# Tabelas em buckets de tabela do S3
Uma tabela do S3 representa um conjunto de dados estruturado que consiste nos dados da tabela subjacente e nos metadados relacionados. Esses dados são armazenados em um bucket de tabela como um sub-recurso. Todas as tabelas em um bucket de tabela são armazenadas no formato de tabela [Apache Iceberg](https://iceberg.apache.org/docs/latest/). O Amazon S3 gerencia a manutenção das tabelas por meio da compactação automática de arquivos e do gerenciamento de snapshots. Para obter mais informações, consulte [Manutenção de tabelas](s3-tables-maintenance.md).
Para tornar as tabelas em uma conta acessíveis pelos serviços de analytics da AWS, integre os buckets de tabela do Amazon S3 ao Amazon SageMaker Lakehouse. Essa integração permite que serviços de analytics da AWS, como o Amazon Athena e o Amazon Redshift, descubram e acessem dados de tabela automaticamente.
Quando você cria uma tabela, o Amazon S3 gera automaticamente um local de warehouse para ela. Trata-se de um local exclusivo do S3 que armazena os objetos associados à tabela. O seguinte exemplo mostra o formato de um local de warehouse:
```
s3://63a8e430-6e0b-46f5-k833abtwr6s8tmtsycedn8s4yc3xhuse1b--table-s3
```
Em um bucket de tabela, você pode organizar as tabelas em agrupamentos lógicos chamados namespaces. Para obter mais informações, consulte [Namespaces de tabela](s3-tables-namespace.md).
Você pode renomear as tabelas, mas cada tabela tem um nome do recurso da Amazon (ARN) exclusivo e um ID de tabela exclusivo. Cada tabela também tem uma política de recursos anexada a ela. Você pode usar essa política para gerenciar o acesso à tabela.
Os ARNs das tabelas usam o seguinte formato:
```
arn:aws:s3tables:region:owner-account-id:bucket/bucket-name/table/table-id
```
Por padrão, você pode criar até 10.000 tabelas em um bucket de tabela. Para solicitar um aumento da cota de tabelas e de buckets de tabela, entre em contato com o [Suporte](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase).
O Amazon S3 oferece suporte aos seguintes tipos de tabelas em buckets de tabela:
**Tabelas de clientes**
As tabelas de cliente são tabelas em que você pode ler e gravar. Você pode recuperar dados dessas tabelas usando mecanismos de consulta integrados. Também pode inserir, atualizar ou excluir dados delas usando operações de API do S3 ou mecanismos de consulta integrados.
**Tabelas da AWS**
As tabelas da AWS são tabelas somente leitura que são geradas por um AWS service (Serviço da AWS) em seu nome. Essas tabelas são gerenciadas pelo Amazon S3 e não podem ser modificadas por nenhuma entidade principal do IAM fora do próprio Amazon S3. Você pode recuperar informações dessas tabelas, mas não pode modificar os dados nelas. As tabelas da AWS incluem tabelas do S3 Metadata, que contêm metadados capturados dos objetos em um bucket de uso geral do S3. Para obter mais informações, consulte [Descobrir seus dados com tabelas do S3 Metadata](metadata-tables-overview.md).
**Topics**
+ [Criar uma tabela do Amazon S3](s3-tables-create.md)
+ [Excluir uma tabela do Amazon S3](s3-tables-delete.md)
+ [Visualizar detalhes sobre uma tabela do Amazon S3](s3-tables-table-details.md)
+ [Gerenciar políticas de tabela](s3-tables-table-policy.md)
+ [Usar tags com tabelas do S3](table-tagging.md)
# Criar uma tabela do Amazon S3
Uma tabela do Amazon S3 é um sub-recurso de um bucket de tabela. As tabelas são armazenadas no formato Apache Iceberg para que você possa trabalhar com elas usando mecanismos de consulta e outras aplicações compatíveis com o Apache Iceberg. O Amazon S3 otimiza continuamente as tabelas para ajudar a reduzir os custos de armazenamento e melhorar a performance das consultas de analytics.
Quando você cria uma tabela, o Amazon S3 gera automaticamente um *local de warehouse* para ela. Um local de warehouse é um local exclusivo do S3 onde é possível ler e gravar objetos associados à tabela. O seguinte exemplo mostra o formato de um local de warehouse:
```
s3://63a8e430-6e0b-46f5-k833abtwr6s8tmtsycedn8s4yc3xhuse1b--table-s3
```
As tabelas têm o seguinte formato de nome do recurso da Amazon (ARN):
```
arn:aws:s3tables:region:owner-account-id:bucket/bucket-name/table/table-id
```
Por padrão, você pode criar até 10.000 tabelas em um bucket de tabela. Para solicitar um aumento da cota de tabelas e de buckets de tabela, entre em contato com o [Suporte](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase).
É possível criar uma tabela usando o console do Amazon S3, a API REST do Amazon S3, os SDKs da AWS, a AWS Command Line Interface (AWS CLI) ou mecanismos de consulta conectados com os buckets de tabela.
