メタデータテーブルを設定するためのアクセス許可の設定 - Amazon Simple Storage Service

メタデータテーブルを設定するためのアクセス許可の設定

メタデータテーブル設定を作成するには、メタデータテーブル設定の作成と管理、およびメタデータテーブルとメタデータテーブルが保存されているテーブルバケットの作成と管理の両方に必要な AWS Identity and Access Management (IAM) アクセス許可を持っている必要があります。

メタデータテーブル設定を作成および管理するには、次のアクセス許可が必要です。

  • s3:CreateBucketMetadataTableConfiguration – このアクセス許可により、汎用バケットのメタデータテーブル設定を作成できます。

  • s3:GetBucketMetadataTableConfiguration – このアクセス許可により、メタデータテーブル設定に関する情報を取得できます。

  • s3:DeleteBucketMetadataTableConfiguration – このアクセス許可により、メタデータテーブル設定を削除できます。

テーブルとテーブルバケットを作成して操作するには、特定の s3tables アクセス許可が必要です。メタデータテーブル設定を作成するには、少なくとも次の s3tables アクセス許可が必要です。

  • s3tables:CreateNamespace – このアクセス許可により、テーブルバケットに名前空間を作成できます。メタデータテーブルはデフォルトの aws_s3_metadata 名前空間を使用します。

  • s3tables:GetTable – このアクセス許可により、メタデータテーブルに関する情報を取得できます。

  • s3tables:CreateTable – このアクセス許可により、メタデータテーブルを作成できます。

  • s3tables:PutTablePolicy – このアクセス許可により、メタデータテーブルポリシーを追加または更新できます。

すべてのテーブルとテーブルバケットのアクセス許可の詳細については、「Access management for S3 Tables」を参照してください。

重要

メタデータテーブルをクエリできるようにテーブルバケットを AWS 分析サービスと統合する場合は、追加のアクセス許可が必要です。詳細については、「Integrating Amazon S3 Tables with AWS analytics services」を参照してください。

SSE-KMS のアクセス許可

AWS Key Management Service (AWS KMS) キーによるサーバー側の暗号化 (SSE-KMS) を使用している S3 テーブルバケットまたは S3 テーブルにアクセスするには、追加のアクセス許可を含める必要があります。

  1. ユーザーまたは IAM ロールには以下のアクセス許可が必要です。IAM コンソール (https://console.aws.amazon.com/iam/) を使用してこれらのアクセス許可を付与できます。

    1. テーブル暗号化を設定する s3tables:PutTableEncryption

    2. テーブルバケットの暗号化を設定する s3tables:PutTableBucketEncryption

    3. 使用する AWS KMS キーの kms:DescribeKey

  2. KMS キーのリソースポリシーでは、次のアクセス許可が必要です。KMS コンソール (https://console.aws.amazon.com/kms) を使用してこれらのアクセス許可を付与できます。

    1. metadata.s3.amazonaws.com および maintenance.s3tables.amazonaws.com に対する kms:GenerateDataKey アクセス許可

    2. metadata.s3.amazonaws.com および maintenance.s3tables.amazonaws.com に対する kms:Decrypt アクセス許可

    3. 呼び出しAWS プリンシパルへの kms:DescribeKey アクセス許可

S3 メタデータサービスに必要なアクセス許可の付与の詳細については、「S3 メタデータサービスプリンシパルに KMS キーを使用するアクセス許可を付与する」に関するドキュメントを参照してください。

ポリシーの例

メタデータテーブルとテーブルバケットを作成して操作するには、次のポリシー例を使用できます。このポリシーでは、メタデータテーブル設定を適用する汎用バケットを amzn-s3-demo-source-bucket と呼びます。メタデータテーブルを保存するテーブルバケットは、amzn-s3-demo-bucket と呼ばれます。このポリシーを使用するには、これらのバケット名と user input placeholders をユーザー自身の情報に置き換えます。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"PermissionsToWorkWithMetadataTables",
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucketMetadataTableConfiguration",
            "s3:GetBucketMetadataTableConfiguration",
            "s3:DeleteBucketMetadataTableConfiguration",
            "s3tables:*" 
         ],
         "Resource":[
            "arn:aws:s3:::bucket/amzn-s3-demo-source-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket/table/*"
         ]
       }
    ]
}