本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon S3 策略Amazon IoT Analytics资源
您可以将处理过的数据存储消息存储在 Amazon S3 存储桶中Amazon IoT Analytics或者是你管理的。创建数据存储时,使用选择所需的 Amazon S3 存储桶datastoreStorage
API 参数。默认设置是服务管理的 Amazon S3 存储桶。
如果您选择将数据存储消息存储在您管理的 Amazon S3 存储桶中,则必须授予Amazon IoT Analytics允许您在 Amazon S3 存储桶上执行这些操作:
-
s3:GetBucketLocation
-
s3:PutObject
-
s3:DeleteObject
如果您使用数据存储作为 SQL 查询数据集的源,请设置一个 Amazon S3 存储桶策略来授予Amazon IoT Analytics允许对您的存储桶中的内容调用 Amazon Athena 查询。
注意
我们建议您指定aws:SourceArn
在您的存储桶策略中,有助于避免出现混淆代理安全问题。这通过仅允许来自指定账户的请求来限制访问。有关混淆代理人问题的更多信息,请参阅跨服务混淆代理问题防范.
以下是授予这些所需权限的存储桶策略示例。
{ "Version": "2012-10-17", "Id": "MyPolicyID", "Statement": [ { "Sid": "MyStatementSid", "Effect": "Allow", "Principal": { "Service": "iotanalytics.amazonaws.com" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::
DOC-EXAMPLE-BUCKET
", "arn:aws:s3:::DOC-EXAMPLE-BUCKET
/*" ], "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:iotanalytics:us-east-1
:123456789012
:dataset/DOC-EXAMPLE-DATASET
", "arn:aws:iotanalytics:us-east-1
:123456789012
:datastore/DOC-EXAMPLE-DATASTORE
" ] } } } ] }
有关更多信息,请参阅 。跨账户访问权限在Amazon Athena 用户指南.
注意
如果您更新客户管理的数据存储的选项或权限,则可能需要重新处理渠道数据,以确保数据集内容中包含以前摄取的所有数据。有关更多信息,请参阅 。重新处理通道数据.