Ao criar uma tabela, você pode especificar as respectivas configurações de criptografia, a menos que esteja criando a tabela com o Athena. Se você não especificar as configurações de criptografia, a tabela será criptografada com as configurações padrão do bucket de tabela. Para obter mais informações, consulte [Especificar criptografia para tabelas](s3-tables-kms-specify.md#specify-kms-table).
**Pré-requisitos para a criação de tabelas**
Para criar uma tabela, primeiro é necessário fazer o seguinte:
+ [Criar um bucket de tabela](s3-tables-buckets-create.md).
+ [Crie um namespace ](s3-tables-namespace-create.md) no bucket de tabela.
+ Você deve ter permissões do AWS Identity and Access Management (IAM) para `s3tables:CreateTable` e `s3tables:PutTableData`.
+
**nota**
Se você estiver usando a criptografia SSE-KMS para a tabela, precisará de permissões para `s3tables:PutTableEncryption` e da permissão `DescribeKey` na chave do AWS KMS escolhida. Além disso, a chave AWS KMS que você usa precisa conceder permissão à funcionalidade Tabelas do S3 para que realize a manutenção automática de tabelas. Para obter mais informações, consulte [Requisitos de permissão para criptografia SSE-KMS da funcionalidade Tabelas do S3](s3-tables-kms-permissions.md).
Consulte mais informações sobre nomes válidos de tabela em [Regras de nomenclatura para tabelas e namespaces](s3-tables-buckets-naming.md#naming-rules-table).
**Importante**
Ao criar tabelas, use apenas letras minúsculas nos nomes e nas definições das tabelas. Por exemplo, os nomes das colunas devem estar todos em minúsculas. Se o nome da tabela ou a definição da tabela contiver letras maiúsculas, a tabela não será compatível com o AWS Lake Formation ou o AWS Glue Data Catalog. Nesse caso, a tabela não estará visível para serviços de analytics da AWS, como o Amazon Athena, mesmo que os buckets de tabela estejam integrados aos serviços de analytics da AWS.
Se a definição da tabela contiver letras maiúsculas, você receberá a seguinte mensagem de erro ao executar uma consulta `SELECT` no Athena: “GENERIC\$1INTERNAL\$1ERROR: Get table request failed: com.amazonaws.services.glue.model.ValidationException: Unsupported Federation Resource - Invalid table or column names”.
## Usar o console do S3 e o Amazon Athena
O procedimento a seguir usa o console do Amazon S3 para criar uma tabela com o Amazon Athena. Se ainda não criou um namespace no bucket de tabela, você pode fazer isso como parte desse processo. Antes de realizar as etapas a seguir, integre os buckets de tabela aos serviços de analytics da AWS nessa região. Para obter mais informações, consulte [Integrar a funcionalidade Tabelas do Amazon S3 a serviços de analytics da AWS](s3-tables-integrating-aws.md).
**nota**
Quando você cria uma tabela usando o Athena, ela herda as configurações de criptografia padrão do bucket de tabela. Se você quiser usar um tipo de criptografia diferente, precisará criar a tabela usando outro método.
**Para criar uma tabela do**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Buckets de tabela**.
1. Na página **Buckets de tabela**, escolha o bucket no qual você deseja criar uma tabela.
1. Na página de detalhes do bucket, escolha **Criar tabela com o Athena**.
1. Na caixa de diálogo **Criar tabela com o Athena**, execute um destes procedimentos:
+ Crie um namespace. Escolha **Criar um namespace** e insira um nome no campo **Nome do namespace**. Os nomes de namespace devem ter de 1 a 255 caracteres e ser exclusivos no bucket de tabela. Os caracteres válidos são a–z, 0–9 e sublinhado (`_`). Sublinhados não são permitidos no início dos nomes de namespace.
+ Escolha **Create namespace (Criar namespace)**.
+ Especifique um namespace existente. Escolha **Especificar um namespace existente neste bucket de tabela**. Depois, selecione **Escolher entre namespaces existentes** ou **Inserir um nome de namespace existente**. Se você tiver mais de mil namespaces no bucket e ele não aparecer na lista, será necessário inserir o nome do namespace.
1. Escolha **Criar tabela com o Athena**.
1. O console do Amazon Athena é aberto e o editor de consultas do Athena aparece. O campo **Catálogo** deve ser preenchido com **s3tablescatalog/** seguido do nome do bucket de tabela; por exemplo, **s3tablescatalog/*amzn-s3-demo-bucket***. O campo **Banco de dados** deve ser preenchido com o namespace que você criou ou selecionou anteriormente.
**nota**
Caso não veja esses valores nos campos **Catálogo** e **Banco de dados**, verifique se você integrou os buckets de tabela aos serviços de analytics da AWS nessa região. Para obter mais informações, consulte [Integrar a funcionalidade Tabelas do Amazon S3 a serviços de analytics da AWS](s3-tables-integrating-aws.md).
1. O editor de consultas é preenchido com uma consulta de exemplo que você pode usar para criar uma tabela. Modifique a consulta para especificar o nome da tabela e as colunas que você deseja que a tabela tenha.
