# S3 テーブルバケットのテーブル
S3 テーブルは、基盤となるテーブルデータと関連するメタデータで構成される構造化データセットを表します。このデータは、サブリソースとしてテーブルバケット内に保存されます。テーブルバケット内のすべてのテーブルは、[Apache Iceberg](https://iceberg.apache.org/docs/latest/) テーブル形式で保存されます。Amazon S3 は、自動ファイル圧縮とスナップショット管理を通じてテーブルのメンテナンスを管理します。詳細については、「[テーブルのメンテナンス](s3-tables-maintenance.md)」を参照してください。
アカウント内のテーブルを AWS 分析サービスからアクセスできるようにするには、Amazon S3 テーブルバケットを Amazon SageMaker Lakehouse と統合します。この統合により、Amazon Athena や Amazon Redshift などの AWS 分析サービスがテーブルデータを自動的に検出してアクセスできるようになります。
テーブルを作成すると、Amazon S3 はテーブルのウェアハウスの場所を自動的に生成します。これは、テーブルに関連付けられたオブジェクトを保存する一意の S3 の場所です。次の例は、ウェアハウスの場所の形式を示しています。
```
s3://63a8e430-6e0b-46f5-k833abtwr6s8tmtsycedn8s4yc3xhuse1b--table-s3
```
テーブルバケット内で、テーブルを名前空間と呼ばれる論理グループに整理できます。詳細については、「[テーブル名前空間](s3-tables-namespace.md)」を参照してください。
テーブルの名前は変更できますが、各テーブルには独自の Amazon リソースネーム (ARN) と一意のテーブル ID があります。各テーブルには、リソースポリシーもアタッチされています。このポリシーを使用して、テーブルへのアクセスを管理できます。
テーブル ARN は次の形式を使用します。
```
arn:aws:s3tables:region:owner-account-id:bucket/bucket-name/table/table-id
```
デフォルトでは、テーブルバケットに最大 10,000 個のテーブルを作成できます。テーブルバケットまたはテーブルのクォータ引き上げをリクエストするには、[サポート](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase) にお問い合わせください。
Amazon S3 は、テーブルバケットで次のタイプのテーブルをサポートしています。
**カスタマーテーブル**
カスタマーテーブルは、読み書きできるテーブルです。統合されたクエリエンジンを使用して、これらのテーブルからデータを取得できます。S3 API オペレーションまたは統合クエリエンジンを使用して、それらのデータを挿入、更新、または削除できます。
**AWS テーブル**
AWS テーブルは、ユーザーに代わって AWS のサービスによって生成される読み取り専用テーブルです。これらのテーブルは Amazon S3 によって管理され、Amazon S3 自体の外部にある IAM プリンシパルによって変更することはできません。これらのテーブルから情報を取得することはできますが、その中のデータを変更することはできません。AWS テーブルには S3 メタデータテーブルが含まれており、これには S3 汎用バケット内のオブジェクトからキャプチャされたメタデータが含まれています。詳細については、「[S3 メタデータテーブルを使用したデータの検出](metadata-tables-overview.md)」を参照してください。
**Topics**
+ [Amazon S3 テーブルの作成](s3-tables-create.md)
+ [Amazon S3 テーブルの削除](s3-tables-delete.md)
+ [Amazon S3 テーブルの詳細の表示](s3-tables-table-details.md)
+ [テーブルポリシーの管理](s3-tables-table-policy.md)
+ [S3 テーブルでのタグの使用](table-tagging.md)
# Amazon S3 テーブルの作成
Amazon S3 テーブルはテーブルバケットのサブリソースです。テーブルは Apache Iceberg 形式で保存されるため、Apache Iceberg をサポートするクエリエンジンやその他のアプリケーションを使用して操作できます。Amazon S3 は、テーブルを継続的に最適化して、ストレージコストを削減し、分析クエリのパフォーマンスを向上させます。
テーブルを作成すると、Amazon S3 はテーブルの*ウェアハウスの場所*を自動的に生成します。ウェアハウスの場所は、テーブルに関連付けられたオブジェクトを読み書きできる一意の S3 の場所です。次の例は、ウェアハウスの場所の形式を示しています。
```
s3://63a8e430-6e0b-46f5-k833abtwr6s8tmtsycedn8s4yc3xhuse1b--table-s3
```
テーブルの Amazon リソースネーム (ARN) 形式は次のようになります。
```
arn:aws:s3tables:region:owner-account-id:bucket/bucket-name/table/table-id
```
デフォルトでは、テーブルバケットに最大 10,000 個のテーブルを作成できます。テーブルバケットまたはテーブルのクォータ引き上げをリクエストするには、[サポート](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase) にお問い合わせください。
テーブルを作成するには、Amazon S3 コンソール、Amazon S3 REST API、AWS SDK、AWS Command Line Interface (AWS CLI)、またはテーブルバケットに接続されたクエリエンジンを使用できます。
テーブルの作成時に、テーブルの暗号化設定を指定できます (Athena でテーブルを作成する場合は除きます)。暗号化設定を指定しない場合、テーブルはテーブルバケットのデフォルト設定で暗号化されます。詳細については、「[テーブルの暗号化の指定](s3-tables-kms-specify.md#specify-kms-table)」を参照してください。
**テーブルを作成するための前提条件**
テーブルを作成するには、まず以下の手順を実行する必要があります。
+ [テーブルバケットを作成する](s3-tables-buckets-create.md).
