메타데이터 테이블 구성에 대한 권한 설정 - Amazon Simple Storage Service

메타데이터 테이블 구성에 대한 권한 설정

메타데이터 테이블 구성을 생성하려면 메타데이터 테이블 구성을 생성 및 관리하고 메타데이터 테이블과 메타데이터 테이블이 저장되는 테이블 버킷을 생성 및 관리하는 데 필요한 AWS Identity and Access Management(IAM) 권한이 있어야 합니다.

메타데이터 테이블 구성을 생성하고 관리하려면 다음 권한이 있어야 합니다.

  • s3:CreateBucketMetadataTableConfiguration - 이 권한을 사용하면 범용 버킷에 대한 메타데이터 테이블 구성을 생성할 수 있습니다.

  • s3:GetBucketMetadataTableConfiguration - 이 권한을 사용하면 메타데이터 테이블 구성에 대한 정보를 검색할 수 있습니다.

  • s3:DeleteBucketMetadataTableConfiguration - 이 권한을 사용하면 메타데이터 테이블 구성을 삭제할 수 있습니다.

테이블 및 테이블 버킷을 생성하고 작업하려면 특정 s3tables 권한이 있어야 합니다. 메타데이터 테이블 구성을 생성하려면 최소한 다음 s3tables 권한이 있어야 합니다.

  • s3tables:CreateNamespace - 이 권한을 사용하면 테이블 버킷에 네임스페이스를 생성할 수 있습니다. 메타데이터 테이블은 기본 aws_s3_metadata 네임스페이스를 사용합니다.

  • s3tables:GetTable - 이 권한을 사용하면 메타데이터 테이블에 대한 정보를 검색할 수 있습니다.

  • s3tables:CreateTable - 이 권한을 사용하면 메타데이터 테이블을 생성할 수 있습니다.

  • s3tables:PutTablePolicy - 이 권한을 사용하면 메타데이터 테이블 정책을 추가하거나 업데이트할 수 있습니다.

모든 테이블 및 테이블 버킷 권한에 대한 자세한 내용은 Access management for S3 Tables을 참조하세요.

중요

또한 메타데이터 테이블을 쿼리할 수 있도록 테이블 버킷을 AWS 분석 서비스와 통합하려면 추가 권한이 필요합니다. 자세한 내용은 Integrating Amazon S3 Tables with AWS analytics services를 참조하세요.

SSE-KMS에 대한 권한

AWS Key Management Service(AWS KMS) 키를 통한 서버 측 암호화(SSE-KMS)를 사용하는 S3 테이블 버킷 또는 S3 테이블에 액세스하려면 추가 권한을 포함해야 합니다.

  1. 사용자 또는 IAM 역할에 다음 권한이 필요합니다. IAM 콘솔(https://console.aws.amazon.com/iam/)을 사용해 이러한 권한을 부여할 수 있습니다.

    1. 테이블 암호화 구성: s3tables:PutTableEncryption

    2. 테이블 버킷 암호화 구성: s3tables:PutTableBucketEncryption

    3. 사용된 AWS KMS 키의 kms:DescribeKey

  2. KMS 키에 대한 리소스 정책에는 다음 권한이 필요합니다. KMS 콘솔(https://console.aws.amazon.com/kms)을 사용하여 이러한 권한을 부여할 수 있습니다.

    1. metadata.s3.amazonaws.com.rproxy.govskope.camaintenance.s3tables.amazonaws.com에 대한 kms:GenerateDataKey 권한

    2. metadata.s3.amazonaws.com.rproxy.govskope.camaintenance.s3tables.amazonaws.com에 대한 kms:Decrypt 권한

    3. AWS 위탁자 간접 호출에 대한 kms:DescribeKey 권한

S3 메타데이터 서비스에 필요한 권한을 부여하는 방법에 대한 자세한 내용은 Granting the S3 Metadata service principal permissions to use your KMS key에 대한 설명을 참조하세요.

예제 정책

메타데이터 테이블 및 테이블 버킷을 생성하고 작업하려면 다음 예시 정책을 사용할 수 있습니다. 이 정책에서는 메타데이터 테이블 구성을 적용하는 범용 버킷을 amzn-s3-demo-source-bucket이라고 합니다. 메타데이터 테이블을 저장하는 테이블 버킷을 amzn-s3-demo-bucket이라고 합니다. 이 정책을 사용하려면 두 버킷 이름과 user input placeholders를 실제 정보로 대체하세요.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"PermissionsToWorkWithMetadataTables",
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucketMetadataTableConfiguration",
            "s3:GetBucketMetadataTableConfiguration",
            "s3:DeleteBucketMetadataTableConfiguration",
            "s3tables:*" 
         ],
         "Resource":[
            "arn:aws:s3:::bucket/amzn-s3-demo-source-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket/table/*"
         ]
       }
    ]
}