Menyiapkan izin untuk mengonfigurasi tabel metadata - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan izin untuk mengonfigurasi tabel metadata

Untuk membuat konfigurasi tabel metadata, Anda harus memiliki izin AWS Identity and Access Management (IAM) yang diperlukan untuk membuat dan mengelola konfigurasi tabel metadata Anda dan untuk membuat dan mengelola tabel metadata dan keranjang tabel tempat tabel metadata Anda disimpan.

Untuk membuat dan mengelola konfigurasi tabel metadata Anda, Anda harus memiliki izin berikut:

  • s3:CreateBucketMetadataTableConfiguration— Izin ini memungkinkan Anda membuat konfigurasi tabel metadata untuk bucket tujuan umum Anda. Untuk membuat konfigurasi tabel metadata, izin tambahan, termasuk izin Tabel S3, diperlukan, seperti yang dijelaskan di bagian berikut. Untuk ringkasan izin yang diperlukan, lihatOperasi dan izin bucket.

  • s3:GetBucketMetadataTableConfiguration— Izin ini memungkinkan Anda untuk mengambil informasi tentang konfigurasi tabel metadata Anda.

  • s3:DeleteBucketMetadataTableConfiguration— Izin ini memungkinkan Anda untuk menghapus konfigurasi tabel metadata Anda.

  • s3:UpdateBucketMetadataJournalTableConfiguration— Izin ini memungkinkan Anda untuk memperbarui konfigurasi tabel jurnal Anda untuk kedaluwarsa catatan tabel jurnal.

  • s3:UpdateBucketMetadataInventoryTableConfiguration— Izin ini memungkinkan Anda untuk memperbarui konfigurasi tabel inventaris Anda untuk mengaktifkan atau menonaktifkan tabel inventaris. Untuk memperbarui konfigurasi tabel inventaris, izin tambahan, termasuk izin Tabel S3, diperlukan. Untuk daftar izin yang diperlukan, lihatOperasi dan izin bucket.

    catatan

    s3:DeleteBucketMetadataTableConfigurationIzin s3:CreateBucketMetadataTableConfigurations3:GetBucketMetadataTableConfiguration,, dan digunakan untuk konfigurasi Metadata V1 dan V2 S3. Untuk V2, nama-nama operasi API yang sesuai adalahCreateBucketMetadataConfiguration,GetBucketMetadataConfiguration, danDeleteBucketMetadataConfiguration.

Untuk membuat dan bekerja dengan tabel dan bucket tabel, Anda harus memiliki s3tables izin tertentu. Minimal, untuk membuat konfigurasi tabel metadata, Anda harus memiliki izin berikut: s3tables

  • s3tables:CreateTableBucket— Izin ini memungkinkan Anda membuat bucket tabel AWS terkelola. Semua konfigurasi tabel metadata di akun Anda dan di Wilayah yang sama disimpan dalam satu keranjang tabel AWS terkelola bernama. aws-s3 Untuk informasi selengkapnya, lihat Cara kerja tabel metadata dan Bekerja dengan bucket tabel AWS terkelola.

  • s3tables:CreateNamespace— Izin ini memungkinkan Anda untuk membuat namespace di keranjang meja. Tabel metadata biasanya menggunakan namespace. b_general_purpose_bucket_name Untuk informasi selengkapnya tentang ruang nama tabel metadata, lihat. Cara kerja tabel metadata

  • s3tables:CreateTable— Izin ini memungkinkan Anda untuk membuat tabel metadata Anda.

  • s3tables:GetTable— Izin ini memungkinkan Anda untuk mengambil informasi tentang tabel metadata Anda.

  • s3tables:PutTablePolicy— Izin ini memungkinkan Anda untuk menambahkan atau memperbarui kebijakan tabel metadata Anda.

  • s3tables:PutTableEncryption— Izin ini memungkinkan Anda untuk mengatur enkripsi sisi server untuk tabel metadata Anda. Izin tambahan diperlukan jika Anda ingin mengenkripsi tabel metadata Anda dengan enkripsi sisi server dengan () kunci (SSE-KMS). AWS Key Management Service AWS KMS Untuk informasi selengkapnya, lihat Izin untuk SSE-KMS.