+ テーブルバケット内で [ 名前空間を作成します。](s3-tables-namespace-create.md)。
+ `s3tables:CreateTable` および `s3tables:PutTableData` に対する AWS Identity and Access Management (IAM) アクセス許可があることを確認してください。
+
**注記**
テーブルで SSE-KMS 暗号化を使用する場合は、`s3tables:PutTableEncryption` へのアクセス許可と、選択した AWS KMS キーへの `DescribeKey` アクセス許可が必要です。さらに、使用する AWS KMS キーでは、自動テーブルメンテナンスを実行するアクセス許可を S3 Tables に付与する必要があります。詳細については、[S3 Tables の SSE-KMS 暗号化のアクセス許可要件](s3-tables-kms-permissions.md)を参照してください。
有効なテーブル名については、「[テーブルと名前空間の命名規則](s3-tables-buckets-naming.md#naming-rules-table)」を参照してください。
**重要**
テーブルを作成するときは、テーブル名とテーブル定義にすべて小文字を使用してください。例えば、列名がすべて小文字であることを確認します。テーブル名またはテーブル定義に大文字が含まれている場合、テーブルは AWS Lake Formation または AWS Glue Data Catalog ではサポートされていません。この場合、テーブルバケットが AWS 分析サービスと統合されていても、テーブルは Amazon Athena などの AWS 分析サービスに表示されません。
テーブル定義に大文字が含まれている場合、Athena で `SELECT` クエリを実行すると、次のエラーメッセージが表示されます。「GENERIC\$1INTERNAL\$1ERROR: Get table request failed: com.amazonaws.services.glue.model.ValidationException: Unsupported Federation Resource - Invalid table or column names.」
## S3 コンソールと Amazon Athena の使用
以下の手順では、Amazon S3 コンソールを使用して、Amazon Athena でテーブルを作成します。テーブルバケット内に名前空間をまだ作成していない場合は、このプロセスの間に作成できます。以下の手順を実行する前に、このリージョンでテーブルバケットを AWS 分析サービスと統合していることを確認してください。詳細については、「[Amazon S3 Tables と AWS 分析サービスの統合](s3-tables-integrating-aws.md)」を参照してください。
**注記**
Athena を使用して作成したテーブルは、テーブルバケットからデフォルトの暗号化設定を継承します。別の暗号化タイプを使用する場合は、別の方法でテーブルを作成する必要があります。
**テーブルを作成するには**
1. AWS マネジメントコンソール にサインインし、Amazon S3 コンソール [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) を開きます。
1. 左側のナビゲーションペインで、**[テーブルバケット]** を選択します。
1. **[テーブルバケット]** ページで、テーブルを作成するバケットを選択します。
1. バケットの詳細ページで、**[Athena でテーブルを作成]** を選択します。
1. **[Athena でテーブルを作成]** ダイアログボックスで、次のいずれかを行います。
+ 新しい名前空間を作成します。**[名前空間を作成]** を選択し、**[名前空間名]** フィールドに名前を入力します。名前空間名は 1~255 文字で、テーブルバケット内で一意であることが必要です。有効な文字は a〜z、0〜9、アンダースコア (`_`) です。名前空間名の先頭にアンダースコアを使用することはできません。
+ [**名前空間の作成**] を選択します。
+ 既存の名前空間を指定します。**[このテーブルバケット内の既存の名前空間を指定]** を選択します。次に、**[既存の名前空間から選択]** または **[既存の名前空間名を入力]** のいずれかを選択します。バケット内に 1,000 個を超える名前空間がある場合、リストに表示されない名前空間名は手動で入力する必要があります。
1. **[Athena でテーブルを作成]** を選択します。
1. Amazon Athena コンソールが開き、Athena クエリエディタが表示されます。**[カタログ]** フィールドには、**s3tablescatalog/** の後にテーブルバケットの名前が入力されます (**s3tablescatalog/*amzn-s3-demo-bucket*** など)。**[データベース]** フィールドには、以前に作成または選択した名前空間が入力されます。
**注記**
**[カタログ]** および **[データベース]** フィールドにこれらの値が表示されない場合は、このリージョンでテーブルバケットを AWS 分析サービスと統合していることを確認してください。詳細については、「[Amazon S3 Tables と AWS 分析サービスの統合](s3-tables-integrating-aws.md)」を参照してください。
1. クエリエディタには、テーブルの作成に使用できるサンプルクエリが入力されます。クエリを変更して、テーブル名とテーブルに必要な列を指定します。
1. クエリの変更が完了したら、**[実行]** を選択してテーブルを作成します。
**注記**
Athena でクエリを実行しようとしたときに、クエリを実行するためのアクセス許可が不足しており、プリンシパルは指定されたリソースに対する権限を持っていないという内容のエラーが表示される場合は、テーブルに対する必要な Lake Formation 許可が付与されている必要があります。詳細については、「[テーブルまたはデータベースに対する Lake Formation アクセス許可の付与](grant-permissions-tables.md#grant-lf-table)」を参照してください。
Athena でクエリを実行しようとしたときに、Iceberg はリクエストされたリソースにアクセスできないという内容のエラーが表示される場合は、AWS Lake Formation コンソールに移動し、作成したテーブルバケットカタログとデータベース (名前空間) に対するアクセス許可が自分に付与されていることを確認してください。これらのアクセス許可を付与するときは、テーブルを指定しないでください。詳細については、「[テーブルまたはデータベースに対する Lake Formation アクセス許可の付与](grant-permissions-tables.md#grant-lf-table)」を参照してください。
Athena で `SELECT` クエリを実行するときに次のエラーメッセージが表示される場合、このメッセージはテーブル名またはテーブル定義の列名に大文字が含まれていることが原因です。「GENERIC\$1INTERNAL\$1ERROR: Get table request failed: com.amazonaws.services.glue.model.ValidationException: Unsupported Federation Resource - Invalid table or column names.」 テーブル名と列名がすべて小文字であることを確認します。
