本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# S3 Storage Lens 資料表的許可
若要使用匯出至 S3 Tables 的 S3 Storage Lens 資料,您需要適當的 AWS Identity and Access Management (IAM) 許可。本主題涵蓋匯出指標和管理加密所需的許可。
## 指標匯出至 S3 資料表的許可
若要建立和使用 S3 Storage Lens 資料表和資料表儲存貯體,您必須具有特定`s3tables`許可。若要將 S3 Storage Lens 至少設定為 S3 Tables,您必須具有下列`s3tables`許可:
+ `s3tables:CreateTableBucket` – 此許可可讓您建立 AWS受管資料表儲存貯體。您帳戶中的所有 S3 Storage Lens 指標都存放在名為 的單一 AWS受管資料表儲存貯體中`aws-s3`。
+ `s3tables:PutTableBucketPolicy` – S3 Storage Lens 使用此許可來設定資料表儲存貯體政策,允許`systemtables.s3.amazonaws.com`存取儲存貯體,以便交付日誌。
**重要**
如果您移除服務主體 的許可`systemtables.s3.amazonaws.com`,S3 Storage Lens 將無法根據您的組態使用資料更新 S3 資料表。除了已提供的政策之外,我們建議您新增其他存取控制政策,而不是編輯設定資料表儲存貯體時新增的固定政策。
**注意**
系統會為每個 Storage Lens 組態建立每種指標匯出類型的個別 S3 資料表。如果您在 區域中有多個 Storage Lens 組態,則會為其他組態建立個別的資料表。例如,S3 資料表儲存貯體有三種可用的資料表類型。
## AWS KMS 加密資料表的許可
S3 資料表中的所有資料,包括 S3 Storage Lens 指標,預設會使用 SSE-S3 加密進行加密。您可以選擇使用 AWS KMS 金鑰 (SSE-KMS) 加密 Storage Lens 指標報告。如果您選擇使用 KMS 金鑰加密 S3 Storage Lens 指標報告,您必須擁有其他許可。
1. 使用者或 IAM 角色需要下列許可。您可以使用位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台授予這些許可。
+ `kms:DescribeKey` 在所使用的 AWS KMS 金鑰上
1. 在金鑰的 AWS KMS 金鑰政策上,您需要下列許可。您可以使用位於 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS KMS 主控台授予這些許可。若要使用此政策,請以您自己的資訊取代 ` user input placeholders `。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnableSystemTablesKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": "systemtables.s3.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
},
{
"Sid": "EnableKeyUsage",
"Effect": "Allow",
"Principal": {
"Service": "maintenance.s3tables.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "/*"
}
}
}
]
}
```
## S3 Storage Lens 的服務連結角色
S3 Storage Lens 使用服務連結角色將指標寫入 S3 Tables。當您在帳戶中第一次啟用 S3 Tables 匯出時,會自動建立此角色。服務連結角色具有下列許可:
+ `s3tables:CreateTable` - 在資料表儲存貯體中建立`aws-s3`資料表
+ `s3tables:PutTableData` - 將指標資料寫入資料表
+ `s3tables:GetTable` - 擷取資料表中繼資料
您不需要手動建立或管理此服務連結角色。如需服務連結角色的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。
## 許可的最佳實務
設定 S3 Storage Lens 資料表的許可時,請遵循下列最佳實務:
+ **使用最低權限** - 僅授予特定任務所需的許可。例如,如果使用者只需要查詢資料,請勿授予修改 Storage Lens 組態的許可。
+ **使用 IAM 角色** - 針對存取 S3 Storage Lens 資料表的應用程式和服務,使用 IAM 角色而非長期存取金鑰。
+ **啟用 AWS CloudTrail** - 啟用 CloudTrail 記錄以監控對 S3 Storage Lens 資料表的存取並追蹤許可變更。
+ **使用資源型政策** - 盡可能使用資源型政策來控制對特定資料表或命名空間的存取。
+ **定期檢閱許可** - 定期檢閱和稽核 IAM 政策和 Lake Formation 許可,以確保它們遵循最低權限原則。
## 故障診斷許可
### 啟用 S3 Tables 匯出時存取遭拒
**問題:**嘗試啟用 S3 Tables 匯出時,您收到「存取遭拒」錯誤。
**解決方案:**確認您的 IAM 使用者或角色具有 `s3:PutStorageLensConfiguration`許可和必要的 S3 Tables 許可。
### 查詢資料表時存取遭拒
**問題:**您在 Amazon Athena 中查詢 S3 Storage Lens 資料表時收到「存取遭拒」錯誤。
**解決方案:**驗證:
+ `aws-s3` 資料表儲存貯體上已啟用分析整合
+ Lake Formation 許可已正確設定
+ 您的 IAM 使用者或角色具有必要的 Amazon Athena 許可
### KMS 加密錯誤
**問題:**您在存取加密資料表時收到 KMS 相關錯誤。
**解決方案:**驗證:
+ 您的 IAM 政策包含必要的 KMS 許可
+ KMS 金鑰政策會將許可授予 S3 Storage Lens 服務主體
+ KMS 金鑰與您的 Storage Lens 組態位於相同的區域
## 後續步驟
+ 了解 [設定 Amazon S3 Storage Lens 許可](storage_lens_iam_permissions.md)
+ 了解 [使用分析工具查詢 S3 Storage Lens 資料](storage-lens-s3-tables-querying.md)
+ 了解 [搭配 S3 Storage Lens 資料表使用 AI 助理](storage-lens-s3-tables-ai-tools.md)