Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von mehreren Rechenzentren und einer Netzwerkarchitektur, die auf die Anforderungen der sicherheitssensibelsten Unternehmen zugeschnitten ist.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Im [Modell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/) wird Folgendes mit „Sicherheit der Cloud“ bzw. „Sicherheit in der Cloud“ umschrieben:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Die Wirksamkeit unserer Sicherheitsmaßnahmen wird im Rahmen von [AWS Compliance-Programmen](https://aws.amazon.com/compliance/programs/) regelmäßig von externen Prüfern getestet und verifiziert. Weitere Informationen zu den Compliance-Programmen, die für gelten AWS Data Exchange, finden Sie unter [AWS Services in Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung hängt von den AWS Diensten ab, die Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, darunter die Sensibilität Ihrer Daten, die Anforderungen Ihres Unternehmens und die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung anwenden können, wenn Sie es verwenden AWS Data Exchange. In den folgenden Themen erfahren Sie, wie Sie die Konfiguration vornehmen AWS Data Exchange , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Ihnen bei der Überwachung und Sicherung Ihrer AWS Data Exchange Ressourcen helfen.
# Datenschutz in AWS Data Exchange
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS Data Exchange. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole, der AWS Data Exchange API oder auf andere AWS-Services Weise arbeiten oder diese verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
AWS Data Exchange bietet die folgenden Optionen, mit denen Sie den Inhalt Ihrer Datensätze schützen können:
**Topics**
+ [Verschlüsselung im Ruhezustand](#data-protection-encryption-rest)
+ [Verschlüsselung während der Übertragung](#data-protection-encryption-in-transit)
+ [Einschränken des Zugriffs auf Inhalte](#data-protection-restrict-access)
## Verschlüsselung im Ruhezustand
AWS Data Exchange verschlüsselt immer alle im Dienst gespeicherten Datenprodukte im Ruhezustand, ohne dass eine zusätzliche Konfiguration erforderlich ist. Diese Verschlüsselung erfolgt automatisch, wenn Sie sie verwenden AWS Data Exchange.
## Verschlüsselung während der Übertragung
AWS Data Exchange verwendet Transport Layer Security (TLS) und clientseitige Verschlüsselung für die Verschlüsselung bei der Übertragung. Die Kommunikation mit AWS Data Exchange erfolgt immer über HTTPS, sodass Ihre Daten bei der Übertragung immer verschlüsselt werden. Diese Verschlüsselung ist standardmäßig konfiguriert, wenn Sie sie verwenden AWS Data Exchange.
## Einschränken des Zugriffs auf Inhalte
Als bewährte Methode sollten Sie den Zugriff auf die entsprechenden Benutzergruppen einschränken. Mit können Sie dies tun AWS Data Exchange, indem Sie sicherstellen, dass Benutzer, Gruppen und Rollen, die Ihre verwenden, AWS-Konto über die richtigen Berechtigungen verfügen. Weitere Informationen zu Rollen und Richtlinien für IAM-Entitäten finden Sie im *[IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.
# Schlüsselverwaltung für den Amazon S3 S3-Datenzugriff
Diese Seite ist spezifisch für den Amazon S3 S3-Datenzugriffstyp, bei dem der Anbieter Objekte teilt, die mit SSE-KMS verschlüsselt wurden. Der Abonnent muss über eine Genehmigung für die für den Zugriff verwendeten Schlüssel verfügen.
Wenn Ihr Amazon S3 S3-Bucket Daten enthält, die mit AWS KMS kundenverwalteten Schlüsseln verschlüsselt wurden, müssen Sie diese AWS KMS keys AWS Data Exchange zur Konfiguration Ihres Amazon S3 S3-Datenzugriffsdatensatzes weitergeben. Weitere Informationen finden Sie unter [Schritt 2: Amazon S3 S3-Datenzugriff konfigurieren](publish-s3-data-access-product.md#configure-s3-data-access-product).
**Topics**
+ [AWS KMS Zuschüsse erstellen](#create-kms-grants)
+ [Verschlüsselungskontext und Einschränkungen bei der Gewährung](#encryption-context-grant-constraint)
+ [Überwachen Sie Ihre AWS KMS keys Eingabe AWS Data Exchange](#monitoring-your-kms-keys)
## AWS KMS Zuschüsse erstellen
Wenn Sie im AWS KMS keys Rahmen Ihres Amazon S3 S3-Datenzugriffsdatensatzes angeben, AWS Data Exchange wird für jeden AWS KMS key geteilten Datensatz ein AWS KMS Zuschuss gewährt. Dieser Zuschuss, der als *Elternzuschuss* bezeichnet wird, wird verwendet, um die AWS Data Exchange Genehmigung zur Einrichtung zusätzlicher AWS KMS Zuschüsse für Abonnenten zu erteilen. Diese zusätzlichen Zuschüsse werden als *Kinderzuschüsse* bezeichnet. Jedem Abonnenten wird ein AWS KMS Zuschuss gewährt. Abonnenten erhalten die Erlaubnis, das zu entschlüsseln. AWS KMS key Anschließend können sie die mit ihnen geteilten verschlüsselten Amazon S3 S3-Objekte entschlüsseln und verwenden. Weitere Informationen finden Sie unter [Grants AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *Developer Guide*.
AWS Data Exchange verwendet außerdem den AWS KMS übergeordneten Zuschuss, um den Lebenszyklus des von ihm AWS KMS erstellten Zuschusses zu verwalten. Wenn ein Abonnement endet, AWS Data Exchange wird der AWS KMS untergeordnete Zuschuss, der für den entsprechenden Abonnenten eingerichtet wurde, außer Kraft gesetzt. Wenn die Änderung aufgehoben oder der Datensatz gelöscht wird, wird der Elternzuschuss AWS Data Exchange zurückgezogen. AWS KMS Weitere Informationen zu AWS KMS Aktionen finden Sie in der [AWS KMS API-Referenz](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html).
## Verschlüsselungskontext und Einschränkungen bei der Gewährung
AWS Data Exchange verwendet Grant-Beschränkungen, um den Entschlüsselungsvorgang nur dann zuzulassen, wenn die Anforderung den angegebenen Verschlüsselungskontext enthält. Sie können die Amazon S3 Bucket Key-Funktion verwenden, um Ihre Amazon S3 S3-Objekte zu verschlüsseln und mit AWS Data Exchange anderen zu teilen. Der Bucket Amazon Resource Name (ARN) wird implizit von Amazon S3 als Verschlüsselungskontext verwendet. Das folgende Beispiel zeigt, dass der Bucket ARN als Grant-Beschränkung für alle AWS KMS Grants AWS Data Exchange verwendet wird, die es erstellt.
