Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden von Tags mit S3-Tabellen
<a name="table-tagging"></a>

Ein AWS Tag ist ein Schlüssel-Wert-Paar, das Metadaten zu Ressourcen enthält, in diesem Fall Amazon S3-Tabellen. Sie können S3-Tabellen kennzeichnen, wenn Sie sie erstellen, oder Tags für bestehende Tabellen verwalten. Allgemeine Informationen zur Verwendung von Tags finden Sie unter [Kennzeichnung für die Kostenzuweisung oder attributbasierte Zugriffskontrolle (ABAC)](tagging.md).

**Anmerkung**  
Für die Verwendung von Tags in Tabellen fallen keine zusätzlichen Gebühren an, die über die standardmäßigen S3-API-Anforderungsraten hinausgehen. Weitere Informationen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).

## Gängige Methoden zur Verwendung von Tags mit Tabellen
<a name="common-ways-to-use-tags-table"></a>

Verwenden Sie Tags in Ihren S3-Tabellen für:

1. **Kostenzuweisung** — Verfolgen Sie die Speicherkosten anhand der Tabellenkennung AWS Fakturierung und Kostenmanagement. Weitere Informationen finden Sie unter [Verwendung von Tags für die Kostenzuweisung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-cost-allocation).

1. **Attributbasierte Zugriffskontrolle (ABAC)** — Skalieren Sie die Zugriffsberechtigungen und gewähren Sie Zugriff auf S3-Tabellen auf der Grundlage ihrer Tags. Weitere Informationen finden Sie unter [Verwendung von Tags für ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac).

**Anmerkung**  
Sie können dieselben Tags sowohl für die Kostenzuweisung als auch für die Zugriffskontrolle verwenden.

### ABAC für S3-Tabellen
<a name="abac-for-tables"></a>

Amazon S3 S3-Tabellen unterstützen die attributebasierte Zugriffskontrolle (ABAC) mithilfe von Tags. Verwenden Sie Tag-basierte Bedingungsschlüssel in Ihren AWS Organisationen, AWS Identity and Access Management (IAM) und in den S3-Tabellenrichtlinien. ABAC in Amazon S3 unterstützt die Autorisierung über mehrere AWS Konten hinweg. 

In Ihren IAM-Richtlinien können Sie den Zugriff auf S3-Tabellen anhand der Tags der Tabelle steuern, indem Sie den `s3tables:TableBucketTag/tag-key` Bedingungsschlüssel oder die [AWS globalen Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys) verwenden: `aws:ResourceTag/key-name``aws:RequestTag/key-name`, oder. `aws:TagKeys` 

#### aws: /Schlüsselname ResourceTag
<a name="table-condition-key-resource-tag"></a>

Verwenden Sie diesen Bedingungsschlüssel, um das Tag-Schlüssel-Wert-Paar, das Sie in der Richtlinie angeben, mit dem Schlüssel-Wert-Paar zu vergleichen, das der Ressource zugeordnet ist. Sie könnten beispielsweise verlangen, dass der Zugriff auf eine Tabelle nur zulässig ist, wenn die Tabelle den Tag-Schlüssel `Department` mit dem Wert enthält. `Marketing`

Dieser Bedingungsschlüssel gilt für Tabellenaktionen, die mit der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI), S3 APIs oder dem AWS SDKs, ausgeführt werden.

Eine Beispielrichtlinie finden Sie unter [1.1 — Tabellenrichtlinie zur Einschränkung von Operationen an der Tabelle mithilfe von Tags](#example-policy-table-resource-tag).

Weitere Beispielrichtlinien und weitere Informationen finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources) im *AWS Identity and Access Management Benutzerhandbuch*.

**Anmerkung**  
Bei Aktionen, die an Tabellen ausgeführt werden, wirkt sich dieser Bedingungsschlüssel auf die Tags aus, die auf die Tabelle angewendet wurden, und nicht auf die Tags, die auf den Tabellen-Bucket angewendet wurden, der die Tabelle enthält. Verwenden Sie `s3tables:TableBucketTag/tag-key` stattdessen den, wenn Sie möchten, dass Ihre ABAC-Richtlinien bei der Ausführung von Tabellenaktionen auf die Tags des Tabellen-Buckets einwirken. 

#### aws: /Schlüsselname RequestTag
<a name="table-condition-key-request-tag"></a>

Verwenden Sie diesen Bedingungsschlüssel, um das Tag-Schlüssel-Wert-Paar, das in der Anfrage übergeben wurde, mit dem Tag-Paar zu vergleichen, das Sie in der Richtlinie angeben. Sie könnten beispielsweise überprüfen, ob die Anforderung, eine Tabelle zu taggen, den Tag-Schlüssel enthält `Department` und ob sie den Wert enthält. `Accounting` 

Dieser Bedingungsschlüssel gilt, wenn Tag-Schlüssel in einer Anfrage `TagResource` oder einer `CreateTable` API-Operation übergeben werden oder wenn eine Tabelle mit Tags über die Amazon S3 S3-Konsole, die AWS Befehlszeilenschnittstelle (CLI) oder die AWS SDKs erstellt wird. 