1. Quando terminar de modificar a consulta, escolha **Executar** para criar a tabela.
**nota**
Se você receber o erro “Insufficient permissions to execute the query. Principal does not have any privilege on specified resource” ao tentar executar uma consulta no Athena, você deverá receber as permissões necessárias do Lake Formation na tabela. Para obter mais informações, consulte [Conceder permissão ao Lake Formation em uma tabela ou um banco de dados](grant-permissions-tables.md#grant-lf-table).
Se você receber o erro “Iceberg cannot access the requested resource” ao tentar executar uma consulta no Athena, acesse o console do AWS Lake Formation e verifique se você se autoconcedeu permissões no catálogo do bucket de tabela e no banco de dados (namespace) que criou. Não especifique uma tabela ao conceder essas permissões. Para obter mais informações, consulte [Conceder permissão ao Lake Formation em uma tabela ou um banco de dados](grant-permissions-tables.md#grant-lf-table).
Se você receber a seguinte mensagem de erro ao executar uma consulta `SELECT` no Athena, isso significa que o nome da tabela ou os nomes de coluna na definição da tabela contêm letras maiúsculas: “GENERIC\$1INTERNAL\$1ERROR: Get table request failed: com.amazonaws.services.glue.model.ValidationException: Unsupported Federation Resource - Invalid table or column names”. Os nomes de tabela e de coluna devem estar todos em minúsculas.
Se a criação da tabela tiver sido bem-sucedida, o nome da nova tabela aparecerá na lista de tabelas do Athena. Ao voltar para o console do Amazon S3, a nova tabela aparecerá na lista **Tabelas** na página de detalhes do bucket de tabela depois que você atualizar a lista.
## Como usar o AWS CLI
Este exemplo mostra como criar uma tabela com um esquema usando a AWS CLI e especificando os metadados da tabela com JSON. Para usar esse exemplo, substitua os `user input placeholders` por suas próprias informações.
```
aws s3tables create-table --cli-input-json file://mytabledefinition.json
```
Para o arquivo `mytabledefinition.json`, use o exemplo de definição de tabela a seguir. Para usar esse exemplo, substitua os `user input placeholders` por suas próprias informações.
```
{
"tableBucketARN": "arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket",
"namespace": "your_namespace",
"name": "example_table",
"format": "ICEBERG",
"metadata": {
"iceberg": {
"schema": {
"fields": [
{"name": "id", "type": "int","required": true},
{"name": "name", "type": "string"},
{"name": "value", "type": "int"}
]
}
}
}
}
```
## Usando um mecanismo de consulta
É possível criar uma tabela em um mecanismo de consulta compatível conectado aos buckets de tabela, como em uma sessão do Apache Spark no Amazon EMR.
O exemplo a seguir mostra como criar uma tabela com o Spark usando instruções `CREATE` e adicionar dados à tabela usando instruções `INSERT` ou lendo dados de um arquivo existente. Para usar esse exemplo, substitua os `user input placeholders` por suas próprias informações.
```
spark.sql(
" CREATE TABLE IF NOT EXISTS s3tablesbucket.example_namespace.`example_table` (
id INT,
name STRING,
value INT
)
USING iceberg "
)
```
Depois de criar a tabela, você pode carregar dados nela. Escolha entre os seguintes métodos:
+ Adicione dados à tabela usando a instrução `INSERT`.
```
spark.sql(
"""
INSERT INTO s3tablesbucket.my_namespace.my_table
VALUES
(1, 'ABC', 100),
(2, 'XYZ', 200)
""")
```
+ Carregue um arquivo de dados existente.
1. Leia os dados no Spark:
```
val data_file_location = "Path such as S3 URI to data file"
val data_file = spark.read.parquet(data_file_location)
```
1. Grave os dados em uma tabela do Iceberg:
```
data_file.writeTo("s3tablesbucket.my_namespace.my_table").using("Iceberg").tableProperty ("format-version", "2").createOrReplace()
```
# Excluir uma tabela do Amazon S3
Você pode excluir uma tabela usando a API REST do Amazon S3, SDKs da AWS, a AWS Command Line Interface (AWS CLI) ou mecanismos de consulta integrados.
**nota**
A funcionalidade Tabelas do S3 não é compatível com a operação `DROP TABLE` com `purge=false`. Algumas versões do Apache Spark sempre definem esse sinalizador como `false`, mesmo ao executar comandos `DROP TABLE PURGE`. Para excluir uma tabela, você pode tentar usar `DROP TABLE` novamente com `purge=true` ou usar a operação de API REST [https://docs.aws.amazon.com//AmazonS3/latest/API/API_s3TableBuckets_DeleteTable.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_s3TableBuckets_DeleteTable.html) da funcionalidade Tabelas do S3.
**Importante**
Ao excluir uma tabela, você precisa saber o seguinte:
A exclusão de uma tabela é permanente e não pode ser desfeita. Antes de excluir uma tabela, verifique se você fez backup ou replicou todos os dados importantes.
Todos os dados e configurações associados à tabela são perdidos definitivamente.
## Como usar o AWS CLI
Esse exemplo mostra como excluir uma tabela usando a AWS CLI. Para usar esse comando, substitua os `user input placeholders` por suas informações.
