Impostazione delle autorizzazioni per la configurazione delle tabelle di metadati - Amazon Simple Storage Service

Impostazione delle autorizzazioni per la configurazione delle tabelle di metadati

Per creare una configurazione di tabella dei metadati, è necessario disporre delle autorizzazioni AWS Identity and Access Management (IAM) richieste sia per creare e gestire la configurazione della tabella dei metadati, sia per creare e gestire la tabella dei metadati e il bucket della tabella in cui è archiviata la tabella di metadati.

Per creare e gestire la configurazione delle tabelle di metadati, è necessario disporre di queste autorizzazioni:

  • s3:CreateBucketMetadataTableConfiguration - Questa autorizzazione consente di creare una configurazione della tabella dei metadati per il bucket per uso generico. Per creare una configurazione della tabella dei metadati, sono necessarie autorizzazioni aggiuntive, incluse le autorizzazioni di Tabelle S3, come spiegato nelle sezioni successive. Per un riepilogo delle autorizzazioni richieste, consulta Operazioni e autorizzazioni del bucket.

  • s3:GetBucketMetadataTableConfiguration - Questa autorizzazione consente di recuperare informazioni sulla configurazione della tabella dei metadati.

  • s3:DeleteBucketMetadataTableConfiguration - Questa autorizzazione consente di eliminare la configurazione della tabella di metadati.

  • s3:UpdateBucketMetadataJournalTableConfiguration - Questa autorizzazione consente di aggiornare la configurazione della tabella del diario con la scadenza dei record della tabella del diario.

  • s3:UpdateBucketMetadataInventoryTableConfiguration - Questa autorizzazione consente di aggiornare la configurazione della tabella di inventario per abilitare o disabilitare la tabella di inventario. Per aggiornare la configurazione di una tabella di inventario, sono necessarie autorizzazioni aggiuntive, incluse le autorizzazioni di Tabelle S3. Per un elenco delle autorizzazioni richieste, consulta Operazioni e autorizzazioni del bucket.

    Nota

    Le autorizzazioni s3:CreateBucketMetadataTableConfiguration, s3:GetBucketMetadataTableConfiguration e s3:DeleteBucketMetadataTableConfiguration vengono utilizzate per le configurazioni di S3 Metadata V1 e V2. Per V2, i nomi delle operazioni API corrispondenti sono CreateBucketMetadataConfiguration, GetBucketMetadataConfiguration e DeleteBucketMetadataConfiguration.

Per creare e lavorare con le tabelle e i bucket di tabelle, è necessario disporre di determinate autorizzazioni s3tables. Come minimo, per creare la configurazione di una tabella di metadati, è necessario disporre delle seguenti autorizzazioni s3tables:

  • s3tables:CreateTableBucket - Questa autorizzazione consente di creare un bucket di tabella gestito da AWS. Tutte le configurazioni delle tabelle dei metadati presenti nell’account e nella stessa Regione sono archiviate in un unico bucket di tabelle gestito da AWS denominato aws-s3. Per ulteriori informazioni, consulta Come funzionano le tabelle di metadati e Utilizzo dei bucket di tabelle gestiti da AWS.

  • s3tables:CreateNamespace - Questa autorizzazione consente di creare uno spazio dei nomi in un bucket di tabella. Le tabelle dei metadati utilizzano in genere il namespace b_general_purpose_bucket_name. Per ulteriori informazioni sui namespace di tabelle dei metadati, consulta Come funzionano le tabelle di metadati.

  • s3tables:CreateTable - Questa autorizzazione consente di creare le tabelle dei metadati.

  • s3tables:GetTable - Questa autorizzazione consente di recuperare informazioni sulle tabelle dei metadati.

  • s3tables:PutTablePolicy - Questa autorizzazione consente di aggiungere o aggiornare le policy delle tabelle dei metadati.

