View a markdown version of this page

Autorisations pour les tables S3 Storage Lens - Amazon Simple Storage Service
Autorisations pour l'exportation des métriques vers les tables S3Autorisations KMS du compartiment de tables S3Rôle lié au service pour S3 Storage LensBonnes pratiques en matière d'autorisationsPermissions de dépannageÉtapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations pour les tables S3 Storage Lens

Pour utiliser les données S3 Storage Lens exportées vers S3 Tables, vous devez disposer des autorisations Gestion des identités et des accès AWS (IAM) appropriées. Cette rubrique traite des autorisations requises pour exporter des métriques et gérer le chiffrement.

Autorisations pour l'exportation des métriques vers les tables S3

Pour créer et utiliser des tables et des compartiments de tables S3 Storage Lens, vous devez disposer de certaines s3tables autorisations. Pour configurer S3 Storage Lens sur S3 Tables, vous devez au minimum disposer des s3tables autorisations suivantes :

  • s3tables:CreateTableBucket— Cette autorisation vous permet de créer un bucket de table AWS géré. Toutes les métriques S3 Storage Lens de votre compte sont stockées dans un bucket de table AWS géré unique nomméaws-s3.

  • s3tables:PutTableBucketPolicy— S3 Storage Lens utilise cette autorisation pour définir une politique de compartiment de table qui autorise l'systemtables---s3.amazonaws.com.rproxy.govskope.usaccès au compartiment afin que les journaux puissent être livrés.

Important

Si vous supprimez les autorisations pour le principal de servicesystemtables.s3.amazonaws.com, S3 Storage Lens ne sera pas en mesure de mettre à jour les tables S3 avec les données basées sur votre configuration. Nous vous recommandons d'ajouter d'autres politiques de contrôle d'accès en plus de la politique déjà fournie, au lieu de modifier la politique prédéfinie ajoutée lors de la configuration de votre compartiment de table.

Note

Une table S3 distincte pour chaque type d'exportation de métriques est créée pour chaque configuration de Storage Lens. Si vous avez plusieurs configurations de Storage Lens dans la région, des tables distinctes sont créées pour les configurations supplémentaires. Par exemple, trois types de tables sont disponibles pour votre compartiment de tables S3.

Autorisations pour les tables chiffrées AWS KMS

Toutes les données des tables S3, y compris les métriques S3 Storage Lens, sont cryptées par défaut avec le cryptage SSE-S3. Vous pouvez choisir de chiffrer votre rapport sur les métriques de Storage Lens à l'aide de AWS KMS clés (SSE-KMS). Si vous choisissez de chiffrer vos rapports métriques S3 Storage Lens à l'aide de clés KMS, vous devez disposer d'autorisations supplémentaires.

  1. L'utilisateur ou le rôle IAM nécessite les autorisations suivantes. Vous pouvez accorder ces autorisations à l'aide de la console IAM à https://console.aws.amazon.com/iam/l'adresse.

    • kms:DescribeKeysur la AWS KMS clé utilisée

  2. En ce qui concerne la politique relative à la AWS KMS clé, vous devez disposer des autorisations suivantes. Vous pouvez accorder ces autorisations à l'aide de la AWS KMS console située à l'adresse https://console.aws.amazon.com/kms. Pour utiliser cette stratégie, remplacez user input placeholders par vos propres informations.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableSystemTablesKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "systemtables.s3.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "maintenance.s3tables.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
                }
            }
        }
    ]
}

Rôle lié au service pour S3 Storage Lens

S3 Storage Lens utilise un rôle lié à un service pour écrire des métriques dans les tables S3. Ce rôle est automatiquement créé lorsque vous activez l'exportation des tables S3 pour la première fois dans votre compte. Le rôle lié au service dispose des autorisations suivantes :

  • s3tables:CreateTable- Pour créer des tables dans le compartiment de aws-s3 tables

  • s3tables:PutTableData- Pour écrire des données métriques dans des tables

  • s3tables:GetTable- Pour récupérer les métadonnées d'une table

Il n'est pas nécessaire de créer ou de gérer manuellement ce rôle lié à un service. Pour en savoir plus sur l’utilisation des rôles liés à un service, consultez Utilisation des rôles liés à un service dans le Guide de l’utilisateur IAM.

Bonnes pratiques en matière d'autorisations

Suivez ces bonnes pratiques lors de la configuration des autorisations pour les tables S3 Storage Lens :

  • Utiliser le moindre privilège : accordez uniquement les autorisations requises pour des tâches spécifiques. Par exemple, si les utilisateurs doivent uniquement interroger des données, n'accordez pas les autorisations nécessaires pour modifier les configurations de Storage Lens.

  • Utiliser des rôles IAM : utilisez des rôles IAM plutôt que des clés d'accès à long terme pour les applications et les services qui accèdent aux tables S3 Storage Lens.

  • Activer AWS CloudTrail : activez la CloudTrail journalisation pour surveiller l'accès aux tables S3 Storage Lens et suivre les modifications des autorisations.

  • Utiliser des politiques basées sur les ressources : dans la mesure du possible, utilisez des politiques basées sur les ressources pour contrôler l'accès à des tables ou à des espaces de noms spécifiques.

  • Vérifiez régulièrement les autorisations : passez régulièrement en revue et auditez les politiques IAM et les autorisations de Lake Formation pour vous assurer qu'elles respectent le principe du moindre privilège.

Permissions de dépannage

Accès refusé lors de l'activation de l'exportation des tables S3

Problème : vous recevez un message d'erreur « accès refusé » lorsque vous essayez d'activer l'exportation des tables S3.

Solution : Vérifiez que votre utilisateur ou rôle IAM dispose de l's3:PutStorageLensConfigurationautorisation et des autorisations S3 Tables nécessaires.

Accès refusé lors de l'interrogation de tables

Problème : vous recevez un message d'erreur « accès refusé » lorsque vous interrogez les tables S3 Storage Lens dans Amazon Athena.

Solution : vérifiez que :

  • L'intégration des analyses est activée dans le compartiment de aws-s3 table

  • Les autorisations de Lake Formation sont correctement configurées

  • Votre utilisateur ou rôle IAM dispose des autorisations Amazon Athena nécessaires

Erreurs de chiffrement KMS

Problème : vous recevez des erreurs liées au KMS lorsque vous accédez à des tables chiffrées.

Solution : vérifiez que :

  • Votre politique IAM inclut les autorisations KMS requises

  • La politique des clés KMS accorde des autorisations au principal du service S3 Storage Lens

  • La clé KMS se trouve dans la même région que la configuration de votre Storage Lens

Étapes suivantes