```
aws s3tables delete-table \
--table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket \
--namespace example_namespace --name example_table
```
## Usando um mecanismo de consulta
Você pode excluir uma tabela em uma sessão do Apache Spark conectada aos buckets de tabela do Amazon S3.
Esse exemplo mostra como excluir uma tabela usando o comando `DROP TABLE PURGE`. Para usar o comando, substitua os `user input placeholders` por suas próprias informações.
```
spark.sql(
" DROP TABLE [IF EXISTS] s3tablesbucket.example_namespace.example_table PURGE")
```
# Visualizar detalhes sobre uma tabela do Amazon S3
Você pode visualizar detalhes gerais de uma tabela em um bucket de tabela, como detalhes de criação, formato e tipo, no console ou programaticamente. É possível visualizar programaticamente as configurações de criptografia de tabelas e as configurações de manutenção usando a API REST do serviço Tabelas do S3, a AWS CLI ou SDKs da AWS.
## Visualizar detalhes de uma tabela
### Como usar o AWS CLI
Este exemplo mostra como obter detalhes sobre uma tabela usando a AWS CLI. Para usar esse exemplo, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
```
aws s3tables get-table --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket --namespace my-namespace --name my-table
```
### Usar o console do S3
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Buckets de tabela**.
1. Selecione seu bucket de tabela e escolha sua tabela.
1. Escolha a guia **Propriedades**.
1. (Opcional) Para ter informações sobre a política de permissões anexada à tabela, selecione **Permissões**.
## Pré-visualizar dados da tabela
### Usar o console do S3
É possível pré-visualizar os dados da tabela diretamente pelo console do Amazon S3 usando o procedimento a seguir.
1. Abra o console do Amazon S3, em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Buckets de tabela**.
1. Na página **Buckets de tabela**, escolha o bucket que contém a tabela que você deseja consultar.
1. Selecione a tabela que você deseja pré-visualizar e escolha **Prévia**.
**nota**
A prévia mostra as primeiras 10 linhas e até 25 colunas da tabela. Tabelas com mais de 50 MB não podem ser pré-visualizadas.
## Detalhes de criptografia
Para ter mais informações sobre criptografia de buckets de tabela, consulte [Usar a criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS) em buckets de tabela](s3-tables-kms-encryption.md).
### Como usar o AWS CLI
Este exemplo mostra como obter detalhes sobre configurações de criptografia de uma tabela usando a AWS CLI. Para usar esse exemplo, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
```
aws s3tables get-table-encryption --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket --namespace my-namespace --name my-table
```
## Detalhes de manutenção
Para ter mais informações sobre configurações de manutenção, consulte [Manutenção para buckets de tabela](s3-table-buckets-maintenance.md).
### Como usar o AWS CLI
Este exemplo mostra como obter os detalhes sobre a configuração de manutenção de uma tabela usando a AWS CLI. Para usar esse exemplo, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
```
aws s3tables get-table-maintenance-configuration --table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket --namespace my-namespace --name my-table
```
# Gerenciar políticas de tabela
Você pode adicionar, excluir, atualizar e visualizar políticas para tabelas usando o console do Amazon S3, a API REST do Amazon S3, o SDK da AWS e a AWS CLI. Para obter mais informações, consulte os tópicos a seguir. Para ter mais informações sobre as chaves de condição e ações do AWS Identity and Access Management (IAM) compatíveis com a funcionalidade Tabelas do Amazon S3, consulte [Gerenciamento de acesso para a funcionalidade Tabelas do S3](s3-tables-setting-up.md). Para conferir exemplos de políticas de tabela, consulte [Políticas baseadas em recurso para a funcionalidade Tabelas do S3](s3-tables-resource-based-policies.md).
## Adicionar uma política de tabela
Para adicionar uma política de tabela a uma tabela, você pode usar a API REST do Amazon S3, o AWS SDK e a AWS CLI.
### Como usar o AWS CLI
Esse exemplo mostra como visualizar a política que está anexada a uma tabela usando a AWS CLI. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
```
aws s3tables get-table-policy \
--table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-bucket1/table/tableID \
--namespace my-namespace \
--name my-table
```
### Usar o console do S3
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Amazon S3**.
1. Escolha **Buckets de tabela**, selecione o nome do bucket de tabela que contém sua tabela e, em seguida, escolha sua tabela nesse bucket.
1. Escolha a aba **Permissões**.
1. Em **Política de tabela**, escolha **Editar**.
1. No editor de políticas, insira a política JSON.
1. (Opcional) Escolha **Exemplos de política** para ver exemplos de política que você pode adaptar às suas necessidades.
1. Depois de inserir a política, escolha **Salvar alterações**.
## Visualizar uma política de tabela
Para visualizar a política de bucket anexada a uma tabela, você pode usar a API REST do Amazon S3, o AWS SDK e a AWS CLI.
### Como usar o AWS CLI
Esse exemplo mostra como visualizar a política que está anexada a uma tabela usando a AWS CLI. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
```
aws s3tables get-table-policy \
--table-bucket-arn arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket \
--namespace my-namespace \
--name my-table
```
### Usar o console do S3
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Amazon S3**.
