View a markdown version of this page

Izin untuk tabel Lensa Penyimpanan S3 - Amazon Simple Storage Service
Izin untuk ekspor metrik ke Tabel S3Izin KMS ember meja S3Peran terkait layanan untuk Lensa Penyimpanan S3Praktik terbaik untuk izinIzin pemecahan masalahLangkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin untuk tabel Lensa Penyimpanan S3

Untuk bekerja dengan data Lensa Penyimpanan S3 yang diekspor ke Tabel S3, Anda memerlukan izin AWS Identity and Access Management (IAM) yang sesuai. Topik ini mencakup izin yang diperlukan untuk mengekspor metrik dan mengelola enkripsi.

Izin untuk ekspor metrik ke Tabel S3

Untuk membuat dan bekerja dengan tabel S3 Storage Lens dan bucket tabel, Anda harus memiliki izin tertentus3tables. Minimal, untuk mengonfigurasi Lensa Penyimpanan S3 ke Tabel S3, Anda harus memiliki izin berikut: s3tables

  • s3tables:CreateTableBucket— Izin ini memungkinkan Anda membuat bucket tabel AWS yang dikelola. Semua metrik Lensa Penyimpanan S3 di akun Anda disimpan dalam satu bucket tabel AWS terkelola yang diberi nama. aws-s3

  • s3tables:PutTableBucketPolicy— S3 Storage Lens menggunakan izin ini untuk menetapkan kebijakan bucket tabel yang memungkinkan systemtables.s3.amazonaws.com akses ke bucket sehingga log dapat dikirimkan.

penting

Jika Anda menghapus izin untuk prinsipal layanansystemtables.s3.amazonaws.com, S3 Storage Lens tidak akan dapat memperbarui tabel S3 dengan data berdasarkan konfigurasi Anda. Sebaiknya tambahkan kebijakan kontrol akses lainnya selain kebijakan yang telah disediakan, alih-alih mengedit kebijakan kalengan yang ditambahkan saat bucket tabel Anda disiapkan.

catatan

Tabel S3 terpisah untuk setiap jenis ekspor metrik dibuat untuk setiap konfigurasi Lensa Penyimpanan. Jika Anda memiliki beberapa konfigurasi Lensa Penyimpanan di Wilayah, tabel terpisah dibuat untuk konfigurasi tambahan. Misalnya, ada tiga jenis tabel yang tersedia untuk bucket meja S3 Anda.

Izin untuk tabel AWS terenkripsi KMS

Semua data dalam tabel S3 termasuk metrik Lensa Penyimpanan S3 dienkripsi dengan enkripsi SSE-S3 secara default. Anda dapat memilih untuk mengenkripsi laporan metrik Lensa Penyimpanan Anda dengan AWS KMS kunci (SSE-KMS). Jika Anda memilih untuk mengenkripsi laporan metrik Lensa Penyimpanan S3 Anda dengan kunci KMS, Anda harus memiliki izin tambahan.

  1. Peran pengguna atau IAM memerlukan izin berikut. Anda dapat memberikan izin ini dengan menggunakan konsol IAM di. https://console.aws.amazon.com/iam/

    • kms:DescribeKeypada AWS KMS kunci yang digunakan

  2. Pada kebijakan kunci untuk AWS KMS kunci, Anda memerlukan izin berikut. Anda dapat memberikan izin ini dengan menggunakan AWS KMS konsol di https://console.aws.amazon.com/kms. Untuk menggunakan kebijakan ini, ganti user input placeholders dengan informasi Anda sendiri.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableSystemTablesKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "systemtables.s3.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "maintenance.s3tables.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
                }
            }
        }
    ]
}

Peran terkait layanan untuk Lensa Penyimpanan S3

Lensa Penyimpanan S3 menggunakan peran terkait layanan untuk menulis metrik ke Tabel S3. Peran ini dibuat secara otomatis saat Anda mengaktifkan ekspor Tabel S3 untuk pertama kalinya di akun Anda. Peran terkait layanan memiliki izin berikut:

  • s3tables:CreateTable- Untuk membuat tabel di ember aws-s3 meja

  • s3tables:PutTableData- Untuk menulis data metrik ke tabel

  • s3tables:GetTable- Untuk mengambil metadata tabel

Anda tidak perlu membuat atau mengelola peran terkait layanan ini secara manual. Untuk informasi selengkapnya tentang peran tertaut layanan, lihat Menggunakan peran tertaut layanan di Panduan Pengguna IAM.

Praktik terbaik untuk izin

Ikuti praktik terbaik ini saat mengonfigurasi izin untuk tabel Lensa Penyimpanan S3:

  • Gunakan hak istimewa paling sedikit - Berikan hanya izin yang diperlukan untuk tugas tertentu. Misalnya, jika pengguna hanya perlu melakukan kueri data, jangan berikan izin untuk mengubah konfigurasi Lensa Penyimpanan.

  • Gunakan peran IAM - Gunakan peran IAM alih-alih kunci akses jangka panjang untuk aplikasi dan layanan yang mengakses tabel Lensa Penyimpanan S3.

  • Aktifkan AWS CloudTrail - Aktifkan CloudTrail pencatatan untuk memantau akses ke tabel Lensa Penyimpanan S3 dan melacak perubahan izin.

  • Gunakan kebijakan berbasis sumber daya - Jika memungkinkan, gunakan kebijakan berbasis sumber daya untuk mengontrol akses ke tabel atau ruang nama tertentu.

  • Tinjau izin secara berkala - Tinjau dan audit kebijakan IAM dan izin Lake Formation secara berkala untuk memastikan mereka mengikuti prinsip hak istimewa yang paling rendah.

Izin pemecahan masalah

Akses ditolak saat mengaktifkan ekspor Tabel S3

Masalah: Anda menerima kesalahan “akses ditolak” saat mencoba mengaktifkan ekspor Tabel S3.

Solusi: Verifikasi bahwa pengguna atau peran IAM Anda memiliki s3:PutStorageLensConfiguration izin dan izin Tabel S3 yang diperlukan.

Akses ditolak saat menanyakan tabel

Masalah: Anda menerima kesalahan “akses ditolak” saat menanyakan tabel Lensa Penyimpanan S3 di Amazon Athena.

Solusi: Verifikasi bahwa:

  • Integrasi analitik diaktifkan di keranjang aws-s3 tabel

  • Izin Lake Formation dikonfigurasi dengan benar

  • Pengguna atau peran IAM Anda memiliki izin Amazon Athena yang diperlukan

Kesalahan enkripsi KMS

Masalah: Anda menerima kesalahan terkait KMS saat mengakses tabel terenkripsi.

Solusi: Verifikasi bahwa:

  • Kebijakan IAM Anda mencakup izin KMS yang diperlukan

  • Kebijakan kunci KMS memberikan izin kepada kepala layanan S3 Storage Lens

  • Kunci KMS berada di Wilayah yang sama dengan konfigurasi Lensa Penyimpanan Anda

Langkah selanjutnya