Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione degli accessi per Tabelle S3
In Tabelle S3 le risorse includono i bucket di tabelle e le tabelle in essi contenute. L'utente root di chi ha creato la risorsa (il proprietario della risorsa) e gli utenti AWS Identity and Access Management (IAM) all'interno di quell'account che dispongono delle autorizzazioni necessarie possono accedere a una risorsa da loro creata. Account AWS Il proprietario della risorsa specifica gli utenti che possono accedere alla risorsa e le azioni che sono autorizzati a eseguire su di essa. Amazon S3 dispone di diversi strumenti di gestione degli accessi che è possibile utilizzare per concedere ad altri l'accesso alle risorse S3. Se hai integrato le tabelle con AWS Lake Formation, puoi anche gestire l'accesso dettagliato alle tabelle e ai namespace. I seguenti argomenti forniscono una panoramica delle risorse, delle azioni IAM e delle chiavi di condizione per Tabelle S3. Forniscono inoltre esempi di policy basate su risorse e identità per Tabelle S3.
**Topics**
+ [Resources](#s3-tables-resources)
+ [Azioni per Tabelle S3](#s3-tables-actions)
+ [Chiavi di condizione per Tabelle S3](#s3-tables-conditionkeys)
+ [Policy IAM basate su identità per Tabelle S3](s3-tables-identity-based-policies.md)
+ [Policy basate su risorse per Tabelle S3](s3-tables-resource-based-policies.md)
+ [AWS politiche gestite per S3 Tables](s3-tables-security-iam-awsmanpol.md)
+ [Concessione dell'accesso con la semantica SQL](s3-tables-sql.md)
+ [Gestione dell’accesso a una tabella o a un database con Lake Formation](grant-permissions-tables.md)
## Resources
Le risorse di Tabelle S3 includono i bucket di tabelle e le tabelle in essi contenute.
+ Bucket di tabelle: i bucket di tabelle sono progettati specificamente per le tabelle e offrono transazioni al secondo (TPS) più elevate e un throughput di query migliore rispetto alle tabelle autogestite nei bucket S3 per uso generico. I bucket di tabelle offrono le stesse caratteristiche di durabilità, disponibilità, scalabilità e prestazioni dei bucket generici di Amazon S3.
+ Tabelle: le tabelle nei bucket di tabelle vengono archiviate in formato Apache Iceberg. È possibile eseguire query su queste tabelle utilizzando SQL standard nei motori di query che supportano Iceberg.
Amazon Resource Names (ARNs) per tabelle e bucket di tabelle contengono lo spazio dei `s3tables` nomi Regione AWS, l' Account AWS ID e il nome del bucket. Per accedere ed eseguire azioni sulle tabelle e sui bucket di tabelle, è necessario utilizzare i seguenti formati ARN:
+ Formato ARN di tabella:
`arn:aws:s3tables:{{us-west-2}}:{{111122223333}}:bucket/{{amzn-s3-demo-bucket}}/table/{{demo-tableID}}`
## Azioni per Tabelle S3
In una policy basata su identità o una policy basata su risorse, vengono definite le azioni di Tabelle S3 consentite e negate per principali IAM specifici. Le azioni delle tabelle corrispondono alle operazioni API a livello di bucket e tabella. Tutte le azioni fanno parte di uno spazio dei nomi IAM univoco: `s3tables`.
Quando si utilizza un'azione in una policy, in genere si consente o si nega l'accesso all'operazione API con lo stesso nome. Tuttavia, in alcuni casi, una singola azione controlla l'accesso a più operazioni API. Ad esempio, le azioni `s3tables:GetTableData` includono le autorizzazioni per le operazioni API `GetObject`, `ListParts` e `ListMultiparts`.