  • kms:DescribeKey— Izin ini memungkinkan Anda untuk mengambil informasi tentang kunci KMS.

Untuk informasi mendetail tentang semua izin bucket tabel dan tabel, lihat Manajemen akses untuk Tabel S3.

penting

Jika Anda juga ingin mengintegrasikan bucket tabel Anda dengan layanan AWS analitik sehingga Anda dapat menanyakan tabel metadata Anda, Anda memerlukan izin tambahan. Untuk informasi selengkapnya, lihat Mengintegrasikan Tabel Amazon S3 AWS dengan layanan analitik.

Izin untuk SSE-KMS

Untuk mengenkripsi tabel metadata Anda dengan enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (SSE-KMS), Anda harus memiliki izin tambahan.

  1. Peran pengguna atau AWS Identity and Access Management (IAM) memerlukan izin berikut. Anda dapat memberikan izin ini dengan menggunakan konsol IAM:. https://console.aws.amazon.com/iam/

    1. s3tables:PutTableEncryptionuntuk mengkonfigurasi enkripsi tabel

    2. kms:DescribeKeypada AWS KMS kunci yang digunakan

  2. Pada kebijakan sumber daya untuk kunci KMS, Anda memerlukan izin berikut. Anda dapat memberikan izin ini dengan menggunakan AWS KMS konsol: https://console.aws.amazon.com/kms.

    1. Berikan kms:GenerateDataKey izin untuk metadata.s3.amazonaws.com danmaintenance.s3tables.amazonaws.com.

    2. Berikan kms:Decrypt izin untuk metadata.s3.amazonaws.com danmaintenance.s3tables.amazonaws.com.

    3. Berikan kms:DescribeKey izin kepada kepala sekolah AWS pemohon.

Selain izin ini, pastikan kunci KMS yang dikelola pelanggan yang digunakan untuk mengenkripsi tabel masih ada, aktif, berada di Wilayah yang sama dengan bucket tujuan umum Anda.

Contoh kebijakan

Untuk membuat dan bekerja dengan tabel metadata dan bucket tabel, Anda dapat menggunakan contoh kebijakan berikut. Dalam kebijakan ini, bucket tujuan umum tempat Anda menerapkan konfigurasi tabel metadata disebut sebagai. amzn-s3-demo-bucket Untuk menggunakan kebijakan ini, ganti user input placeholders dengan informasi Anda sendiri.

Saat Anda membuat konfigurasi tabel metadata, tabel metadata Anda disimpan dalam keranjang tabel terkelola AWS . Semua konfigurasi tabel metadata di akun Anda dan di Wilayah yang sama disimpan dalam satu keranjang tabel AWS terkelola bernama. aws-s3

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PermissionsToWorkWithMetadataTables",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucketMetadataTableConfiguration",
                "s3:GetBucketMetadataTableConfiguration",
                "s3:DeleteBucketMetadataTableConfiguration",
                "s3:UpdateBucketMetadataJournalTableConfiguration",
                "s3:UpdateBucketMetadataInventoryTableConfiguration",
                "s3tables:*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:s3:::bucket/amzn-s3-demo-bucket",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*"
            ]
        }
    ]
}

Untuk menanyakan tabel metadata, Anda dapat menggunakan contoh kebijakan berikut. Jika tabel metadata Anda telah dienkripsi dengan SSE-KMS, Anda akan memerlukan izin seperti yang ditunjukkan. kms:Decrypt Untuk menggunakan kebijakan ini, ganti user input placeholders dengan informasi Anda sendiri.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PermissionsToQueryMetadataTables",
            "Effect": "Allow",
            "Action": [
                "s3tables:GetTable",
                "s3tables:GetTableData",
                "s3tables:GetTableMetadataLocation",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*"
            ]
        }
    ]
}