1. Escolha **Buckets de tabela**, selecione o nome do bucket de tabela que contém sua tabela e, em seguida, escolha sua tabela nesse bucket.
1. Escolha a aba **Permissões**.
## Excluir uma política de tabela
Para excluir uma política que está anexada a uma tabela, você pode usar a API REST do Amazon S3, o SDK da AWS e a AWS CLI.
### Como usar o AWS CLI
Esse exemplo mostra como excluir uma política de tabela usando a AWS CLI. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
```
aws s3tables delete-table-policy \
--table-ARN arn:aws:s3tables:us-east-1:111122223333:bucket/amzn-s3-demo-table-bucket \
--namespace your-namespace \
--name your-table
```
### Usar o console do S3
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Amazon S3**.
1. Escolha **Buckets de tabela**, selecione o nome do bucket de tabela que contém sua tabela e, em seguida, escolha sua tabela nesse bucket.
1. Escolha a aba **Permissões**.
1. Em **Política de bucket de tabela**, escolha **Excluir**.
# Usar tags com tabelas do S3
Uma tag da AWS é um par de chave-valor que contém metadados sobre recursos, neste caso tabelas do Amazon S3. É possível marcar tabelas do S3 ao criá-las ou gerenciar tags em nas tabelas existentes. Para ter informações gerais sobre tags, consulte [Atribuir tags para alocação de custos ou controle de acesso por atributo (ABAC)](tagging.md).
**nota**
Não há cobrança adicional para usar tags em tabelas além das taxas de solicitação padrão da API do S3. Para obter mais informações, consulte [Preço do Amazon S3](https://aws.amazon.com/s3/pricing/).
## Maneiras comuns de usar tags com tabelas
Use tags em tabelas do S3 para:
1. **Alocação de custos**: acompanhe os custos de armazenamento por tag de tabela no Gerenciamento de Faturamento e Custos da AWS. Para ter mais informações, consulte [Usar tags para alocação de custos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-cost-allocation).
1. **Controle de acesso por atributo (ABAC)**: amplie as permissões de acesso e conceda acesso às tabelas do S3 com base nas respectivas tags. Para ter mais informações, consulte [Using tags for ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).
**nota**
Você pode usar as mesmas tags para alocação de custos e controle de acesso.
### ABAC para tabelas do S3
As tabelas do Amazon S3 permitem o controle de acesso por atributo (ABAC) por meio de tags. Use chaves de condição baseadas em tags em políticas de tabela do S3, de suas organizações na AWS e do AWS Identity and Access Management (IAM). O ABAC no Amazon S3 permite a autorização em várias contas da AWS.
Nas suas políticas do IAM, você pode controlar o acesso às tabelas do S3 com base nas tags da tabela usando a chave de condição `s3tables:TableBucketTag/tag-key` ou as [chaves de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys): `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
#### aws:ResourceTag/key-name
Use essa chave de condição para comparar o par chave-valor da tag especificada na política com o par de chave-valor anexado ao recurso. Por exemplo, é possível exigir que o acesso a uma tabela seja permitido somente se a tabela tiver a chave de tag `Department` com o valor `Marketing`.
Essa chave de condição se aplica às ações de tabela realizadas por meio do console do Amazon S3, da AWS Command Line Interface (CLI), das APIs do S3 ou dos SDKs da AWS.
Para visualizar um exemplo de política, consulte [1.1 Política de tabela para restringir operações na tabela por meio de tags](#example-policy-table-resource-tag).
Para ter mais informações, consulte [Controlar o acesso a recursos da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources) no *Guia do usuário do AWS Identity and Access Management*.
**nota**
Para ações realizadas em tabelas, essa chave de condição atua nas tags aplicadas à tabela e não nas tags aplicadas ao bucket de tabela que contém a tabela. Em vez disso, use a `s3tables:TableBucketTag/tag-key` se quiser que suas políticas de ABAC atuem nas tags do bucket de tabela ao realizar ações de tabela.
#### aws:RequestTag/key-name
Use essa chave de condição para comparar o par de chave-valor da tag que foi transmitido na solicitação com o par de tags especificado na política. Por exemplo, é possível verificar se a solicitação para marcar uma tabela inclui a chave de tag `Department` e se ela tem o valor `Accounting`.
Essa chave de condição se aplica quando as chaves de tag são transmitidas em uma solicitação de operação de API `TagResource` ou `CreateTable` ou ao marcar ou criar uma tabela com tags usando o console do Amazon S3, a AWS Command Line Interface (CLI) ou os SDKs da AWS.
Para visualizar um exemplo de política, consulte [1.2 Política do IAM para criar ou modificar tabelas com tags específicas](#example-policy-table-request-tag).
Para ver exemplos adicionais de política e ter mais informações, consulte [Controlar o acesso durante solicitações da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests) no *Guia do usuário do AWS Identity and Access Management*.
#### aws:TagKeys
Use essa chave de condição para comparar as chaves de tag em uma solicitação com as chaves especificadas na política para definir quais chaves de tag são permitidas para acesso. Por exemplo, para permitir a marcação durante a ação `CreateTable`, é necessário criar uma política que permita as ações `s3tables:CreateTable` e `s3tables:TagResource`. Em seguida, é possível usar a chave de condição `aws:TagKeys` para impor o uso somente de tags específicas na solicitação `CreateTable`.
