Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit und Berechtigungen
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
**Sicherheit der Cloud:** AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Weitere Informationen zu den Compliance-Programmen, die für das AWS Kostenmanagement gelten, finden Sie unter [AWS Services im Bereich nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
**Sicherheit in der Cloud:** Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften. Diese Dokumentation erläutert, wie das Modell der geteilten Verantwortung bei der Verwendung von Fakturierung und Kostenmanagement zum Tragen kommt. Die folgenden Themen veranschaulichen, wie Sie Fakturierung und Kostenmanagement zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie erfahren außerdem, wie Sie andere AWS -Services verwenden, um Ihre Ressourcen für Fakturierung und Kostenmanagement zu überwachen und zu schützen.
**Topics**
+ [Identitäts- und Zugriffsmanagement für Datenexporte](bcm-data-exports-access.md)
+ [Datenschutz bei Datenexporten](data-protection.md)
# Identitäts- und Zugriffsmanagement für Datenexporte
AWS Identity and Access Management (IAM) ist ein AWS Dienst, der einem Administrator hilft, den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren steuern, wer *authentifiziert* (angemeldet) und *autorisiert* (Berechtigungen besitzt) ist Fakturierungsressourcen zu nutzen. IAM ist ein AWS Dienst, den Sie ohne zusätzliche Kosten nutzen können.
Um Datenexporte verwenden zu können, muss einem IAM-Benutzer Zugriff auf Aktionen im IAM `bcm-data-exports namespace` gewährt werden. In der folgenden Tabelle finden Sie die verfügbaren Aktionen.
****
| Aktion „Datenexporte“ | Description | Zugriffsebene | Ressourcentypen | Bedingungsschlüssel |
| --- | --- | --- | --- | --- |
| CreateExport | Ermöglicht dem Benutzer, einen Export zu erstellen, und gibt Abfragen, Lieferkonfigurationen, Zeitplankonfigurationen und Inhaltskonfigurationen an. | Schreiben | Export Tabelle | aws: RequestTag /\$1 \$1\$1 TagKey war: TagKeys |
| UpdateExport | Ermöglicht dem Benutzer, einen vorhandenen Export zu aktualisieren. | Schreiben | Export Tabelle | aws: ResourceTag /\$1 \$1\$1 TagKey |
| DeleteExport | Ermöglicht dem Benutzer, einen vorhandenen Export zu löschen. | Schreiben | Export | aws: ResourceTag /\$1 \$1\$1 TagKey |
| GetExport | Ermöglicht dem Benutzer, einen vorhandenen Export anzusehen. | Lesen | Export | aws: ResourceTag /\$1 \$1\$1 TagKey |
| ListExports | Ermöglicht dem Benutzer, alle vorhandenen Exporte aufzulisten. | Lesen | | |
| GetExecution | Ermöglicht dem Benutzer, Details der angegebenen Ausführung zu sehen, einschließlich Metadaten und Schema der exportierten Daten. | Lesen | Export | aws: ResourceTag /\$1 \$1\$1 TagKey |
| ListExecutions | Ermöglicht dem Benutzer, alle Ausführungen der angegebenen Export-ID aufzulisten. | Lesen | Export | aws: ResourceTag /\$1 \$1\$1 TagKey |
| GetTable | Ermöglicht dem Benutzer, das Schema der angegebenen Tabelle abzurufen. | Lesen | Tabelle | |
| ListTables | Ermöglicht dem Benutzer, alle verfügbaren Tabellen aufzulisten. | Lesen | | |
| TagResource | Ermöglicht dem Benutzer, einen vorhandenen Export zu taggen. | Schreiben | Export | aws: ResourceTag /\$1 \$1\$1 TagKey as: RequestTag /\$1 \$1\$1 TagKey war: TagKeys |
| UntagResource | Ermöglicht dem Benutzer, die Markierung eines vorhandenen Exports aufzuheben. | Schreiben | Export | aws: ResourceTag /\$1 \$1\$1 TagKey war: TagKeys |
| ListTagsForResource | Ermöglicht dem Benutzer, Tags aufzulisten, die mit einem vorhandenen Export verknüpft sind. | Lesen | Export | aws: ResourceTag /\$1 \$1\$1 TagKey |
Weitere Informationen zur Verwendung dieser Kontextschlüssel finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) im *IAM-Benutzerhandbuch*.
In der folgenden Tabelle werden die Ressourcentypen beschrieben, die in Datenexporten verfügbar sind.
