Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan tag dengan ember tabel S3
AWS Tag adalah pasangan nilai kunci yang menyimpan metadata tentang sumber daya, dalam hal ini bucket tabel Amazon S3. Anda dapat menandai bucket tabel S3 saat Anda membuatnya atau mengelola tag pada bucket tabel yang ada. Untuk informasi umum tentang tag, lihatPenandaan untuk alokasi biaya atau kontrol akses berbasis atribut (ABAC).
catatan
Tidak ada biaya tambahan untuk menggunakan tag pada bucket tabel di luar tarif permintaan API S3 standar. Untuk informasi selengkapnya, lihat Harga Amazon S3
Cara umum untuk menggunakan tag dengan ember tabel
Gunakan tag pada bucket tabel S3 Anda untuk:
Kontrol akses berbasis atribut (ABAC) — Skala izin akses dan berikan akses ke bucket tabel S3 berdasarkan tag mereka. Untuk informasi selengkapnya, lihat Menggunakan tag untuk ABAC.
ABAC untuk ember meja S3
Bucket tabel Amazon S3 mendukung kontrol akses berbasis atribut (ABAC) menggunakan tag. Gunakan kunci kondisi berbasis tag di AWS organisasi, AWS Identity and Access Management (IAM), dan kebijakan bucket tabel S3 Anda. ABAC di Amazon S3 mendukung otorisasi di beberapa akun. AWS
Dalam kebijakan IAM, Anda dapat mengontrol akses ke bucket tabel S3 berdasarkan tag bucket tabel dengan menggunakan kunci kondisi atau kunci s3tables:TableBucketTag/tag-key kondisi AWS global:aws:ResourceTag/key-name,, aws:RequestTag/key-name atau. aws:TagKeys
aws: ResourceTag /nama-kunci
Gunakan kunci kondisi ini untuk membandingkan pasangan nilai kunci tag yang Anda tentukan dalam kebijakan dengan pasangan nilai kunci yang dilampirkan ke sumber daya. Misalnya, Anda dapat meminta akses ke bucket tabel hanya diperbolehkan jika bucket tabel memiliki kunci tag Department dengan nilainyaMarketing.
Kunci kondisi ini berlaku untuk semua tindakan bucket tabel yang dilakukan menggunakan Konsol Amazon S3, Antarmuka Baris AWS Perintah (CLI), S3, atau APIs AWS SDKs, kecuali untuk permintaan API. CreateBucket
Untuk contoh kebijakan, lihat 1.1 - kebijakan bucket tabel untuk membatasi operasi pada tabel di dalam bucket tabel menggunakan tag.
Untuk contoh kebijakan tambahan dan informasi selengkapnya, lihat Mengontrol akses ke AWS sumber daya di Panduan AWS Identity and Access Management Pengguna.
catatan
Untuk tindakan yang dilakukan pada tabel, kunci kondisi ini bertindak pada tag yang diterapkan pada tabel dan bukan pada tag yang diterapkan pada ember tabel yang berisi tabel. Gunakan s3tables:TableBucketTag/tag-key sebagai gantinya jika Anda ingin kebijakan ABAC Anda bertindak pada tag bucket tabel saat melakukan tindakan tabel.
aws: RequestTag /nama-kunci
Gunakan kunci kondisi ini untuk membandingkan pasangan nilai kunci tag yang diteruskan dalam permintaan dengan pasangan tag yang Anda tentukan dalam kebijakan. Misalnya, Anda dapat memeriksa apakah permintaan untuk menandai keranjang tabel menyertakan kunci tag Department dan memiliki nilaiAccounting.
Kunci kondisi ini berlaku saat kunci tag diteruskan dalam permintaan operasi TagResource atau CreateTableBucket API, atau saat menandai atau membuat bucket tabel dengan tag menggunakan Konsol Amazon S3, Antarmuka Baris AWS Perintah (CLI), atau. AWS SDKs
Untuk contoh kebijakan, lihat 1.2 - Kebijakan IAM untuk membuat atau memodifikasi bucket tabel dengan tag tertentu.
Untuk kebijakan contoh tambahan dan informasi selengkapnya, lihat Mengontrol akses selama AWS permintaan di Panduan AWS Identity and Access Management Pengguna.
aws: TagKeys
Gunakan kunci kondisi ini untuk membandingkan kunci tag dalam permintaan dengan kunci yang Anda tentukan dalam kebijakan untuk menentukan kunci tag apa yang diizinkan untuk diakses. Misalnya, untuk mengizinkan penandaan selama CreateTableBucket tindakan, Anda harus membuat kebijakan yang memungkinkan s3tables:CreateTableBucket tindakan s3tables:TagResource dan tindakan. Anda kemudian dapat menggunakan kunci aws:TagKeys kondisi untuk menegakkan bahwa hanya tag tertentu yang digunakan dalam CreateTableBucket permintaan.
Kunci kondisi ini berlaku saat kunci tag diteruskan dalamTagResource,UntagResource, atau operasi CreateTableBucket API atau saat menandai, melepas tag, atau membuat bucket tabel dengan tag menggunakan Konsol Amazon S3, Antarmuka AWS Baris Perintah (CLI), atau. AWS SDKs
Untuk contoh kebijakan, lihat 1.3 - Kebijakan IAM untuk mengontrol modifikasi tag pada sumber daya yang ada mempertahankan tata kelola penandaan.