Essa chave de condição se aplica quando as chaves de tag são transmitidas em uma solicitação de operação de API `TagResource`, `UntagResource` ou `CreateTable` ou ao marcar, desmarcar ou criar uma tabela com tags usando a AWS Command Line Interface (CLI) ou os SDKs da AWS.
Para visualizar um exemplo de política, consulte [1.3 Política do IAM para controlar a modificação de tags em recursos existentes, mantendo a governança de marcação](#example-policy-table-tag-keys).
Para ter mais informações e ver outros exemplos de política, consulte [Controlar o acesso com base em chaves de tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys), no *Guia do usuário do AWS Identity and Access Management*.
#### s3tables:TableBucketTag/tag-key
Use essa chave de condição para conceder permissões a dados específicos em buckets de tabela por meio de tags. Essa chave de condição atua, na maior parte das vezes, nas tags atribuídas ao bucket de tabela para todas as ações de tabela do S3. Mesmo quando você cria uma tabela com tags, essa chave de condição atua nas tags aplicadas ao bucket de tabela que contém essa tabela. As exceções são:
+ Quando você cria um bucket de tabela com tags, essa chave de condição atua nas tags na solicitação.
Para visualizar um exemplo de política, consulte [1.4 Usar a chave de condição s3tables:TableBucketTag](#example-policy-table-bucket-tag-tables).
#### Exemplos de política de ABAC para tabelas
Veja os exemplos de política de ABAC a seguir para tabelas do Amazon S3.
**nota**
Se você tiver uma política baseada em recursos do IAM ou da funcionalidade Tabelas do S3 que restrinja usuários do IAM e perfis do IAM com base em tags de entidade principal, será necessário anexar as mesmas tags de entidade principal ao perfil do IAM que o Lake Formation usa para acessar dados do Amazon S3 (por exemplo, LakeFormationDataAccessRole) e conceder a esse perfil as devidas permissões. Isso é necessário para que a política de controle de acesso baseada em tags funcione corretamente com integração de analytics da funcionalidade Tabelas do S3.
##### 1.1 Política de tabela para restringir operações na tabela por meio de tags
Nessa política de bucket, as entidades principais especificadas do IAM (usuários e perfis) poderão executar a ação `GetTable` somente se o valor da tag `project` da tabela corresponder ao valor da tag `project` da entidade principal.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGetTable",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3tables:GetTable",
"Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_tab;e",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
##### 1.2 Política do IAM para criar ou modificar tabelas com tags específicas
Nessa política do IAM, usuários ou perfis com essa política só poderão criar tabelas do S3 se marcarem a tabela com a chave de tag `project` e o valor de tag `Trinity` na solicitação de criação da tabela. Eles também podem adicionar ou modificar tags em tabelas existentes do S3, desde que a solicitação `TagResource` inclua o par de chave-valor de tag `project:Trinity`. Essa política não concede permissões de leitura, gravação ou exclusão nas tabelas ou nos respectivos objetos.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateTableWithTags",
"Effect": "Allow",
"Action": [
"s3tables:CreateTable",
"s3tables:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
##### 1.3 Política do IAM para controlar a modificação de tags em recursos existentes, mantendo a governança de marcação
Nessa política do IAM, as entidades principais do IAM (usuários e perfis) poderão modificar tags em uma tabela somente se o valor de tag `project` da tabela corresponder ao valor de tag `project` da entidade principal. Somente as quatro tags (`project`, `environment`, `owner` e `cost-center`) especificadas nas chaves de condição `aws:TagKeys` são permitidas para essas tabelas. Isso ajuda a impor a governança de tags, evita modificações não autorizadas nas tags e mantém o esquema de marcação consistente em todas suas tabelas.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3tables:TagResource",
"s3tables:UntagResource"
],
"Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_table",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
##### 1.4 Usar a chave de condição s3tables:TableBucketTag
Nessa política do IAM, a instrução de condição permitirá acesso aos dados do bucket de tabela somente se o bucket tiver a chave de tag `Environment` e o valor de tag `Production`. A `s3tables:TableBucketTag/` é diferente da chave de condição `aws:ResourceTag/` porque, além de controlar o acesso aos buckets de tabela de acordo com as respectivas tags, ela permite controlar o acesso às tabelas com base nas tags do bucket de tabela principal.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificTables",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*",
"Condition": {
"StringEquals": {
"s3tables:TableBucketTag/Environment": "Production"
}
}
}
]
}
```
## Gerenciar tags para tabelas
É possível adicionar ou gerenciar tags para tabelas do S3 usando o console do Amazon S3, a AWS Command Line Interface (CLI), os SDKs da AWS ou as APIs [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html), [UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html) e [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html) do S3. Para obter mais informações, consulte:
**Topics**
+ [Maneiras comuns de usar tags com tabelas](#common-ways-to-use-tags-table)
+ [Gerenciar tags para tabelas](#table-working-with-tags)
+ [Criar tabelas com tags](table-create-tag.md)
+ [Adicionar uma tag a uma tabela](table-tag-add.md)
+ [Visualizar tags de uma tabela](table-tag-view.md)
+ [Excluir uma tag de uma tabela](table-tag-delete.md)
# Criar tabelas com tags
É possível marcar tabelas do Amazon S3 ao criá-las. Não há cobrança adicional para usar tags em tabelas além das taxas de solicitação padrão da API do S3. Para obter mais informações, consulte [Preço do Amazon S3](https://aws.amazon.com/s3/pricing/). Para ter mais informações sobre marcação de tabelas, consulte [Usar tags com tabelas do S3](table-tagging.md).