Di seguito sono riportate le azioni supportate per i bucket di tabelle. Le seguenti azioni possono essere specificate nell’elemento `Action` di una policy delle risorse o una policy IAM.
| Azione | Description | Livello di accesso | Accesso multi-account |
| --- | --- | --- | --- |
| s3tables:CreateTableBucket | Concede le autorizzazioni per creare un bucket di tabelle | Write | No |
| s3tables:GetTableBucket | Concede l'autorizzazione per recuperare l'ARN di un bucket di tabelle, il nome del bucket di tabelle e la data di creazione. | Write | Sì |
| s3tables:ListTableBuckets | Concede l'autorizzazione per elencare tutti i bucket di tabelle in questo account. | Read | No |
| s3tables:CreateNamespace | Concede l'autorizzazione per creare uno spazio dei nomi in un bucket di tabelle | Write | Sì |
| s3tables:GetNamespace | Concede l'autorizzazione per recuperare i dettagli dello spazio dei nomi | Read | Sì |
| s3tables:ListNamespaces | Concede l'autorizzazione per elencare tutti gli spazi dei nomi nel bucket di tabelle. | Read | Sì |
| s3tables:DeleteNamespace | Concede l'autorizzazione per eliminare uno spazio dei nomi in un bucket di tabelle | Write | Sì |
| s3tables:DeleteTableBucket | Concede l'autorizzazione per eliminare il bucket | Write | Sì |
| s3tables:PutTableBucketPolicy | Concede l'autorizzazione per aggiungere o sostituire una policy di bucket | Permissions Management | No |
| s3tables:GetTableBucketPolicy | Concede l’autorizzazione per recuperare la policy di bucket | Read | No |
| s3tables:DeleteTableBucketPolicy | Concede l'autorizzazione per eliminare la policy del bucket | Permissions Management | No |
| s3tables:GetTableBucketMaintenanceConfiguration | Concede l’autorizzazione per recuperare la configurazione di manutenzione per un bucket di tabelle | Read | Sì |
| s3tables:PutTableBucketMaintenanceConfiguration | Concede l'autorizzazione per aggiungere o sostituire la configurazione di manutenzione per un bucket di tabelle | Write | Sì |
| s3tables:PutTableBucketEncryption | Concede l’autorizzazione per aggiungere o sostituire la configurazione di crittografia per un bucket di tabelle | Write | No |
| s3tables:GetTableBucketEncryption | Concede l’autorizzazione per recuperare la configurazione di crittografia per un bucket di tabelle | Read | No |
| s3tables:DeleteTableBucketEncryption | Concede l’autorizzazione per eliminare la configurazione di crittografia per un bucket di tabelle | Write | No |
Le seguenti azioni sono supportate per le tabelle:
| Azione | Description | Livello di accesso | Accesso multi-account |
| --- | --- | --- | --- |
| s3tables:GetTableMaintenanceConfiguration | Concede l’autorizzazione per recuperare la configurazione di manutenzione per una tabella | Read | Sì |
| s3tables:PutTableMaintenanceConfiguration | Concede l'autorizzazione per aggiungere o sostituire la configurazione di manutenzione per una tabella | Write | Sì |
| s3tables:PutTablePolicy | Concede l'autorizzazione per aggiungere o sostituire una policy di tabella | Permissions Management | No |
| s3tables:GetTablePolicy | Concede l’autorizzazione per recuperare la policy della tabella | Read | No |
| s3tables:DeleteTablePolicy | Concede l'autorizzazione per eliminare la policy della tabella | Permissions management | No |
| s3tables:CreateTable | Concede l'autorizzazione per creare una tabella in un bucket di tabelle | Write | Sì |
| s3tables:GetTable | Concede l'autorizzazione per recuperare le informazioni di una tabella | Read | Sì |
| s3tables:GetTableMetadataLocation | Concede l'autorizzazione per recuperare il puntatore della tabella root (file di metadati) | Read | Sì |
| s3tables:ListTables | Concede l'autorizzazione per elencare tutte le tabelle in un bucket di tabelle | Read | Sì |
| s3tables:RenameTable | Concedere l'autorizzazione per modificare il nome di una tabella. | Write | Sì |
| s3tables:UpdateTableMetadataLocation | Concede l'autorizzazione per aggiornare il puntatore della tabella root (file di metadati) | Write | Sì |
| s3tables:GetTableData | Concede l'autorizzazione per leggere i metadati della tabella e gli oggetti dati memorizzati nel bucket di tabelle | Read | Sì |
| s3tables:PutTableData | Concede l'autorizzazione per scrivere i metadati della tabella e gli oggetti dati memorizzati nel bucket di tabelle | Write | Sì |
| s3tables:GetTableEncryption | Concede l’autorizzazione per recuperare le impostazioni di crittografia per una tabella | Write | No |
| s3tables:PutTableEncryption | Concede l’autorizzazione per aggiungere la crittografia a una tabella | Write | No |
| s3tables:DeleteTable | Concede l’autorizzazione per eliminare una tabella da un bucket di tabelle | Write | Sì |
Per eseguire azioni di lettura e scrittura a livello di tabella, Tabelle S3 supporta operazioni API Amazon S3 come `GetObject` e `PutObject`. La seguente tabella fornisce un elenco di operazioni a livello di oggetto. Quando si concedono autorizzazioni di lettura e scrittura alle tabelle, si utilizzano le azioni seguenti.