****
| Ressourcentyp | Description | ARN |
| --- | --- | --- |
| Export | Ein Export ist die von der CreateExport API erstellte Ressource. Ein Export generiert in regelmäßigen Abständen eine Abfrageausgabe für Fakturierung und Kostenmanagement. | arn: \$1 \$1Partition\$1:bcm-data-exports: \$1 \$1Region\$1 :\$1 \$1Account\$1 :export/\$1 \$1exportName\$1 - \$1UUID\$1 |
| Tabelle | Eine Tabelle besteht aus Daten in einem Zeilen-Spalten-Format, die ein Benutzer bei einem Export abfragt. Tabellen werden von AWS für Kunden erstellt und verwaltet. Tabellen können nicht von Kunden gelöscht werden. | arn: \$1 \$1Partition\$1:bcm-data-exports: \$1 \$1Region\$1 :\$1 \$1Account\$1 :table/\$1 \$1\$1 TableName |
Um Exporte der Tabellenressourcen COST\$1AND\$1USAGE\$1REPORT oder COST\$1AND\$1USAGE\$1DASHBOARD in Datenexporten zu erstellen, müssen IAM-Benutzer auch über Berechtigungen für die entsprechende Aktion in IAM verfügen. `cur` Das bedeutet, dass, wenn ein IAM-Benutzer aus irgendeinem Grund an der Verwendung von `cur` Aktionen gehindert wird, z. B. weil kein explizites Allow On `cur` oder eine Service Control Policy (SCP), die eine ausdrückliche Sperrung vorsieht`cur`, dieser IAM-Benutzer daran gehindert wird, Exporte dieser beiden Tabellen zu erstellen oder zu aktualisieren.
Die folgende Tabelle zeigt, welche `cur` Aktion für welche `bcm-data-exports` Aktionen unter Datenexporte für diese beiden Tabellen erforderlich ist.
****
| Aktion „Datenexporte“ | Ressourcen in der Tabelle | Zusätzliche erforderliche Aktionen in IAM |
| --- | --- | --- |
| bcm-data-exports:CreateExport | BERICHT ÜBER KOSTEN UND NUTZUNG DASHBOARD FÜR KOSTEN UND NUTZUNG | kurieren: PutReportDefinition |
## Beispiel für eine Richtlinie
Erlauben Sie IAM-Benutzern unter Datenexporte vollen Zugriff auf CUR 2.0-Exporte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewDataExportsTablesAndExports",
"Effect": "Allow",
"Action": [
"bcm-data-exports:ListTables",
"bcm-data-exports:ListExports",
"bcm-data-exports:GetExport"
],
"Resource": "*"
},
{
"Sid": "CreateCurExports",
"Effect": "Allow",
"Action": "bcm-data-exports:*",
"Resource": [
"arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
"arn:aws:bcm-data-exports:*:*:export/*"
]
},
{
"Sid": "CurDataAccess",
"Effect": "Allow",
"Action": "cur:PutReportDefinition",
"Resource": "*"
}
]
}
```
------
Weitere Informationen zur Zugriffskontrolle und zu IAM-Berechtigungen für die Verwendung von Datenexporten in Billing and Cost Management finden Sie unter [Überblick über die Verwaltung von Zugriffsberechtigungen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html).
### Erstellen Sie ein Pro-forma-CUR 2.0 AWS
Um eine Pro-forma-CUR 2.0 zu erstellen, müssen Sie die folgende IAM-Richtlinie einbeziehen:
Erlauben Sie IAM-Benutzern vollen Zugriff auf CUR 2.0 und Billing Group Billing View.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateCur20AnyBillingView",
"Effect": "Allow",
"Action": "bcm-data-exports:CreateExport",
"Resource": [
"arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
"arn:aws:bcm-data-exports:*:*:export/*",
"arn:aws:billing::*:billingview/*"
]
},{
"Sid": "CurDataAccess",
"Effect": "Allow",
"Action": "cur:PutReportDefinition",
"Resource": "*"
}
]
}
```
------
Wenn Sie möchten, dass eine IAM-Rolle Zugriff auf eine bestimmte Abrechnungsgruppe hat, können Sie den Billing View-ARN hinzufügen, auf den die Rolle zugreifen darf.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateSpecificBillingViewCur20",
"Effect": "Allow",
"Action": "bcm-data-exports:CreateExport",
"Resource": [
"arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
"arn:aws:bcm-data-exports:*:*:export/*",
"arn:aws:billing::444455556666:billingview/billing-group-111122223333"
]
},{
"Sid": "CurDataAccess",
"Effect": "Allow",
"Action": "cur:PutReportDefinition",
"Resource": "*"
}
]
}
```
------
# Datenschutz bei Datenexporten
Erfahren Sie, wie das Modell der AWS gemeinsamen Verantwortung für den Datenschutz bei Datenexporten gilt.
## Bewährte Methoden zur S3-Sicherheit
Data Exports liefert Ihre Abrechnungs- und Kostenverwaltungsdaten in einen Amazon S3 S3-Bucket. Es gibt eine Reihe von Schritten, die Sie ergreifen können, um sicherzustellen, dass Ihr S3-Bucket sicher ist. Weitere Informationen finden Sie unter [Bewährte Sicherheitsmethoden für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) im *Amazon S3 S3-Benutzerhandbuch*.
## Datenverschlüsselung in S3
Standardmäßig werden Ihre Datenexporte serverseitig mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) verschlüsselt. Wenn Sie die Amazon Key Management Service (KMS) -Verschlüsselung (SSE-KMS) verwenden möchten, um Ihre Exporte zu verschlüsseln, müssen Sie die Verschlüsselung mit KMS auslösen, nachdem der Export zugestellt wurde. Weitere Informationen finden Sie unter [Einstellung des standardmäßigen serverseitigen Verschlüsselungsverhaltens für Amazon S3 S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) im *Amazon S3 S3-Benutzerhandbuch*.