```
"Constraints": {
"EncryptionContextSubset": "aws:s3:arn": “arn:aws:s3:::"
}
}
```
## Überwachen Sie Ihre AWS KMS keys Eingabe AWS Data Exchange
Wenn Sie vom AWS KMS Kunden verwaltete Schlüssel mit anderen teilen AWS Data Exchange, können Sie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)damit Anfragen AWS Data Exchange oder Daten verfolgen, an die Abonnenten gesendet haben AWS KMS. Im Folgenden finden Sie Beispiele dafür, wie Ihre CloudTrail Protokolle für die `CreateGrant` und `Decrypt` Aufrufe von aussehen werden AWS KMS.
------
#### [ CreateGrant for parent ]
`CreateGrant`ist für Zuschüsse für Eltern bestimmt, die von AWS Data Exchange ihnen selbst erstellt wurden.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Provider01",
"arn": "arn:aws:sts:::assumed-role/Admin/Provider01",
"accountId": "",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam:::role/Admin/Provider01”,
"accountId": "",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-16T17:29:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-16T17:32:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"CreateGrant",
"Decrypt",
"RetireGrant"
],
"granteePrincipal": "dataexchange.us-east-2.amazonaws.com",
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": { AWS:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"eventCategory": "Management"
}
```
------
#### [ CreateGrant for child ]
`CreateGrant`ist für Zuschüsse für Kinder vorgesehen, die von AWS Data Exchange für Abonnenten eingerichtet wurden.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-15T23:15:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"Decrypt"
],
"granteePrincipal": “”,
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
"aws:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE ",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
`Decrypt`wird von Abonnenten aufgerufen, wenn sie versuchen, die verschlüsselten Daten zu lesen, die sie abonniert haben.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AROAIGDTESTANDEXAMPLE:Subscriber01",
"accountId": "",
"invokedBy": ""
},
"eventTime": "2023-02-15T23:28:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-2",
"sourceIPAddress": "",
"userAgent": "",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE”,
"readOnly": true,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "602466227860",
"sharedEventID": "bcf4d02a-31ea-4497-9c98-4c3549f20a7b",
"eventCategory": "Management"
}
```
------
# Identitäts- und Zugriffsmanagement in AWS Data Exchange
Um einen beliebigen Vorgang ausführen zu können AWS Data Exchange, z. B. das Erstellen eines Importauftrags mithilfe eines AWS SDK oder das Abonnieren eines Produkts in der AWS Data Exchange Konsole AWS Identity and Access Management (IAM), müssen Sie authentifizieren, dass Sie ein zugelassener Benutzer sind. AWS Wenn Sie beispielsweise die AWS Data Exchange Konsole verwenden, authentifizieren Sie Ihre Identität, indem Sie Ihre Anmeldeinformationen angeben. AWS
Nachdem Sie Ihre Identität authentifiziert haben, steuert IAM Ihren Zugriff auf AWS mit einem definierten Satz von Berechtigungen für eine Reihe von Vorgängen und Ressourcen. Wenn Sie ein Kontoadministrator sind, können Sie IAM verwenden, um den Zugriff anderer Benutzer auf die Ressourcen zu kontrollieren, die Ihrem Konto zugeordnet sind.
**Topics**
+ [Authentifizierung](#authentication)
+ [Zugriffskontrolle](access-control.md)
+ [AWS Data Exchange API-Berechtigungen: Referenz zu Aktionen und Ressourcen](api-permissions-ref.md)
+ [AWS verwaltete Richtlinien für AWS Data Exchange](security-iam-awsmanpol.md)
## Authentifizierung
Sie können AWS mit einer der folgenden Arten von Identitäten darauf zugreifen:
+ **AWS-Konto Root-Benutzer** — Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
+ **Benutzer** — Ein [Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) ist eine Identität in Ihrer Datenbank AWS-Konto , die über spezifische benutzerdefinierte Berechtigungen verfügt. Sie können Ihre IAM-Anmeldeinformationen verwenden, um sich auf sicheren AWS Webseiten wie dem AWS-Managementkonsole oder dem AWS Support Center anzumelden.
+ **IAM-Rolle** – Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ähnelt einem IAM-Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun kann und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. Rollen mit temporären Anmeldeinformationen sind in den folgenden Situationen nützlich:
+ **Föderierter Benutzerzugriff** — Anstatt einen Benutzer zu erstellen, können Sie vorhandene Identitäten aus Directory Service Ihrem Unternehmensbenutzerverzeichnis oder einem Web-Identitätsanbieter verwenden. Diese werden als *Verbundbenutzer* bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordert wird. Weitere Informationen zu Verbundbenutzern finden Sie unter [Verbundbenutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) und Rollen.
+ **AWS-Service Zugriff** — Eine Servicerolle ist eine IAM-Rolle, die ein Dienst übernimmt, um in Ihrem Namen Aktionen in Ihrem Konto auszuführen. Wenn Sie einige AWS-Service Umgebungen einrichten, müssen Sie eine Rolle definieren, die der Dienst übernehmen soll. Diese Servicerolle muss alle Berechtigungen enthalten, die der Dienst für den Zugriff auf die benötigten AWS Ressourcen benötigt. Servicerollen unterscheiden sich von Service zu Service, aber viele erlauben Ihnen, Ihre Berechtigungen auszuwählen, solange Sie die dokumentierten Anforderungen für diesen Service erfüllen. Service-Rollen bieten nur Zugriff innerhalb Ihres Kontos und können nicht genutzt werden, um Zugriff auf Services in anderen Konten zu erteilen. Sie können eine Servicerolle in IAM erstellen, ändern und löschen. Sie können beispielsweise eine Rolle erstellen, mit der Amazon Redshift in Ihrem Namen auf einen Amazon S3-Bucket zugreifen und die im Bucket gespeicherten Daten in einen Amazon Redshift-Cluster laden kann. Weitere Informationen finden Sie unter [Eine Rolle zum Delegieren von Berechtigungen für einen AWS Dienst erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
+ **Auf Amazon EC2 ausgeführte Anwendungen** — Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer Amazon EC2 EC2-Instance ausgeführt werden und API-Anfragen stellen AWS CLI . AWS Dies ist dem Speichern von Zugriffsschlüsseln in der Amazon EC2 EC2-Instance vorzuziehen. Um einer Amazon EC2 EC2-Instance eine AWS Rolle zuzuweisen und sie allen ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instance-Profil, das an die Instance angehängt ist. Ein Instance-Profil enthält die Rolle und ermöglicht Programmen, die auf der Amazon-EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen zu erhalten. Weitere Informationen finden Sie unter [Verwenden einer IAM-Rolle, um Berechtigungen für Anwendungen zu gewähren, die auf Amazon EC2 EC2-Instances ausgeführt](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) werden.
# Zugriffskontrolle
Um AWS Data Exchange Ressourcen zu erstellen, zu aktualisieren, zu löschen oder aufzulisten, benötigen Sie Berechtigungen, um den Vorgang auszuführen und auf die entsprechenden Ressourcen zuzugreifen. Um den Vorgang programmgesteuert ausführen zu können, benötigen Sie außerdem gültige Zugriffsschlüssel.
## Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre Ressourcen AWS Data Exchange
Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Benutzern, Gruppen und Rollen Berechtigungsrichtlinien zuordnen. Einige Services (wie z. B. AWS Lambda) unterstützen auch das Zuordnen von Berechtigungsrichtlinien zu Ressourcen.