テーブルが作成されると、新しいテーブルの名前が Athena のテーブルのリストに表示されます。Amazon S3 コンソールに戻り、テーブルバケットの詳細ページの **[テーブル]** リストを更新すると、新しいテーブルが表示されます。
## AWS CLI を使用する場合
この例では、スキーマを定義したテーブルを作成し、AWS CLI を使用して JSON でテーブルのメタデータを指定する方法を示しています。この例を実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
aws s3tables create-table --cli-input-json file://mytabledefinition.json
```
`mytabledefinition.json` ファイルには、次のテーブル定義の例を使用します。この例を実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
{
"tableBucketARN": "arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket",
"namespace": "your_namespace",
"name": "example_table",
"format": "ICEBERG",
"metadata": {
"iceberg": {
"schema": {
"fields": [
{"name": "id", "type": "int","required": true},
{"name": "name", "type": "string"},
{"name": "value", "type": "int"}
]
}
}
}
}
```
## クエリエンジンの使用
テーブルバケットに接続されたサポートされているクエリエンジンで、例えば Amazon EMR 上の Apache Spark セッションで、テーブルを作成できます。
この例では、`CREATE` ステートメントを使用して Spark でテーブルを作成した後、`INSERT` ステートメントを使用してテーブルデータを追加するか、既存のファイルからテーブルデータを追加する方法を示します。この例を実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
spark.sql(
" CREATE TABLE IF NOT EXISTS s3tablesbucket.example_namespace.`example_table` (
id INT,
name STRING,
value INT
)
USING iceberg "
)
```
テーブルを作成した後、テーブルにデータをロードできます。以下の方法から選択します。
+ `INSERT` ステートメントを使用して、データをテーブルに追加します。
```
spark.sql(
"""
INSERT INTO s3tablesbucket.my_namespace.my_table
VALUES
(1, 'ABC', 100),
(2, 'XYZ', 200)
""")
```
+ 既存のデータファイルを読み込みます。
1. データを Spark に読み取ります。
```
val data_file_location = "Path such as S3 URI to data file"
val data_file = spark.read.parquet(data_file_location)
```
1. データを Iceberg テーブルに書き込みます。
```
data_file.writeTo("s3tablesbucket.my_namespace.my_table").using("Iceberg").tableProperty ("format-version", "2").createOrReplace()
```
# Amazon S3 テーブルの削除
Amazon S3 REST API、AWS SDK、AWS Command Line Interface (AWS CLI) または統合されたクエリエンジンを使用してテーブルを削除できます。
**注記**
S3 Tables は、`purge=false` を指定した `DROP TABLE` オペレーションをサポートしていません。Apache Spark の一部のバージョンでは、`DROP TABLE PURGE` コマンドの実行時でも常にこのフラグが `false` に設定されます。`DROP TABLE` を `purge=true` にして 再試行するか、S3 Tables [https://docs.aws.amazon.com//AmazonS3/latest/API/API_s3TableBuckets_DeleteTable.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_s3TableBuckets_DeleteTable.html) REST API オペレーションを使用してテーブルを削除できます。
**重要**
テーブルを削除するときは、以下について知っておく必要があります。
テーブルの削除は永続的であり、元に戻すことはできません。テーブルを削除する前に、重要なデータがバックアップまたはレプリケーションされていることを確認してください。
テーブルに関連付けられているすべてのデータと設定は完全に削除されます。
## の使用AWS CLI
この例では、AWS CLI を使用してテーブルを削除する方法を示します。このコマンドを使用するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
aws s3tables delete-table \
--table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket \
--namespace example_namespace --name example_table
```
## クエリエンジンの使用
Amazon S3 テーブルバケットに接続された Apache Spark セッションでテーブルを削除できます。
この例では、`DROP TABLE PURGE` コマンドを使用してテーブルを削除する方法を示します。これらのコマンドを使用するには、`user input placeholders` をユーザー自身の情報に置き換えます。
```
spark.sql(
" DROP TABLE [IF EXISTS] s3tablesbucket.example_namespace.example_table PURGE")
```
# Amazon S3 テーブルの詳細の表示
コンソールまたはプログラムで、作成の詳細、形式、タイプなど、テーブルバケット内のテーブルの一般的な詳細を表示できます。S3 Tables REST API AWS CLI または AWS SDK を使用して、テーブルの暗号化設定とメンテナンス設定をプログラムで表示できます。
## テーブル詳細の表示
### AWS CLI を使用する場合
AWS CLI を使用してテーブル詳細を表示する方法は、次の例のとおりです。この例を使用するには、*ユーザー入力プレースホルダー*を独自の情報に置き換えます。
