Verwenden von Tags mit S3-Tabellen-Buckets - Amazon Simple Storage Service
Gängige Methoden zur Verwendung von Tags mit Tabellen-BucketsTags für Tabellen-Buckets verwalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Tags mit S3-Tabellen-Buckets

Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen enthält, in diesem Fall Amazon S3 S3-Tabellen-Buckets. Sie können S3-Tabellen-Buckets taggen, wenn Sie sie erstellen, oder Tags für bestehende Tabellen-Buckets verwalten. Allgemeine Informationen zur Verwendung von Tags finden Sie unter Kennzeichnung für die Kostenzuweisung oder attributbasierte Zugriffskontrolle (ABAC).

Anmerkung

Für die Verwendung von Tags in Tabellen-Buckets fallen keine zusätzlichen Gebühren an, die über die standardmäßigen S3-API-Anforderungsraten hinausgehen. Weitere Informationen finden Sie unter Amazon S3 – Preise.

Gängige Methoden zur Verwendung von Tags mit Tabellen-Buckets

Verwenden Sie Tags in Ihren S3-Tabellen-Buckets für:

Attributbasierte Zugriffskontrolle (ABAC) — Skalieren Sie die Zugriffsberechtigungen und gewähren Sie Zugriff auf S3-Tabellen-Buckets auf der Grundlage ihrer Tags. Weitere Informationen finden Sie unter Verwendung von Tags für ABAC.

ABAC für S3-Tabellen-Buckets

Amazon S3 S3-Tabellen-Buckets unterstützen die attributebasierte Zugriffskontrolle (ABAC) mithilfe von Tags. Verwenden Sie Tag-basierte Bedingungsschlüssel in Ihren AWS Organisations-, AWS Identity and Access Management (IAM) - und S3-Tabellen-Bucket-Richtlinien. ABAC in Amazon S3 unterstützt die Autorisierung über mehrere AWS Konten hinweg.

In Ihren IAM-Richtlinien können Sie den Zugriff auf S3-Tabellen-Buckets anhand der Tags des Tabellen-Buckets steuern, indem Sie den s3tables:TableBucketTag/tag-key Bedingungsschlüssel oder die AWS globalen Bedingungsschlüssel verwenden:aws:ResourceTag/key-name,, aws:RequestTag/key-name oder. aws:TagKeys

aws: /Schlüsselname ResourceTag

Verwenden Sie diesen Bedingungsschlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Sie könnten beispielsweise verlangen, dass der Zugriff auf einen Tabellen-Bucket nur zulässig ist, wenn der Tabellen-Bucket den Tag-Schlüssel Department mit dem Wert enthält. Marketing

Dieser Bedingungsschlüssel gilt für alle Tabellen-Bucket-Aktionen, die mit der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) APIs, S3 oder dem ausgeführt werden AWS SDKs, mit Ausnahme der CreateBucket API-Anfrage.

Eine Beispielrichtlinie finden Sie unter 1.1 — Tabellen-Bucket-Richtlinie zur Einschränkung von Operationen an den Tabellen innerhalb des Tabellen-Buckets mithilfe von Tags.

Weitere Beispielrichtlinien und weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen im AWS Identity and Access Management Benutzerhandbuch.

Anmerkung

Bei Aktionen, die an Tabellen ausgeführt werden, wirkt sich dieser Bedingungsschlüssel auf die Tags aus, die auf die Tabelle angewendet wurden, und nicht auf die Tags, die auf den Tabellen-Bucket angewendet wurden, der die Tabelle enthält. Verwenden Sie s3tables:TableBucketTag/tag-key stattdessen den, wenn Sie möchten, dass Ihre ABAC-Richtlinien bei der Ausführung von Tabellenaktionen auf die Tags des Tabellen-Buckets einwirken.

aws: /Schlüsselname RequestTag

Verwenden Sie diesen Bedingungsschlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anfrage übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie könnten beispielsweise überprüfen, ob die Anforderung, einen Tabellen-Bucket zu taggen, den Tag-Schlüssel enthält Department und ob sie den Wert enthält. Accounting

Dieser Bedingungsschlüssel gilt, wenn Tag-Schlüssel in einer Anfrage TagResource oder einer CreateTableBucket API-Operation übergeben werden oder wenn ein Tabellen-Bucket mit Tags über die Amazon S3 S3-Konsole, die AWS Befehlszeilenschnittstelle (CLI) oder die AWS SDKs erstellt wird.