**Anmerkung**
Ein *Kontoadministrator* (oder Administrator) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
**Topics**
+ [AWS Data Exchange Ressourcen und Abläufe](#access-control-resources)
+ [Grundlegendes zum Eigentum an Ressourcen](#access-control-owner)
+ [Verwaltung des Zugriffs auf -Ressourcen](#access-control-manage-access-intro)
+ [Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale](#access-control-specify-control-tower-actions)
+ [Angeben von Bedingungen in einer Richtlinie](#specifying-conditions)
### AWS Data Exchange Ressourcen und Abläufe
AWS Data Exchange In gibt es zwei verschiedene Arten von Primärressourcen mit unterschiedlichen Kontrollebenen:
+ Die wichtigsten Ressourcen für AWS Data Exchange sind *Datensätze* und *Jobs*. AWS Data Exchange unterstützt auch *Revisionen* und *Ressourcen*.
+ Um Transaktionen zwischen Anbietern und Abonnenten zu erleichtern, verwendet AWS Data Exchange auch AWS Marketplace Konzepte und Ressourcen, darunter Produkte, Angebote und Abonnements. Sie können die AWS Marketplace Katalog-API oder die AWS Data Exchange Konsole verwenden, um Ihre Produkte, Angebote, Abonnementanfragen und Abonnements zu verwalten.
### Grundlegendes zum Eigentum an Ressourcen
Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der [Prinzipalentität](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (d. h. der AWS-Konto Root-Benutzer, ein Benutzer oder eine Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich.
#### Ressourceneigentümerschaft
Jede IAM-Entität in einer AWS-Konto mit den richtigen Berechtigungen kann AWS Data Exchange Datensätze erstellen. Wenn eine IAM-Entität einen Datensatz erstellt, ist sie AWS-Konto Eigentümer des Datensatzes. Veröffentlichte Datenprodukte können Datensätze enthalten, die nur demjenigen gehören AWS-Konto , der sie erstellt hat.
Um ein AWS Data Exchange Produkt zu abonnieren, benötigt die IAM-Entität zusätzlich zu den `aws-marketplace:AcceptAgreementRequest` IAM-Berechtigungen für die Nutzung AWS Data Exchange AWS Marketplace (vorausgesetzt `aws-marketplace:subscribe``aws-marketplace:aws-marketplace:CreateAgreementRequest`, sie besteht alle zugehörigen Abonnementprüfungen). Als Abonnent hat Ihr Konto Lesezugriff auf berechtigte Datensätze, besitzt jedoch nicht die berechtigten Datensätze. Alle berechtigten Datensätze, die nach Amazon S3 exportiert werden, sind Eigentum des Abonnenten AWS-Konto.
### Verwaltung des Zugriffs auf -Ressourcen
In diesem Abschnitt wird die Verwendung von IAM im Kontext von AWS Data Exchange beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Informationen zur Syntax und Beschreibungen der IAM-Richtlinien finden Sie unter [AWS Identity and Access Management Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Eine *Berechtigungsrichtlinie* beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
An eine IAM-Identität angefügte Richtlinien werden als *identitätsbasierte* Richtlinien (oder IAM-Richtlinien) bezeichnet. Mit einer Ressource verknüpfte Richtlinien werden als *ressourcenbasierte* Richtlinien bezeichnet. AWS Data Exchange unterstützt nur identitätsbasierte Richtlinien (IAM-Richtlinien).
**Topics**
+ [Identitätsbasierte Richtlinien und Berechtigungen](#access-control-manage-access-intro-iam-policies)
+ [Ressourcenbasierte Richtlinien](#access-control-manage-access-intro-resource-policies)
#### Identitätsbasierte Richtlinien und Berechtigungen
AWS Data Exchange stellt eine Reihe verwalteter Richtlinien bereit. Weitere Informationen zu ihnen und ihren Berechtigungen finden Sie unter[AWS verwaltete Richtlinien für AWS Data Exchange](security-iam-awsmanpol.md).
##### Amazon-S3-Berechtigungen
Wenn Sie Assets von Amazon S3 nach importieren AWS Data Exchange, benötigen Sie Berechtigungen, um in die AWS Data Exchange Service S3-Buckets zu schreiben. In ähnlicher Weise benötigen Sie beim Exportieren von Assets von AWS Data Exchange zu Amazon S3 Berechtigungen, um aus den AWS Data Exchange Service S3-Buckets zu lesen. Diese Berechtigungen sind in den zuvor genannten Richtlinien enthalten, aber Sie können auch Ihre eigene Richtlinie erstellen, um genau das zu ermöglichen, was Ihre Benutzer tun dürfen. Sie können diese Berechtigungen auf Buckets beschränken, die `aws-data-exchange` in ihrem Namen enthalten, und die [ CalledVia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia)Berechtigung verwenden, um die Verwendung der Berechtigung AWS Data Exchange auf Anfragen zu beschränken, die im Namen des Prinzipals gestellt wurden.
Sie könnten beispielsweise eine Richtlinie erstellen, die das Importieren und Exportieren ermöglicht und AWS Data Exchange die diese Berechtigungen beinhaltet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
}
]
}
```
------
Diese Berechtigungen ermöglichen es Anbietern, mit zu importieren und zu exportieren AWS Data Exchange. Die Richtlinie umfasst die folgenden Berechtigungen und Einschränkungen:
+ **s3: PutObject** und **s3: PutObjectAcl** — Diese Berechtigungen sind nur auf S3-Buckets beschränkt, die `aws-data-exchange` in ihrem Namen Folgendes enthalten. Diese Berechtigungen ermöglichen es Anbietern, beim Import aus Amazon S3 in AWS Data Exchange Service-Buckets zu schreiben.
+ **s3: GetObject** — Diese Berechtigung ist auf S3-Buckets beschränkt, die `aws-data-exchange` in ihrem Namen Folgendes enthalten. Mit dieser Berechtigung können Kunden beim Export von AWS Data Exchange zu Amazon S3 aus AWS Data Exchange Service-Buckets lesen.
+ Diese Berechtigungen sind auf Anfragen beschränkt, die AWS Data Exchange mithilfe der `CalledVia` IAM-Bedingung gestellt wurden. Dadurch können die `PutObject` S3-Berechtigungen nur im Kontext der AWS Data Exchange Konsole oder API verwendet werden.