## Permissões
Para criar uma tabela com tags, é necessário ter as seguintes permissões:
+ `s3tables:CreateTable`
+ `s3tables:TagResource`
## Solucionar de problemas de erros
Se você encontrar um erro ao tentar criar uma tabela com tags, é possível fazer o seguinte:
+ Verifique se você tem as [Permissões](#table-create-tag-permissions) necessárias para criar a tabela e aplicar uma tag a ela.
+ Confira sua política de usuário do IAM para ver se existe alguma condição de controle de acesso por atributo (ABAC). Sua política pode exigir que você marque as tabelas somente com chaves e valores de tag específicos. Para ter mais informações sobre ABAC e exemplos de política de ABAC de tabela, consulte [ABAC para tabelas do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/table-tagging.html#abac-for-tables).
## Etapas
É possível criar uma tabela com tags aplicadas usando a AWS Command Line Interface (AWS CLI), a API REST da funcionalidade Tabelas do Amazon S3 e os SDKs da AWS.
## Uso da API REST
Para ter informações sobre a compatibilidade oferecida pela API REST da funcionalidade Tabelas do Amazon S3 para criar uma tabela com tags, consulte a seguinte seção na *Referência de API do Amazon Simple Storage Service*:
+ [CreateTable](https://docs.aws.amazon.com/AmazonS3/latest/API/API_s3Buckets_CreateTable.html)
## Como usar o AWS CLI
Para instalar a AWS CLI, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) no *Guia do usuário da versão 2 da AWS Command Line Interface*.
O exemplo da CLI a seguir mostra como criar uma tabela com tags usando a AWS CLI. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
Ao criar uma tabela, é necessário fornecer detalhes de configuração. Para obter mais informações, consulte [Criar uma tabela do Amazon S3](s3-tables-create.md). Também é necessário atribuir um nome à tabela que siga a convenção de nomenclatura de tabelas. Para obter mais informações, consulte [Regras de nomenclatura de buckets de tabela, tabelas e namespaces do Amazon S3](s3-tables-buckets-naming.md).
**Solicitação:**
```
aws --region us-west-2 \
s3tables create-table \
--endpoint https://ufwae60e2k.execute-api.us-west-2.amazonaws.com/personal/ \
--table-bucket-arn arn:aws:s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket
--tags '{"Department":"Engineering"}' \
--name my_table_abc \
--namespace my_namesapce_123a \
--format ICEBERG
```
# Adicionar uma tag a uma tabela
É possível adicionar tags às tabelas do Amazon S3 e modificá-las. Para ter mais informações sobre marcação de tabelas, consulte [Usar tags com tabelas do S3](table-tagging.md).
## Permissões
Para adicionar uma tag a uma tabela, é necessário ter a seguinte permissão:
+ `s3tables:TagResource`
## Solucionar de problemas de erros
Se você encontrar um erro ao tentar adicionar uma tag a uma tabela, é possível fazer o seguinte:
+ Verifique se você tem as [Permissões](#table-tag-add-permissions) necessárias para adicionar uma tag a uma tabela.
+ Se você tentou adicionar uma chave de tag que começa com o prefixo reservado `aws:` da AWS, altere-a e tente novamente.
+ A chave de tag é obrigatória. Além disso, a chave e o valor da tag não devem exceder a extensão máxima de caracteres e não devem conter caracteres restritos. Para obter mais informações, consulte [Atribuir tags para alocação de custos ou controle de acesso por atributo (ABAC)](tagging.md).
## Etapas
É possível adicionar tags a tabelas usando o console do Amazon S3, a AWS Command Line Interface (AWS CLI), a API REST da funcionalidade Tabelas do Amazon S3 e SDKs da AWS.
## Usar o console do S3
Adicionar tags a uma tabela usando o console do Amazon S3:
1. Faça login no console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Buckets de tabela**.
1. Escolha o nome do bucket de tabela.
1. Escolha o nome da tabela.
1. Escolha a guia **Properties (Propriedades)**.
1. Role até a seção **Tags** e escolha **Adicionar nova tag**.
1. Isso abre a página **Adicionar tags**. É possível adicionar até cinquenta pares de chave-valor de tag.
1. Se você adicionar uma nova tag com a mesma chave de uma tag existente, o valor da nova sobrescreverá o valor da tag existente.