```
aws s3tables get-table --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket --namespace my-namespace --name my-table
```
### S3 コンソールの使用
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. 左側のナビゲーションペインで、**[テーブルバケット]** を選択します。
1. テーブルバケットを選択し、テーブルを選択します。
1. **[プロパティ]** タブを選択します。
1. (オプション) テーブルにアタッチされたアクセス許可ポリシーの詳細については、**[アクセス許可]** を選択します。
## テーブルデータのプレビュー
### S3 コンソールの使用
次の手順を使用して、Amazon S3 コンソールから直接テーブル内のデータをプレビューできます。
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. 左側のナビゲーションペインで、**[テーブルバケット]** を選択します。
1. **[テーブルバケット]** ページで、クエリを実行するテーブルを含むバケットを選択します。
1. プレビューするテーブルを選択し、**[プレビュー]** を選択します。
**注記**
プレビューには、テーブルの最初の 10 行と最大 25 列が表示されます。50 MB を超えるテーブルはプレビューできません。
## 暗号化の詳細
テーブルバケットの暗号化の詳細については、「[テーブルバケットでの AWS KMS キーによるサーバー側の暗号化 (SSE-KMS) の使用](s3-tables-kms-encryption.md)」を参照してください。
### AWS CLI を使用する場合
AWS CLI を使用してテーブルの暗号化設定の詳細を表示する方法は、次の例のとおりです。この例を使用するには、*ユーザー入力プレースホルダー*を独自の情報に置き換えます。
```
aws s3tables get-table-encryption --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket --namespace my-namespace --name my-table
```
## メンテナンスの詳細
メンテナンス設定の詳細については、「[テーブルバケットのメンテナンス](s3-table-buckets-maintenance.md)」を参照してください。
### AWS CLI を使用する場合
AWS CLI を使用してテーブルのメンテナンス設定の詳細を取得する方法は、次の例のとおりです。この例を使用するには、*ユーザー入力プレースホルダー*を独自の情報に置き換えます。
```
aws s3tables get-table-maintenance-configuration --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket --namespace my-namespace --name my-table
```
# テーブルポリシーの管理
Amazon S3 コンソール、Amazon S3 REST API、AWS SDK、AWS CLI を使用して、テーブルのテーブルポリシーを追加、削除、更新、表示できます。詳細については、以下のトピックを参照してください。Amazon S3 Tables でサポートされている AWS Identity and Access Management (IAM) アクションと条件キーの詳細については、「[S3 Tables のアクセス管理](s3-tables-setting-up.md)」を参照してください。テーブルポリシーの例については、「[S3 Tables 用のリソースベースのポリシー](s3-tables-resource-based-policies.md)」を参照してください。
## テーブルポリシーの追加
テーブルポリシーをテーブルに追加するには、Amazon S3 REST API、AWS SDK、AWS CLI を使用できます。
### AWS CLI を使用する場合
この例では、AWS CLI を使用してテーブルにアタッチされたポリシーを表示する方法を示します。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
```
aws s3tables get-table-policy \
--table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-bucket1/table/tableID \
--namespace my-namespace \
--name my-table
```
### S3 コンソールの使用
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. 左側のナビゲーションペインで、**[Amazon S3]** を選択します。
1. **[テーブルバケット]** を選択し、テーブルを含むテーブルバケット名を選択し、そのバケットからテーブルを選択します。
1. **[アクセス許可]** タブを選択します。
1. **[テーブルポリシー]** で **[編集]** を選択します。
1. ポリシーエディタで、ポリシー JSON を入力します。
1. (オプション) **[ポリシーの例]** を選択すると、ニーズに適応できるサンプルポリシーが表示されます。
1. ポリシーを入力したら、**[変更の保存]** を選択します。
## テーブルポリシーの表示
テーブルにアタッチされたバケットポリシーを表示するには、Amazon S3 REST API、AWS SDK、AWS CLI を使用できます。
### AWS CLI を使用する場合
この例では、AWS CLI を使用してテーブルにアタッチされたポリシーを表示する方法を示します。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
```
aws s3tables get-table-policy \
--table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket \
--namespace my-namespace \
--name my-table
```
### S3 コンソールの使用
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. 左側のナビゲーションペインで、**[Amazon S3]** を選択します。
1. **[テーブルバケット]** を選択し、テーブルを含むテーブルバケット名を選択し、そのバケットからテーブルを選択します。
1. **[アクセス許可]** タブを選択します。
## テーブルポリシーの削除
テーブルにアタッチされたポリシーを削除するには、Amazon S3 REST API、AWS SDK、AWS CLI を使用できます。
### AWS CLI を使用する場合
この例では、AWS CLI を使用してテーブルポリシーを削除する方法を示します。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
```
aws s3tables delete-table-policy \