+ **AWS Lake Formation****und **AWS Resource Access Manager******(AWS RAM)** **—** Um AWS Lake Formation Datensätze verwenden zu können, müssen Sie die Einladung zum AWS RAM Teilen für jeden neuen Anbieter annehmen, bei dem Sie ein Abonnement abgeschlossen haben. Um die Einladung zum AWS RAM Teilen anzunehmen, müssen Sie eine Rolle übernehmen, die berechtigt ist, eine Einladung zum AWS RAM Teilen anzunehmen. Weitere Informationen darüber, wie Richtlinien AWS verwaltet werden AWS RAM, finden Sie unter [Verwaltete Richtlinien für AWS RAM.](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html)
+ Um AWS Lake Formation Datensätze zu erstellen, müssen Sie den Datensatz mit einer angenommenen Rolle erstellen, an die IAM eine Rolle übergeben AWS Data Exchange kann. Auf diese Weise können AWS Data Exchange Sie in Ihrem Namen Genehmigungen für Lake Formation Formation-Ressourcen erteilen und widerrufen. Nachfolgend finden Sie ein Beispiel für eine Richtlinie:
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dataexchange.amazonaws.com"
}
}
}
```
**Anmerkung**
Ihre Benutzer benötigen möglicherweise auch zusätzliche Berechtigungen, um in Ihre eigenen S3-Buckets und Objekte zu lesen oder aus ihnen zu schreiben, die in diesem Beispiel nicht behandelt werden.
Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Thema [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.
#### Ressourcenbasierte Richtlinien
AWS Data Exchange unterstützt keine ressourcenbasierten Richtlinien.
Andere Dienste, wie Amazon S3, unterstützen ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten.
### Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
Um sie verwenden zu können AWS Data Exchange, müssen Ihre Benutzerberechtigungen in einer IAM-Richtlinie definiert sein.
Grundlegende Richtlinienelemente:
+ **Ressource** – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Alle AWS Data Exchange API-Operationen unterstützen Berechtigungen auf Ressourcenebene (RLP), AWS Marketplace Aktionen unterstützen RLP jedoch nicht. Weitere Informationen finden Sie unter [AWS Data Exchange Ressourcen und Abläufe](#access-control-resources).
+ **Aktion** – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten.
+ **Wirkung** — Sie geben den Effekt an (zulassen oder verweigern), wenn der Benutzer die bestimmte Aktion anfordert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. Bei ressourcenbasierten Richtlinien geben Sie den Benutzer, das Konto, den Dienst oder die andere Entität an, für die Sie Berechtigungen erhalten möchten (gilt nur für ressourcenbasierte Richtlinien). AWS Data Exchange unterstützt keine ressourcenbasierten Richtlinien.
Weitere Informationen zur Syntax und Beschreibungen der IAM-Richtlinien finden Sie unter [AWS Identity and Access Management Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
### Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Die `CancelJob` API-Operationen `CreateJob` With`StartJob`,`GetJob`, und unterstützen bedingte Berechtigungen. AWS Data Exchange Sie können Berechtigungen auf der `JobType` Ebene bereitstellen.
**AWS Data Exchange Referenz zum Bedingungsschlüssel**
| Bedingungsschlüssel | Description | Typ |
| --- | --- | --- |
| "dataexchange:JobType":"IMPORT\$1ASSETS\$1FROM\$1S3" | Geltungsbereich von Berechtigungen für Jobs, die Assets aus Amazon S3 importieren. | Zeichenfolge |
| "dataexchange:JobType":IMPORT\$1ASSETS\$1FROM\$1LAKE\$1FORMATION\$1TAG\$1POLICY" (Preview) | Schränkt die Berechtigungen auf Jobs ein, aus denen Assets importiert werden AWS Lake Formation (Vorschau) | Zeichenfolge |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL" | Geltungsbereich von Berechtigungen auf Jobs, die Assets von einer signierten URL importieren. | Zeichenfolge |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1REDSHIFT\$1DATA\$1SHARES" | Geltungsbereich von Berechtigungen für Jobs, die Assets aus Amazon Redshift importieren. | Zeichenfolge |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1API\$1GATEWAY\$1API" | Geltungsbereich von Berechtigungen für Jobs, die Assets aus Amazon API Gateway importieren. | Zeichenfolge |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1S3" | Geltungsbereich von Berechtigungen für Jobs, die Assets nach Amazon S3 exportieren. | Zeichenfolge |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL" | Schränkt die Berechtigungen auf Jobs ein, die Assets an eine signierte URL exportieren. | Zeichenfolge |
| "dataexchange:JobType":EXPORT\$1REVISIONS\$1TO\$1S3" | Geltungsbereich von Berechtigungen für Jobs, die Revisionen nach Amazon S3 exportieren. | Zeichenfolge |
Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) im *IAM Benutzerhandbuch*.
Um Bedingungen auszudrücken, verwenden Sie vordefinierte Bedingungsschlüssel. AWS Data Exchange hat die `JobType` Bedingung für API-Operationen. Es gibt jedoch AWS zahlreiche Bedingungsschlüssel, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS Wide Keys finden Sie im [https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
# AWS Data Exchange API-Berechtigungen: Referenz zu Aktionen und Ressourcen
Verwenden Sie die folgende Tabelle als Referenz, wenn Sie eine Berechtigungsrichtlinie einrichten [Zugriffskontrolle](access-control.md) und schreiben, die Sie einer AWS Identity and Access Management (IAM-) Identität zuordnen können (identitätsbasierte Richtlinien). In der Tabelle sind die einzelnen AWS Data Exchange API-Operationen, die Aktionen, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können, und die AWS Ressource aufgeführt, für die Sie die Berechtigungen erteilen können. Sie geben die Aktionen im Feld `Action` der Richtlinie an. Sie geben den Ressourcenwert im Feld `Resource` der Richtlinie an.
**Anmerkung**
Um eine Aktion anzugeben, verwenden Sie das Präfix `dataexchange:` gefolgt vom Namen der API-Operation (z. B. `dataexchange:CreateDataSet`).
