Menggunakan tag dengan tabel S3 - Amazon Simple Storage Service
Cara umum untuk menggunakan tag dengan tabelMengelola tag untuk tabel

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tag dengan tabel S3

AWS Tag adalah pasangan nilai kunci yang menyimpan metadata tentang sumber daya, dalam hal ini tabel Amazon S3. Anda dapat menandai tabel S3 saat Anda membuatnya atau mengelola tag pada tabel yang ada. Untuk informasi umum tentang tag, lihatPenandaan untuk alokasi biaya atau kontrol akses berbasis atribut (ABAC).

catatan

Tidak ada biaya tambahan untuk menggunakan tag pada tabel di luar tarif permintaan API S3 standar. Untuk informasi selengkapnya, lihat Harga Amazon S3.

Cara umum untuk menggunakan tag dengan tabel

Gunakan tag pada tabel S3 Anda untuk:

  1. Alokasi biaya — Lacak biaya penyimpanan dengan tag tabel di AWS Manajemen Penagihan dan Biaya. Untuk informasi selengkapnya, lihat Menggunakan tag untuk alokasi biaya.

  2. Kontrol akses berbasis atribut (ABAC) — Skala izin akses dan berikan akses ke tabel S3 berdasarkan tag mereka. Untuk informasi selengkapnya, lihat Menggunakan tag untuk ABAC.

catatan

Anda dapat menggunakan tanda yang sama untuk alokasi biaya dan kontrol akses.

ABAC untuk tabel S3

Tabel Amazon S3 mendukung kontrol akses berbasis atribut (ABAC) menggunakan tag. Gunakan kunci kondisi berbasis tag di AWS organisasi Anda, AWS Identity and Access Management (IAM), dan kebijakan tabel S3. ABAC di Amazon S3 mendukung otorisasi di beberapa akun. AWS

Dalam kebijakan IAM Anda, Anda dapat mengontrol akses ke tabel S3 berdasarkan tag tabel dengan menggunakan kunci s3tables:TableBucketTag/tag-key kondisi atau kunci kondisi AWS global:aws:ResourceTag/key-name,aws:RequestTag/key-name, atau. aws:TagKeys

aws: ResourceTag /nama-kunci

Gunakan kunci kondisi ini untuk membandingkan pasangan nilai kunci tag yang Anda tentukan dalam kebijakan dengan pasangan nilai kunci yang dilampirkan ke sumber daya. Misalnya, Anda dapat meminta akses ke tabel hanya diperbolehkan jika tabel memiliki kunci tag Department dengan nilaiMarketing.

Kunci kondisi ini berlaku untuk tindakan tabel yang dilakukan menggunakan Konsol Amazon S3, Antarmuka Baris AWS Perintah (CLI), S3 APIs, atau,. AWS SDKs

Untuk contoh kebijakan, lihat 1.1 - kebijakan tabel untuk membatasi operasi pada tabel menggunakan tag.

Untuk contoh kebijakan tambahan dan informasi selengkapnya, lihat Mengontrol akses ke AWS sumber daya di Panduan AWS Identity and Access Management Pengguna.

catatan

Untuk tindakan yang dilakukan pada tabel, kunci kondisi ini bertindak pada tag yang diterapkan pada tabel dan bukan pada tag yang diterapkan pada ember tabel yang berisi tabel. Gunakan s3tables:TableBucketTag/tag-key sebagai gantinya jika Anda ingin kebijakan ABAC Anda bertindak pada tag bucket tabel saat melakukan tindakan tabel.

aws: RequestTag /nama-kunci

Gunakan kunci kondisi ini untuk membandingkan pasangan nilai kunci tag yang diteruskan dalam permintaan dengan pasangan tag yang Anda tentukan dalam kebijakan. Misalnya, Anda dapat memeriksa apakah permintaan untuk menandai tabel menyertakan kunci tag Department dan memiliki nilaiAccounting.

Kunci kondisi ini berlaku saat kunci tag diteruskan dalam permintaan operasi TagResource atau CreateTable API, atau saat menandai atau membuat tabel dengan tag menggunakan Konsol Amazon S3, Antarmuka Baris AWS Perintah (CLI), atau. AWS SDKs

Untuk contoh kebijakan, lihat 1.2 - Kebijakan IAM untuk membuat atau memodifikasi tabel dengan tag tertentu.

Untuk kebijakan contoh tambahan dan informasi selengkapnya, lihat Mengontrol akses selama AWS permintaan di Panduan AWS Identity and Access Management Pengguna.

aws: TagKeys

Gunakan kunci kondisi ini untuk membandingkan kunci tag dalam permintaan dengan kunci yang Anda tentukan dalam kebijakan untuk menentukan kunci tag apa yang diizinkan untuk diakses. Misalnya, untuk mengizinkan penandaan selama CreateTable tindakan, Anda harus membuat kebijakan yang memungkinkan s3tables:CreateTable tindakan s3tables:TagResource dan tindakan. Anda kemudian dapat menggunakan kunci aws:TagKeys kondisi untuk menegakkan bahwa hanya tag tertentu yang digunakan dalam CreateTable permintaan.