--table-ARN arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket \
--namespace your-namespace \
--name your-table
```
### S3 コンソールの使用
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. 左側のナビゲーションペインで、**[Amazon S3]** を選択します。
1. **[テーブルバケット]** を選択し、テーブルを含むテーブルバケット名を選択し、そのバケットからテーブルを選択します。
1. **[アクセス許可]** タブを選択します。
1. **[テーブルバケットポリシー]** で、**[削除]** を選択します。
# S3 テーブルでのタグの使用
AWS タグは、リソースに関するメタデータを保持するキーと値のペアで、この場合は Amazon S3 テーブルです。S3 テーブルは、作成時にタグ付けしたり、既存のテーブルのタグを管理したりできます。タグに関する一般情報については、「[コスト配分または属性ベースのアクセス制御 (ABAC) のタグ付け](tagging.md)」を参照してください。
**注記**
テーブルでタグを使用することによる追加料金は、標準の S3 API リクエスト料金を超えて発生しません。詳細については、「[Amazon S3 の料金](https://aws.amazon.com/s3/pricing/)」を参照してください。
## テーブルでタグを使用する一般的な方法
S3 テーブルのタグを以下に使用します。
1. **コスト配分** – AWS Billing and Cost Management でテーブルタグ別にストレージコストを追跡します。詳細については、「[Using tags for cost allocation](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-cost-allocation)」を参照してください。
1. **属性ベースのアクセス制御 (ABAC)** – アクセス許可をスケールし、タグに基づいて S3 テーブルへのアクセスを許可します。詳細については、「[Using tags for ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac)」を参照してください。
**注記**
コスト配分とアクセス制御の両方に同じタグを使用できます。
### S3 テーブル向けの ABAC
Amazon S3 テーブルは、タグを使用した属性ベースのアクセス制御 (ABAC) をサポートしています。AWS Organizations、AWS Identity and Access Management (IAM)、S3 テーブルポリシーでタグベースの条件キーを使用します。Amazon S3 の ABAC は複数の AWS アカウントにわたる認可をサポートしています。
IAM ポリシーでは、`s3tables:TableBucketTag/tag-key` 条件キーまたは [AWS グローバル条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys)キー (`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys`) を使用して、テーブルのタグに基づいて S3 テーブルへのアクセスを制御できます。
#### aws:ResourceTag/key-name
この条件キーを使用して、ポリシーで指定したタグキーバリューのペアと、リソースにアタッチされているキーバリューのペアを比較します。例えば、テーブルに値 `Marketing` のタグキー `Department` がある場合にのみ、そのテーブルへのアクセスを許可するように要求することができます。
この条件キーは、Amazon S3 コンソール、AWS コマンドラインインターフェイス (CLI)、S3 API、または AWS SDK を使用して実行されるテーブルアクションに適用されます。
ポリシーの例については「[1.1 - タグを使用してテーブルのオペレーションを制限するためのテーブルポリシー](#example-policy-table-resource-tag)」を参照してください。
その他のポリシー例と詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources)」を参照してください。
**注記**
テーブルに対して実行されるアクションの場合、この条件キーは、テーブルに適用されるタグに作用し、テーブルを含むテーブルバケットに適用されるタグには作用しません。ABAC ポリシーでテーブルアクションを実行するときにテーブルバケットのタグを操作する場合は、代わりに `s3tables:TableBucketTag/tag-key` を使用します。
#### aws:RequestTag/key-name
この条件キーを使用して、リクエストで渡されたタグキーバリューのペアと、ポリシーで指定したタグペアを比較します。例えば、テーブルにタグを付けるリクエストに「`Department`」タグキーが含まれ、「`Accounting`」という値が含まれているかどうかを確認できます。
この条件キーは、タグキーが `TagResource` または `CreateTable` API オペレーションリクエストで渡された場合、Amazon S3 コンソール、AWS コマンドラインインターフェイス (CLI)、または AWS SDK を使用してタグ付きテーブルにタグを付けたり作成したりする場合に適用されます。
ポリシーの例については「[1.2 - 特定のタグを持つテーブルを作成または変更するための IAM ポリシー](#example-policy-table-request-tag)」を参照してください。
その他のポリシーの例と詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[AWS リクエスト時のアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests)」を参照してください。
#### aws:TagKeys
この条件キーを使用して、リクエスト内のタグキーとポリシーで指定したキーを比較し、アクセスが許可されるタグキーを定義します。例えば、`CreateTable` アクション中にタグ付けを許可するには、`s3tables:TagResource` アクションと `s3tables:CreateTable` アクションの両方を許可するポリシーを作成する必要があります。次に、`aws:TagKeys` 条件キーを使用して、`CreateTable` リクエストで特定のタグのみが使用されるように適用できます。
この条件キーは、`TagResource`、`UntagResource` または `CreateTable` API オペレーションでタグキーを渡す場合、AWS コマンドラインインターフェイス (CLI) または AWS SDK を使用してタグを付ける、タグを解除する、またはタグ付きテーブルを作成する場合に適用されます。
ポリシーの例については「[1.3 - タグ付け管理を維持しながら既存のリソースのタグの変更を制御するための IAM ポリシー](#example-policy-table-tag-keys)」を参照してください。