**AWS Data Exchange API und erforderliche Berechtigungen für Aktionen**
| AWS Data Exchange API-Operationen | Erforderliche Berechtigungen (API-Aktionen) | Ressourcen | Bedingungen |
| --- | --- | --- | --- |
| CreateDataSet | dataexchange:CreateDataSet | – | `aws:TagKeys` `aws:RequestTag` |
| GetDataSet | dataexchange:GetDataSet | Dataset | aws:RequestTag |
| UpdateDataSet | dataexchange:UpdateDataSet | Dataset | aws:RequestTag |
| PublishDataSet | dataexchange:PublishDataSet | Dataset | aws:RequestTag |
| DeleteDataSet | dataexchange:DeleteDataSet | Dataset | aws:RequestTag |
| ListDataSets | dataexchange:ListDataSets | – | – |
| CreateRevision | dataexchange:CreateRevision | Dataset | `aws:TagKeys` `aws:RequestTag` |
| GetRevision | dataexchange:GetRevision | Revision | aws:RequestTag |
| DeleteRevision | dataexchange:DeleteRevision | Revision | aws:RequestTag |
| ListDataSetRevisions | dataexchange:ListDataSetRevisions | Dataset | aws:RequestTag |
| ListRevisionAssets | dataexchange:ListRevisionAssets | Revision | aws:RequestTag |
| CreateEventAction | dataexchange:CreateEventAction | – | – |
| UpdateEventAction | dataexchange:UpdateEventAction | EventAction | – |
| GetEventAction | dataexchange:GetEventAction | EventAction | – |
| ListEventActions | dataexchange:ListEventActions | – | – |
| DeleteEventAction | dataexchange:DeleteEventAction | EventAction | – |
| CreateJob | dataexchange:CreateJob | – | dataexchange:JobType |
| GetJob | dataexchange:GetJob | Aufgabe | dataexchange:JobType |
| StartJob\$1\$1 | dataexchange:StartJob | Aufgabe | dataexchange:JobType |
| CancelJob | dataexchange:CancelJob | Aufgabe | dataexchange:JobType |
| ListJobs | dataexchange:ListJobs | – | – |
| ListTagsForResource | dataexchange:ListTagsForResource | Revision | aws:RequestTag |
| TagResource | dataexchange:TagResource | Revision | `aws:TagKeys` `aws:RequestTag` |
| UnTagResource | dataexchange:UnTagResource | Revision | `aws:TagKeys` `aws:RequestTag` |
| UpdateRevision | dataexchange:UpdateRevision | Revision | aws:RequestTag |
| DeleteAsset | dataexchange:DeleteAsset | Komponente | – |
| GetAsset | dataexchange:GetAsset | Komponente | – |
| UpdateAsset | dataexchange:UpdateAsset | Komponente | – |
| SendApiAsset | dataexchange:SendApiAsset | Komponente | – |
**\$1\$1** Je nach Art des Jobs, den Sie starten, sind möglicherweise zusätzliche IAM-Berechtigungen erforderlich. In der folgenden Tabelle finden Sie die AWS Data Exchange Jobtypen und die zugehörigen zusätzlichen IAM-Berechtigungen. Weitere Informationen über Aufträge finden Sie unter [Jobs in AWS Data Exchange](jobs.md).
**Anmerkung**
Derzeit wird der `SendApiAsset` Vorgang für Folgendes SDKs nicht unterstützt:
SDK für .NET
AWS SDK für C\$1\$1
SDK für Java 2.x
**AWS Data Exchange Berechtigungen für den Jobtyp `StartJob`**
| Job type | Zusätzliche IAM-Berechtigungen erforderlich |
| --- | --- |
| IMPORT\$1ASSETS\$1FROM\$1S3 | dataexchange:CreateAsset |
| IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1API\$1GATEWAY\$1API | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1REDSHIFT\$1DATA\$1SHARES | dataexchange:CreateAsset, redshift:AuthorizeDataShare |
| EXPORT\$1ASSETS\$1TO\$1S3 | dataexchange:GetAsset |
| EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL | dataexchange:GetAsset |
| EXPORT\$1REVISIONS\$1TO\$1S3 | dataexchange:GetRevision dataexchange:GetDataSet Die IAM-Berechtigung `dataexchange:GetDataSet` ist nur erforderlich, wenn Sie sie `DataSet.Name` als dynamische Referenz für den `EXPORT_REVISIONS_TO_S3` Jobtyp verwenden. |
Mithilfe von Platzhaltern können Sie Datensatzaktionen auf Revisions- oder Bestandsebene eingrenzen, wie im folgenden Beispiel gezeigt.
```
arn:aws:dataexchange:us-east-1:123456789012:data-sets/99EXAMPLE23c7c272897cf1EXAMPLE7a/revisions/*/assets/*
```
Einige AWS Data Exchange Aktionen können nur auf der AWS Data Exchange Konsole ausgeführt werden. Diese Aktionen sind in die AWS Marketplace Funktionalität integriert. Für die Aktionen sind die in der folgenden Tabelle aufgeführten AWS Marketplace Berechtigungen erforderlich.
**AWS Data Exchange Aktionen nur auf der Konsole für Abonnenten**
| Konsolenaktion | IAM-Berechtigung |
| --- | --- |
| Abonnieren Sie ein Produkt | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Anfrage zur Bestätigung des Abonnements senden | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Automatische Verlängerung des Abonnements aktivieren | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Status der automatischen Verlängerung eines Abonnements anzeigen | `aws-marketplace:ListEntitlementDetails` `aws-marketplace:ViewSubscriptions` `aws-marketplace:GetAgreementTerms` |
| Automatische Verlängerung des Abonnements deaktivieren | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Aktive Abonnements auflisten | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
| Abonnement anzeigen | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` `aws-marketplace:DescribeAgreement` |
| Anfragen zur Abonnementverifizierung auflisten | `aws-marketplace:ListAgreementRequests` |
| Anfrage zur Abonnementbestätigung anzeigen | `aws-marketplace:GetAgreementRequest` |
| Anfrage zur Bestätigung des Abonnements stornieren | `aws-marketplace:CancelAgreementRequest` |
| Alle Angebote anzeigen, die auf das Konto ausgerichtet sind | `aws-marketplace:ListPrivateListings` |
| Einzelheiten zu einem bestimmten Angebot anzeigen | `aws-marketplace:GetPrivateListing` |
**AWS Data Exchange Aktionen nur für Konsolen für Anbieter**
| Konsolenaktion | IAM-Berechtigung |
| --- | --- |
| Produkt kennzeichnen | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| Angebot kennzeichnen | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| Produkt veröffentlichen | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` `dataexchange:PublishDataSet` |
| Veröffentlichung des Produkts rückgängig machen | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Produkt bearbeiten | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Benutzerdefiniertes Angebot erstellen | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Benutzerdefiniertes Angebot bearbeiten | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Produktdetails anzeigen | `aws-marketplace:DescribeEntity` `aws-marketplace:ListEntities` |
| Sehen Sie sich das individuelle Angebot des Produkts an | aws-marketplace:DescribeEntity |
| Produkt-Dashboard anzeigen | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| Listet Produkte auf, für die ein Datensatz oder eine Revision veröffentlicht wurde | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| Listen Sie Anfragen zur Abonnementverifizierung auf | `aws-marketplace:ListAgreementApprovalRequests` `aws-marketplace:GetAgreementApprovalRequest` |
| Genehmigen Sie Anfragen zur Abonnementbestätigung | `aws-marketplace:AcceptAgreementApprovalRequest` |
| Anfragen zur Abonnementbestätigung ablehnen | `aws-marketplace:RejectAgreementApprovalRequest` |
| Informationen aus Anfragen zur Abonnementverifizierung löschen | `aws-marketplace:UpdateAgreementApprovalRequest` |
| Abonnementdetails anzeigen | `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
# AWS verwaltete Richtlinien für AWS Data Exchange
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
**Topics**
+ [AWS verwaltete Richtlinie: AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)
+ [AWS verwaltete Richtlinie: AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)
+ [AWS verwaltete Richtlinie: AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)
+ [AWS verwaltete Richtlinie: AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)
+ [AWS verwaltete Richtlinie: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)
+ [AWS verwaltete Richtlinie: AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)
+ [AWS verwaltete Richtlinie: AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess)
+ [AWS verwaltete Richtlinie: AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess)
+ [AWS Data Exchange Aktualisierungen AWS verwalteter Richtlinien](#security-iam-awsmanpol-updates)
## AWS verwaltete Richtlinie: AWSDataExchangeFullAccess
Sie können die `AWSDataExchangeFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen, die vollen Zugriff auf AWS Data Exchange und AWS Marketplace Aktionen mit dem AWS-Managementkonsole SDK ermöglichen. Es bietet auch ausgewählten Zugriff auf Amazon S3 und nach AWS Key Management Service Bedarf, um alle Vorteile zu nutzen AWS Data Exchange.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html)in der *Referenz zu AWS verwalteten Richtlinien*.
