Permissões para exportação de métricas para Tabelas do S3 Permissões do KMS do bucket de tabela do S3 Criar um perfil vinculado ao serviço para a Lente de Armazenamento do S3 Práticas recomendadas para permissões Solução de problemas de permissões Próximas etapas

Permissões para tabelas da Lente de Armazenamento do S3

Para trabalhar com dados da Lente de Armazenamento do S3 exportados para a funcionalidade Tabelas do S3, é necessário ter permissões apropriadas AWS Identity and Access Management (IAM). Este tópico aborda as permissões necessárias para exportar métricas e gerenciar a criptografia.

Permissões para exportação de métricas para Tabelas do S3

Para criar e trabalhar com tabelas e buckets de tabela da Lente de Armazenamento do S3, é necessário ter determinadas permissões s3tables. No mínimo, para configurar a Lente de Armazenamento do S3 para Tabelas do S3, é necessário ter as seguintes permissões s3tables:

s3tables:CreateTableBucket: essa permissão possibilita criar um bucket de tabela gerenciado pela AWS. Todas as métricas da Lente de Armazenamento do S3 em sua conta são armazenadas em um único bucket de tabela gerenciado pela AWS, chamado aws-s3.
s3tables:PutTableBucketPolicy: a Lente de Armazenamento do S3 usa essa permissão para definir uma política de bucket de tabela que permita o acesso de systemtables.s3.amazonaws.com ao bucket para que seja possível entregar logs.

Importante

Se você remover as permissões da entidade principal de serviço systemtables.s3.amazonaws.com, a Lente de Armazenamento do S3 não poderá atualizar as tabelas do S3 com dados baseados em sua configuração. Recomendamos adicionar outras políticas de controle de acesso além da política já fornecida, em vez de editar a política predefinida que é adicionada quando o bucket de tabela é configurado.

nota

Uma tabela do S3 separada para cada tipo de exportação de métrica é criada para cada configuração da Lente de Armazenamento. Se você tiver várias configurações da Lente de Armazenamento na região, tabelas separadas serão criadas para configurações adicionais. Por exemplo, há três tipos de tabela disponíveis para o bucket de tabela do S3.

Permissões para tabelas criptografadas do AWS KMS

Por padrão, todos os dados nas tabelas do S3, inclusive métricas da Lente de Armazenamento do S3, são criptografados com criptografia SSE-S3. Você pode optar por criptografar o relatório de métricas da Lente de Armazenamento com chaves do AWS KMS (SSE-KMS). Se optar por criptografar os relatórios de métricas da Lente de Armazenamento do S3 com chaves do KMS, você precisará de permissões adicionais.

O usuário ou o perfil do IAM precisa das permissões a seguir. É possível conceder essas permissões no console do IAM, em https://console.aws.amazon.com/iam/.
- kms:DescribeKey na chave usada do AWS KMS.

Na política de chave para a chave do AWS KMS, as permissões a seguir são necessárias. É possível conceder essas permissões no console do AWS KMS, em https://console.aws.amazon.com/kms. Para usar essa política, substitua os user input placeholders por suas próprias informações.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableSystemTablesKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "systemtables.s3.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "maintenance.s3tables.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
                }
            }
        }
    ]
}

Criar um perfil vinculado ao serviço para a Lente de Armazenamento do S3

A Lente de Armazenamento do S3 usa um perfil vinculado ao serviço para gravar métricas na funcionalidade Tabelas do S3. Esse perfil é criado automaticamente quando a exportação para Tabelas do S3 é habilitada pela primeira vez em sua conta. O perfil vinculado ao serviço tem as seguintes permissões:

s3tables:CreateTable: para criar tabelas no bucket de tabela aws-s3.
s3tables:PutTableData: para gravar dados de métricas em tabelas.
s3tables:GetTable: para recuperar metadados de tabela.

Não é necessário criar manualmente esse perfil vinculado ao serviço. Para ter mais informações sobre perfis vinculados ao serviço, consulte Criar um perfil vinculado ao serviço no Guia do usuário do IAM.

Práticas recomendadas para permissões

Siga estas práticas recomendadas ao configurar permissões para tabelas da Lente de Armazenamento do S3:

Use o privilégio mínimo: conceda somente as permissões necessárias para tarefas específicas. Por exemplo, se os usuários só precisarem consultar dados, não conceda permissões para modificar as configurações da Lente de Armazenamento.
Use perfis do IAM: use perfis do IAM em vez de chaves de acesso de longo prazo para aplicações e serviços que acessam tabelas da Lente de Armazenamento do S3.
Habilite o AWS CloudTrail: habilite o registro em log do CloudTrail para monitorar o acesso a tabelas da Lente de Armazenamento do S3 e acompanhar as alterações de permissão.
Use políticas baseadas em recursos: quando possível, use políticas baseadas em recursos para controlar o acesso a tabelas ou namespaces específicos.
Analise regularmente as permissões: analise e audite periodicamente as políticas do IAM e as permissões do Lake Formation para garantir que elas sigam o princípio de privilégio mínimo.

Solução de problemas de permissões

Acesso negado ao habilitar a exportação para Tabelas do S3

Problema: você recebe um erro de “acesso negado” ao tentar habilitar a exportação para Tabelas do S3.

Solução: verifique se o usuário ou o perfil do IAM tem a permissão s3:PutStorageLensConfiguration e as permissões necessárias da funcionalidade Tabelas do S3.

Acesso negado ao consultar tabelas

Problema: você recebe um erro de “acesso negado” ao consultar tabelas da Lente de Armazenamento do S3 no Amazon Athena.

Solução: verifique se:

A integração de analytics está habilitada no bucket de tabela aws-s3.
As permissões do Lake Formation estão configuradas corretamente.
O perfil ou usuário do IAM tem as permissões necessárias do Amazon Athena.

Erros de criptografia do KMS

Problema: você recebe erros relacionados ao KMS ao acessar tabelas criptografadas.

Solução: verifique se:

A política do IAM inclui as permissões obrigatórias do KMS.
A política de chaves do KMS concede permissões à entidade principal de serviço da Lente de Armazenamento do S3.
A chave do KMS está na mesma região que sua configuração da Lente de Armazenamento.

Próximas etapas

Saiba mais sobre o Configurar permissões da Lente de Armazenamento do Amazon S3
Saiba mais sobre o Consultar dados da Lente de Armazenamento do S3 com ferramentas de analytics
Saiba mais sobre o Usar assistentes de IA com tabelas da Lente de Armazenamento do S3

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Esquemas de tabelas do S3

Consultar com ferramentas de analytics