Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Berechtigungen für S3 Storage Lens-Tabellen
Um mit in S3-Tabellen exportierten S3 Storage Lens-Daten arbeiten zu können, benötigen Sie entsprechende AWS Identity and Access Management (IAM-) Berechtigungen. In diesem Thema werden die Berechtigungen behandelt, die für den Export von Metriken und die Verwaltung der Verschlüsselung erforderlich sind.
## Berechtigungen für den Export von Metriken in S3-Tabellen
Um S3 Storage Lens-Tabellen und -Tabellen-Buckets zu erstellen und damit zu arbeiten, benötigen Sie bestimmte `s3tables` Berechtigungen. Um S3 Storage Lens für S3 Tables zu konfigurieren, benötigen Sie mindestens die folgenden `s3tables` Berechtigungen:
+ `s3tables:CreateTableBucket`— Mit dieser Berechtigung können Sie einen mit AWS-verwalteten Tabellen Bucket erstellen. Alle S3 Storage Lens-Metriken in Ihrem Konto werden in einem einzigen AWS verwalteten Tabellen-Bucket mit dem Namen gespeichert. `aws-s3`
+ `s3tables:PutTableBucketPolicy`— S3 Storage Lens verwendet diese Berechtigung, um eine Tabellen-Bucket-Richtlinie festzulegen, die den `systemtables.s3.amazonaws.com` Zugriff auf den Bucket ermöglicht, sodass Logs übermittelt werden können.
**Wichtig**
Wenn Sie die Berechtigungen für den Service Principal entfernen`systemtables.s3.amazonaws.com`, kann S3 Storage Lens die S3-Tabellen nicht mit Daten aktualisieren, die auf Ihrer Konfiguration basieren. Wir empfehlen, zusätzlich zu der bereits bereitgestellten Richtlinie weitere Zugriffskontrollrichtlinien hinzuzufügen, anstatt die vorgefertigte Richtlinie zu bearbeiten, die bei der Einrichtung Ihres Table-Buckets hinzugefügt wird.
**Anmerkung**
Für jede Storage Lens-Konfiguration wird für jede Art von Metrikexport eine separate S3-Tabelle erstellt. Wenn Sie mehrere Storage Lens-Konfigurationen in der Region haben, werden separate Tabellen für zusätzliche Konfigurationen erstellt. Für Ihren S3-Tabellen-Bucket sind beispielsweise drei Arten von Tabellen verfügbar.
## Berechtigungen für AWS KMS-verschlüsselte Tabellen
Alle Daten in S3-Tabellen, einschließlich S3 Storage Lens-Metriken, werden standardmäßig mit SSE-S3-Verschlüsselung verschlüsselt. Sie können wählen, ob Sie Ihren Storage Lens-Metrikbericht mit AWS KMS Schlüsseln (SSE-KMS) verschlüsseln möchten. Wenn Sie sich dafür entscheiden, Ihre S3 Storage Lens-Metrikberichte mit KMS-Schlüsseln zu verschlüsseln, benötigen Sie zusätzliche Berechtigungen.
1. Der Benutzer oder die IAM-Rolle benötigt die folgenden Berechtigungen. Sie können diese Berechtigungen mithilfe der IAM-Konsole unter gewähren. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
+ `kms:DescribeKey`auf dem verwendeten AWS KMS Schlüssel
1. Für die Schlüsselrichtlinie für den AWS KMS Schlüssel benötigen Sie die folgenden Berechtigungen. Sie können diese Berechtigungen gewähren, indem Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) verwenden. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie ` user input placeholders ` durch eigene Informationen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnableSystemTablesKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": "systemtables.s3.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "EnableKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": "maintenance.s3tables.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "/*"
}
}
}
]
}
```
## Mit dem Dienst verknüpfte Rolle für S3 Storage Lens
S3 Storage Lens verwendet eine dienstbezogene Rolle, um Metriken in S3-Tabellen zu schreiben. Diese Rolle wird automatisch erstellt, wenn Sie den Export von S3-Tabellen zum ersten Mal in Ihrem Konto aktivieren. Die serviceverknüpfte Rolle hat die folgenden Berechtigungen:
+ `s3tables:CreateTable`— Um Tabellen im `aws-s3` Tabellen-Bucket zu erstellen
+ `s3tables:PutTableData`- Um Metrikdaten in Tabellen zu schreiben
+ `s3tables:GetTable`- Um Tabellenmetadaten abzurufen
Sie müssen diese serviceverknüpfte Rolle nicht manuell erstellen oder verwalten. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter [Verwenden serviceverknüpfter Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) im *IAM-Benutzerhandbuch*.