## AWS verwaltete Richtlinie: AWSDataExchangeProviderFullAccess
Sie können die `AWSDataExchangeProviderFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Mitwirkenden Berechtigungen, die Datenanbietern Zugriff auf das SDK AWS Data Exchange AWS-Managementkonsole und AWS Marketplace Aktionen ermöglichen. Es bietet auch ausgewählten Zugriff auf Amazon S3 und nach AWS Key Management Service Bedarf, um alle Vorteile zu nutzen AWS Data Exchange.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html)in der *Referenz zu AWS verwalteten Richtlinien*.
## AWS verwaltete Richtlinie: AWSDataExchangeReadOnly
Sie können die `AWSDataExchangeReadOnly`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Leseberechtigungen, die nur Lesezugriff auf AWS Data Exchange und AWS Marketplace Aktionen mit dem SDK ermöglichen. AWS-Managementkonsole
*Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html)in der AWS Referenz zu verwalteten Richtlinien.*
## AWS verwaltete Richtlinie: AWSDataExchangeServiceRolePolicyForLicenseManagement
Sie können die `AWSDataExchangeServiceRolePolicyForLicenseManagement` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an eine servicegebundene Rolle angehängt, die AWS Data Exchange die Durchführung von Aktionen in Ihrem Namen ermöglicht. Sie gewährt Rollenberechtigungen, mit denen AWS Data Exchange Sie Informationen über Ihre AWS Organisation abrufen und Lizenzen für AWS Data Exchange Datenzuweisungen verwalten können. Weitere Informationen finden Sie unter [Servicebezogene Rolle für die Lizenzverwaltung AWS Data Exchange](using-service-linked-roles-license-management.md), weiter unten in diesem Abschnitt.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html)in der *Referenz zu AWS verwalteten Richtlinien*.
## AWS verwaltete Richtlinie: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery
Sie können die `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, mit der AWS Data Exchange Sie Aktionen in Ihrem Namen ausführen können. Sie gewährt Rollenberechtigungen, mit denen Sie Informationen über Ihre AWS Organisation abrufen können, AWS Data Exchange um festzustellen, ob Sie für die Lizenzverteilung im Rahmen von AWS Data Exchange Datenzuschüssen in Frage kommen. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen für die AWS Organisationserkennung in AWS Data Exchange](using-service-linked-roles-aws-org-discovery.md).
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html)in der *Referenz zu AWS verwalteten Richtlinien.*
## AWS verwaltete Richtlinie: AWSDataExchangeSubscriberFullAccess
Sie können die `AWSDataExchangeSubscriberFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Mitwirkenden Berechtigungen, die es Datenabonnenten ermöglichen, auf das SDK AWS Data Exchange AWS-Managementkonsole und auf AWS Marketplace Aktionen zuzugreifen. Es bietet auch ausgewählten Zugriff auf Amazon S3 und nach AWS Key Management Service Bedarf, um alle Vorteile zu nutzen AWS Data Exchange.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html)in der *Referenz zu AWS verwalteten Richtlinien*.
## AWS verwaltete Richtlinie: AWSDataExchangeDataGrantOwnerFullAccess
Sie können die `AWSDataExchangeDataGrantOwnerFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt einem Data Grant-Inhaber mithilfe von AWS-Managementkonsole und Zugriff auf AWS Data Exchange Aktionen SDKs.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html)in der *Referenz zu AWS verwalteten Richtlinien*.
## AWS verwaltete Richtlinie: AWSDataExchangeDataGrantReceiverFullAccess
Sie können die `AWSDataExchangeDataGrantReceiverFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt einem Data Grant-Empfänger mithilfe von AWS-Managementkonsole und Zugriff auf AWS Data Exchange Aktionen SDKs.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html)in der *Referenz zu AWS verwalteten Richtlinien*.
## AWS Data Exchange Aktualisierungen AWS verwalteter Richtlinien
Die folgende Tabelle enthält Einzelheiten zu den Aktualisierungen der AWS verwalteten Richtlinien, die AWS Data Exchange seit Beginn der Verfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite, um automatische Benachrichtigungen über Änderungen an dieser Seite (und alle anderen Änderungen an diesem Benutzerhandbuch) zu erhalten. [Dokumentenverlauf für AWS Data Exchange](doc-history.md)
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess) – Neue Richtlinie | AWS Data Exchange hat eine neue Richtlinie hinzugefügt, um Data Grant-Besitzern Zugriff auf AWS Data Exchange Aktionen zu gewähren. | 24. Oktober 2024 |
| [AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess) – Neue Richtlinie | AWS Data Exchange hat eine neue Richtlinie hinzugefügt, um Data Grant-Empfängern Zugriff auf AWS Data Exchange Aktionen zu gewähren. | 24. Oktober 2024 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) – Aktualisierung auf eine bestehende Richtlinie | Der `AWSDataExchangeReadOnly` AWS verwalteten Richtlinie wurden die erforderlichen Berechtigungen für die neue Funktion zur Datengewährung hinzugefügt. | 24. Oktober 2024 |
| [AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement) – Neue Richtlinie | Es wurde eine neue Richtlinie zur Unterstützung von dienstbezogenen Rollen zur Verwaltung von Lizenzgewährungen in Kundenkonten hinzugefügt. | 17. Oktober 2024 |
| [AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery) – Neue Richtlinie | Es wurde eine neue Richtlinie zur Unterstützung von dienstbezogenen Rollen hinzugefügt, um Lesezugriff auf Kontoinformationen in Ihrer AWS Organisation zu ermöglichen. | 17. Oktober 2024 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) | Es wurde eine Erklärung hinzugefügt, IDs um die Richtlinie leichter lesbar zu machen, die Platzhalterrechte wurden auf die vollständige Liste der ADX-Berechtigungen mit Schreibschutz erweitert und neue Aktionen hinzugefügt: und. aws-marketplace:ListTagsForResource aws-marketplace:ListPrivateListings | 9. Juli 2024 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | Aktion wurde entfernt: aws-marketplace:GetPrivateListing | 22. Mai 2024 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) | Erklärung hinzugefügt IDs , um die Richtlinie leichter lesbar zu machen, und neue Aktion hinzugefügt:aws-marketplace:ListPrivateListings. | 30. April 2024 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | Es wurde eine Erklärung hinzugefügt IDs , um die Richtlinie leichter lesbar zu machen, und es wurden neue Aktionen hinzugefügt: aws-marketplace:TagResource aws-marketplace:UntagResourceaws-marketplace:ListTagsForResource,aws-marketplace:ListPrivateListings,aws-marketplace:GetPrivateListing,, undaws-marketplace:DescribeAgreement. | 30. April 2024 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | Es wurde eine Erklärung hinzugefügt, IDs um die Richtlinie leichter lesbar zu machen. | 9. August 2024 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | Es wurde dataexchange:SendDataSetNotification eine neue Berechtigung zum Senden von Datensatzbenachrichtigungen hinzugefügt. | 5. März 2024 