その他のサンプルポリシーおよび詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[タグキーに基づいたアクセス制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys)」を参照してください。
#### s3tables:TableBucketTag/tag-key
この条件キーを使用して、タグを使用してテーブルバケット内の特定のデータに対するアクセス許可を付与します。この条件キーは、ほとんどの場合、すべての S3 テーブルアクションのテーブルバケットに割り当てられたタグに対して動作します。タグを使用してテーブルを作成する場合でも、この条件キーは、そのテーブルを含むテーブルバケットに適用されるタグに対して動作します。例外は次のとおりです。
+ タグを使用してテーブルバケットを作成すると、この条件キーはリクエスト内のタグに対して動作します。
ポリシーの例については「[1.4 - s3tables:TableBucketTag 条件キーを使用する](#example-policy-table-bucket-tag-tables)」を参照してください。
#### テーブルの ABAC ポリシーの例
Amazon S3 テーブルの次の ABAC ポリシーの例を参照してください。
**注記**
プリンシパルタグに基づいて IAM ユーザーと IAM ロールを制限する IAM または S3 Tables リソースベースのポリシーがある場合は、Lake Formation が Amazon S3 データにアクセスするために使用する IAM ロール (LakeFormationDataAccessRole など) に同じプリンシパルタグをアタッチし、このロールに必要なアクセス許可を付与する必要があります。これは、タグベースのアクセスコントロールポリシーが S3 Tables 分析統合で正しく機能するために必要です。
##### 1.1 - タグを使用してテーブルのオペレーションを制限するためのテーブルポリシー
このテーブルポリシーでは、指定された IAM プリンシパル (ユーザーとロール) は、テーブルの `project` タグの値がプリンシパルの `project` タグの値と一致する場合にのみ、`GetTable` アクションを実行できます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGetTable",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3tables:GetTable",
"Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_tab;e",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
##### 1.2 - 特定のタグを持つテーブルを作成または変更するための IAM ポリシー
この IAM ポリシーでは、このポリシーを持つユーザーまたはロールは、テーブルの作成リクエストでタグキー `project` とタグ値 `Trinity` を使用してテーブルにタグを付ける場合にのみ、S3 テーブルを作成できます。また、`TagResource` リクエストにタグのキーと値のペア `project:Trinity` が含まれている限り、既存の S3 テーブルのタグを追加または変更できます。このポリシーは、テーブルまたはそのオブジェクトに対する読み取り、書き込み、または削除のアクセス許可を付与しません。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateTableWithTags",
"Effect": "Allow",
"Action": [
"s3tables:CreateTable",
"s3tables:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
##### 1.3 - タグ付け管理を維持しながら既存のリソースのタグの変更を制御するための IAM ポリシー
この IAM ポリシーでは、IAM プリンシパル (ユーザーまたはロール) は、テーブルの `project` タグの値がプリンシパルの `project` タグの値と一致する場合にのみ、テーブルのタグを変更できます。条件キー `aws:TagKeys` で指定された `project`、`environment`、`owner`、および `cost-center` の 4 つのタグのみが、これらのテーブルに対して許可されます。これにより、タグガバナンスの適用、不正なタグ変更の防止、およびテーブル間でのタグ付けスキーマの一貫性の維持が可能になります。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3tables:TagResource",
"s3tables:UntagResource"
],
"Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_table",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
##### 1.4 - s3tables:TableBucketTag 条件キーを使用する
この IAM ポリシーでは、条件ステートメントは、テーブルバケットにタグキー `Environment` とタグ値 `Production` がある場合にのみ、テーブルバケットのデータへのアクセスを許可します。`s3tables:TableBucketTag/` は、タグに応じてテーブルバケットへのアクセスを制御するだけでなく、親テーブルバケットのタグに基づいてテーブルへのアクセスを制御することができるため、`aws:ResourceTag/` 条件キーとは異なります。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificTables",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*",
"Condition": {
"StringEquals": {
"s3tables:TableBucketTag/Environment": "Production"
}
}
}
]
}
```
## テーブルのタグの管理
Amazon S3コンソール、AWS コマンドラインインターフェイス (CLI)、AWS SDK、または S3 API、[TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)、[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)、[ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html) を使用して、S3 テーブルのタグを追加または管理できます。詳細については、以下を参照してください。
**Topics**
+ [テーブルでタグを使用する一般的な方法](#common-ways-to-use-tags-table)
+ [テーブルのタグの管理](#table-working-with-tags)
+ [タグ付きテーブルの作成](table-create-tag.md)
+ [テーブルへのタグの追加](table-tag-add.md)
+ [テーブルのタグの表示](table-tag-view.md)
