Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Usare i tag con le tabelle S3
Un AWS tag è una coppia chiave-valore che contiene i metadati relativi alle risorse, in questo caso le tabelle Amazon S3. Puoi taggare le tabelle S3 quando le crei o gestire i tag su tabelle esistenti. Per informazioni generali sui tag, consulta [Tagging per l’allocazione dei costi o il controllo degli accessi basato su attributi (ABAC)](tagging.md).
**Nota**
Non sono previsti costi aggiuntivi per l'utilizzo dei tag sulle tabelle oltre alle tariffe di richiesta API S3 standard. Per ulteriori informazioni, consulta [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/).
## Metodi comuni per utilizzare i tag con le tabelle
Usa i tag sulle tue tabelle S3 per:
1. **Allocazione dei costi**: monitora i costi di archiviazione in base ai tag inseriti nella tabella. Gestione dei costi e fatturazione AWS Per ulteriori informazioni, consultare [Utilizzo dei tag per l’allocazione dei costi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-cost-allocation).
1. **Controllo degli accessi basato sugli attributi (ABAC)**: ridimensiona le autorizzazioni di accesso e concedi l'accesso alle tabelle S3 in base ai relativi tag. Per ulteriori informazioni, consulta [Utilizzo dei tag per ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).
**Nota**
È possibile utilizzare gli stessi tag sia per l’allocazione dei costi che per il controllo degli accessi.
### ABAC per tabelle S3
Le tabelle Amazon S3 supportano il controllo degli accessi basato sugli attributi (ABAC) tramite tag. Utilizza chiavi di condizione basate su tag nelle politiche AWS aziendali, AWS Identity and Access Management (IAM) e nelle tabelle S3. ABAC in Amazon S3 supporta l'autorizzazione su più AWS account.
Nelle tue policy IAM, puoi controllare l'accesso alle tabelle S3 in base ai tag della tabella utilizzando la chiave di `s3tables:TableBucketTag/tag-key` condizione o le [chiavi di condizione AWS globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys):`aws:ResourceTag/key-name`,, `aws:RequestTag/key-name` oppure. `aws:TagKeys`
#### aws: /nome-chiave ResourceTag
Utilizza questa chiave di condizione per confrontare la coppia chiave-valore del tag specificata nella politica con la coppia chiave-valore associata alla risorsa. Ad esempio, potresti richiedere che l'accesso a una tabella sia consentito solo se la tabella ha la chiave `Department` del tag con il valore. `Marketing`
Questa chiave di condizione si applica alle azioni della tabella eseguite utilizzando la console Amazon S3, l'interfaccia a riga di AWS comando (CLI), S3 APIs o,. AWS SDKs
Per un esempio di policy, consulta [1.1 - politica delle tabelle per limitare le operazioni sulla tabella utilizzando i tag](#example-policy-table-resource-tag).
*Per ulteriori esempi di policy e ulteriori informazioni, consulta [Controlling access to AWS resources nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources) l'AWS Identity and Access Management utente.*
**Nota**
Per le azioni eseguite sulle tabelle, questa chiave di condizione agisce sui tag applicati alla tabella e non sui tag applicati al bucket di tabella contenente la tabella. Utilizza `s3tables:TableBucketTag/tag-key` invece il se desideri che le tue politiche ABAC agiscano sui tag del bucket della tabella quando esegui azioni relative alla tabella.
#### aws: /nome-chiave RequestTag
Utilizza questa chiave di condizione per confrontare la coppia chiave-valore del tag che è stata passata nella richiesta con la coppia di tag specificata nella politica. Ad esempio, puoi verificare se la richiesta di taggare una tabella include la chiave del tag `Department` e se ha il valore. `Accounting`
Questa chiave di condizione si applica quando le chiavi dei tag vengono passate in una richiesta operativa `TagResource` o `CreateTable` API o quando si tagga o si crea una tabella con tag utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI) o il. AWS SDKs
Per un esempio di policy, consulta [1.2 - Politica IAM per creare o modificare tabelle con tag specifici](#example-policy-table-request-tag).
*Per ulteriori esempi di policy e ulteriori informazioni, consulta [Controllare l'accesso durante AWS le richieste](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests) nella Guida per l'AWS Identity and Access Management utente.*
#### leggi: TagKeys
Usa questa chiave di condizione per confrontare le chiavi dei tag in una richiesta con le chiavi specificate nella politica per definire a quali tag è consentito l'accesso. Ad esempio, per consentire l'aggiunta di tag durante l'`CreateTable`azione, è necessario creare una politica che consenta sia `s3tables:CreateTable` le azioni che le`s3tables:TagResource`. È quindi possibile utilizzare la chiave `aws:TagKeys` condition per far sì che nella richiesta vengano utilizzati solo tag specifici. `CreateTable`
Questa chiave di condizione si applica quando le chiavi dei tag vengono passate in operazioni `CreateTable` API o quando si tagga, si rimuove o si crea una tabella con tag utilizzando l'interfaccia CLI ( AWS Command Line Interface) o il. `TagResource` `UntagResource` AWS SDKs
Per un esempio di policy, consulta [1.3 - Politica IAM per controllare la modifica dei tag sulle risorse esistenti, mantenendo la governance dei tag](#example-policy-table-tag-keys).