Eine Beispielrichtlinie finden Sie unter [1.2 — IAM-Richtlinie zum Erstellen oder Ändern von Tabellen mit bestimmten Tags](#example-policy-table-request-tag).

Weitere Beispielrichtlinien und weitere Informationen finden Sie unter [Steuern des Zugriffs bei AWS Anfragen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests) im *AWS Identity and Access Management Benutzerhandbuch*.

#### als: TagKeys
<a name="table-condition-key-tag-keys"></a>

Verwenden Sie diesen Bedingungsschlüssel, um die Tag-Schlüssel in einer Anfrage mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben, um zu definieren, auf welche Tag-Schlüssel zugegriffen werden darf. Um beispielsweise das Markieren während der `CreateTable` Aktion zu ermöglichen, müssen Sie eine Richtlinie erstellen, die sowohl die als auch die `s3tables:TagResource` `s3tables:CreateTable` Aktionen zulässt. Anschließend können Sie mithilfe des `aws:TagKeys` Bedingungsschlüssels erzwingen, dass nur bestimmte Tags in der `CreateTable` Anfrage verwendet werden. 

Dieser Bedingungsschlüssel gilt, wenn Tag-Schlüssel in einer`TagResource`,`UntagResource`, oder `CreateTable` API-Operation übergeben werden oder wenn das Markieren, Enttaggen oder Erstellen einer Tabelle mit Tags mithilfe der AWS Befehlszeilenschnittstelle (CLI) oder der. AWS SDKs 

Eine Beispielrichtlinie finden Sie unter [1.3 — IAM-Richtlinie zur Steuerung der Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance](#example-policy-table-tag-keys).

*Weitere Beispielrichtlinien und weitere Informationen finden Sie unter [Steuern des Zugriffs anhand von Tagschlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys) im AWS Identity and Access Management Benutzerhandbuch.*

#### s3tables: /tag-key TableBucketTag
<a name="table-bucket-tag-condition-key"></a>

Verwenden Sie diesen Bedingungsschlüssel, um mithilfe von Tags Berechtigungen für bestimmte Daten in Tabellen-Buckets zu erteilen. Dieser Bedingungsschlüssel wirkt sich größtenteils auf die Tags aus, die dem Tabellen-Bucket für alle Aktionen in S3-Tabellen zugewiesen wurden. Selbst wenn Sie eine Tabelle mit Tags erstellen, wirkt sich dieser Bedingungsschlüssel auf die Tags aus, die auf den Tabellen-Bucket angewendet wurden, der diese Tabelle enthält. Die Ausnahmen sind: 
+ Wenn Sie einen Tabellen-Bucket mit Tags erstellen, wirkt sich dieser Bedingungsschlüssel auf die Tags in der Anfrage aus.

Eine Beispielrichtlinie finden Sie unter [1.4 — Verwendung des Bedingungsschlüssels s3tables: TableBucketTag](#example-policy-table-bucket-tag-tables).

#### Beispiel für ABAC-Richtlinien für Tabellen
<a name="example-table-abac-policies"></a>

Sehen Sie sich das folgende Beispiel für ABAC-Richtlinien für Amazon S3-Tabellen an.

**Anmerkung**  
Wenn Sie über eine ressourcenbasierte Richtlinie für IAM oder S3-Tabellen verfügen, die IAM-Benutzer und IAM-Rollen auf der Grundlage von Prinzipal-Tags einschränkt, müssen Sie der IAM-Rolle, die Lake Formation für den Zugriff auf Ihre Amazon S3 S3-Daten verwendet, dieselben Prinzipal-Tags zuordnen (z. B. LakeFormationDataAccessRole) und dieser Rolle die erforderlichen Berechtigungen erteilen. Dies ist erforderlich, damit Ihre tagbasierte Zugriffskontrollrichtlinie ordnungsgemäß mit Ihrer Analyseintegration von S3 Tables funktioniert. 

