Pré-requisitos do Timestream para UNLOAD LiveAnalytics - Amazon Timestream

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos do Timestream para UNLOAD LiveAnalytics

A seguir estão os pré-requisitos para gravar dados no S3 usando UNLOAD o Timestream for. LiveAnalytics

  • Você deve ter permissão para ler dados do Timestream para que as LiveAnalytics tabelas sejam usadas em um UNLOAD comando.

  • Você deve ter um bucket do Amazon S3 na mesma AWS região do seu Timestream para obter recursos. LiveAnalytics

  • Para o bucket do S3 selecionado, certifique-se de que a política do bucket do S3 também tenha permissões para permitir que o Timestream exporte LiveAnalytics os dados.

  • As credenciais usadas para executar a UNLOAD consulta devem ter as permissões necessárias de AWS Identity and Access Management (IAM) que permitam ao Timestream gravar os dados no S3. LiveAnalytics Um exemplo de política seria o seguinte:

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "timestream:Select",
                "timestream:ListMeasures",
                "timestream:WriteRecords",
                "timestream:Unload"
            ],
            "Resource": "arn:aws:timestream:<region>:<account_id>:database/<database_name>/table/<table_name>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketAcl",
                "s3:PutObject",
                "s3:GetObjectMetadata",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::<S3_Bucket_Created>",
                "arn:aws:s3:::<S3_Bucket_Created>/*"
            ]
        }
    ]
}

Para obter mais informações sobre essas permissões de gravação do S3, consulte o guia do Amazon Simple Storage Service. Se você estiver usando uma KMS chave para criptografar os dados exportados, consulte a seguir as IAM políticas adicionais necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
            "kms:DescribeKey",
            "kms:Decrypt",
            "kms:GenerateDataKey*"
        ],
        "Resource": "<account_id>-arn:aws:kms:<region>:<account_id>:key/*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "kms:ResourceAliases": "alias/<Alias_For_Generated_Key>"
            }
        }
    }, {
        "Effect": "Allow",
        "Action": [
            "kms:CreateGrant"
        ],
        "Resource": "<account_id>-arn:aws:kms:<region>:<account_id>:key/*",
        "Condition": {
            "ForAnyValue:StringEquals": {
                "kms:EncryptionContextKeys": "aws:timestream:<database_name>"
            },
            "Bool": {
                "kms:GrantIsForAWSResource": true
            },
            "StringLike": {
                "kms:ViaService": "timestream.<region>.amazonaws.com"
            },
            "ForAnyValue:StringLike": {
                "kms:ResourceAliases": "alias/<Alias_For_Generated_Key>"
            }
        }
    }
]
}