metadata.s3.amazonaws.com und maintenance.s3tables.amazonaws.com.

    3. Gewähren der kms:DescribeKey-Berechtigung für den aufrufenden AWS-Prinzipal.

Vergewissern Sie sich zusätzlich zu diesen Berechtigungen, dass der vom Kunden verwaltete KMS-Schlüssel, der zur Verschlüsselung der Tabellen verwendet wird, noch existiert, aktiv ist und sich in derselben Region wie Ihr Allzweck-Bucket befindet.

Beispielrichtline

Um Metadatentabellen und Tabellen-Buckets zu erstellen und damit zu arbeiten, können Sie die folgende Beispielrichtlinie verwenden. In dieser Richtlinie wird der Allzweck-Bucket, auf den Sie die Metadatentabellenkonfiguration anwenden, als bezeichnet amzn-s3-demo-bucket. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen.

Wenn Sie Ihre Metadatentabellenkonfiguration erstellen, werden Ihre Metadatentabellen in einem AWS-verwalteten Tabellen-Bucket gespeichert. Alle Metadatentabellenkonfigurationen in Ihrem Konto und in derselben Region werden in einem einzigen AWS-verwalteten Tabellen-Bucket namens aws-s3 gespeichert.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PermissionsToWorkWithMetadataTables",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucketMetadataTableConfiguration",
                "s3:GetBucketMetadataTableConfiguration",
                "s3:DeleteBucketMetadataTableConfiguration",
                "s3:UpdateBucketMetadataJournalTableConfiguration",
                "s3:UpdateBucketMetadataInventoryTableConfiguration",
                "s3tables:*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*"
            ]
        }
    ]
}

Um Metadatentabellen abzufragen, können Sie die folgende Beispielrichtlinie verwenden. Wenn Ihre Metadatentabellen mit SSE-KMS verschlüsselt wurden, benötigen Sie die Berechtigung kms:Decrypt wie gezeigt. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie user input placeholders durch eigene Informationen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PermissionsToQueryMetadataTables",
            "Effect": "Allow",
            "Action": [
                "s3tables:GetTable",
                "s3tables:GetTableData",
                "s3tables:GetTableMetadataLocation",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*"
            ]
        }
    ]
}