| Azione | Oggetto S3 APIs |
| --- | --- |
| s3tables:GetTableData | GetObject, ListParts, HeadObject |
| s3tables:PutTableData | PutObject, CreateMultipartUpload, CompleteMultipartUpload, UploadPart, AbortMultipartUpload |
Ad esempio, se un utente dispone di autorizzazioni `GetTableData`, può leggere tutti i file associati alla tabella, come il file di metadati, il manifesto, i file di elenco manifesto e i file di dati Parquet.
## Chiavi di condizione per Tabelle S3
Tabelle S3 supporta le [chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html).
Inoltre, Tabelle S3 definisce le seguenti chiavi di condizione che è possibile utilizzare in una policy di accesso.
| Chiave di condizione | Description | Tipo |
| --- | --- | --- |
| s3tables:tableName | Filtra l'accesso in base al nome delle tabelle nel bucket di tabelle. È possibile utilizzare la chiave di condizione `s3tables:tableName` per scrivere policy IAM o di bucket di tabelle che limitano l’accesso degli utenti o delle applicazioni solo alle tabelle che soddisfano la condizione del nome.
È importante notare che se si utilizza la chiave di condizione `s3tables:tableName` per controllare l'accesso, le modifiche al nome delle tabelle potrebbero influire su queste policy.Valore di esempio:"s3tables:tableName":"department\*" | String |
| s3tables:namespace | Filtra l'accesso in base agli spazi dei nomi creati nel bucket di tabelle.
È possibile utilizzare la chiave di condizione `s3tables:namespace` per scrivere policy di IAM, di tabella o di bucket di tabelle che limitano l'accesso di utenti o applicazioni alle tabelle che fanno parte di uno specifico spazio dei nomi. *Valore di esempio:* `"s3tables:namespace":"hr" `
È importante notare che se si utilizza la chiave di condizione `s3tables:namespace` per controllare l'accesso, le modifiche agli spazi dei nomi potrebbero influire su queste policy. | String |
| s3tables:SSEAlgorithm | Filtra l’accesso tramite l’algoritmo di crittografia lato server utilizzato per crittografare una tabella.
È possibile utilizzare la chiave di condizione `s3tables:SSEAlgorithm` per scrivere policy di IAM, di tabella o di bucket di tabelle che limitano l’accesso degli utenti o delle applicazioni alle tabelle crittografate con un determinato tipo di crittografia. *Valore di esempio:* `"s3tables:SSEAlgorithm":"aws:kms" `
È importante notare che se si utilizza la chiave di condizione `s3tables:SSEAlgorithm` per controllare l’accesso, le modifiche alla crittografia potrebbero influire su queste policy. | String |
| s3tables:KMSKeyArn | Filtra l'accesso tramite la AWS KMS chiave ARN per la chiave utilizzata per crittografare una tabella
È possibile utilizzare la chiave di condizione `s3tables:KMSKeyArn` per scrivere policy di IAM, di tabella o di bucket di tabelle che limitano l’accesso degli utenti o delle applicazioni alle tabelle crittografate con una chiave KMS specifica.
È importante notare che se si utilizza la chiave di condizione `s3tables:KMSKeyArn` per controllare l’accesso, le modifiche alla chiave KMS potrebbero influire su queste policy. | ARN |