+ [テーブルからタグを削除する](table-tag-delete.md)
# タグ付きテーブルの作成
Amazon S3 テーブルは、作成時にタグ付けできます。テーブルでタグを使用することによる追加料金は、標準の S3 API リクエスト料金を超えて発生しません。詳細については、「[Amazon S3 の料金](https://aws.amazon.com/s3/pricing/)」を参照してください。テーブルのタグ付けの詳細については、「[S3 テーブルでのタグの使用](table-tagging.md)」を参照してください。
## アクセス許可
タグ付きテーブルを作成するには、次のアクセス許可が必要です。
+ `s3tables:CreateTable`
+ `s3tables:TagResource`
## エラーのトラブルシューティング
タグ付きテーブルを作成しようとしたときにエラーが発生した場合は、以下を実行できます。
+ テーブルを作成し、それにタグを適用するために必要な [アクセス許可](#table-create-tag-permissions) アクセス許可があることを確認します。
+ 属性ベースのアクセス制御 (ABAC) 条件については、IAM ユーザーポリシーを確認してください。ポリシーでは、特定のタグキーと値のみを使用してテーブルにタグを付ける必要がある場合があります。ABAC およびテーブル ABAC ポリシーの例の詳細については、「[S3 テーブル向けの ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/table-tagging.html#abac-for-tables)」を参照してください。
## Steps
AWS Command Line Interface (AWS CLI)、Amazon S3 Tables REST API、AWS SDK を使用して、タグを適用したテーブルを作成できます。
## REST API の使用
Amazon S3 Tables REST API でのタグ付きテーブル作成のサポートの詳細については、「*Amazon Simple Storage Service API リファレンス*」の次のセクションを参照してください。
+ [CreateTable](https://docs.aws.amazon.com/AmazonS3/latest/API/API_s3Buckets_CreateTable.html)
## の使用AWS CLI
AWS CLI をインストールする方法については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLI のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
以下の CLI の例は、AWS CLI を使用してタグ付きテーブルを作成する方法を示しています。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
テーブルを作成するときは、設定の詳細を指定する必要があります。詳細については、「[Amazon S3 テーブルの作成](s3-tables-create.md)」を参照してください。また、テーブルにテーブル命名規則に従った名前を付ける必要があります。詳細については、「[Amazon S3 テーブルバケット、テーブル、および名前空間の命名規則](s3-tables-buckets-naming.md)」を参照してください。
**リクエスト]**
```
aws --region us-west-2 \
s3tables create-table \
--endpoint https://ufwae60e2k.execute-api.us-west-2.amazonaws.com/personal/ \
--table-bucket-arn arn:aws:s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket
--tags '{"Department":"Engineering"}' \
--name my_table_abc \
--namespace my_namesapce_123a \
--format ICEBERG
```
# テーブルへのタグの追加
Amazon S3 テーブルにタグを追加し、これらのタグを変更できます。テーブルのタグ付けの詳細については、「[S3 テーブルでのタグの使用](table-tagging.md)」を参照してください。
## アクセス許可
テーブルにタグを追加するには、次のアクセス許可が必要です。
+ `s3tables:TagResource`
## エラーのトラブルシューティング
テーブルにタグを追加しようとしたときにエラーが発生した場合は、以下を実行できます。
+ テーブルにタグを追加するために必要な [アクセス許可](#table-tag-add-permissions) があることを確認します。
+ AWS 予約済みプレフィックス `aws:` で始まるタグキーを追加しようとした場合は、タグキーを変更して再試行してください。
+ タグキーは必須です。また、タグキーとタグ値が最大文字長を超えておらず、制限された文字が含まれていないことを確認してください。詳細については、「[コスト配分または属性ベースのアクセス制御 (ABAC) のタグ付け](tagging.md)」を参照してください。
## Steps
Amazon S3 コンソール、AWS コマンドラインインターフェイス (AWS CLI)、Amazon S3 Tables REST API、AWS SDK を使用して、テーブルにタグを追加できます。
## S3 コンソールの使用
Amazon S3 コンソールを使用してテーブルにタグを追加するには。
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) にサインインします。
1. 左側のナビゲーションペインで、**[テーブルバケット]** を選択します。
1. テーブルバケット名を選択します。
1. テーブル名を選択します。
1. **[プロパティ]** タブを選択します。
1. **[タグ]** セクションにスクロールして、**[新しいタグを追加する]** を選択します。
1. **[タグの追加]** ページが開きます。最大 50 個のタグのキーと値のペアを入力できます。
1. 既存のタグとキー名が同じ新しいタグを追加すると、既存のタグの値は新しいタグの値で上書きされます。
1. このページで、既存のタグの値を編集することもできます。
1. タグを追加したら、**[変更の保存]** を選択します。
## REST API の使用
Amazon S3 REST API でのテーブルへのタグの追加のサポートの詳細については、「*Amazon Simple Storage Service API リファレンス*」の次のセクションを参照してください。
+ [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_s3Buckets_TagResource.html)
## の使用AWS CLI
AWS CLI をインストールする方法については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLI のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