Eine Beispielrichtlinie finden Sie unter 1.2 — IAM-Richtlinie zum Erstellen oder Ändern von Tabellen-Buckets mit bestimmten Tags.

Weitere Beispielrichtlinien und weitere Informationen finden Sie unter Steuern des Zugriffs bei AWS Anfragen im AWS Identity and Access Management Benutzerhandbuch.

als: TagKeys

Verwenden Sie diesen Bedingungsschlüssel, um die Tag-Schlüssel in einer Anfrage mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben, um zu definieren, auf welche Tag-Schlüssel zugegriffen werden darf. Um beispielsweise das Markieren während der CreateTableBucket Aktion zu ermöglichen, müssen Sie eine Richtlinie erstellen, die sowohl die als auch die s3tables:TagResource s3tables:CreateTableBucket Aktionen zulässt. Anschließend können Sie mithilfe des aws:TagKeys Bedingungsschlüssels erzwingen, dass nur bestimmte Tags in der CreateTableBucket Anfrage verwendet werden.

Dieser Bedingungsschlüssel gilt, wenn Tag-Schlüssel in einerTagResource,UntagResource, oder CreateTableBucket API-Operation übergeben werden oder wenn mithilfe der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) oder der ein Tabellen-Bucket mit Tags markiert, entfernt oder ein Tabellen-Bucket mit Tags erstellt wird. AWS SDKs

Eine Beispielrichtlinie finden Sie unter 1.3 — IAM-Richtlinie zur Steuerung der Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance.

Weitere Beispielrichtlinien und weitere Informationen finden Sie unter Steuern des Zugriffs anhand von Tag-Schlüsseln im AWS Identity and Access Management Benutzerhandbuch.

s3tables: /tag-key TableBucketTag

Verwenden Sie diesen Bedingungsschlüssel, um mithilfe von Tags Berechtigungen für bestimmte Daten in Tabellen-Buckets zu erteilen. Dieser Bedingungsschlüssel wirkt sich größtenteils auf die Tags aus, die dem Tabellen-Bucket für alle Aktionen in S3-Tabellen zugewiesen wurden. Selbst wenn Sie eine Tabelle mit Tags erstellen, wirkt sich dieser Bedingungsschlüssel auf die Tags aus, die auf den Tabellen-Bucket angewendet wurden, der diese Tabelle enthält. Die Ausnahmen sind:

  • Wenn Sie einen Tabellen-Bucket mit Tags erstellen, wirkt sich dieser Bedingungsschlüssel auf die Tags in der Anfrage aus.

Eine Beispielrichtlinie finden Sie unter 1.4 — Verwendung des Bedingungsschlüssels s3tables: TableBucketTag.

Beispiel für ABAC-Richtlinien für Tabellen-Buckets

Sehen Sie sich das folgende Beispiel für ABAC-Richtlinien für Amazon S3 S3-Tabellen-Buckets an.

Anmerkung

Wenn Sie Lake Formation verwenden, um den Zugriff auf Ihre Amazon S3 S3-Tabellen zu verwalten, und Sie über eine ressourcenbasierte IAM- oder S3 Tables-Richtlinie verfügen, die IAM-Benutzer und IAM-Rollen auf der Grundlage von Prinzipal-Tags einschränkt, müssen Sie der IAM-Rolle, die Lake Formation für den Zugriff auf Ihre Amazon S3 S3-Daten verwendet, dieselben Prinzipal-Tags zuordnen (z. B. LakeFormationDataAccessRole) und dieser Rolle die erforderlichen Berechtigungen erteilen. Dies ist erforderlich, damit Ihre tagbasierte Zugriffskontrollrichtlinie ordnungsgemäß mit Ihrer S3 Tables-Analyseintegration funktioniert.

