Permisos para la exportación de métricas a tablas de S3 Permisos de KMS del bucket de la tabla de S3 Rol vinculado a un servicio para Lente de almacenamiento de S3 Prácticas recomendadas para los permisos Solución de problemas de permisos Siguientes pasos

Permisos para tablas de Lente de almacenamiento de S3

Para trabajar con los datos de Lente de almacenamiento de S3 exportados a tablas de S3, necesita los permisos de AWS Identity and Access Management (IAM) adecuados. En este tema, se describen los permisos necesarios para exportar métricas y administrar el cifrado.

Permisos para la exportación de métricas a tablas de S3

Para crear y trabajar con tablas y buckets de tablas de Lente de almacenamiento de S3, debe tener determinados permisos de s3tables. Como mínimo, para configurar Lente de almacenamiento de S3 en tablas de S3, debe tener los siguientes permisos de s3tables:

s3tables:CreateTableBucket: este permiso permite crear un bucket de tablas administrado de AWS. Todas las métricas de Lente de almacenamiento de S3 de la cuenta se almacenan en un único bucket de tablas administrado de AWS denominado aws-s3.
s3tables:PutTableBucketPolicy: Lente de almacenamiento de S3 utiliza este permiso para establecer una política de bucket de tablas que permita el acceso de systemtables.s3.amazonaws.com al bucket para poder entregar los registros.

importante

Si elimina los permisos para la entidad principal del servicio systemtables.s3.amazonaws.com, Lente de almacenamiento de S3 no podrá actualizar las tablas de S3 con datos en función de la configuración. Recomendamos agregar otras políticas de control de acceso además de la política ya proporcionada, en lugar de editar la política predefinida que se agrega cuando se configura el bucket de tablas.

nota

Se crea una tabla de S3 independiente para cada tipo de exportación de métricas para cada configuración de Lente de almacenamiento. Si tiene varias configuraciones de Lente de almacenamiento en la región, se crean tablas independientes para las configuraciones adicionales. Por ejemplo, hay tres tipos de tablas disponibles para el bucket de tablas de S3.

Permisos para tablas cifradas de AWS KMS

Todos los datos de las tablas de S3, incluidas las métricas de Lente de almacenamiento de S3, se cifran con el cifrado SSE-S3 de forma predeterminada. Puede optar por cifrar el informe de métricas de Lente de almacenamiento con claves de AWS KMS (SSE-KMS). Si elige cifrar los informes de métricas de Lente de almacenamiento de S3 con claves KMS, debe tener permisos adicionales.

El usuario o rol de IAM necesita los siguientes permisos. Puede conceder estos permisos mediante la consola de IAM en https://console.aws.amazon.com/iam/.
- kms:DescribeKey en la clave de AWS KMS utilizada

En la política de claves de la clave de AWS KMS, necesita los siguientes permisos. Puede conceder estos permisos mediante la consola de AWS KMS en https://console.aws.amazon.com/kms. Para utilizar esta política, sustituya user input placeholders por su propia información.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableSystemTablesKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "systemtables.s3.amazonaws.com"
            },
            "Action": [
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "EnableKeyUsage",
            "Effect": "Allow",
            "Principal": {
                "Service": "maintenance.s3tables.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
                }
            }
        }
    ]
}

Rol vinculado a un servicio para Lente de almacenamiento de S3

La Lente de almacenamiento de S3 utiliza un rol vinculado a un servicio para escribir métricas en tablas de S3. Este rol se crea automáticamente cuando habilita la exportación de tablas de S3 por primera vez en la cuenta. Este rol vinculado a un servicio incluye los siguientes permisos:

s3tables:CreateTable: para crear tablas en el bucket de tablas de aws-s3
s3tables:PutTableData: para escribir datos de métricas en tablas
s3tables:GetTable: para recuperar los metadatos de las tablas

No es necesario crear o administrar manualmente este rol vinculado a un servicio. Para obtener más información acerca de los roles vinculados a servicios, consulte Uso de roles vinculados a servicios en la Guía del usuario de IAM.

Prácticas recomendadas para los permisos

Siga estas prácticas recomendadas cuando configure permisos para tablas de Lente de almacenamiento de S3:

Utilice el privilegio mínimo: conceda solo los permisos necesarios para tareas específicas. Por ejemplo, si los usuarios solo necesitan consultar datos, no conceda permisos para modificar las configuraciones de Lente de almacenamiento.
Utilice roles de IAM: utilice roles de IAM en lugar de claves de acceso a largo plazo para las aplicaciones y los servicios que acceden a las tablas de Lente de almacenamiento de S3.
Habilite AWS CloudTrail: habilite el registro de CloudTrail para supervisar el acceso a las tablas de Lente de almacenamiento de S3 y realizar un seguimiento de los cambios de permisos.
Utilice políticas basadas en recursos: cuando sea posible, use políticas basadas en recursos para controlar el acceso a tablas o espacios de nombres específicos.
Revise los permisos con regularidad: revise y audite periódicamente las políticas de IAM y los permisos de Lake Formation para asegurarse de que siguen el principio del privilegio mínimo.

Solución de problemas de permisos

Acceso denegado cuando se habilita la exportación de tablas de S3

Problema: recibe un error de “acceso denegado” al intentar habilitar la exportación de tablas de S3.

Solución: compruebe que el usuario o el rol de IAM tenga el permiso s3:PutStorageLensConfiguration y los permisos de tablas de S3 necesarios.

Acceso denegado al consultar tablas

Problema: recibe un error de “acceso denegado” al consultar las tablas de Lente de almacenamiento de S3 en Amazon Athena.

Solución: compruebe lo siguiente:

La integración de análisis está habilitada en el bucket de tablas de aws-s3.
Los permisos de Lake Formation están configurados correctamente.
El rol o usuario de IAM tiene los permisos de Amazon Athena necesarios.

Errores de cifrado de KMS

Problema: recibe errores relacionados con KMS al acceder a las tablas cifradas.

Solución: compruebe lo siguiente:

La política de IAM incluye los permisos de KMS necesarios.
La política de claves de KMS otorga permisos a la entidad principal de servicio de Lente de almacenamiento de S3.
La clave de KMS está en la misma región que la configuración de lente de almacenamiento.

Siguientes pasos

Información sobre Configuración de permisos de Lente de almacenamiento de Amazon S3
Información sobre Consulta de datos de Lente de almacenamiento de S3 con herramientas de análisis
Información sobre Uso de asistentes de IA con tablas de lente de almacenamiento de S3

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Esquemas de tablas de S3

Consulta con herramientas de análisis