Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen

Um eine Metadatentabellenkonfiguration zu erstellen, benötigen Sie die erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen, um sowohl Ihre Metadatentabellenkonfiguration zu erstellen und zu verwalten als auch Ihre Metadatentabelle und den Tabellen-Bucket, in dem Ihre Metadatentabelle gespeichert ist, zu erstellen und zu verwalten.

Um Ihre Konfiguration der Metadatentabellen zu erstellen und zu verwalten, benötigen Sie die folgenden Berechtigungen:

  • s3:CreateBucketMetadataTableConfiguration – Mit dieser Berechtigung können Sie eine Metadatentabellenkonfiguration für Ihren Allzweck-Bucket erstellen.

  • s3:GetBucketMetadataTableConfiguration – Mit dieser Berechtigung können Sie Informationen über Ihre Metadatentabellenkonfiguration abrufen.

  • s3:DeleteBucketMetadataTableConfiguration – Mit dieser Berechtigung können Sie Ihre Metadatentabellenkonfiguration löschen.

Damit Sie Tabellen und Tabellen-Buckets erstellen und damit arbeiten können, benötigen Sie bestimmte s3tables-Berechtigungen. Zum Erstellen einer Metadatentabellenkonfiguration müssen Sie zumindest über die folgenden s3tables-Berechtigungen verfügen:

  • s3tables:CreateNamespace – Mit dieser Berechtigung können Sie einen Namespace in einem Tabellen-Bucket erstellen. Metadatentabellen verwenden den aws_s3_metadata-Standard-Namespace.

  • s3tables:GetTable – Mit dieser Berechtigung können Sie Informationen über Ihre Metadatentabelle abrufen.

  • s3tables:CreateTable – Mit dieser Berechtigung können Sie Ihre Metadatentabelle erstellen.

  • s3tables:PutTablePolicy – Mit dieser Berechtigung können Sie Ihre Richtlinie für Metadatentabellen hinzufügen oder aktualisieren.

Ausführliche Informationen zu allen Berechtigungen für Tabellen und Tabellen-Buckets finden Sie unter Zugriffsverwaltung für S3-Tabellen.

Wichtig

Wenn Sie Ihren Tabellen-Bucket auch in AWS Analysedienste integrieren möchten, sodass Sie Ihre Metadatentabelle abfragen können, benötigen Sie zusätzliche Berechtigungen. Weitere Informationen finden Sie unter Integration von Amazon S3 S3-Tabellen mit AWS Analysediensten.

Berechtigungen für SSE-KMS

Für den Zugriff auf S3-Tabellen-Buckets oder S3-Tabellen, die serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verwenden, müssen Sie zusätzliche Berechtigungen angeben.

  1. Der Benutzer oder die IAM-Rolle benötigt die folgenden Berechtigungen. Sie können diese Berechtigungen mithilfe der IAM-Konsole - gewähren. https://console.aws.amazon.com/iam/

    1. s3tables:PutTableEncryptionum die Tabellenverschlüsselung zu konfigurieren

    2. s3tables:PutTableBucketEncryptionum die Tabellen-Bucket-Verschlüsselung zu konfigurieren

    3. kms:DescribeKeyauf dem verwendeten AWS KMS Schlüssel

  2. Für die Ressourcenrichtlinie für den KMS-Schlüssel benötigen Sie die folgenden Berechtigungen. Sie können diese Berechtigungen mithilfe der KMS-Konsole (https://console.aws.amazon.com/kms) gewähren.

    1. kms:GenerateDataKeyErlaubnis für und metadata.s3.amazonaws.com maintenance.s3tables.amazonaws.com

    2. kms:DecryptErlaubnis zu metadata.s3.amazonaws.com und maintenance.s3tables.amazonaws.com

    3. kms:DescribeKeyErlaubnis des aufrufenden Schulleiters AWS

Weitere Informationen zum Erteilen der erforderlichen Berechtigungen für den S3-Metadatendienst finden Sie in der Dokumentation zum Gewähren von Prinzipalberechtigungen für den S3-Metadatendienst zur Verwendung Ihres KMS-Schlüssels.

Beispielrichtline

Um Metadatentabellen und Tabellen-Buckets zu erstellen und damit zu arbeiten, können Sie die folgende Beispielrichtlinie verwenden. In dieser Richtlinie wird der Allzweck-Bucket, auf den Sie die Metadatentabellenkonfiguration anwenden, als amzn-s3-demo-source-bucket bezeichnet. Der Tabellen-Bucket, in dem Sie Ihre Metadatentabelle speichern, wird als amzn-s3-demo-bucket bezeichnet. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie die Bucket-Namen und user input placeholders durch Ihre eigenen Informationen. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"PermissionsToWorkWithMetadataTables",
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucketMetadataTableConfiguration",
            "s3:GetBucketMetadataTableConfiguration",
            "s3:DeleteBucketMetadataTableConfiguration",
            "s3tables:*" 
         ],
         "Resource":[
            "arn:aws:s3:::bucket/amzn-s3-demo-source-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket/table/*"
         ]
       }
    ]
}