Gestione degli accessi per Tabelle S3 - Amazon Simple Storage Service
Risorse Azioni per Tabelle S3Chiavi di condizione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione degli accessi per Tabelle S3

In Tabelle S3 le risorse includono i bucket di tabelle e le tabelle in essi contenute. L'utente root di chi ha creato la risorsa (il proprietario della risorsa) e gli utenti AWS Identity and Access Management (IAM) all'interno di quell'account che dispongono delle autorizzazioni necessarie possono accedere a una risorsa che hanno creato. Account AWS Il proprietario della risorsa specifica gli utenti che possono accedere alla risorsa e le azioni che sono autorizzati a eseguire su di essa. Amazon S3 dispone di diversi strumenti di gestione degli accessi che è possibile utilizzare per concedere ad altri l'accesso alle risorse S3. I seguenti argomenti forniscono una panoramica delle risorse, delle azioni IAM e delle chiavi di condizione per Tabelle S3. Forniscono inoltre esempi di policy basate su risorse e identità per Tabelle S3.

Argomenti

Risorse

Le risorse di Tabelle S3 includono i bucket di tabelle e le tabelle in essi contenute.

  • Bucket di tabelle: i bucket di tabelle sono progettati specificamente per le tabelle e offrono transazioni al secondo (TPS) più elevate e un throughput di query migliore rispetto alle tabelle autogestite nei bucket S3 per uso generico. I bucket di tabelle offrono le stesse caratteristiche di durabilità, disponibilità, scalabilità e prestazioni dei bucket generici di Amazon S3.

  • Tabelle: le tabelle nei bucket di tabelle vengono archiviate in formato Apache Iceberg. È possibile eseguire query su queste tabelle utilizzando SQL standard nei motori di query che supportano Iceberg.

Amazon Resource Names (ARNs) per tabelle e bucket di tabelle contengono lo spazio dei s3tables nomi Regione AWS, l' Account AWS ID e il nome del bucket. Per accedere ed eseguire azioni sulle tabelle e sui bucket di tabelle, è necessario utilizzare i seguenti formati ARN:

  • Formato ARN di tabella:

    arn:aws:s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-bucket/table/demo-tableID

Azioni per Tabelle S3

In una policy basata su identità o una policy basata su risorse, vengono definite le azioni di Tabelle S3 consentite e negate per principali IAM specifici. Le azioni delle tabelle corrispondono alle operazioni API a livello di bucket e tabella. Tutte le azioni fanno parte di uno spazio dei nomi IAM univoco: s3tables.

Quando si utilizza un'azione in una policy, in genere si consente o si nega l'accesso all'operazione API con lo stesso nome. Tuttavia, in alcuni casi, una singola azione controlla l'accesso a più operazioni API. Ad esempio, le azioni s3tables:GetTableData includono le autorizzazioni per le operazioni API GetObject, ListParts e ListMultiparts.

Di seguito sono riportate le azioni supportate per i bucket di tabelle. Puoi specificare le seguenti azioni nell'Actionelemento di una policy IAM o di una policy delle risorse.

Azione Descrizione Livello di accesso Accesso multi-account
s3tables:CreateTableBucket Concede le autorizzazioni per creare un bucket di tabelle Write No
s3tables:GetTableBucket Concede l'autorizzazione per recuperare l'ARN di un bucket di tabelle, il nome del bucket di tabelle e la data di creazione. Write
s3tables:ListTableBuckets Concede l'autorizzazione per elencare tutti i bucket di tabelle in questo account. Read No
s3tables:CreateNamespace Concede l'autorizzazione per creare uno spazio dei nomi in un bucket di tabelle Read
s3tables:GetNamespace Concede l'autorizzazione per recuperare i dettagli dello spazio dei nomi Read
s3tables:ListNamespaces Concede l'autorizzazione per elencare tutti gli spazi dei nomi nel bucket di tabelle. Read
s3tables:DeleteNamespace Concede l'autorizzazione per eliminare uno spazio dei nomi in un bucket di tabelle Write
s3tables:DeleteTableBucket Concede l'autorizzazione per eliminare il bucket Write
s3tables:PutTableBucketPolicy Concede l'autorizzazione per aggiungere o sostituire una policy di bucket Permissions Management No
s3tables:GetTableBucketPolicy Concede l'autorizzazione a recuperare la bucket policy Read No
s3tables:DeleteTableBucketPolicy Concede l'autorizzazione per eliminare la policy del bucket Permissions Management No
s3tables:GetTableBucketMaintenanceConfiguration Concede l'autorizzazione a recuperare la configurazione di manutenzione per un table bucket Read
s3tables:PutTableBucketMaintenanceConfiguration Concede l'autorizzazione per aggiungere o sostituire la configurazione di manutenzione per un bucket di tabelle Write
s3tables:PutTableBucketEncryption Concede l'autorizzazione ad aggiungere o sostituire la configurazione di crittografia per un table bucket Write No
s3tables:GetTableBucketEncryption Concede l'autorizzazione a recuperare la configurazione di crittografia per un table bucket Read No
s3tables:DeleteTableBucketEncryption Concede il permesso di eliminare la configurazione di crittografia per un table bucket Write No

Le seguenti azioni sono supportate per le tabelle:

Azione Descrizione Livello di accesso Accesso multi-account
s3tables:GetTableMaintenanceConfiguration Concede il permesso di recuperare la configurazione di manutenzione per una tabella Read
s3tables:PutTableMaintenanceConfiguration Concede l'autorizzazione per aggiungere o sostituire la configurazione di manutenzione per una tabella Write
s3tables:PutTablePolicy Concede l'autorizzazione per aggiungere o sostituire una policy di tabella Permissions Management No
s3tables:GetTablePolicy Concede il permesso di recuperare la politica della tabella Read No
s3tables:DeleteTablePolicy Concede l'autorizzazione per eliminare la policy della tabella Permissions management No
s3tables:CreateTable Concede l'autorizzazione per creare una tabella in un bucket di tabelle Write
s3tables:GetTable Concede l'autorizzazione per recuperare le informazioni di una tabella Read
s3tables:GetTableMetadataLocation Concede l'autorizzazione per recuperare il puntatore della tabella root (file di metadati) Read
s3tables:ListTables Concede l'autorizzazione per elencare tutte le tabelle in un bucket di tabelle Read
s3tables:RenameTable Concedere l'autorizzazione per modificare il nome di una tabella. Write
s3tables:UpdateTableMetadataLocation Concede l'autorizzazione per aggiornare il puntatore della tabella root (file di metadati) Write
s3tables:GetTableData Concede l'autorizzazione per leggere i metadati della tabella e gli oggetti dati memorizzati nel bucket di tabelle Read
s3tables:PutTableData Concede l'autorizzazione per scrivere i metadati della tabella e gli oggetti dati memorizzati nel bucket di tabelle Write
s3tables:GetTableEncryption Concede il permesso di recuperare le impostazioni di crittografia per una tabella Write No
s3tables:PutTableEncryption Concede il permesso di aggiungere la crittografia a una tabella Write No

Per eseguire azioni di lettura e scrittura a livello di tabella, Tabelle S3 supporta operazioni API Amazon S3 come GetObject e PutObject. La seguente tabella fornisce un elenco di operazioni a livello di oggetto. Quando si concedono autorizzazioni di lettura e scrittura alle tabelle, si utilizzano le azioni seguenti.

Azione Oggetto S3 APIs
s3tables:GetTableData GetObject, ListParts, HeadObject
s3tables:PutTableData PutObject, CreateMultipartUpload, CompleteMultipartUpload, UploadPart, AbortMultipartUpload

Ad esempio, se un utente dispone di autorizzazioni GetTableData, può leggere tutti i file associati alla tabella, come il file di metadati, il manifesto, i file di elenco manifesto e i file di dati Parquet.

Chiavi di condizione per Tabelle S3

Tabelle S3 supporta le chiavi di contesto delle condizioni globali di AWS.

Inoltre, Tabelle S3 definisce le seguenti chiavi di condizione che è possibile utilizzare in una policy di accesso.

Chiave di condizione Descrizione Tipo
s3tables:tableName Filtra l'accesso in base al nome delle tabelle nel bucket di tabelle.

È possibile utilizzare la chiave s3tables:tableName condition per scrivere politiche IAM o table bucket che limitano l'accesso degli utenti o delle applicazioni solo alle tabelle che soddisfano questa condizione di nome.

È importante notare che se si utilizza la chiave di condizione s3tables:tableName per controllare l'accesso, le modifiche al nome delle tabelle potrebbero influire su queste policy.

Valore di esempio: "s3tables:tableName":"department*" 		String
s3tables:namespace

Filtra l'accesso in base agli spazi dei nomi creati nel bucket di tabelle.

È possibile utilizzare la chiave di condizione s3tables:namespace per scrivere policy di IAM, di tabella o di bucket di tabelle che limitano l'accesso di utenti o applicazioni alle tabelle che fanno parte di uno specifico spazio dei nomi. Valore di esempio: "s3tables:namespace":"hr"

È importante notare che se si utilizza la chiave di condizione s3tables:namespace per controllare l'accesso, le modifiche agli spazi dei nomi potrebbero influire su queste policy.

 String
s3tables:SSEAlgorithm

Filtra l'accesso tramite l'algoritmo di crittografia lato server utilizzato per crittografare una tabella.

È possibile utilizzare la chiave s3tables:SSEAlgorithm condition per scrivere policy IAM, table o table bucket che limitano l'accesso di utenti o applicazioni alle tabelle crittografate con un determinato tipo di crittografia. Valore di esempio: "s3tables:SSEAlgorithm":"aws:kms"

È importante notare che se si utilizza la chiave di s3tables:SSEAlgorithm condizione per controllare l'accesso, le modifiche alla crittografia potrebbero influire su queste politiche.

 String
s3tables:KMSKeyArn

Filtra l'accesso tramite la AWS KMS chiave ARN per la chiave utilizzata per crittografare una tabella

Puoi utilizzare la chiave s3tables:KMSKeyArn condition per scrivere policy IAM, table o table bucket che limitano l'accesso di utenti o applicazioni alle tabelle crittografate con una chiave KMS specifica.

È importante notare che se si utilizza la chiave di s3tables:KMSKeyArn condizione per controllare l'accesso, la modifica della chiave KMS potrebbe influire su queste politiche.

 ARN