Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Autorizzazioni per le tabelle S3 Storage Lens
Per lavorare con i dati di S3 Storage Lens esportati in S3 Tables, sono necessarie le autorizzazioni appropriate (IAM). AWS Identity and Access Management Questo argomento tratta le autorizzazioni necessarie per l'esportazione delle metriche e la gestione della crittografia.
## Autorizzazioni per l'esportazione delle metriche nelle tabelle S3
Per creare e utilizzare tabelle e bucket da tavolo S3 Storage Lens, devi disporre di determinate autorizzazioni. `s3tables` Come minimo, per configurare S3 Storage Lens su S3 Tables, devi disporre delle seguenti autorizzazioni: `s3tables`
+ `s3tables:CreateTableBucket`— Questa autorizzazione consente di creare un AWS bucket di tabelle gestito. Tutte le metriche di S3 Storage Lens presenti nel tuo account sono archiviate in un unico AWS table bucket gestito denominato. `aws-s3`
+ `s3tables:PutTableBucketPolicy`— S3 Storage Lens utilizza questa autorizzazione per impostare una policy table bucket che consenta `systemtables.s3.amazonaws.com` l'accesso al bucket in modo da poter fornire i log.
**Importante**
Se rimuovi le autorizzazioni per il responsabile del servizio`systemtables.s3.amazonaws.com`, S3 Storage Lens non sarà in grado di aggiornare le tabelle S3 con i dati in base alla tua configurazione. Ti consigliamo di aggiungere altre politiche di controllo degli accessi oltre alla politica già fornita, invece di modificare la politica predefinita che viene aggiunta quando viene configurato il table bucket.
**Nota**
Viene creata una tabella S3 separata per ogni tipo di esportazione delle metriche per ogni configurazione di Storage Lens. Se nella regione sono presenti più configurazioni di Storage Lens, vengono create tabelle separate per configurazioni aggiuntive. Ad esempio, sono disponibili tre tipi di tabelle per il tuo table bucket S3.
## Autorizzazioni per le tabelle crittografate KMS AWS
Per impostazione predefinita, tutti i dati nelle tabelle S3, incluse le metriche di S3 Storage Lens, sono crittografati con la crittografia SSE-S3. Puoi scegliere di crittografare il rapporto sulle metriche di Storage Lens con chiavi (SSE-KMS). AWS KMS Se scegli di crittografare i report metrici di S3 Storage Lens con chiavi KMS, devi disporre di autorizzazioni aggiuntive.
1. L'utente o il ruolo IAM necessita delle seguenti autorizzazioni. Puoi concedere queste autorizzazioni utilizzando la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
+ `kms:DescribeKey`sulla AWS KMS chiave utilizzata
1. Per quanto riguarda la politica chiave della AWS KMS chiave, sono necessarie le seguenti autorizzazioni. [Puoi concedere queste autorizzazioni utilizzando la AWS KMS console in /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms) Per utilizzare questa policy, sostituisci ` user input placeholders ` con le tue informazioni.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnableSystemTablesKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": "systemtables.s3.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "EnableKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": "maintenance.s3tables.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "/*"
}
}
}
]
}
```
## Ruolo collegato al servizio per S3 Storage Lens
S3 Storage Lens utilizza un ruolo collegato al servizio per scrivere metriche su S3 Tables. Questo ruolo viene creato automaticamente quando abiliti l'esportazione di S3 Tables per la prima volta nel tuo account. Il ruolo collegato al servizio dispone delle seguenti autorizzazioni:
+ `s3tables:CreateTable`- Per creare tabelle nel table bucket `aws-s3`
+ `s3tables:PutTableData`- Per scrivere dati metrici nelle tabelle
+ `s3tables:GetTable`- Per recuperare i metadati delle tabelle
Non è necessario creare o gestire manualmente questo ruolo collegato al servizio. Per ulteriori informazioni sui ruoli collegati al servizio, consulta [Utilizzo dei ruoli collegati al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) nella *Guida per l'utente IAM*.
## Le migliori pratiche per le autorizzazioni
Segui queste best practice per configurare le autorizzazioni per le tabelle di S3 Storage Lens:
+ **Usa il privilegio minimo**: concedi solo le autorizzazioni necessarie per attività specifiche. Ad esempio, se gli utenti devono solo interrogare i dati, non concedere le autorizzazioni per modificare le configurazioni di Storage Lens.
+ **Usa i ruoli IAM**: utilizza i ruoli IAM anziché le chiavi di accesso a lungo termine per applicazioni e servizi che accedono alle tabelle di S3 Storage Lens.
+ **Abilita AWS CloudTrail: abilita** CloudTrail la registrazione per monitorare l'accesso alle tabelle di S3 Storage Lens e tenere traccia delle modifiche alle autorizzazioni.
+ **Usa politiche basate sulle risorse: quando possibile, utilizza politiche basate sulle** risorse per controllare l'accesso a tabelle o namespace specifici.
+ **Rivedi regolarmente le autorizzazioni**: esamina e verifica periodicamente le politiche IAM e le autorizzazioni di Lake Formation per assicurarti che seguano il principio del privilegio minimo.
## Risoluzione dei problemi relativi alle autorizzazioni
### Accesso negato quando si abilita l'esportazione di S3 Tables
**Problema:** ricevi un errore di «accesso negato» quando provi ad abilitare l'esportazione di S3 Tables.
**Soluzione:** verifica che il tuo utente o ruolo IAM disponga dell'`s3:PutStorageLensConfiguration`autorizzazione e delle autorizzazioni S3 Tables necessarie.
### Accesso negato durante l'interrogazione delle tabelle
**Problema:** ricevi un errore di «accesso negato» quando esegui una query sulle tabelle S3 Storage Lens in Amazon Athena.
**Soluzione: verifica che:**
+ L'integrazione di Analytics è abilitata nel `aws-s3` table bucket
+ Le autorizzazioni di Lake Formation sono configurate correttamente
+ Il tuo utente o ruolo IAM dispone delle autorizzazioni Amazon Athena necessarie
### Errori di crittografia KMS
**Problema:** si ricevono errori relativi a KMS quando si accede alle tabelle crittografate.
**Soluzione: verifica che:**
+ La tua policy IAM include le autorizzazioni KMS richieste
+ La policy chiave KMS concede le autorizzazioni al responsabile del servizio S3 Storage Lens
+ La chiave KMS si trova nella stessa regione della configurazione di Storage Lens
## Fasi successive
+ Ulteriori informazioni su [Impostazione delle autorizzazioni di Amazon S3 Storage Lens](storage_lens_iam_permissions.md)
+ Ulteriori informazioni su [Interrogazione dei dati di S3 Storage Lens con strumenti di analisi](storage-lens-s3-tables-querying.md)
+ Ulteriori informazioni su [Utilizzo degli assistenti AI con le tabelle S3 Storage Lens](storage-lens-s3-tables-ai-tools.md)