Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usare i tag con le tabelle S3
Un AWS tag è una coppia chiave-valore che contiene i metadati relativi alle risorse, in questo caso le tabelle Amazon S3. Puoi taggare le tabelle S3 quando le crei o gestire i tag su tabelle esistenti. Per informazioni generali sui tag, consulta Tagging per l’allocazione dei costi o il controllo degli accessi basato su attributi (ABAC).
Nota
Non sono previsti costi aggiuntivi per l'utilizzo dei tag sulle tabelle oltre alle tariffe di richiesta API S3 standard. Per ulteriori informazioni, consulta Prezzi di Amazon S3
Metodi comuni per utilizzare i tag con le tabelle
Usa i tag sulle tue tabelle S3 per:
-
Allocazione dei costi: monitora i costi di archiviazione in base ai tag inseriti nella tabella. AWS Billing and Cost Management Per ulteriori informazioni, consultare Utilizzo dei tag per l’allocazione dei costi.
-
Controllo degli accessi basato sugli attributi (ABAC): ridimensiona le autorizzazioni di accesso e concedi l'accesso alle tabelle S3 in base ai relativi tag. Per ulteriori informazioni, consulta Utilizzo dei tag per ABAC.
Nota
È possibile utilizzare gli stessi tag sia per l’allocazione dei costi che per il controllo degli accessi.
ABAC per tabelle S3
Le tabelle Amazon S3 supportano il controllo degli accessi basato sugli attributi (ABAC) tramite tag. Utilizza chiavi di condizione basate su tag nelle politiche AWS aziendali, AWS Identity and Access Management (IAM) e nelle tabelle S3. ABAC in Amazon S3 supporta l'autorizzazione su più AWS account.
Nelle tue policy IAM, puoi controllare l'accesso alle tabelle S3 in base ai tag della tabella utilizzando la chiave di s3tables:TableBucketTag/tag-key condizione o le chiavi di condizione AWS globali:aws:ResourceTag/key-name,, aws:RequestTag/key-name oppure. aws:TagKeys
aws: /nome-chiave ResourceTag
Utilizza questa chiave di condizione per confrontare la coppia chiave-valore del tag specificata nella politica con la coppia chiave-valore associata alla risorsa. Ad esempio, potresti richiedere che l'accesso a una tabella sia consentito solo se la tabella ha la chiave Department del tag con il valore. Marketing
Questa chiave di condizione si applica alle azioni della tabella eseguite utilizzando la console Amazon S3, l'interfaccia a riga di AWS comando (CLI), S3 APIs o,. AWS SDKs
Per un esempio di policy, consulta 1.1 - politica delle tabelle per limitare le operazioni sulla tabella utilizzando i tag.
Per ulteriori esempi di policy e ulteriori informazioni, consulta Controlling access to AWS resources nella Guida per l'AWS Identity and Access Management utente.
Nota
Per le azioni eseguite sulle tabelle, questa chiave di condizione agisce sui tag applicati alla tabella e non sui tag applicati al bucket di tabella contenente la tabella. Utilizza s3tables:TableBucketTag/tag-key invece il se desideri che le tue politiche ABAC agiscano sui tag del bucket della tabella quando esegui azioni relative alla tabella.
aws: /nome-chiave RequestTag
Utilizza questa chiave di condizione per confrontare la coppia chiave-valore del tag che è stata passata nella richiesta con la coppia di tag specificata nella politica. Ad esempio, puoi verificare se la richiesta di taggare una tabella include la chiave del tag Department e se ha il valore. Accounting
Questa chiave di condizione si applica quando le chiavi dei tag vengono passate in una richiesta operativa TagResource o CreateTable API o quando si tagga o si crea una tabella con tag utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI) o il. AWS SDKs
Per un esempio di policy, consulta 1.2 - Politica IAM per creare o modificare tabelle con tag specifici.
Per ulteriori esempi di policy e ulteriori informazioni, consulta Controllare l'accesso durante AWS le richieste nella Guida per l'AWS Identity and Access Management utente.
leggi: TagKeys
Usa questa chiave di condizione per confrontare le chiavi dei tag in una richiesta con le chiavi specificate nella politica per definire a quali tag è consentito l'accesso. Ad esempio, per consentire l'aggiunta di tag durante l'CreateTableazione, è necessario creare una politica che consenta sia s3tables:CreateTable le azioni che les3tables:TagResource. È quindi possibile utilizzare la chiave aws:TagKeys condition per far sì che nella richiesta vengano utilizzati solo tag specifici. CreateTable
Questa chiave di condizione si applica quando le chiavi dei tag vengono passate in operazioni CreateTable API o quando si tagga, si rimuove o si crea una tabella con tag utilizzando l'interfaccia CLI ( AWS Command Line Interface) o il. TagResource UntagResource AWS SDKs
Per un esempio di policy, consulta 1.3 - Politica IAM per controllare la modifica dei tag sulle risorse esistenti, mantenendo la governance dei tag.
