Définition des autorisations pour la configuration des tables de métadonnées

Pour créer une configuration de table de métadonnées, vous devez disposer des autorisations AWS Identity and Access Management (IAM) nécessaires à la fois pour créer et gérer la configuration de votre table de métadonnées et pour créer et gérer votre table de métadonnées et le compartiment de table dans lequel votre table de métadonnées est stockée.

Pour créer et gérer la configuration de votre table de métadonnées, vous devez disposer des autorisations suivantes :

s3:CreateBucketMetadataTableConfiguration : cette autorisation vous permet de créer une configuration de table de métadonnées pour votre compartiment à usage général.
s3:GetBucketMetadataTableConfiguration : cette autorisation vous permet d’extraire les informations relatives à la configuration de votre table de métadonnées.
s3:DeleteBucketMetadataTableConfiguration : cette autorisation vous permet de supprimer les informations relatives à la configuration de votre table de métadonnées.

Pour créer et gérer des tables et des compartiments de tables, vous devez disposer de certaines autorisations s3tables. Au minimum, pour créer une configuration de table de métadonnées, vous devez disposer des autorisations s3tables suivantes :

s3tables:CreateNamespace : cette autorisation vous permet de créer un espace de noms dans un compartiment de tables. Les tables de métadonnées utilisent l’espace de noms aws_s3_metadata par défaut.
s3tables:GetTable : cette autorisation vous permet d’extraire les informations relatives à votre table de métadonnées.
s3tables:CreateTable : cette autorisation vous permet de supprimer les informations relatives à votre table de métadonnées.
s3tables:PutTablePolicy : cette autorisation vous permet de compléter ou de mettre à jour les informations relatives à votre table de métadonnées.

Pour obtenir des informations détaillées sur toutes les autorisations relatives aux tables et aux compartiments de tables, consultez Gestion des accès pour les tables S3.

Important

Si vous souhaitez également intégrer votre compartiment de tables aux services AWS d'analyse afin de pouvoir interroger votre table de métadonnées, vous avez besoin d'autorisations supplémentaires. Pour plus d'informations, consultez la section Intégration des tables Amazon S3 aux services AWS d'analyse.

Autorisations pour SSE-KMS

Pour accéder aux compartiments de tables S3 ou aux tables S3 qui utilisent le chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS), vous devez inclure des autorisations supplémentaires.

L'utilisateur ou le rôle IAM nécessite les autorisations suivantes. Vous pouvez accorder ces autorisations à l'aide de la console IAM - https://console.aws.amazon.com/iam/.
1. s3tables:PutTableEncryptionpour configurer le chiffrement des tables
2. s3tables:PutTableBucketEncryptionpour configurer le chiffrement des compartiments de tables
3. kms:DescribeKeysur la AWS KMS clé utilisée
En ce qui concerne la politique de ressources pour la clé KMS, vous avez besoin des autorisations suivantes. Vous pouvez accorder ces autorisations à l'aide de la console KMS - https://console.aws.amazon.com/kms.
1. kms:GenerateDataKeyautorisation de metadata.s3.amazonaws.com et maintenance.s3tables.amazonaws.com
2. kms:Decryptautorisation de metadata.s3.amazonaws.com et maintenance.s3tables.amazonaws.com
3. kms:DescribeKeyautorisation accordée au mandant invoquant AWS

Pour plus d'informations sur l'octroi des autorisations nécessaires au service de métadonnées S3, consultez la documentation sur l'octroi des autorisations principales au service de métadonnées S3 pour utiliser votre clé KMS.

Exemple de stratégie

Pour créer et utiliser des tables de métadonnées et des compartiments de tables, vous pouvez utiliser l’exemple de politique suivant. Dans cette politique, le compartiment à usage général auquel vous appliquez la configuration de la table de métadonnées est appelé amzn-s3-demo-source-bucket. Le compartiment de tables dans lequel vous stockez votre table de métadonnées est appelé amzn-s3-demo-bucket. Pour utiliser cette politique, remplacez ces noms de compartiment et les user input placeholders par vos propres informations :


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"PermissionsToWorkWithMetadataTables",
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucketMetadataTableConfiguration",
            "s3:GetBucketMetadataTableConfiguration",
            "s3:DeleteBucketMetadataTableConfiguration",
            "s3tables:*" 
         ],
         "Resource":[
            "arn:aws:s3:::bucket/amzn-s3-demo-source-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket/table/*"
         ]
       }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration des tables de métadonnées

Création de tables de métadonnées