Untuk kebijakan contoh tambahan dan informasi selengkapnya, lihat Mengontrol akses berdasarkan kunci tag di Panduan AWS Identity and Access Management Pengguna.
s3tables: /tag-kunci TableBucketTag
Gunakan kunci kondisi ini untuk memberikan izin ke data tertentu dalam bucket tabel menggunakan tag. Kunci kondisi ini bertindak, sebagian besar, pada tag yang ditetapkan ke bucket tabel untuk semua tindakan tabel S3. Bahkan saat Anda membuat tabel dengan tag, kunci kondisi ini bekerja pada tag yang diterapkan pada bucket tabel yang berisi tabel tersebut. Pengecualiannya adalah:
Saat Anda membuat keranjang tabel dengan tag, kunci kondisi ini bertindak pada tag dalam permintaan.
Untuk contoh kebijakan, lihat 1.4 - Menggunakan kunci kondisi s3tables: TableBucketTag.
Contoh kebijakan ABAC untuk bucket tabel
Lihat contoh kebijakan ABAC berikut untuk bucket tabel Amazon S3.
catatan
Jika Anda menggunakan Lake Formation untuk mengelola akses ke Tabel Amazon S3 dan Anda memiliki kebijakan berbasis sumber daya IAM atau S3 Tables yang membatasi pengguna IAM dan peran IAM berdasarkan tag utama, Anda harus melampirkan tag utama yang sama ke peran IAM yang digunakan Lake Formation untuk mengakses data Amazon S3 Anda (misalnya,) dan memberikan peran ini izin yang diperlukan. LakeFormationDataAccessRole Ini diperlukan agar kebijakan kontrol akses berbasis tag Anda berfungsi dengan benar dengan integrasi analitik Tabel S3 Anda.
1.1 - kebijakan bucket tabel untuk membatasi operasi pada tabel di dalam bucket tabel menggunakan tag
Dalam kebijakan bucket tabel ini, prinsipal IAM yang ditentukan (pengguna dan peran) dapat melakukan GetTable tindakan pada tabel apa pun di keranjang tabel hanya jika nilai tag tabel cocok dengan nilai project tag prinsipal. project
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGetTable", "Effect": "Allow", "Principal": { "AWS": "111122223333" }, "Action": "s3tables:GetTable", "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" } } } ] }
1.2 - Kebijakan IAM untuk membuat atau memodifikasi bucket tabel dengan tag tertentu
catatan
Jika Anda menggunakan AWS Lake Formation untuk mengelola akses ke tabel Amazon S3 Anda, dan Anda menggunakan ABAC dengan Tabel Amazon S3, pastikan Anda juga memberikan peran IAM bahwa Lake Formation mengasumsikan akses yang diperlukan. Untuk informasi selengkapnya tentang pengaturan peran IAM untuk Lake Formation, lihat Prasyarat untuk mengintegrasikan katalog tabel Amazon S3 dengan Katalog Data dan Lake Formation di panduan pengembang.AWS Lake Formation
Dalam kebijakan IAM ini, pengguna atau peran dengan kebijakan ini hanya dapat membuat bucket tabel S3 jika mereka menandai bucket tabel dengan kunci tag project dan nilai tag Trinity dalam permintaan pembuatan bucket tabel. Mereka juga dapat menambahkan atau memodifikasi tag pada bucket tabel S3 yang ada selama TagResource permintaan tersebut menyertakan pasangan nilai kunci tag. project:Trinity Kebijakan ini tidak memberikan izin baca, tulis, atau hapus pada bucket tabel atau objeknya.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateTableBucketWithTags", "Effect": "Allow", "Action": [ "s3tables:CreateTableBucket", "s3tables:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/project": [ "Trinity" ] } } } ] }
1.3 - Kebijakan IAM untuk mengontrol modifikasi tag pada sumber daya yang ada mempertahankan tata kelola penandaan
Dalam kebijakan IAM ini, prinsipal IAM (pengguna atau peran) dapat memodifikasi tag pada keranjang tabel hanya jika nilai tag keranjang tabel cocok dengan nilai project tag prinsipal. project Hanya empat tagproject,environment,owner, dan cost-center ditentukan dalam tombol aws:TagKeys kondisi yang diizinkan untuk bucket tabel ini. Ini membantu menegakkan tata kelola tag, mencegah modifikasi tag yang tidak sah, dan menjaga skema penandaan tetap konsisten di seluruh bucket tabel Anda.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceTaggingRulesOnModification", "Effect": "Allow", "Action": [ "s3tables:TagResource", "s3tables:UntagResource" ], "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "project", "environment", "owner", "cost-center" ] } } } ] }
1.4 - Menggunakan kunci kondisi s3tables: TableBucketTag
Dalam kebijakan IAM ini, pernyataan kondisi mengizinkan akses ke data bucket tabel hanya jika bucket tabel memiliki kunci tag Environment dan nilai Production tag. s3tables:TableBucketTag/<tag-key>Perbedaan dari kunci aws:ResourceTag/<tag-key> kondisi karena, selain mengontrol akses ke bucket tabel tergantung pada tag mereka, ini memungkinkan Anda untuk mengontrol akses ke tabel berdasarkan tag pada bucket tabel induk mereka.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToSpecificTables", "Effect": "Allow", "Action": "*", "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*", "Condition": { "StringEquals": { "s3tables:TableBucketTag/Environment": "Production" } } } ] }
Mengelola tag untuk ember tabel
Anda dapat menambahkan atau mengelola tag untuk bucket tabel S3 menggunakan Konsol Amazon S3, Antarmuka Baris AWS Perintah (CLI), AWS SDKs atau menggunakan S3:,, dan. APIs TagResourceUntagResourceListTagsForResource Untuk informasi selengkapnya, lihat informasi berikut:
Topik
