# 用于查询元数据表的权限
<a name="metadata-tables-bucket-query-permissions"></a>

在可以查询 S3 元数据日记表和实时清单表之前，您必须拥有某些 S3 表类数据存储服务权限。如果元数据表已通过使用 Amazon Key Management Service（Amazon KMS）密钥的服务器端加密（SSE-KMS）进行加密，您还必须拥有用于解密表数据的 `kms:Decrypt` 权限。

创建元数据表配置时，元数据表存储在 Amazon 托管式表存储桶中。您的账户和同一区域中的所有元数据表配置都存储在名为 `aws-s3` 的单个 Amazon 托管式表存储桶中。

要查询元数据表，可以使用以下示例策略。要使用此策略，请将 `{{user input placeholders}}` 替换为您自己的信息。

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"PermissionsToQueryMetadataTables",
         "Effect":"Allow",
         "Action":[
             "s3tables:GetTable",
             "s3tables:GetTableData",
             "s3tables:GetTableMetadataLocation",
             "kms:Decrypt"
         ],
         "Resource":[
            "arn:aws:s3tables:{{us-east-1}}:{{111122223333}}:bucket/aws-s3",
            "arn:aws:s3tables:{{us-east-1}}:{{111122223333}}:bucket/aws-s3/table/*",
            "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{01234567-89ab-cdef-0123-456789abcdef}}"
         ]
       }
    ]
}
```