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess), [AWSDataExchangeReadOnly[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)](#security-iam-awsmanpol-awsdataexchangereadonly), und [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Aktualisierung vorhandener Richtlinien | Es wurden detaillierte Aktionen für alle verwalteten Richtlinien hinzugefügt. Neue hinzugefügte Aktionen sind `aws-marketplace:CreateAgreementRequest``aws-marketplace:AcceptAgreementRequest`,,`aws-marketplace:ListEntitlementDetails`,`aws-marketplace:ListPrivateListings`,`aws-marketplace:GetPrivateListing`, `license-manager:ListReceivedGrants``aws-marketplace:TagResource`,`aws-marketplace:UntagResource`,, `aws-marketplace:ListTagsForResource``aws-marketplace:DescribeAgreement`, `aws-marketplace:GetAgreementTerms``aws-marketplace:GetLicense`. | 31. Juli 2023 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) – Aktualisierung auf eine bestehende Richtlinie | Eine neue Berechtigung zum Widerrufen einer Revision wurde hinzugefügt`dataexchange:RevokeRevision`. | 15. März 2022 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)und [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Aktualisierung vorhandener Richtlinien | Es wurde `apigateway:GET` eine neue Berechtigung zum Abrufen eines API-Assets von Amazon API Gateway hinzugefügt. | 3. Dezember 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)und [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)— Aktualisierung vorhandener Richtlinien | Es wurde `dataexchange:SendApiAsset` eine neue Berechtigung zum Senden einer Anfrage an ein API-Asset hinzugefügt. | 29. November 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)und [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Aktualisierung vorhandener Richtlinien | Es wurden neue Berechtigungen hinzugefügt `redshift:AuthorizeDataShare` `redshift:DescribeDataSharesForProducer`` redshift:DescribeDataShares`, um den Zugriff auf Amazon Redshift Redshift-Datensätze zu autorisieren und diese zu erstellen. | 1. November 2021 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) – Aktualisierung auf eine bestehende Richtlinie | Neue Berechtigungen zur Zugriffskontrolle für den automatischen Export neuer Versionen von Datensätzen wurden `dataexchange:CreateEventAction` hinzugefügt. `dataexchange:UpdateEventAction` `dataexchange:DeleteEventAction` | 30. September 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)und [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Aktualisierung vorhandener Richtlinien | Es wurde eine neue Berechtigung hinzugefügt`dataexchange:PublishDataSet`, um den Zugriff auf die Veröffentlichung neuer Versionen von Datensätzen zu kontrollieren. | 25. Mai 2021 |
| [AWS DataExchangeReadOnly[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)](#security-iam-awsmanpol-awsdataexchangereadonly), und [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Aktualisierung vorhandener Richtlinien | Hinzugefügt `aws-marketplace:SearchAgreements` und `aws-marketplace:GetAgreementTerms` um die Anzeige von Abonnements für Produkte und Angebote zu ermöglichen. | 12. Mai 2021 |
| AWS Data Exchange hat begonnen, Änderungen zu verfolgen | AWS Data Exchange hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 20. April 2021 |
# Verwenden von serviceverknüpften Rollen für AWS Data Exchange
AWS Data Exchange verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Data Exchange Mit Diensten verknüpfte Rollen sind vordefiniert AWS Data Exchange und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS Data Exchange erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Data Exchange definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Data Exchange kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS Data Exchange Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Erstellen einer dienstbezogenen Rolle für AWS Data Exchange
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Datenzuweisung mithilfe des Lizenzmanagers verteilen, wird die dienstbezogene Rolle für Sie erstellt.
**So erstellen Sie eine serviceverknüpfte Rolle**
1. Melden Sie sich in der [AWS Data Exchange Konsole](https://console.aws.amazon.com/adx/) an und wählen Sie **Data Grant-Einstellungen** aus.
1. Wählen Sie auf der Seite mit den **Data Grant-Einstellungen** die Option **Integration konfigurieren** aus.
1. Wählen **Sie im Abschnitt Create AWS Organizations **Integration**** aus.
1. Wählen Sie auf der **Integrationsseite „ AWS Organizations erstellen**“ die entsprechende Vertrauensebene aus und klicken Sie dann auf **Integration erstellen**.
Sie können die IAM-Konsole auch verwenden, um eine serviceverknüpfte Rolle mit einem Anwendungsfall zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem `appropriate-service-name.amazonaws.com` Dienstnamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer serviceverknüpften Rolle für AWS Data Exchange
AWS Data Exchange erlaubt es Ihnen nicht, die dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für AWS Data Exchange
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der AWS Data Exchange Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Bevor Sie die mit dem Dienst verknüpfte Rolle löschen können, müssen Sie:
+ Entfernen Sie für die `AWSServiceRoleForAWSDataExchangeLicenseManagement` Rolle alle AWS License Manager verteilten Zuschüsse für AWS Data Exchange Datenzuschüsse, die Sie erhalten haben.
+ Entfernen Sie für die `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` Rolle alle AWS License Manager verteilten Zuschüsse für AWS Data Exchange Datenzuschüsse, die Konten in Ihrer AWS Organisation erhalten haben.
**Manuelles Löschen der dienstbezogenen Rolle**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Rollen AWS Data Exchange
AWS Data Exchange unterstützt die Verwendung von dienstbezogenen Rollen überall dort, AWS-Regionen wo der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Servicebezogene Rolle für die Lizenzverwaltung AWS Data Exchange
AWS Data Exchange verwendet die dienstbezogene Rolle mit dem Namen `AWSServiceRoleForAWSDataExchangeLicenseManagement` — diese Rolle ermöglicht es AWS Data Exchange, Informationen über Ihre AWS Organisation abzurufen und Data Exchange AWS Exchange-Datenzuschusslizenzen zu verwalten.
Die serviceverknüpfte Rolle `AWSServiceRoleForAWSDataExchangeLicenseManagement` vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `license-management.dataexchange.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie `AWSDataExchangeServiceRolePolicyForLicenseManagement` AWS Data Exchange ermöglicht es, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktionen:
+ `organizations:DescribeOrganization`
+ `license-manager:ListDistributedGrants`
+ `license-manager:GetGrant`
+ `license-manager:CreateGrantVersion`
+ `license-manager:DeleteGrant`
+ Ressourcen:
+ Alle Ressourcen (`*`)
Weitere Informationen zur `AWSDataExchangeServiceRolePolicyForLicenseManagement`-Rolle finden Sie unter [AWS verwaltete Richtlinie: AWSDataExchangeServiceRolePolicyForLicenseManagement](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement).