Per ulteriori esempi di policy e ulteriori informazioni, consulta Controlling access based on tag keys nella Guida per l'utente.AWS Identity and Access Management
s3tables: /tag-key TableBucketTag
Usa questa chiave di condizione per concedere autorizzazioni a dati specifici nei bucket di tabelle utilizzando i tag. Questa chiave condizionale agisce, principalmente, sui tag assegnati al bucket di tabella per tutte le azioni delle tabelle S3. Anche quando crei una tabella con tag, questa chiave di condizione agisce sui tag applicati al bucket di tabella che contiene quella tabella. Le eccezioni sono:
Quando crei un bucket da tabella con tag, questa chiave di condizione agisce sui tag della richiesta.
Per un esempio di policy, consulta 1.4 - Utilizzo di s3tables: chiave di condizione TableBucketTag .
Esempi di politiche ABAC per le tabelle
Vedi i seguenti esempi di politiche ABAC per le tabelle Amazon S3.
Nota
Se disponi di una policy basata sulle risorse IAM o S3 Tables che limita gli utenti IAM e i ruoli IAM in base ai tag principali, devi associare gli stessi tag principali al ruolo IAM utilizzato da Lake Formation per accedere ai tuoi dati Amazon S3 (ad esempio LakeFormationDataAccessRole) e concedere a questo ruolo le autorizzazioni necessarie. Ciò è necessario affinché la politica di controllo degli accessi basata su tag funzioni correttamente con l'integrazione dell'analisi di S3 Tables.
1.1 - politica delle tabelle per limitare le operazioni sulla tabella utilizzando i tag
In questa politica della tabella, i principali IAM specificati (utenti e ruoli) possono eseguire l'GetTableazione solo se il valore del project tag della tabella corrisponde al valore del project tag del principale.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGetTable", "Effect": "Allow", "Principal": { "AWS": "111122223333" }, "Action": "s3tables:GetTable", "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_tab;e", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" } } } ] }
1.2 - Politica IAM per creare o modificare tabelle con tag specifici
In questa policy IAM, gli utenti o i ruoli con questa policy possono creare tabelle S3 solo se etichettano la tabella con la chiave del tag project e il valore del tag Trinity nella richiesta di creazione della tabella. Possono anche aggiungere o modificare tag su tabelle S3 esistenti purché la TagResource richiesta includa la coppia chiave-valore del tag. project:Trinity Questa politica non concede autorizzazioni di lettura, scrittura o eliminazione sulle tabelle o sui relativi oggetti.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateTableWithTags", "Effect": "Allow", "Action": [ "s3tables:CreateTable", "s3tables:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/project": [ "Trinity" ] } } } ] }
1.3 - Politica IAM per controllare la modifica dei tag sulle risorse esistenti, mantenendo la governance dei tag
In questa politica IAM, i responsabili IAM (utenti o ruoli) possono modificare i tag su una tabella solo se il valore del project tag della tabella corrisponde al valore del tag del project principale. Solo i quattro tag project e quelli cost-center specificati nelle chiavi di aws:TagKeys condizione sono consentiti per queste tabelle. environment owner Questo aiuta a far rispettare la governance dei tag, impedisce modifiche non autorizzate dei tag e mantiene lo schema di tagging coerente tra le tabelle.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceTaggingRulesOnModification", "Effect": "Allow", "Action": [ "s3tables:TagResource", "s3tables:UntagResource" ], "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_table", "Condition": { "StringEquals": { "aws:ResourceTag/project": "${aws:PrincipalTag/project}" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "project", "environment", "owner", "cost-center" ] } } } ] }
1.4 - Utilizzo di s3tables: chiave di condizione TableBucketTag
In questa policy IAM, l'istruzione condition consente l'accesso ai dati del bucket di tabella solo se il bucket di tabella ha la chiave Environment e il valore del tag. Production s3tables:TableBucketTag/<tag-key>Si differenzia dalla chiave di aws:ResourceTag/<tag-key> condizione perché, oltre a controllare l'accesso ai bucket di tabella in base ai relativi tag, consente di controllare l'accesso alle tabelle in base ai tag del bucket di tabella principale.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToSpecificTables", "Effect": "Allow", "Action": "*", "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*", "Condition": { "StringEquals": { "s3tables:TableBucketTag/Environment": "Production" } } } ] }
Gestione dei tag per le tabelle
Puoi aggiungere o gestire tag per le tabelle S3 utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI), AWS SDKs o utilizzando APIs TagResourceS3:, e. UntagResourceListTagsForResource Per ulteriori informazioni, consulta:
Argomenti