*Per ulteriori esempi di policy e ulteriori informazioni, consulta [Controlling access based on tag keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys) nella Guida per l'utente.AWS Identity and Access Management *
#### s3tables: /tag-key TableBucketTag
Usa questa chiave di condizione per concedere autorizzazioni a dati specifici nei bucket di tabelle utilizzando i tag. Questa chiave condizionale agisce, in gran parte, sui tag assegnati al bucket di tabella per tutte le azioni delle tabelle S3. Anche quando crei una tabella con tag, questa chiave di condizione agisce sui tag applicati al bucket di tabella che contiene quella tabella. Le eccezioni sono:
+ Quando crei un bucket da tabella con tag, questa chiave di condizione agisce sui tag della richiesta.
Per un esempio di policy, consulta [1.4 - Utilizzo di s3tables: chiave di condizione TableBucketTag](#example-policy-table-bucket-tag-tables).
#### Esempi di politiche ABAC per le tabelle
Vedi i seguenti esempi di politiche ABAC per le tabelle Amazon S3.
**Nota**
Se disponi di una policy basata sulle risorse IAM o S3 Tables che limita gli utenti IAM e i ruoli IAM in base ai tag principali, devi associare gli stessi tag principali al ruolo IAM utilizzato da Lake Formation per accedere ai tuoi dati Amazon S3 (ad esempio LakeFormationDataAccessRole) e concedere a questo ruolo le autorizzazioni necessarie. Ciò è necessario affinché la politica di controllo degli accessi basata su tag funzioni correttamente con l'integrazione dell'analisi di S3 Tables.
##### 1.1 - politica delle tabelle per limitare le operazioni sulla tabella utilizzando i tag
In questa politica della tabella, i principali IAM specificati (utenti e ruoli) possono eseguire l'`GetTable`azione solo se il valore del `project` tag della tabella corrisponde al valore del `project` tag del principale.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGetTable",
"Effect": "Allow",
"Principal": {
"AWS": "{{111122223333}}"
},
"Action": "s3tables:GetTable",
"Resource": "arn:aws::s3tables:{{us-west-2}}:{{111122223333}}:bucket/{{amzn-s3-demo-table-bucket}}/{{my_example_tab;e}}",
"Condition": {
"StringEquals": {
"aws:ResourceTag/{{project}}": "${aws:PrincipalTag/{{project}}}"
}
}
}
]
}
```
##### 1.2 - Politica IAM per creare o modificare tabelle con tag specifici
In questa policy IAM, gli utenti o i ruoli con questa policy possono creare tabelle S3 solo se etichettano la tabella con la chiave del tag `project` e il valore del tag `Trinity` nella richiesta di creazione della tabella. Possono anche aggiungere o modificare tag su tabelle S3 esistenti purché la `TagResource` richiesta includa la coppia chiave-valore del tag. `project:Trinity` Questa politica non concede autorizzazioni di lettura, scrittura o eliminazione sulle tabelle o sui relativi oggetti.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateTableWithTags",
"Effect": "Allow",
"Action": [
"s3tables:CreateTable",
"s3tables:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/{{project}}": [
"{{Trinity}}"
]
}
}
}
]
}
```
##### 1.3 - Politica IAM per controllare la modifica dei tag sulle risorse esistenti, mantenendo la governance dei tag
In questa politica IAM, i responsabili IAM (utenti o ruoli) possono modificare i tag su una tabella solo se il valore del `project` tag della tabella corrisponde al valore del tag del `project` principale. Solo i quattro tag `project` e quelli `cost-center` specificati nelle chiavi di `aws:TagKeys` condizione sono consentiti per queste tabelle. `environment` `owner` Questo aiuta a far rispettare la governance dei tag, impedisce modifiche non autorizzate dei tag e mantiene lo schema di tagging coerente tra le tabelle.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3tables:TagResource",
"s3tables:UntagResource"
],
"Resource": "arn:aws::s3tables:{{us-west-2}}:{{111122223333}}:bucket/{{amzn-s3-demo-table-bucket}}/{{my_example_table}}",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"{{project}}",
"{{environment}}",
"{{owner}}",
"{{cost-center}}"
]
}
}
}
]
}
```
##### 1.4 - Utilizzo di s3tables: chiave di condizione TableBucketTag
In questa policy IAM, l'istruzione condition consente l'accesso ai dati del bucket di tabella solo se il bucket di tabella ha la chiave `Environment` e il valore del tag. `Production` `s3tables:TableBucketTag/`Si differenzia dalla chiave di `aws:ResourceTag/` condizione perché, oltre a controllare l'accesso ai bucket di tabella in base ai relativi tag, consente di controllare l'accesso alle tabelle in base ai tag del bucket di tabella principale.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificTables",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3tables:{{us-west-2}}:{{111122223333}}:bucket/{{amzn-s3-demo-table-bucket}}/*",
"Condition": {
"StringEquals": {
"s3tables:TableBucketTag/Environment": "Production"
}
}
}
]
}
```
## Gestione dei tag per le tabelle
Puoi aggiungere o gestire tag per le tabelle S3 utilizzando la console Amazon S3, AWS l'interfaccia a riga di comando (CLI), AWS SDKs o utilizzando APIs [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)S3:, e. [UntagResource[ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html) Per ulteriori informazioni, consulta:
**Topics**
+ [Metodi comuni per utilizzare i tag con le tabelle](#common-ways-to-use-tags-table)
+ [Gestione dei tag per le tabelle](#table-working-with-tags)
+ [Creazione di tabelle con tag](table-create-tag.md)
+ [Aggiungere un tag a una tabella](table-tag-add.md)
+ [Visualizzazione dei tag della tabella](table-tag-view.md)
+ [Eliminazione di un tag da una tabella](table-tag-delete.md)