1.1 — Tabellen-Bucket-Richtlinie zur Einschränkung von Operationen an den Tabellen innerhalb des Tabellen-Buckets mithilfe von Tags

In dieser Tabellen-Bucket-Richtlinie können die angegebenen IAM-Prinzipale (Benutzer und Rollen) die GetTable Aktion nur dann für jede Tabelle im Tabellen-Bucket ausführen, wenn der Wert des project Tabellen-Tags mit dem Wert des project Prinzipal-Tags übereinstimmt.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowGetTable",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3tables:GetTable",
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}
1.2 — IAM-Richtlinie zum Erstellen oder Ändern von Tabellen-Buckets mit bestimmten Tags
Anmerkung

Wenn Sie den Zugriff auf Ihre Amazon S3 S3-Tabellen verwalten und ABAC mit Amazon S3 S3-Tabellen verwenden, stellen Sie sicher, dass Sie auch der IAM-Rolle zuweisen, die Lake Formation den erforderlichen Zugriff übernimmt. AWS Lake Formation Weitere Informationen zur Einrichtung der IAM-Rolle für Lake Formation finden Sie unter Voraussetzungen für die Integration des Amazon S3-Tabellenkatalogs mit Data Catalog und Lake Formation im AWS Lake Formation Entwicklerhandbuch.

In dieser IAM-Richtlinie können Benutzer oder Rollen mit dieser Richtlinie nur S3-Tabellen-Buckets erstellen, wenn sie den Tabellen-Bucket mit dem Tag-Schlüssel project und dem Tag-Wert Trinity in der Anfrage zur Tabellen-Bucket-Erstellung kennzeichnen. Sie können auch Tags zu vorhandenen S3-Tabellen-Buckets hinzufügen oder ändern, sofern die TagResource Anfrage das Tag-Schlüssel-Wert-Paar enthält. project:Trinity Diese Richtlinie gewährt keine Lese-, Schreib- oder Löschberechtigungen für die Tabellen-Buckets oder ihre Objekte. 

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateTableBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3tables:CreateTableBucket",
        "s3tables:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}
1.3 — IAM-Richtlinie zur Steuerung der Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance

Gemäß dieser IAM-Richtlinie können IAM-Prinzipale (Benutzer oder Rollen) Tags in einem Tabellen-Bucket nur ändern, wenn der Wert des Tabellen-Bucket-Tags mit dem Wert des project Prinzipal-Tags übereinstimmt. project Nur die vier in den aws:TagKeys Bedingungsschlüsseln cost-center angegebenen Tags project environmentowner,, und sind für diese Tabellen-Buckets zulässig. Dies hilft, die Tag-Governance durchzusetzen, verhindert unbefugte Tag-Änderungen und sorgt dafür, dass das Tagging-Schema in Ihren Tabellen-Buckets einheitlich bleibt.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3tables:TagResource",
        "s3tables:UntagResource"
      ],
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}
1.4 — Verwendung des Bedingungsschlüssels s3tables: TableBucketTag

In dieser IAM-Richtlinie erlaubt die Bedingungsanweisung den Zugriff auf die Daten des Tabellen-Buckets nur, wenn der Tabellen-Bucket den Tag-Schlüssel Environment und den Tag-Wert enthält. Production Der s3tables:TableBucketTag/<tag-key> unterscheidet sich vom aws:ResourceTag/<tag-key> Bedingungsschlüssel darin, dass Sie nicht nur den Zugriff auf Tabellen-Buckets anhand ihrer Tags steuern, sondern auch den Zugriff auf Tabellen anhand der Tags im übergeordneten Tabellen-Bucket steuern können.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificTables",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*",
      "Condition": {
        "StringEquals": {
          "s3tables:TableBucketTag/Environment": "Production"
        }
      }
    }
  ]
}

Tags für Tabellen-Buckets verwalten

Sie können Tags für S3-Tabellen-Buckets mithilfe der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) AWS SDKs, der oder mithilfe von S3 APIs: TagResourceUntagResource, und ListTagsForResourcehinzufügen oder verwalten. Weitere Informationen finden Sie hier:

Themen