Übersicht über die Verwaltung von Zugriffsberechtigungen

Zugriffskontrolle

Um AWS Data Exchange Ressourcen zu erstellen, zu aktualisieren, zu löschen oder aufzulisten, benötigen Sie Berechtigungen, um den Vorgang auszuführen und auf die entsprechenden Ressourcen zuzugreifen. Um den Vorgang programmgesteuert ausführen zu können, benötigen Sie außerdem gültige Zugriffsschlüssel.

Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre Ressourcen AWS Data Exchange

Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Benutzern, Gruppen und Rollen Berechtigungsrichtlinien zuordnen. Einige Services (wie z. B. AWS Lambda) unterstützen auch das Zuordnen von Berechtigungsrichtlinien zu Ressourcen.

Anmerkung

Ein Kontoadministrator (oder Administrator) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter Bewährte Methoden für IAM.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
IAM-Benutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Themen

AWS Data Exchange Ressourcen und Abläufe
Grundlegendes zum Eigentum an Ressourcen
Verwaltung des Zugriffs auf -Ressourcen
Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
Angeben von Bedingungen in einer Richtlinie

AWS Data Exchange Ressourcen und Abläufe

AWS Data Exchange In gibt es zwei verschiedene Arten von Primärressourcen mit unterschiedlichen Kontrollebenen:

Die Hauptressourcen für AWS Data Exchange sind Datensätze und Jobs. AWS Data Exchange unterstützt auch Revisionen und Ressourcen.
Um Transaktionen zwischen Anbietern und Abonnenten zu erleichtern, verwendet AWS Data Exchange auch AWS Marketplace Konzepte und Ressourcen, darunter Produkte, Angebote und Abonnements. Sie können die AWS Marketplace Katalog-API oder die AWS Data Exchange Konsole verwenden, um Ihre Produkte, Angebote, Abonnementanfragen und Abonnements zu verwalten.

Grundlegendes zum Eigentum an Ressourcen

Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der Prinzipalentität (d. h. der AWS-Konto Root-Benutzer, ein Benutzer oder eine Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich.

Ressourceneigentümerschaft

Jede IAM-Entität in einer AWS-Konto mit den richtigen Berechtigungen kann AWS Data Exchange Datensätze erstellen. Wenn eine IAM-Entität einen Datensatz erstellt, ist sie AWS-Konto Eigentümer des Datensatzes. Veröffentlichte Datenprodukte können Datensätze enthalten, die nur demjenigen gehören AWS-Konto , der sie erstellt hat.

Um ein AWS Data Exchange Produkt zu abonnieren, benötigt die IAM-Entität zusätzlich zu den aws-marketplace:AcceptAgreementRequest IAM-Berechtigungen für die Nutzung AWS Data Exchange AWS Marketplace (vorausgesetzt aws-marketplace:subscribeaws-marketplace:aws-marketplace:CreateAgreementRequest, sie besteht alle zugehörigen Abonnementprüfungen). Als Abonnent hat Ihr Konto Lesezugriff auf berechtigte Datensätze, besitzt jedoch nicht die berechtigten Datensätze. Alle berechtigten Datensätze, die nach Amazon S3 exportiert werden, sind Eigentum des Abonnenten AWS-Konto.

Verwaltung des Zugriffs auf -Ressourcen

In diesem Abschnitt wird die Verwendung von IAM im Kontext von AWS Data Exchange beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Informationen zur Syntax und Beschreibungen der IAM-Richtlinien finden Sie unter AWS Identity and Access Management Policy Reference im IAM-Benutzerhandbuch.

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

An eine IAM-Identität angefügte Richtlinien werden als identitätsbasierte Richtlinien (oder IAM-Richtlinien) bezeichnet. Mit einer Ressource verknüpfte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet. AWS Data Exchange unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).

Themen

Identitätsbasierte Richtlinien und Berechtigungen
Ressourcenbasierte Richtlinien

Identitätsbasierte Richtlinien und Berechtigungen

AWS Data Exchange stellt eine Reihe verwalteter Richtlinien bereit. Weitere Informationen zu ihnen und ihren Berechtigungen finden Sie unterAWS verwaltete Richtlinien für AWS Data Exchange.

