Verwenden von Tags mit S3-Tabellen - Amazon Simple Storage Service
Gängige Methoden zur Verwendung von Tags mit TabellenTags für Tabellen verwalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Tags mit S3-Tabellen

Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen enthält, in diesem Fall Amazon S3-Tabellen. Sie können S3-Tabellen kennzeichnen, wenn Sie sie erstellen, oder Tags für bestehende Tabellen verwalten. Allgemeine Informationen zur Verwendung von Tags finden Sie unter Kennzeichnung für die Kostenzuweisung oder attributbasierte Zugriffskontrolle (ABAC).

Anmerkung

Für die Verwendung von Tags in Tabellen fallen keine zusätzlichen Gebühren an, die über die standardmäßigen S3-API-Anforderungsraten hinausgehen. Weitere Informationen finden Sie unter Amazon S3 – Preise.

Gängige Methoden zur Verwendung von Tags mit Tabellen

Verwenden Sie Tags in Ihren S3-Tabellen für:

  1. Kostenzuweisung — Verfolgen Sie die Speicherkosten anhand der Tabellenkennung AWS Billing and Cost Management. Weitere Informationen finden Sie unter Verwendung von Tags für die Kostenzuweisung.

  2. Attributbasierte Zugriffskontrolle (ABAC) — Skalieren Sie die Zugriffsberechtigungen und gewähren Sie Zugriff auf S3-Tabellen auf der Grundlage ihrer Tags. Weitere Informationen finden Sie unter Verwendung von Tags für ABAC.

Anmerkung

Sie können dieselben Tags sowohl für die Kostenzuweisung als auch für die Zugriffskontrolle verwenden.

ABAC für S3-Tabellen

Amazon S3 S3-Tabellen unterstützen die attributebasierte Zugriffskontrolle (ABAC) mithilfe von Tags. Verwenden Sie Tag-basierte Bedingungsschlüssel in Ihren AWS Organisationen, AWS Identity and Access Management (IAM) und in den S3-Tabellenrichtlinien. ABAC in Amazon S3 unterstützt die Autorisierung über mehrere AWS Konten hinweg.

In Ihren IAM-Richtlinien können Sie den Zugriff auf S3-Tabellen anhand der Tags der Tabelle steuern, indem Sie den s3tables:TableBucketTag/tag-key Bedingungsschlüssel oder die AWS globalen Bedingungsschlüssel verwenden: aws:ResourceTag/key-nameaws:RequestTag/key-name, oder. aws:TagKeys

aws: /Schlüsselname ResourceTag

Verwenden Sie diesen Bedingungsschlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Sie könnten beispielsweise verlangen, dass der Zugriff auf eine Tabelle nur zulässig ist, wenn die Tabelle den Tag-Schlüssel Department mit dem Wert enthält. Marketing

Dieser Bedingungsschlüssel gilt für Tabellenaktionen, die mit der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI), S3 APIs oder dem AWS SDKs, ausgeführt werden.

Eine Beispielrichtlinie finden Sie unter 1.1 — Tabellenrichtlinie zur Einschränkung von Operationen an der Tabelle mithilfe von Tags.

Weitere Beispielrichtlinien und weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen im AWS Identity and Access Management Benutzerhandbuch.

Anmerkung

Bei Aktionen, die an Tabellen ausgeführt werden, wirkt sich dieser Bedingungsschlüssel auf die Tags aus, die auf die Tabelle angewendet wurden, und nicht auf die Tags, die auf den Tabellen-Bucket angewendet wurden, der die Tabelle enthält. Verwenden Sie s3tables:TableBucketTag/tag-key stattdessen den, wenn Sie möchten, dass Ihre ABAC-Richtlinien bei der Ausführung von Tabellenaktionen auf die Tags des Tabellen-Buckets einwirken.

aws: /Schlüsselname RequestTag

Verwenden Sie diesen Bedingungsschlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anfrage übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie könnten beispielsweise überprüfen, ob die Anforderung, eine Tabelle zu taggen, den Tag-Schlüssel enthält Department und ob sie den Wert enthält. Accounting

Dieser Bedingungsschlüssel gilt, wenn Tag-Schlüssel in einer Anfrage TagResource oder einer CreateTable API-Operation übergeben werden oder wenn eine Tabelle mit Tags über die Amazon S3 S3-Konsole, die AWS Befehlszeilenschnittstelle (CLI) oder die AWS SDKs erstellt wird.

Eine Beispielrichtlinie finden Sie unter 1.2 — IAM-Richtlinie zum Erstellen oder Ändern von Tabellen mit bestimmten Tags.

Weitere Beispielrichtlinien und weitere Informationen finden Sie unter Steuern des Zugriffs bei AWS Anfragen im AWS Identity and Access Management Benutzerhandbuch.

als: TagKeys

Verwenden Sie diesen Bedingungsschlüssel, um die Tag-Schlüssel in einer Anfrage mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben, um zu definieren, auf welche Tag-Schlüssel zugegriffen werden darf. Um beispielsweise das Markieren während der CreateTable Aktion zu ermöglichen, müssen Sie eine Richtlinie erstellen, die sowohl die als auch die s3tables:TagResource s3tables:CreateTable Aktionen zulässt. Anschließend können Sie mithilfe des aws:TagKeys Bedingungsschlüssels erzwingen, dass nur bestimmte Tags in der CreateTable Anfrage verwendet werden.