##### 1.1 — Tabellenrichtlinie zur Einschränkung von Operationen an der Tabelle mithilfe von Tags
<a name="example-policy-table-resource-tag"></a>

In dieser Tabellenrichtlinie können die angegebenen IAM-Prinzipale (Benutzer und Rollen) die `GetTable` Aktion nur ausführen, wenn der Wert des `project` Tabellen-Tags mit dem Wert des `project` Prinzipal-Tags übereinstimmt.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowGetTable",
      "Effect": "Allow",
      "Principal": {
        "AWS": "{{111122223333}}"
      },
      "Action": "s3tables:GetTable",
      "Resource": "arn:aws::s3tables:{{us-west-2}}:{{111122223333}}:bucket/{{amzn-s3-demo-table-bucket}}/{{my_example_tab;e}}",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/{{project}}": "${aws:PrincipalTag/{{project}}}"
        }
      }
    }
  ]
}
```

##### 1.2 — IAM-Richtlinie zum Erstellen oder Ändern von Tabellen mit bestimmten Tags
<a name="example-policy-table-request-tag"></a>

In dieser IAM-Richtlinie können Benutzer oder Rollen mit dieser Richtlinie nur S3-Tabellen erstellen, wenn sie die Tabelle mit dem Tag-Schlüssel `project` und dem Tag-Wert `Trinity` in der Anfrage zur Tabellenerstellung kennzeichnen. Sie können auch Tags zu vorhandenen S3-Tabellen hinzufügen oder ändern, sofern die `TagResource` Anfrage das Tag-Schlüssel-Wert-Paar enthält. `project:Trinity` Diese Richtlinie gewährt keine Lese-, Schreib- oder Löschberechtigungen für die Tabellen oder ihre Objekte. 

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateTableWithTags",
      "Effect": "Allow",
      "Action": [
        "s3tables:CreateTable",
        "s3tables:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/{{project}}": [
            "{{Trinity}}"
          ]
        }
      }
    }
  ]
}
```

##### 1.3 — IAM-Richtlinie zur Steuerung der Änderung von Tags auf vorhandenen Ressourcen unter Beibehaltung der Tagging-Governance
<a name="example-policy-table-tag-keys"></a>

Gemäß dieser IAM-Richtlinie können IAM-Prinzipale (Benutzer oder Rollen) Tags in einer Tabelle nur ändern, wenn der Wert des Tabellen-Tags mit dem Wert des `project` Prinzipal-Tags übereinstimmt. `project` Nur die vier in den `aws:TagKeys` Bedingungsschlüsseln `cost-center` angegebenen Tags `project` `environment``owner`,, und sind für diese Tabellen zulässig. Dies hilft, die Tag-Governance durchzusetzen, verhindert unbefugte Tag-Änderungen und sorgt dafür, dass das Tagging-Schema in Ihren Tabellen konsistent bleibt.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3tables:TagResource",
        "s3tables:UntagResource"
      ],
      "Resource": "arn:aws::s3tables:{{us-west-2}}:{{111122223333}}:bucket/{{amzn-s3-demo-table-bucket}}/{{my_example_table}}",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "{{project}}",
            "{{environment}}",
            "{{owner}}",
            "{{cost-center}}"
          ]
        }
      }
    }
  ]
}
```

##### 1.4 — Verwendung des Bedingungsschlüssels s3tables: TableBucketTag
<a name="example-policy-table-bucket-tag-tables"></a>

In dieser IAM-Richtlinie erlaubt die Bedingungsanweisung den Zugriff auf die Daten des Tabellen-Buckets nur, wenn der Tabellen-Bucket den Tag-Schlüssel `Environment` und den Tag-Wert enthält. `Production` Der `s3tables:TableBucketTag/<tag-key>` unterscheidet sich vom `aws:ResourceTag/<tag-key>` Bedingungsschlüssel darin, dass Sie nicht nur den Zugriff auf Tabellen-Buckets anhand ihrer Tags steuern, sondern auch den Zugriff auf Tabellen anhand der Tags im übergeordneten Tabellen-Bucket steuern können.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificTables",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3tables:{{us-west-2}}:{{111122223333}}:bucket/{{amzn-s3-demo-table-bucket}}/*",
      "Condition": {
        "StringEquals": {
          "s3tables:TableBucketTag/Environment": "Production"
        }
      }
    }
  ]
}
```

## Tags für Tabellen verwalten
<a name="table-working-with-tags"></a>

Sie können Tags für S3-Tabellen mithilfe der Amazon S3 S3-Konsole, der AWS Befehlszeilenschnittstelle (CLI) AWS SDKs, der oder mithilfe von S3 APIs: [TagResource[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html), und hinzufügen oder verwalten [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html). Weitere Informationen finden Sie unter:

**Topics**
+ [Gängige Methoden zur Verwendung von Tags mit Tabellen](#common-ways-to-use-tags-table)
+ [Tags für Tabellen verwalten](#table-working-with-tags)
+ [Tabellen mit Tags erstellen](table-create-tag.md)
+ [Hinzufügen eines Tags zu einer Tabelle](table-tag-add.md)
+ [Tabellen-Tags anzeigen](table-tag-view.md)
+ [Löschen eines Tags aus einer Tabelle](table-tag-delete.md)