Kunci kondisi ini berlaku ketika kunci tag diteruskan dalamTagResource,UntagResource, atau operasi CreateTable API atau saat menandai, melepas tag, atau membuat tabel dengan tag menggunakan Antarmuka Baris AWS Perintah (CLI), atau. AWS SDKs

Untuk contoh kebijakan, lihat 1.3 - Kebijakan IAM untuk mengontrol modifikasi tag pada sumber daya yang ada mempertahankan tata kelola penandaan.

Untuk kebijakan contoh tambahan dan informasi selengkapnya, lihat Mengontrol akses berdasarkan kunci tag di Panduan AWS Identity and Access Management Pengguna.

s3tables: /tag-kunci TableBucketTag

Gunakan kunci kondisi ini untuk memberikan izin ke data tertentu dalam bucket tabel menggunakan tag. Kunci kondisi ini bertindak, sebagian besar, pada tag yang ditetapkan ke bucket tabel untuk semua tindakan tabel S3. Bahkan saat Anda membuat tabel dengan tag, kunci kondisi ini bekerja pada tag yang diterapkan pada bucket tabel yang berisi tabel tersebut. Pengecualiannya adalah:

  • Saat Anda membuat keranjang tabel dengan tag, kunci kondisi ini bertindak pada tag dalam permintaan.

Untuk contoh kebijakan, lihat 1.4 - Menggunakan kunci kondisi s3tables: TableBucketTag .

Contoh kebijakan ABAC untuk tabel

Lihat contoh kebijakan ABAC berikut untuk tabel Amazon S3.

catatan

Jika Anda memiliki kebijakan berbasis sumber daya IAM atau S3 Tables yang membatasi pengguna IAM dan peran IAM berdasarkan tag utama, Anda harus melampirkan tag utama yang sama ke peran IAM yang digunakan Lake Formation untuk mengakses data Amazon S3 Anda (misalnya,) dan memberikan peran ini izin yang diperlukan. LakeFormationDataAccessRole Ini diperlukan agar kebijakan kontrol akses berbasis tag Anda berfungsi dengan benar dengan integrasi analitik Tabel S3 Anda.

1.1 - kebijakan tabel untuk membatasi operasi pada tabel menggunakan tag

Dalam kebijakan tabel ini, prinsip IAM yang ditentukan (pengguna dan peran) dapat melakukan GetTable tindakan hanya jika nilai tag tabel cocok dengan nilai project tag prinsipal. project

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowGetTable",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3tables:GetTable",
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_tab;e",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}
1.2 - Kebijakan IAM untuk membuat atau memodifikasi tabel dengan tag tertentu

Dalam kebijakan IAM ini, pengguna atau peran dengan kebijakan ini hanya dapat membuat tabel S3 jika mereka menandai tabel dengan kunci tag project dan nilai tag Trinity dalam permintaan pembuatan tabel. Mereka juga dapat menambahkan atau memodifikasi tag pada tabel S3 yang ada selama TagResource permintaan menyertakan pasangan nilai kunci tag. project:Trinity Kebijakan ini tidak memberikan izin baca, tulis, atau hapus pada tabel atau objeknya. 

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateTableWithTags",
      "Effect": "Allow",
      "Action": [
        "s3tables:CreateTable",
        "s3tables:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}
1.3 - Kebijakan IAM untuk mengontrol modifikasi tag pada sumber daya yang ada mempertahankan tata kelola penandaan

Dalam kebijakan IAM ini, prinsipal IAM (pengguna atau peran) dapat memodifikasi tag pada tabel hanya jika nilai tag tabel cocok dengan nilai project tag prinsipal. project Hanya empat tagproject,environment,owner, dan cost-center ditentukan dalam tombol aws:TagKeys kondisi yang diizinkan untuk tabel ini. Ini membantu menegakkan tata kelola tag, mencegah modifikasi tag yang tidak sah, dan menjaga skema penandaan tetap konsisten di seluruh tabel Anda.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3tables:TagResource",
        "s3tables:UntagResource"
      ],
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_table",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}
1.4 - Menggunakan kunci kondisi s3tables: TableBucketTag

Dalam kebijakan IAM ini, pernyataan kondisi mengizinkan akses ke data bucket tabel hanya jika bucket tabel memiliki kunci tag Environment dan nilai Production tag. s3tables:TableBucketTag/<tag-key>Perbedaan dari kunci aws:ResourceTag/<tag-key> kondisi karena, selain mengontrol akses ke bucket tabel tergantung pada tag mereka, ini memungkinkan Anda untuk mengontrol akses ke tabel berdasarkan tag pada bucket tabel induk mereka.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificTables",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*",
      "Condition": {
        "StringEquals": {
          "s3tables:TableBucketTag/Environment": "Production"
        }
      }
    }
  ]
}

Mengelola tag untuk tabel

Anda dapat menambahkan atau mengelola tag untuk tabel S3 menggunakan Konsol Amazon S3, Antarmuka Baris AWS Perintah (CLI),, AWS SDKs atau menggunakan APIs TagResourceS3:,, dan. UntagResourceListTagsForResource Untuk informasi lebih lanjut, lihat:

Topik