View a markdown version of this page

S3 Storage Lens 資料表的許可 - Amazon Simple Storage Service
指標匯出至 S3 資料表的許可S3 資料表儲存貯體 KMS 許可S3 Storage Lens 的服務連結角色許可的最佳實務故障診斷許可後續步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

S3 Storage Lens 資料表的許可

若要使用匯出至 S3 Tables 的 S3 Storage Lens 資料,您需要適當的 AWS Identity and Access Management (IAM) 許可。本主題涵蓋匯出指標和管理加密所需的許可。

指標匯出至 S3 資料表的許可

若要建立和使用 S3 Storage Lens 資料表和資料表儲存貯體,您必須具有特定s3tables許可。若要將 S3 Storage Lens 至少設定為 S3 Tables,您必須具有下列s3tables許可:

  • s3tables:CreateTableBucket – 此許可可讓您建立 AWS受管資料表儲存貯體。您帳戶中的所有 S3 Storage Lens 指標都存放在名為 的單一 AWS受管資料表儲存貯體中aws-s3

  • s3tables:PutTableBucketPolicy – S3 Storage Lens 使用此許可來設定資料表儲存貯體政策,允許systemtables.s3.amazonaws.com存取儲存貯體,以便交付日誌。

重要

如果您移除服務主體 的許可systemtables.s3.amazonaws.com,S3 Storage Lens 將無法根據您的組態使用資料更新 S3 資料表。除了已提供的政策之外,我們建議您新增其他存取控制政策,而不是編輯設定資料表儲存貯體時新增的固定政策。

注意

系統會為每個 Storage Lens 組態建立每種指標匯出類型的個別 S3 資料表。如果您在 區域中有多個 Storage Lens 組態,則會為其他組態建立個別的資料表。例如,S3 資料表儲存貯體有三種可用的資料表類型。

AWS KMS 加密資料表的許可

S3 資料表中的所有資料,包括 S3 Storage Lens 指標,預設會使用 SSE-S3 加密進行加密。您可以選擇使用 AWS KMS 金鑰 (SSE-KMS) 加密 Storage Lens 指標報告。如果您選擇使用 KMS 金鑰加密 S3 Storage Lens 指標報告,您必須擁有其他許可。

  1. 使用者或 IAM 角色需要下列許可。您可以使用位於 https://https://console.aws.amazon.com/iam/ 的 IAM 主控台授予這些許可。

    • kms:DescribeKey 在所使用的 AWS KMS 金鑰上

  2. 在金鑰的 AWS KMS 金鑰政策上,您需要下列許可。您可以使用位於 https://https://console.aws.amazon.com/kms 的 AWS KMS 主控台授予這些許可。若要使用此政策,請以您自己的資訊取代 user input placeholders 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableSystemTablesKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "systemtables.s3.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "maintenance.s3tables.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
                }
            }
        }
    ]
}

S3 Storage Lens 的服務連結角色

S3 Storage Lens 使用服務連結角色將指標寫入 S3 Tables。當您第一次在帳戶中啟用 S3 Tables 匯出時,會自動建立此角色。服務連結角色具有下列許可:

  • s3tables:CreateTable - 在資料表儲存貯體中建立aws-s3資料表

  • s3tables:PutTableData - 將指標資料寫入資料表

  • s3tables:GetTable - 擷取資料表中繼資料

您不需要手動建立或管理此服務連結角色。如需服務連結角色的詳細資訊,請參閱《IAM 使用者指南》中的使用服務連結角色

許可的最佳實務

設定 S3 Storage Lens 資料表的許可時,請遵循下列最佳實務:

  • 使用最低權限 - 僅授予特定任務所需的許可。例如,如果使用者只需要查詢資料,請勿授予修改 Storage Lens 組態的許可。

  • 使用 IAM 角色 - 針對存取 S3 Storage Lens 資料表的應用程式和服務,使用 IAM 角色而非長期存取金鑰。

  • 啟用 AWS CloudTrail - 啟用 CloudTrail 記錄以監控對 S3 Storage Lens 資料表的存取並追蹤許可變更。

  • 使用資源型政策 - 盡可能使用資源型政策來控制對特定資料表或命名空間的存取。

  • 定期檢閱許可 - 定期檢閱和稽核 IAM 政策和 Lake Formation 許可,以確保它們遵循最低權限原則。

故障診斷許可

啟用 S3 Tables 匯出時拒絕存取

問題:嘗試啟用 S3 Tables 匯出時,您收到「存取遭拒」錯誤。

解決方案:確認您的 IAM 使用者或角色具有 s3:PutStorageLensConfiguration許可和必要的 S3 Tables 許可。

查詢資料表時存取遭拒

問題:您在 Amazon Athena 中查詢 S3 Storage Lens 資料表時收到「存取遭拒」錯誤。

解決方案:驗證:

  • aws-s3 資料表儲存貯體上已啟用分析整合

  • Lake Formation 許可已正確設定

  • 您的 IAM 使用者或角色具有必要的 Amazon Athena 許可

KMS 加密錯誤

問題:您在存取加密資料表時收到 KMS 相關錯誤。

解決方案:驗證:

  • 您的 IAM 政策包含必要的 KMS 許可

  • KMS 金鑰政策會將許可授予 S3 Storage Lens 服務主體

  • KMS 金鑰與 Storage Lens 組態位於相同的區域

後續步驟