## Bewährte Methoden für Berechtigungen
Folgen Sie diesen bewährten Methoden, wenn Sie Berechtigungen für S3 Storage Lens-Tabellen konfigurieren:
+ **Geringste Rechte verwenden** — Gewähren Sie nur die Berechtigungen, die für bestimmte Aufgaben erforderlich sind. Wenn Benutzer beispielsweise nur Daten abfragen müssen, gewähren Sie keine Berechtigungen zum Ändern von Storage Lens-Konfigurationen.
+ **Verwenden Sie IAM-Rollen** — Verwenden Sie IAM-Rollen anstelle von langfristigen Zugriffsschlüsseln für Anwendungen und Dienste, die auf S3 Storage Lens-Tabellen zugreifen.
+ **Aktivieren AWS CloudTrail— Aktivieren** CloudTrail Sie die Protokollierung, um den Zugriff auf S3 Storage Lens-Tabellen zu überwachen und Berechtigungsänderungen nachzuverfolgen.
+ **Verwenden Sie ressourcenbasierte Richtlinien** — Verwenden Sie nach Möglichkeit ressourcenbasierte Richtlinien, um den Zugriff auf bestimmte Tabellen oder Namespaces zu kontrollieren.
+ **Regelmäßige Überprüfung der Berechtigungen** — Überprüfen und prüfen Sie regelmäßig die IAM-Richtlinien und Lake Formation Formation-Berechtigungen, um sicherzustellen, dass sie dem Prinzip der geringsten Rechte entsprechen.
## Problembehebung bei Berechtigungen
### Zugriff verweigert, wenn der Export von S3-Tabellen aktiviert wurde
**Problem:** Beim Versuch, den Export von S3-Tabellen zu aktivieren, wird die Fehlermeldung „Zugriff verweigert“ angezeigt.
**Lösung:** Stellen Sie sicher, dass Ihr IAM-Benutzer oder Ihre IAM-Rolle über die erforderlichen `s3:PutStorageLensConfiguration` Berechtigungen und die erforderlichen S3-Tabelles-Berechtigungen verfügt.
### Der Zugriff wurde beim Abfragen von Tabellen verweigert
**Problem:** Bei der Abfrage von S3 Storage Lens-Tabellen in Amazon Athena wird die Fehlermeldung „Zugriff verweigert“ angezeigt.
**Lösung: Stellen Sie sicher, dass:**
+ Die Analytics-Integration ist im `aws-s3` Tabellen-Bucket aktiviert
+ Die Lake Formation Formation-Berechtigungen sind korrekt konfiguriert
+ Ihr IAM-Benutzer oder Ihre IAM-Rolle verfügt über die erforderlichen Amazon Athena Athena-Berechtigungen
### KMS-Verschlüsselungsfehler
**Problem:** Beim Zugriff auf verschlüsselte Tabellen werden KMS-bezogene Fehler angezeigt.
**Lösung: Stellen Sie sicher, dass:**
+ Ihre IAM-Richtlinie umfasst die erforderlichen KMS-Berechtigungen
+ Die KMS-Schlüsselrichtlinie gewährt dem S3 Storage Lens-Dienstprinzipal Berechtigungen
+ Der KMS-Schlüssel befindet sich in derselben Region wie Ihre Storage Lens-Konfiguration
## Nächste Schritte
+ Weitere Informationen über [Festlegen der Berechtigungen für Amazon S3 Storage Lens](storage_lens_iam_permissions.md)
+ Weitere Informationen über [Abfragen von S3 Storage Lens-Daten mit Analysetools](storage-lens-s3-tables-querying.md)
+ Weitere Informationen über [Verwendung von KI-Assistenten mit S3 Storage Lens-Tabellen](storage-lens-s3-tables-ai-tools.md)