将标签与 S3 表结合使用 - Amazon Simple Storage Service
将标签与表结合使用的常用方法管理表的标签
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将标签与 S3 表结合使用

Amazon 标签是用于保存有关资源(在本例中为 Amazon S3 表)的元数据的键值对。您可以在创建 S3 表时为其添加标签,也可以管理现有表上的标签。有关标签的一般信息,请参阅添加标签以进行成本分配或基于属性的访问权限控制(ABAC)

注意

在表上使用标签时,除了标准 S3 API 请求费率之外,没有任何其他费用。有关更多信息,请参阅 Amazon S3 定价

将标签与表结合使用的常用方法

使用 S3 表上的标签来执行以下操作:

  1. 成本分配:在 Amazon Billing and Cost Management中按表标签跟踪存储成本。有关更多信息,请参阅 Using tags for cost allocation

  2. 基于属性的访问权限控制(ABAC):根据 S3 表的标签扩展访问权限并授予这些表的访问权限。有关更多信息,请参阅 Using tags for ABAC

注意

您可以将相同的标签同时用于成本分配和访问权限控制。

适用于 S3 表的 ABAC

Amazon S3 表支持使用标签进行基于属性的访问权限控制(ABAC)。请在您的 Amazon Organizations、Amazon Identity and Access Management(IAM)和 S3 表策略中使用基于标签的条件键。Amazon S3 中的 ABAC 支持跨多个 Amazon 账户进行授权。

在您的 IAM 策略中,您可以使用 s3tables:TableBucketTag/tag-key 条件键或 Amazon 全局条件键 aws:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys,根据表的标签控制对 S3 表的访问。

aws:ResourceTag/key-name

使用此条件键可将您在策略中指定的标签键值对与附加到资源的键值对进行比较。例如,您可能会要求仅在表具有标签键 Department 和值 Marketing 时才允许访问该表。

此条件键将应用于使用 Amazon S3 控制台、Amazon 命令行界面(CLI)、S3 API 或 Amazon SDK 执行的表操作。

有关策略示例,请参阅 1.1:用于使用标签限制对表的操作的表策略

有关更多示例策略和信息,请参阅《Amazon Identity and Access Management 用户指南》中的控制对 Amazon 资源的访问

注意

对于对表执行的操作,此条件键将对应用于表的标签起作用,而非应用于包含该表的表存储桶的标签。如果您希望 ABAC 策略在您执行表操作时对表存储桶的标签起作用,请改用 s3tables:TableBucketTag/tag-key

aws:RequestTag/key-name

使用此条件键可将请求中传递的标签键值对与您在策略中指定的标签对进行比较。例如,您可以检查为表添加标签的请求是否包含标签键 Department 并具有值 Accounting

TagResourceCreateTable API 操作请求中传递标签键时,或者使用 Amazon S3 控制台、Amazon 命令行界面(CLI)或 Amazon SDK 标记或创建带有标签的表时,此条件键适用。

有关策略示例,请参阅 1.2:用于创建或修改具有特定标签的表的 IAM 策略

有关更多示例策略和信息,请参阅《Amazon Identity and Access Management 用户指南》中的在 Amazon 请求期间控制访问

aws:TagKeys

使用此条件键可将请求中的标签键与您在策略中指定的键进行比较,从而定义允许用于访问操作的标签键。例如,要允许在 CreateTable 操作期间添加标签,必须创建一个同时允许 s3tables:TagResources3tables:CreateTable 操作的策略。然后,您可以使用 aws:TagKeys 条件键来强制仅在 CreateTable 请求中使用特定标签。

TagResourceUntagResourceCreateTable API 操作中传递标签键时,或者使用 Amazon 命令行界面(CLI)或 Amazon SDK 来标记、取消标记或创建带有标签的表时,此条件键适用。

有关策略示例,请参阅 1.3:用于控制对现有资源上的标签的修改以保持标签治理的 IAM 策略

有关更多示例策略和更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的根据标签键控制访问

s3tables:TableBucketTag/tag-key

使用此条件键可通过标签授予对表存储桶中特定数据的权限。此条件键主要作用于针对所有 S3 表操作分配给表存储桶的标签。即使在您创建带有标签的表时,此条件键也会对应用于包含该表的表存储桶的标签起作用。下面是一些例外情况:

  • 当您创建带有标签的表存储桶时,此条件键会对请求中的标签起作用。

有关策略示例,请参阅 1.4:使用 s3tables:TableBucketTag 条件键

适用于表的示例 ABAC 策略

请参阅以下适用于 Amazon S3 表的示例 ABAC 策略。

注意

如果您拥有基于 IAM 或 S3 表类数据存储服务资源的策略来根据主体标签限制 IAM 用户和 IAM 角色,则必须将相同的主体标签附加到 Lake Formation 用来访问 Amazon S3 数据的 IAM 角色(例如,LakeFormationDataAccessRole),并为该角色授予必要的权限。这是基于标签的访问控制策略与 S3 表类数据存储服务分析集成正常协同工作所必需的。

1.1:用于使用标签限制对表的操作的表策略

在此表策略中,指定的 IAM 主体(用户和角色)仅在表的 project 标签的值与主体的 project 标签的值匹配时,才能执行 GetTable 操作。

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowGetTable",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3tables:GetTable",
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_tab;e",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}
1.2:用于创建或修改具有特定标签的表的 IAM 策略

在此 IAM 策略中,具有此策略的用户或角色仅在以下情况下才能创建 S3 表:他们在表创建请求中使用标签键 project 和标签值 Trinity 为表添加标签。他们还可以在现有 S3 表上添加或修改标签,前提是 TagResource 请求包含标签键值对 project:Trinity。此策略不授予对表或其对象的读取、写入或删除权限。

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateTableWithTags",
      "Effect": "Allow",
      "Action": [
        "s3tables:CreateTable",
        "s3tables:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}
1.3:用于控制对现有资源上的标签的修改以保持标签治理的 IAM 策略

在此 IAM 策略中,IAM 主体(用户或角色)仅在表的 project 标签的值与主体的 project 标签的值匹配时,才能修改表上的标签。对于这些表,只允许使用在 aws:TagKeys 条件键中指定的四个标签 projectenvironmentownercost-center。这有助于强制执行标签治理,防止未经授权修改标签,并使标签架构跨表保持一致。

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3tables:TagResource",
        "s3tables:UntagResource"
      ],
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/my_example_table",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}
1.4:使用 s3tables:TableBucketTag 条件键

在此 IAM 策略中,条件语句仅在表存储桶具有标签键 Environment 和标签值 Production 时,才支持访问表存储桶的数据。s3tables:TableBucketTag/<tag-key>aws:ResourceTag/<tag-key> 条件键不同,因为除了根据标签控制对表存储桶的访问外,它还支持根据父表存储桶上的标签控制对表的访问。

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificTables",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3tables:us-west-2:111122223333:bucket/amzn-s3-demo-table-bucket/*",
      "Condition": {
        "StringEquals": {
          "s3tables:TableBucketTag/Environment": "Production"
        }
      }
    }
  ]
}

管理表的标签

您可以使用 Amazon S3 控制台、Amazon 命令行界面(CLI)、Amazon SDK 或以下 S3 API 为 S3 表添加或管理标签:TagResourceUntagResourceListTagsForResource。有关更多信息,请参阅:

主题