Amazon-S3-Berechtigungen

Wenn Sie Assets von Amazon S3 nach importieren AWS Data Exchange, benötigen Sie Berechtigungen, um in die AWS Data Exchange Service S3-Buckets zu schreiben. Ebenso benötigen Sie beim Exportieren von Assets von AWS Data Exchange zu Amazon S3 Berechtigungen, um aus den AWS Data Exchange Service S3-Buckets zu lesen. Diese Berechtigungen sind in den zuvor genannten Richtlinien enthalten, aber Sie können auch Ihre eigene Richtlinie erstellen, um genau das zu ermöglichen, was Ihre Benutzer tun dürfen. Sie können diese Berechtigungen auf Buckets beschränken, die aws-data-exchange in ihrem Namen enthalten, und die CalledViaBerechtigung verwenden, um die Verwendung der Berechtigung AWS Data Exchange auf Anfragen zu beschränken, die im Namen des Prinzipals gestellt wurden.

Sie könnten beispielsweise eine Richtlinie erstellen, die das Importieren und Exportieren ermöglicht, in AWS Data Exchange die diese Berechtigungen eingeschlossen sind.


{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": "s3:GetObject",
          "Resource": "arn:aws:s3:::*aws-data-exchange*",
          "Condition": {
            "ForAnyValue:StringEquals": {
              "aws:CalledVia":[
                "dataexchange.amazonaws.com"
              ]
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "s3:PutObject",
            "s3:PutObjectAcl"
          ],
          "Resource": "arn:aws:s3:::*aws-data-exchange*",
          "Condition": {
            "ForAnyValue:StringEquals": {
              "aws:CalledVia":[
                "dataexchange.amazonaws.com"
              ]
            }
          }
        },
    ]
}

Diese Berechtigungen ermöglichen es Anbietern, mit zu importieren und zu exportieren AWS Data Exchange. Die Richtlinie umfasst die folgenden Berechtigungen und Einschränkungen:

s3: PutObject und s3: PutObjectAcl — Diese Berechtigungen sind nur auf S3-Buckets beschränkt, die aws-data-exchange in ihrem Namen Folgendes enthalten. Diese Berechtigungen ermöglichen es Anbietern, beim Import aus Amazon S3 in AWS Data Exchange Service-Buckets zu schreiben.
s3: GetObject — Diese Berechtigung ist auf S3-Buckets beschränkt, die aws-data-exchange in ihrem Namen Folgendes enthalten. Mit dieser Berechtigung können Kunden beim Export von AWS Data Exchange zu Amazon S3 aus AWS Data Exchange Service-Buckets lesen.
Diese Berechtigungen sind auf Anfragen beschränkt, die AWS Data Exchange mithilfe der CalledVia IAM-Bedingung gestellt wurden. Dadurch können die PutObject S3-Berechtigungen nur im Kontext der AWS Data Exchange Konsole oder API verwendet werden.
AWS Lake Formationund AWS Resource Access Manager(AWS RAM) — Um AWS Lake Formation Datensätze verwenden zu können, müssen Sie die Einladung zum AWS RAM Teilen für jeden neuen Anbieter annehmen, bei dem Sie ein Abonnement abgeschlossen haben. Um die Einladung zum AWS RAM Teilen annehmen zu können, müssen Sie eine Rolle übernehmen, die berechtigt ist, eine Einladung zum AWS RAM Teilen anzunehmen. Weitere Informationen darüber, wie Richtlinien AWS verwaltet werden AWS RAM, finden Sie unter Verwaltete Richtlinien für AWS RAM.
Um AWS Lake Formation Datensätze zu erstellen, müssen Sie den Datensatz mit einer angenommenen Rolle erstellen, an die IAM eine Rolle übergeben AWS Data Exchange kann. Auf diese Weise können AWS Data Exchange Sie in Ihrem Namen Genehmigungen für Lake Formation Formation-Ressourcen erteilen und widerrufen. Nachfolgend finden Sie ein Beispiel für eine Richtlinie:
```
{
    "Effect": "Allow",
    "Action": "iam:PassRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
             "iam:PassedToService": "dataexchange.amazonaws.com"
        }
    }
}
```

Anmerkung

Ihre Benutzer benötigen möglicherweise auch zusätzliche Berechtigungen, um in Ihre eigenen S3-Buckets und Objekte zu lesen oder aus ihnen zu schreiben, die in diesem Beispiel nicht behandelt werden.

Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Thema Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Ressourcenbasierte Richtlinien

AWS Data Exchange unterstützt keine ressourcenbasierten Richtlinien.

Andere Dienste, wie Amazon S3, unterstützen ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten.

Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale

Um sie verwenden zu können AWS Data Exchange, müssen Ihre Benutzerberechtigungen in einer IAM-Richtlinie definiert sein.

Grundlegende Richtlinienelemente:

Ressource – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Alle AWS Data Exchange API-Operationen unterstützen Berechtigungen auf Ressourcenebene (RLP), AWS Marketplace Aktionen unterstützen RLP jedoch nicht. Weitere Informationen finden Sie unter AWS Data Exchange Ressourcen und Abläufe.
Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten.
Wirkung — Sie geben den Effekt an (zulassen oder verweigern), wenn der Benutzer die bestimmte Aktion anfordert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. Bei ressourcenbasierten Richtlinien geben Sie den Benutzer, das Konto, den Dienst oder die andere Entität an, für die Sie Berechtigungen erhalten möchten (gilt nur für ressourcenbasierte Richtlinien). AWS Data Exchange unterstützt keine ressourcenbasierten Richtlinien.

Weitere Informationen zur Syntax und Beschreibungen der IAM-Richtlinien finden Sie unter AWS Identity and Access Management Policy Reference im IAM-Benutzerhandbuch.

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Die CancelJob API-Operationen CreateJob WithStartJob,GetJob, und unterstützen bedingte Berechtigungen. AWS Data Exchange Sie können Berechtigungen auf der JobType Ebene bereitstellen.

AWS Data Exchange Referenz zum Bedingungsschlüssel
Bedingungsschlüssel	Beschreibung	Typ
`"dataexchange:JobType":"IMPORT_ASSETS_FROM_S3"`	Geltungsbereich von Berechtigungen für Jobs, die Assets aus Amazon S3 importieren.	String
`"dataexchange:JobType":IMPORT_ASSETS_FROM_LAKE_FORMATION_TAG_POLICY" (Preview)`	Schränkt die Berechtigungen auf Jobs ein, aus denen Assets importiert werden AWS Lake Formation (Vorschau)	String
`"dataexchange:JobType":"IMPORT_ASSET_FROM_SIGNED_URL"`	Geltungsbereich von Berechtigungen auf Jobs, die Assets von einer signierten URL importieren.	String
`"dataexchange:JobType":"IMPORT_ASSET_FROM_REDSHIFT_DATA_SHARES"`	Geltungsbereich von Berechtigungen für Jobs, die Assets aus Amazon Redshift importieren.	String
`"dataexchange:JobType":"IMPORT_ASSET_FROM_API_GATEWAY_API"`	Geltungsbereich von Berechtigungen für Jobs, die Assets aus Amazon API Gateway importieren.	String
`"dataexchange:JobType":"EXPORT_ASSETS_TO_S3"`	Geltungsbereich von Berechtigungen für Jobs, die Assets nach Amazon S3 exportieren.	String
`"dataexchange:JobType":"EXPORT_ASSETS_TO_SIGNED_URL"`	Schränkt die Berechtigungen auf Jobs ein, die Assets an eine signierte URL exportieren.	String
`"dataexchange:JobType":EXPORT_REVISIONS_TO_S3"`	Schränkt die Berechtigungen auf Jobs ein, die Revisionen nach Amazon S3 exportieren.	String

Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema Bedingung im IAM Benutzerhandbuch.

Um Bedingungen auszudrücken, verwenden Sie vordefinierte Bedingungsschlüssel. AWS Data Exchange hat die JobType Bedingung für API-Operationen. Es gibt jedoch AWS zahlreiche Bedingungsschlüssel, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS Wide Keys finden Sie im IAM-Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identity and Access Management

Referenz für API-Berechtigungen