为配置元数据表设置权限 - Amazon Simple Storage Service

为配置元数据表设置权限

要创建元数据表配置,您必须拥有必要的 AWS Identity and Access Management(IAM)权限,才能创建和管理元数据表配置,以及创建和管理元数据表及存储元数据表的表存储桶。

要创建和管理您的元数据表配置,您必须具有以下权限:

  • s3:CreateBucketMetadataTableConfiguration:此权限可让您为通用存储桶创建元数据表配置。

  • s3:GetBucketMetadataTableConfiguration:此权限可让您检索有关元数据表配置的信息。

  • s3:DeleteBucketMetadataTableConfiguration:此权限可让您删除元数据表配置。

要创建和使用表和表存储桶,您必须具有某些 s3tables 权限。要创建元数据表配置,您至少必须具有以下 s3tables 权限:

  • s3tables:CreateNamespace:此权限可让您在表存储桶中创建命名空间。元数据表使用默认 aws_s3_metadata 命名空间。

  • s3tables:GetTable:此权限可让您检索有关元数据表的信息。

  • s3tables:CreateTable:此权限可让您创建元数据表。

  • s3tables:PutTablePolicy:此权限可让您添加或更新元数据表策略。

有关所有表和表存储桶权限的详细信息,请参阅 S3 表类数据存储服务的访问管理

重要

  • 如果您还想将表存储桶与 AWS 分析服务集成,以便您能够查询元数据表,则需要额外的权限。有关更多信息,请参阅集成 Amazon S3 表类数据存储服务与 AWS 分析服务

  • 如果表存储桶使用具有 AWS Key Management Service(AWS KMS)密钥的服务器端加密(SSE-KMS),则您还需要 kms:GenerateDataKeykms:Decrypt 权限。此外,您需要向 metadata.s3.amazonaws.com.rproxy.govskope.camaintenance.s3tables.amazonaws.com 服务主体授予访问 KMS 密钥的权限。有关更多信息,请参阅 向 S3 元数据服务主体授予使用您的 KMS 密钥的权限

要创建和使用元数据表和表存储桶,可以使用以下示例策略。在本策略中,您要对其应用元数据表配置的通用存储桶称为 amzn-s3-demo-source-bucket。您要在其中存储元数据表的表存储桶称为 amzn-s3-demo-bucket。要使用此策略,请将这些存储桶名称和 user input placeholders 替换为您自己的信息:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"PermissionsToWorkWithMetadataTables",
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucketMetadataTableConfiguration",
            "s3:GetBucketMetadataTableConfiguration",
            "s3:DeleteBucketMetadataTableConfiguration",
            "s3tables:*" 
         ],
         "Resource":[
            "arn:aws:s3:::bucket/amzn-s3-demo-source-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket",
            "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket/table/*"
         ]
       }
    ]
}