  • s3tables:PutTableEncryption - Questa autorizzazione consente di impostare la crittografia lato server per le tabelle dei metadati. Sono necessarie autorizzazioni aggiuntive se si desidera crittografare le tabelle dei metadati utilizzando la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS). Per ulteriori informazioni, consulta Autorizzazioni per SSE-KMS.

  • kms:DescribeKey - Questa autorizzazione consente di recuperare informazioni su una chiave KMS.

Per informazioni dettagliate su tutte le autorizzazioni per le tabelle e i bucket delle tabelle, consulta Gestione degli accessi per le tabelle S3.

Importante

Se si desidera integrare il bucket delle tabelle con i servizi di analisi di AWS, in modo da poter interrogare la tabella dei metadati, sono necessarie ulteriori autorizzazioni. Per ulteriori informazioni, consulta Integrazione delle tabelle Amazon S3 con i servizi di analisi di AWS.

Autorizzazioni per SSE-KMS

Per crittografare le tabelle dei metadati utilizzando la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), è necessario disporre di autorizzazioni aggiuntive.

  1. L’utente o il ruolo AWS Identity and Access Management (IAM) richiede le seguenti autorizzazioni. È possibile fornire le autorizzazioni utilizzando la console IAM all’indirizzo https://console.aws.amazon.com/iam/.

    1. s3tables:PutTableEncryption per configurare la crittografia delle tabelle

    2. kms:DescribeKey sulla chiave AWS KMS utilizzata

  2. Per la policy delle risorse per la chiave KMS, sono necessarie le seguenti autorizzazioni. È possibile fornire le autorizzazioni utilizzando la console AWS KMS all’indirizzo https://console.aws.amazon.com/kms.

    1. Autorizzazione kms:GenerateDataKey a metadata.s3.amazonaws.com e maintenance.s3tables.amazonaws.com.

    2. Autorizzazione kms:Decrypt a metadata.s3.amazonaws.com e maintenance.s3tables.amazonaws.com.

    3. Autorizzazione kms:DescribeKey al principale AWS che invoca.

Oltre a queste autorizzazioni, è necessario che la chiave KMS gestita dal cliente utilizzata per crittografare le tabelle esista ancora, sia attiva e si trovi nella stessa Regione del bucket per uso generico.

Policy di esempio

Per creare e lavorare con le tabelle di metadati e i bucket di tabelle, si può utilizzare il seguente esempio di policy. In questa policy, il bucket per uso generico a cui si applica la configurazione della tabella dei metadati è indicato come amzn-s3-demo-bucket. Per utilizzare questa policy, sostituisci user input placeholders con le tue informazioni.

Quando si crea la configurazione della tabella dei metadati, le tabelle dei metadati vengono archiviate in un bucket di tabelle gestito da AWS. Tutte le configurazioni delle tabelle dei metadati presenti nell’account e nella stessa Regione sono archiviate in un unico bucket di tabelle gestito da AWS denominato aws-s3.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PermissionsToWorkWithMetadataTables",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucketMetadataTableConfiguration",
                "s3:GetBucketMetadataTableConfiguration",
                "s3:DeleteBucketMetadataTableConfiguration",
                "s3:UpdateBucketMetadataJournalTableConfiguration",
                "s3:UpdateBucketMetadataInventoryTableConfiguration",
                "s3tables:*",
                "kms:DescribeKey"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*"
            ]
        }
    ]
}

Per eseguire query sulle tabelle dei metadati, è possibile utilizzare la seguente policy di esempio. Se le tabelle dei metadati sono state crittografate con SSE-KMS, è necessaria l’autorizzazione kms:Decrypt come mostrato. Per utilizzare questa policy, sostituisci user input placeholders con le tue informazioni.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "PermissionsToQueryMetadataTables",
            "Effect": "Allow",
            "Action": [
                "s3tables:GetTable",
                "s3tables:GetTableData",
                "s3tables:GetTableMetadataLocation",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3",
                "arn:aws:s3tables:us-east-1:111122223333:bucket/aws-s3/table/*"
            ]
        }
    ]
}