1. Nessa página, também é possível editar os valor das tags existentes.
1. Depois de adicionar as tags, escolha **Salvar alterações**.
## Uso da API REST
Para ter informações sobre a compatibilidade oferecida pela API REST do Amazon S3 para adicionar tags a uma tabela, consulte a seguinte seção na *Referência de API do Amazon Simple Storage Service*:
+ [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_s3Buckets_TagResource.html)
## Como usar o AWS CLI
Para instalar a AWS CLI, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) no *Guia do usuário da versão 2 da AWS Command Line Interface*.
O exemplo da CLI a seguir mostra como adicionar tags a uma tabela usando a AWS CLI. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
**Solicitação:**
```
aws --region us-west-2 \
s3tables tag-resource \
--resource-arn arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/table/my_example_table \
--tags '{"Department":"engineering"}'
```
# Visualizar tags de uma tabela
É possível visualizar ou listar tags aplicadas às tabela do Amazon S3. Para obter mais informações sobre tags, consulte [Usar tags com tabelas do S3](table-tagging.md).
## Permissões
Para visualizar as tags aplicadas a uma tabela, é necessário ter a seguinte permissão:
+ `s3tables:ListTagsForResource`
## Solucionar de problemas de erros
Se você encontrar um erro ao tentar listar ou visualizar as tags de uma tabela, é possível fazer o seguinte:
+ Verifique se você tem as [Permissões](#table-tag-view-permissions) necessárias para visualizar ou listar as tags da tabela.
## Etapas
É possível visualizar as tags aplicadas a tabelas usando o console do Amazon S3, a AWS Command Line Interface (AWS CLI), a API REST do Amazon S3 e SDKs da AWS.
## Usar o console do S3
Para adicionar as tags aplicadas a uma tabela usando o console do Amazon S3:
1. Faça login no console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Buckets de tabela**.
1. Escolha o nome do bucket de tabela.
1. Escolha o nome da tabela no bucket de tabela.
1. Escolha a guia **Properties (Propriedades)**.
1. Role até a seção **Tags** para visualizar todas as tags aplicadas à tabela.
1. Por padrão, a seção **Tags** mostra as **tags definidas elo usuário**. Você pode selecionar a guia **Tags geradas pela AWS** para visualizar as tags aplicadas pelos serviços da AWS à sua tabela.
## Uso da API REST
Para ter informações sobre a compatibilidade oferecida pela API REST do Amazon S3 para visualizar as tags aplicadas a uma tabela, consulte a seguinte seção na *Referência de API do Amazon Simple Storage Service*:
+ [ListTagsforResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_s3Buckets_ListTagsForResource.html)
## Como usar o AWS CLI
Para instalar a AWS CLI, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) no *Guia do usuário da versão 2 da AWS Command Line Interface*.
O exemplo de CLI a seguir mostra como visualizar as tags aplicadas a uma tabela. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
**Solicitação:**
```
aws --region us-west-2 \
s3tables list-tags-for-resource \
--resource-arn arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/table/my_example_table
```
# Excluir uma tag de uma tabela
É possível remover tags de tabelas do Amazon S3. Para ter mais informações sobre marcação de tabelas, consulte [Usar tags com tabelas do S3](table-tagging.md).
**nota**
Se você excluir uma tag e depois descobrir que ela estava sendo usada para monitorar custos ou controlar o acesso, poderá adicionar a tag novamente à tabela.
## Permissões
Para excluir uma tag de uma tabela, é necessário ter a seguinte permissão:
+ `s3tables:UntagResource`
## Solucionar de problemas de erros
Se você encontrar um erro ao tentar excluir uma tag de uma tabela, é possível fazer o seguinte:
+ Verifique se você tem as [Permissões](#table-tag-delete-permissions) necessárias para excluir uma tag de uma tabela.
## Etapas
É possível excluir tags de tabelas de tabela usando o console do Amazon S3, a AWS Command Line Interface (AWS CLI), a API REST da funcionalidade Tabelas do Amazon S3 e SDKs da AWS.
## Usar o console do S3
Para excluir tags de uma tabela usando o console do Amazon S3:
1. Faça login no console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Buckets de tabela**.
1. Escolha o nome do bucket de tabela.
1. Escolha o nome da tabela.
1. Escolha a guia **Properties (Propriedades)**.
1. Role até a seção **Tags** e marque a caixa de seleção ao lado das tags que você gostaria de excluir.
1. Escolha **Excluir**.
1. O pop-up **Excluir etiquetas definidas pelo usuário** é exibido e solicita que você confirme a exclusão das tags selecionadas.
1. Escolha **Delete** para confirmar.
## Uso da API REST
Para ter informações sobre a compatibilidade oferecida pela API REST do Amazon S3 para excluir tags de uma tabela, consulte a seguinte seção na *Referência de API do Amazon Simple Storage Service*:
+ [UnTagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_s3Buckets_UntagResource.html)
## Como usar o AWS CLI
Para instalar a AWS CLI, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) no *Guia do usuário da versão 2 da AWS Command Line Interface*.
O exemplo da CLI a seguir mostra como excluir tags de uma tabela usando a AWS CLI. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
**Solicitação:**
```
aws --region us-west-2 \
s3tables untag-resource \
--resource-arn arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/table/my_example_table \
--tag-keys '["department"]'
```