Dieser Bedingungsschlüssel gilt, wenn Tag-Schlüssel in einerTagResource,UntagResource, oder CreateTable API-Operation übergeben werden oder wenn das Markieren, Enttaggen oder Erstellen einer Tabelle mit Tags mithilfe der AWS Befehlszeilenschnittstelle (CLI) oder der. AWS SDKs

Eine Beispielrichtlinie finden Sie unter 1.3 — IAM-Richtlinie zur Steuerung der Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance.

Weitere Beispielrichtlinien und weitere Informationen finden Sie unter Steuern des Zugriffs anhand von Tagschlüsseln im AWS Identity and Access Management Benutzerhandbuch.

s3tables: /tag-key TableBucketTag

Verwenden Sie diesen Bedingungsschlüssel, um mithilfe von Tags Berechtigungen für bestimmte Daten in Tabellen-Buckets zu erteilen. Dieser Bedingungsschlüssel wirkt sich größtenteils auf die Tags aus, die dem Tabellen-Bucket für alle Aktionen in S3-Tabellen zugewiesen wurden. Selbst wenn Sie eine Tabelle mit Tags erstellen, wirkt sich dieser Bedingungsschlüssel auf die Tags aus, die auf den Tabellen-Bucket angewendet wurden, der diese Tabelle enthält. Die Ausnahmen sind:

  • Wenn Sie einen Tabellen-Bucket mit Tags erstellen, wirkt sich dieser Bedingungsschlüssel auf die Tags in der Anfrage aus.

Eine Beispielrichtlinie finden Sie unter 1.4 — Verwendung des Bedingungsschlüssels s3tables: TableBucketTag .

Beispiel für ABAC-Richtlinien für Tabellen

Sehen Sie sich das folgende Beispiel für ABAC-Richtlinien für Amazon S3-Tabellen an.

Anmerkung

Wenn Sie über eine ressourcenbasierte Richtlinie für IAM oder S3-Tabellen verfügen, die IAM-Benutzer und IAM-Rollen auf der Grundlage von Prinzipal-Tags einschränkt, müssen Sie der IAM-Rolle, die Lake Formation für den Zugriff auf Ihre Amazon S3 S3-Daten verwendet, dieselben Prinzipal-Tags zuordnen (z. B. LakeFormationDataAccessRole) und dieser Rolle die erforderlichen Berechtigungen erteilen. Dies ist erforderlich, damit Ihre tagbasierte Zugriffskontrollrichtlinie ordnungsgemäß mit Ihrer Analyseintegration von S3 Tables funktioniert.

1.1 — Tabellenrichtlinie zur Einschränkung von Operationen an der Tabelle mithilfe von Tags

In dieser Tabellenrichtlinie können die angegebenen IAM-Prinzipale (Benutzer und Rollen) die GetTable Aktion nur ausführen, wenn der Wert des project Tabellen-Tags mit dem Wert des project Prinzipal-Tags übereinstimmt.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowGetTable",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3tables:GetTable",
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_tab;e",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}
1.2 — IAM-Richtlinie zum Erstellen oder Ändern von Tabellen mit bestimmten Tags

In dieser IAM-Richtlinie können Benutzer oder Rollen mit dieser Richtlinie nur S3-Tabellen erstellen, wenn sie die Tabelle mit dem Tag-Schlüssel project und dem Tag-Wert Trinity in der Anfrage zur Tabellenerstellung kennzeichnen. Sie können auch Tags zu vorhandenen S3-Tabellen hinzufügen oder ändern, sofern die TagResource Anfrage das Tag-Schlüssel-Wert-Paar enthält. project:Trinity Diese Richtlinie gewährt keine Lese-, Schreib- oder Löschberechtigungen für die Tabellen oder ihre Objekte. 

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateTableWithTags",
      "Effect": "Allow",
      "Action": [
        "s3tables:CreateTable",
        "s3tables:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}
1.3 — IAM-Richtlinie zur Steuerung der Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance

Gemäß dieser IAM-Richtlinie können IAM-Prinzipale (Benutzer oder Rollen) Tags in einer Tabelle nur ändern, wenn der Wert des Tabellen-Tags mit dem Wert des project Prinzipal-Tags übereinstimmt. project Nur die vier in den aws:TagKeys Bedingungsschlüsseln cost-center angegebenen Tags project environmentowner,, und sind für diese Tabellen zulässig. Dies hilft, die Tag-Governance durchzusetzen, verhindert unbefugte Tag-Änderungen und sorgt dafür, dass das Tagging-Schema in Ihren Tabellen konsistent bleibt.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3tables:TagResource",
        "s3tables:UntagResource"
      ],
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_table",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}
1.4 — Verwendung des Bedingungsschlüssels s3tables: TableBucketTag

In dieser IAM-Richtlinie erlaubt die Bedingungsanweisung den Zugriff auf die Daten des Tabellen-Buckets nur, wenn der Tabellen-Bucket den Tag-Schlüssel Environment und den Tag-Wert enthält. Production Der s3tables:TableBucketTag/<tag-key> unterscheidet sich vom aws:ResourceTag/<tag-key> Bedingungsschlüssel darin, dass Sie nicht nur den Zugriff auf Tabellen-Buckets anhand ihrer Tags steuern, sondern auch den Zugriff auf Tabellen anhand der Tags im übergeordneten Tabellen-Bucket steuern können.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificTables",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*",
      "Condition": {
        "StringEquals": {
          "s3tables:TableBucketTag/Environment": "Production"
        }
      }
    }
  ]
}

Tags für Tabellen verwalten

Sie können Tags für S3-Tabellen mithilfe der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) AWS SDKs, der oder mithilfe von S3 APIs: TagResourceUntagResource, und hinzufügen oder verwalten ListTagsForResource. Weitere Informationen finden Sie unter:

Themen