以下の CLI の例は、AWS CLI を使用してテーブルにタグを追加する方法を示しています。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
**リクエスト]**
```
aws --region us-west-2 \
s3tables tag-resource \
--resource-arn arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/table/my_example_table \
--tags '{"Department":"engineering"}'
```
# テーブルのタグの表示
Amazon S3 テーブルに適用されているタグを表示または一覧表示できます。タグの詳細については、[S3 テーブルでのタグの使用](table-tagging.md)を参照してください。
## アクセス許可
テーブルに適用されたタグを表示するには、次のアクセス許可が必要です。
+ `s3tables:ListTagsForResource`
## エラーのトラブルシューティング
テーブルのタグを一覧表示または表示しようとしたときにエラーが発生した場合は、以下を実行できます。
+ テーブルのタグを表示または一覧表示するために必要な [アクセス許可](#table-tag-view-permissions) があることを確認します。
## Steps
テーブルに適用されたタグは、Amazon S3 コンソール、AWS Command Line Interface (AWS CLI)、Amazon S3 REST API、および AWS SDK を使用して表示できます。
## S3 コンソールの使用
Amazon S3 コンソールを使用してテーブルに適用されたタグを表示するには。
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) にサインインします。
1. 左側のナビゲーションペインで、**[テーブルバケット]** を選択します。
1. テーブルバケット名を選択します。
1. テーブルバケット内のテーブル名を選択します。
1. **[プロパティ]** タブを選択します。
1. **[タグ]** セクションにスクロールして、テーブルに適用されているすべてのタグを表示します。
1. **[タグ]** セクションには、デフォルトで **[ユーザー定義タグ]** が表示されます。**[AWS 生成タグ]** タブを選択すると、AWS サービスによってテーブルに適用されたタグを表示できます。
## REST API の使用
Amazon S3 REST API でのテーブルに適用されたタグの表示のサポートの詳細については、「*Amazon Simple Storage Service API リファレンス*」の次のセクションを参照してください。
+ [ListTagsforResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_s3Buckets_ListTagsForResource.html)
## の使用AWS CLI
AWS CLI をインストールする方法については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLI のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
次の CLI の例は、テーブルに適用されたタグを表示する方法を示しています。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
**リクエスト]**
```
aws --region us-west-2 \
s3tables list-tags-for-resource \
--resource-arn arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/table/my_example_table
```
# テーブルからタグを削除する
Amazon S3 テーブルからタグを削除できます。テーブルのタグ付けの詳細については、「[S3 テーブルでのタグの使用](table-tagging.md)」を参照してください。
**注記**
タグを削除し、後でコストの追跡やアクセスコントロールに使用されていたことがわかった場合は、そのタグをテーブルに戻すことができます。
## アクセス許可
テーブルからタグを削除するには、次のアクセス許可が必要です。
+ `s3tables:UntagResource`
## エラーのトラブルシューティング
テーブルからタグを削除しようとしたときにエラーが発生した場合は、以下を実行できます。
+ テーブルからタグを削除するために必要な [アクセス許可](#table-tag-delete-permissions) があることを確認します。
## Steps
Amazon S3 コンソール、AWS Command Line Interface (AWS CLI)、Amazon S3 Tables REST API、および AWS SDK を使用してテーブルからタグを削除できます。
## S3 コンソールの使用
Amazon S3 コンソールを使用してテーブルからタグを削除するには。
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) にサインインします。
1. 左側のナビゲーションペインで、**[テーブルバケット]** を選択します。
1. テーブルバケット名を選択します。
1. テーブル名を選択します。
1. **[プロパティ]** タブを選択します。
1. **[タグ]** セクションまでスクロールし、削除するタグの横にあるチェックボックスをオンにします。
1. **[削除]** を選択します。
1. **[ユーザー定義タグを削除]** ポップアップが表示され、選択したタグを削除してよいか確認するように求められます。
1. [**Delete**] を選択して確定します。
## REST API の使用
Amazon S3 REST API でのテーブルからのタグ削除のサポートの詳細については、「*Amazon Simple Storage Service API リファレンス*」の次のセクションを参照してください。
+ [UnTagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_s3Buckets_UntagResource.html)
## の使用AWS CLI
AWS CLI をインストールする方法については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLI のインストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
以下の CLI の例は、AWS CLI を使用してテーブルからタグを削除する方法を示しています。このコマンドを使用する際は、*ユーザー入力用プレースホルダー*を独自の情報に置き換えます。
**リクエスト]**
```
aws --region us-west-2 \
s3tables untag-resource \
--resource-arn arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/table/my_example_table \
--tag-keys '["department"]'
```