Weitere Hinweise zur Verwendung der `AWSServiceRoleForAWSDataExchangeLicenseManagement` dienstbezogenen Rolle finden Sie unter[Verwenden von serviceverknüpften Rollen für AWS Data Exchange](using-service-linked-roles-adx.md).
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
# Serviceverknüpfte Rollen für die AWS Organisationserkennung in AWS Data Exchange
AWS Data Exchange verwendet die dienstbezogene Rolle mit dem Namen `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` — diese Rolle ermöglicht es AWS Data Exchange, Informationen über Ihre AWS Organisation abzurufen, um festzustellen, ob Sie für die Verteilung von AWS Data Exchange Exchange-Datenzuschüssen in Frage kommen.
**Anmerkung**
Diese Rolle wird nur für das Verwaltungskonto der AWS Organisation benötigt.
Die serviceverknüpfte Rolle `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `organization-discovery.dataexchange.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` AWS Data Exchange ermöglicht es, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktionen:
+ `organizations:DescribeOrganization`
+ `organizations:DescribeAccount`
+ `organizations:ListAccounts`
+ Ressourcen:
+ Alle Ressourcen (`*`)
Weitere Informationen zur `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery`-Rolle finden Sie unter [AWS verwaltete Richtlinie: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery).
Weitere Informationen zur Verwendung der `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` dienstbezogenen Rolle finden Sie weiter [Verwenden von serviceverknüpften Rollen für AWS Data Exchange](using-service-linked-roles-adx.md) oben in diesem Abschnitt.
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
# Konformitätsprüfung für AWS Data Exchange
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
## Compliance mit PCI DSS
AWS Data Exchange unterstützt die Verarbeitung, Speicherung und Übertragung von Kreditkartendaten durch einen Händler oder Dienstleister und wurde als konform mit dem Payment Card Industry (PCI) Data Security Standard (DSS) validiert. Weitere Informationen zu PCI DSS, einschließlich der Möglichkeit, eine Kopie des AWS PCI Compliance Package anzufordern, finden Sie unter [PCI DSS Level 1.](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)
# Resilienz in AWS Data Exchange
Die AWS globale Infrastruktur basiert auf AWS-Regionen Availability Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mit Availability Zones können Sie Anwendungen und Datenbanken entwerfen und betreiben, die ohne Unterbrechung ein Failover zwischen Availability Zones durchführen. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
AWS Data Exchange verfügt über einen einzigen, weltweit verfügbaren Produktkatalog, der von Anbietern angeboten wird. Abonnenten können denselben Katalog sehen, unabhängig davon, welche Region sie verwenden. Die dem Produkt zugrunde liegenden Ressourcen (Datensätze, Revisionen, Ressourcen) sind regionale Ressourcen, die Sie in unterstützten Regionen programmgesteuert oder über die AWS Data Exchange Konsole verwalten. AWS Data Exchange repliziert Ihre Daten in mehreren Availability Zones innerhalb der Regionen, in denen der Service betrieben wird. Informationen zu den unterstützten Regionen finden Sie in der [Tabelle der globalen Infrastrukturregionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Weitere Informationen zu AWS-Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicherheit der Infrastruktur in AWS Data Exchange
Als verwalteter Dienst AWS Data Exchange ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff AWS Data Exchange über das Netzwerk. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# AWS Data Exchange und Schnittstellen-VPC-Endpunkte ()AWS PrivateLink
Sie können eine private Verbindung zwischen Ihrer Virtual Private Cloud (VPC) herstellen und AWS Data Exchange einen *VPC-Schnittstellen-Endpunkt* erstellen. Schnittstellenendpunkte basieren auf einer Technologie [AWS PrivateLink](https://aws.amazon.com/privatelink), mit der Sie privat auf AWS Data Exchange API-Operationen zugreifen können, ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Verbindung erforderlich ist. Direct Connect Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit AWS Data Exchange API-Vorgängen zu kommunizieren. Datenverkehr zwischen Ihrer VPC und AWS Data Exchange verlässt das Amazon-Netzwerk nicht.
Jeder Schnittstellenendpunkt wird durch eine oder mehrere [Elastic-Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) in Ihren Subnetzen dargestellt.
**Anmerkung**
Jede AWS Data Exchange Aktion außer von `SendAPIAsset` wird für VPC unterstützt.
Weitere Informationen finden Sie unter [Schnittstellen-VPC-Endpunkte (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) im *Amazon-VPC-Benutzerhandbuch*.
## Überlegungen zu AWS Data Exchange VPC-Endpunkten
Bevor Sie einen Schnittstellen-VPC-Endpunkt für einrichten, stellen Sie sicher AWS Data Exchange, dass Sie die [Eigenschaften und Einschränkungen der Schnittstellen-Endpunkte](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) im *Amazon VPC-Benutzerhandbuch* lesen.
AWS Data Exchange unterstützt Aufrufe aller API-Operationen von Ihrer VPC aus.
## Erstellen eines Schnittstellen-VPC-Endpunkts für AWS Data Exchange
Sie können einen VPC-Endpunkt für den AWS Data Exchange Service entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter [Erstellung eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) im *Benutzerhandbuch für Amazon VPC*.
Erstellen Sie einen VPC-Endpunkt für die AWS Data Exchange Verwendung des folgenden Dienstnamens:
+ `com.amazonaws.region.dataexchange`
Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an die AWS Data Exchange Verwendung seines Standard-DNS-Namens für stellen AWS-Region, `com.amazonaws.us-east-1.dataexchange` z. B.
Weitere Informationen finden Sie unter [Zugriff auf einen Service über einen Schnittstellenendpunkt](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) im *Benutzerhandbuch für Amazon VPC*.
## Erstellen einer VPC-Endpunktrichtlinie für AWS Data Exchange
Sie können eine Endpunktrichtlinie an Ihren VPC-Endpunkt anhängen, der den Zugriff auf AWS Data Exchange steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Der Prinzipal, der die Aktionen ausführen kann
+ Aktionen, die ausgeführt werden können
+ Ressourcen, für die Aktionen ausgeführt werden können
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
**Beispiel: VPC-Endpunktrichtlinie für Aktionen AWS Data Exchange**
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für AWS Data Exchange. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten AWS Data Exchange Aktionen.
Diese Beispiel-VPC-Endpunktrichtlinie ermöglicht vollen Zugriff nur für den Benutzer, AWS-Konto `123456789012` von `bts` dem aus `vpc-12345678` Der Benutzer `readUser` darf die Ressourcen lesen, aber allen anderen IAM-Prinzipalen wird der Zugriff auf den Endpunkt verweigert.
------
#### [ JSON ]
****
```
{
"Id": "example-policy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow administrative actions from vpc-12345678",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/bts"
]
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "Allow ReadOnly actions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/readUser"
]
},
"Action": [
"dataexchange:list*",
"dataexchange:get*"
],
"Resource": "*"
}
]
}
```
------