Configuración de permisos para configurar tablas de metadatos

Para crear una configuración de tabla de metadatos, debe tener los permisos de AWS Identity and Access Management (IAM) necesarios tanto para crear y administrar la configuración de tabla de metadatos como para crear y administrar la tabla de metadatos y el bucket de tablas donde se almacena la tabla de metadatos.

Para crear y administrar la configuración de tabla de metadatos, debe tener estos permisos:

s3:CreateBucketMetadataTableConfiguration: este permiso le permite crear una configuración de tabla de metadatos para el bucket de uso general.
s3:GetBucketMetadataTableConfiguration: este permiso le permite recuperar información sobre la configuración de tabla de metadatos.
s3:DeleteBucketMetadataTableConfiguration: este permiso le permite eliminar la configuración de tabla de metadatos.

Para crear y trabajar con tablas y buckets de tablas, debe tener ciertos permisos de s3tables. Como mínimo, para crear una configuración de tabla de metadatos, debe tener los siguientes permisos de s3tables:

s3tables:CreateNamespace: este permiso le permite crear un espacio de nombres en un bucket de tablas. Las tablas de metadatos utilizan el espacio de nombres de aws_s3_metadata predeterminado.
s3tables:GetTable: este permiso le permite recuperar información sobre la tabla de metadatos.
s3tables:CreateTable: este permiso le permite crear la tabla de metadatos.
s3tables:PutTablePolicy: este permiso le permite agregar o actualizar la política de tabla de metadatos.

Para obtener información detallada sobre todos los permisos de tablas y buckets de tablas, consulte Administración de acceso para Tablas de S3.

importante

Si también desea integrar el bucket de tablas con servicios de análisis de AWS para poder consultar la tabla de metadatos, necesita permisos adicionales. Para obtener más información, consulte Integración de Tablas de Amazon S3 con servicios de análisis de AWS.

Permisos para SSE-KMS

Para acceder a los buckets de tablas de S3 o tablas de S3 que utilizan el cifrado en el servidor con claves de AWS Key Management Service (AWS KMS) (SSE-KMS), debe incluir permisos adicionales.

El usuario o rol de IAM necesita los siguientes permisos. Puede conceder estos permisos mediante el uso de la consola de IAM: https://console.aws.amazon.com/iam/.
1. s3tables:PutTableEncryption para configurar el cifrado de tablas
2. s3tables:PutTableBucketEncryption para configurar el cifrado de buckets de tablas
3. kms:DescribeKey en la clave de AWS KMS utilizada
En la política de recursos de la clave de KMS, necesita los siguientes permisos. Puede conceder estos permisos mediante la consola de KMS: https://console.aws.amazon.com/kms.
1. Permiso kms:GenerateDataKey para metadata.s3.amazonaws.com y maintenance.s3tables.amazonaws.com
2. Permiso kms:Decrypt para metadata.s3.amazonaws.com y maintenance.s3tables.amazonaws.com
3. Permiso kms:DescribeKey a la entidad principal de AWS que invoca

Para obtener más información sobre cómo conceder los permisos necesarios al servicio de metadatos de S3, consulte la documentación sobre cómo Conceder a la entidad principal del servicio de metadatos de S3 permisos para usar la clave de KMS.

Ejemplo de política de

Para crear y trabajar con tablas de metadatos y buckets de tablas, puede utilizar la siguiente política de ejemplo. En esta política, el bucket de uso general al que está aplicando la configuración de la tabla de metadatos se denomina amzn-s3-demo-source-bucket. El bucket de tablas donde almacena la tabla de metadatos se denomina amzn-s3-demo-bucket. Para utilizar esta política, reemplace estos nombres de bucket y los user input placeholders con su propia información:


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"PermissionsToWorkWithMetadataTables",
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucketMetadataTableConfiguration",
            "s3:GetBucketMetadataTableConfiguration",
            "s3:DeleteBucketMetadataTableConfiguration",
            "s3tables:*" 
         ],
         "Resource":[
            "arn:aws:s3:::bucket/amzn-s3-demo-source-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket/table/*"
         ]
       }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de tablas de metadatos

Creación de tablas de metadatos