Autorizzazioni per l'esportazione delle metriche nelle tabelle S3 Autorizzazioni KMS del bucket S3 Ruolo collegato al servizio per S3 Storage Lens Le migliori pratiche per le autorizzazioni Risoluzione dei problemi relativi alle autorizzazioni Fasi successive

Autorizzazioni per le tabelle S3 Storage Lens

Per lavorare con i dati di S3 Storage Lens esportati in S3 Tables, sono necessarie le autorizzazioni appropriate (IAM). AWS Identity and Access Management Questo argomento tratta le autorizzazioni necessarie per l'esportazione delle metriche e la gestione della crittografia.

Autorizzazioni per l'esportazione delle metriche nelle tabelle S3

Per creare e utilizzare tabelle e bucket da tavolo S3 Storage Lens, devi disporre di determinate autorizzazioni. s3tables Come minimo, per configurare S3 Storage Lens su S3 Tables, devi disporre delle seguenti autorizzazioni: s3tables

s3tables:CreateTableBucket— Questa autorizzazione consente di creare un AWS bucket di tabelle gestito. Tutte le metriche di S3 Storage Lens presenti nel tuo account sono archiviate in un unico AWS table bucket gestito denominato. aws-s3
s3tables:PutTableBucketPolicy— S3 Storage Lens utilizza questa autorizzazione per impostare una policy table bucket che consenta systemtables.s3.amazonaws.com l'accesso al bucket in modo da poter fornire i log.

Importante

Se rimuovi le autorizzazioni per il responsabile del serviziosystemtables.s3.amazonaws.com, S3 Storage Lens non sarà in grado di aggiornare le tabelle S3 con i dati in base alla tua configurazione. Ti consigliamo di aggiungere altre politiche di controllo degli accessi oltre alla politica già fornita, invece di modificare la politica predefinita che viene aggiunta quando viene configurato il table bucket.

Nota

Viene creata una tabella S3 separata per ogni tipo di esportazione delle metriche per ogni configurazione di Storage Lens. Se nella regione sono presenti più configurazioni di Storage Lens, vengono create tabelle separate per configurazioni aggiuntive. Ad esempio, sono disponibili tre tipi di tabelle per il tuo table bucket S3.

Autorizzazioni per le tabelle crittografate KMS AWS

Per impostazione predefinita, tutti i dati nelle tabelle S3, incluse le metriche di S3 Storage Lens, sono crittografati con la crittografia SSE-S3. Puoi scegliere di crittografare il rapporto sulle metriche di Storage Lens con chiavi (SSE-KMS). AWS KMS Se scegli di crittografare i report metrici di S3 Storage Lens con chiavi KMS, devi disporre di autorizzazioni aggiuntive.

L'utente o il ruolo IAM necessita delle seguenti autorizzazioni. Puoi concedere queste autorizzazioni utilizzando la console IAM all'indirizzo. https://console.aws.amazon.com/iam/
- kms:DescribeKeysulla AWS KMS chiave utilizzata

Per quanto riguarda la politica chiave della AWS KMS chiave, sono necessarie le seguenti autorizzazioni. Puoi concedere queste autorizzazioni utilizzando la AWS KMS console in /kms. https://console.aws.amazon.com Per utilizzare questa policy, sostituisci user input placeholders con le tue informazioni.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableSystemTablesKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "systemtables.s3.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "maintenance.s3tables.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
                }
            }
        }
    ]
}

Ruolo collegato al servizio per S3 Storage Lens

S3 Storage Lens utilizza un ruolo collegato al servizio per scrivere metriche su S3 Tables. Questo ruolo viene creato automaticamente quando abiliti l'esportazione di S3 Tables per la prima volta nel tuo account. Il ruolo collegato al servizio dispone delle seguenti autorizzazioni:

s3tables:CreateTable- Per creare tabelle nel table bucket aws-s3
s3tables:PutTableData- Per scrivere i dati delle metriche nelle tabelle
s3tables:GetTable- Per recuperare i metadati delle tabelle

Non è necessario creare o gestire manualmente questo ruolo collegato al servizio. Per ulteriori informazioni sui ruoli collegati al servizio, consulta Utilizzo dei ruoli collegati al servizio nella Guida per l'utente IAM.

Le migliori pratiche per le autorizzazioni

Segui queste best practice per configurare le autorizzazioni per le tabelle di S3 Storage Lens:

Usa il privilegio minimo: concedi solo le autorizzazioni necessarie per attività specifiche. Ad esempio, se gli utenti devono solo interrogare i dati, non concedere le autorizzazioni per modificare le configurazioni di Storage Lens.
Usa i ruoli IAM: utilizza i ruoli IAM anziché le chiavi di accesso a lungo termine per applicazioni e servizi che accedono alle tabelle di S3 Storage Lens.
Abilita AWS CloudTrail: abilita CloudTrail la registrazione per monitorare l'accesso alle tabelle di S3 Storage Lens e tenere traccia delle modifiche alle autorizzazioni.
Usa politiche basate sulle risorse: quando possibile, utilizza politiche basate sulle risorse per controllare l'accesso a tabelle o namespace specifici.
Rivedi regolarmente le autorizzazioni: esamina e verifica periodicamente le politiche IAM e le autorizzazioni di Lake Formation per assicurarti che seguano il principio del privilegio minimo.

Risoluzione dei problemi relativi alle autorizzazioni

Accesso negato quando si abilita l'esportazione di S3 Tables

Problema: ricevi un errore di «accesso negato» quando provi ad abilitare l'esportazione di S3 Tables.

Soluzione: verifica che il tuo utente o ruolo IAM disponga dell's3:PutStorageLensConfigurationautorizzazione e delle autorizzazioni S3 Tables necessarie.

Accesso negato durante l'interrogazione delle tabelle

Problema: ricevi un errore di «accesso negato» quando esegui una query sulle tabelle S3 Storage Lens in Amazon Athena.

Soluzione: verifica che:

L'integrazione di Analytics è abilitata nel aws-s3 table bucket
Le autorizzazioni di Lake Formation sono configurate correttamente
Il tuo utente o ruolo IAM dispone delle autorizzazioni Amazon Athena necessarie

Errori di crittografia KMS

Problema: si ricevono errori relativi a KMS quando si accede alle tabelle crittografate.

Soluzione: verifica che:

La tua policy IAM include le autorizzazioni KMS richieste
La policy chiave KMS concede le autorizzazioni al responsabile del servizio S3 Storage Lens
La chiave KMS si trova nella stessa regione della configurazione di Storage Lens

Fasi successive

Ulteriori informazioni su Impostazione delle autorizzazioni di Amazon S3 Storage Lens
Ulteriori informazioni su Interrogazione dei dati di S3 Storage Lens con strumenti di analisi
Ulteriori informazioni su Utilizzo degli assistenti AI con le tabelle S3 Storage Lens

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Tabelle e schemi S3

Interrogazione con strumenti di analisi