Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Seguridad y permisos
<a name="security"></a>

La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.

La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:

**Seguridad de la nube:** AWS se encarga de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de cumplimiento que se aplican a la administración de AWS costos, consulte [AWS los servicios incluidos en el ámbito de aplicación por programa de cumplimiento](https://aws.amazon.com/compliance/services-in-scope/).

**Seguridad en la nube:** su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables. Esta documentación ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Administración de facturación y costos. Los siguientes temas muestran cómo configurar Administración de facturación y costos para satisfacer los objetivos de seguridad y de conformidad. También puede aprender a utilizar otros servicios de AWS que lo ayuden a monitorear y proteger los recursos de Administración de facturación y costos.

**Topics**
+ [Gestión de acceso e identidad para Exportación de datos](bcm-data-exports-access.md)
+ [Protección de datos en Exportación de datos](data-protection.md)

# Gestión de acceso e identidad para Exportación de datos
<a name="bcm-data-exports-access"></a>

AWS La gestión de identidad y acceso (IAM) es un AWS servicio que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan quién se puede *autenticar* (iniciar sesión) y recibir *autorización* (tener permisos) para utilizar los recursos de Facturación. La IAM es un AWS servicio que puede utilizar sin coste adicional.

Para utilizar Exportación de datos, el usuario de IAM debe tener acceso a las acciones en `bcm-data-exports namespace` en IAM. Consulte la siguiente tabla para saber qué acciones están disponibles.


****  

| Acción de Exportación de datos | Description (Descripción) | Nivel de acceso | Tipos de recurso | Claves de condición | 
| --- | --- | --- | --- | --- | 
| CreateExport | Permite al usuario crear una exportación; además, especifica la consulta y las configuraciones de entrega, programación y contenido. | Escritura |  export tabla  |  aws: RequestTag /\$1 \$1\$1 TagKey AWS: TagKeys  | 
| UpdateExport | Permite al usuario actualizar una exportación existente. | Escritura |  export tabla  |  aws: ResourceTag /\$1 \$1\$1 TagKey  | 
| DeleteExport | Permite al usuario eliminar una exportación existente. | Escritura |  export  |  aws: ResourceTag /\$1 \$1\$1 TagKey  | 
| GetExport | Permite al usuario ver una exportación existente. | Lectura |  export  |  aws: ResourceTag /\$1 \$1\$1 TagKey  | 
| ListExports | Permite al usuario enumerar todas las exportaciones existentes. | Lectura |  |  | 
| GetExecution | Permite al usuario ver los detalles de la ejecución en cuestión, lo que incluye los metadatos y el esquema de los datos exportados. | Lectura |  export  |  aws: ResourceTag /\$1 \$1\$1 TagKey  | 
| ListExecutions | Permite al usuario enumerar todas las ejecuciones del identificador de exportación proporcionado. | Lectura |  export  |  aws: ResourceTag /\$1 \$1\$1 TagKey  | 
| GetTable | Permite al usuario obtener el esquema de la tabla en cuestión. | Lectura |  tabla  |  | 
| ListTables | Permite al usuario mostrar todas las tabla disponibles. | Lectura |  |  | 
| TagResource | Permite al usuario etiquetar una exportación existente. | Escritura |  export  |  aws: ResourceTag /\$1 \$1\$1 TagKey aws: RequestTag /\$1 \$1\$1 TagKey AWS: TagKeys  | 
| UntagResource | Permite al usuario desetiquetar una exportación existente. | Escritura |  export  |  aws: ResourceTag /\$1 \$1\$1 TagKey AWS: TagKeys  | 
| ListTagsForResource | Permite al usuario enumerar las etiquetas asociadas a una exportación existente. | Lectura |  export  |  aws: ResourceTag /\$1 \$1\$1 TagKey  | 

Para obtener más información sobre el uso de estas claves de contexto, consulte [Controlling access to AWS resources using tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html), en la *Guía del usuario de IAM*.

En la siguiente tabla, se describen los tipos de recursos disponibles en Exportación de datos.


****  

| Tipo de recurso | Description (Descripción) | ARN | 
| --- | --- | --- | 
| export | Una exportación es el recurso creado por la CreateExport API. Una exportación genera un resultado de consulta de facturación y administración de costos de forma periódica. | arn: \$1 \$1Partition\$1:bcm-data-exports: \$1 \$1Region\$1 :\$1 \$1Account\$1 :export/\$1 \$1exportName\$1 - \$1UUID\$1 | 
| tabla | Una tabla es una disposición de datos en formato de fila y columna que un usuario consulta al exportar. Las tablas las crean y administran los clientes. AWS Los clientes no pueden eliminar tablas. | arn: \$1 \$1Partition\$1:bcm-data-exports: \$1 \$1Region\$1 :\$1 \$1Account\$1 :table/\$1 \$1\$1 TableName | 

Para poder exportar los recursos de las tablas COST\$1AND\$1USAGE\$1REPORT o COST\$1AND\$1USAGE\$1DASHBOARD en Exportación de datos, los usuarios de IAM también deben tener los permisos para la acción `cur` correspondiente en IAM. Esto significa que, si a un usuario de IAM se le bloquea el uso de acciones `cur` por cualquier motivo (por ejemplo, carecer de un permiso explícito en `cur` o que una política de control de servicio (SCP) especifique una denegación a `cur`), ese usuario de IAM no podrá crear ni actualizar las exportaciones de estas dos tablas.

La siguiente tabla muestra cuáles son las acciones `cur` necesarias para cada acción `bcm-data-exports` en Exportación de datos para estas dos tablas.


****  

| Acción de Exportación de datos | Recursos de tabla | Acciones adicionales necesarias en IAM | 
| --- | --- | --- | 
| bcm-data-exports:CreateExport |  COST\$1AND\$1USAGE\$1REPORT COST\$1AND\$1USAGE\$1DASHBOARD  | cura: PutReportDefinition | 

## Ejemplo de política de
<a name="bcm-data-exports-access-examples"></a>

Permitir que el usuario de IAM tenga acceso completo a las exportaciones de CUR 2.0 en Exportación de datos.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewDataExportsTablesAndExports",
            "Effect": "Allow",
            "Action": [
                "bcm-data-exports:ListTables",
                "bcm-data-exports:ListExports",
                "bcm-data-exports:GetExport"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateCurExports",
            "Effect": "Allow",
            "Action": "bcm-data-exports:*",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
                "arn:aws:bcm-data-exports:*:*:export/*"
                ]
        },
        {
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action":  "cur:PutReportDefinition",
            "Resource": "*"
         }
    ]
}
```

------

Para obtener más información sobre el control de acceso y los permisos de IAM a fin de utilizar Exportación de datos en la administración de facturación y costos, consulte [Overview of managing access permissions](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html).

### Cree un AWS CUR 2.0 pro forma
<a name="bcm-data-exports-access-examples-2"></a>

Para crear un CUR 2.0 pro forma, tendrá que incluir la siguiente política de IAM:

Permita que el usuario de IAM tenga acceso completo a CUR 2.0 y a Billing Group Billing View.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateCur20AnyBillingView",
            "Effect": "Allow",
            "Action": "bcm-data-exports:CreateExport",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
                "arn:aws:bcm-data-exports:*:*:export/*",
                "arn:aws:billing::*:billingview/*"
            ]
        },{
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action": "cur:PutReportDefinition",
            "Resource": "*"
        }
    ]
}
```

------

Si quieres que un rol de IAM tenga acceso a un grupo de facturación específico, puedes añadir el ARN de Billing View al que el rol puede acceder.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateSpecificBillingViewCur20",
            "Effect": "Allow",
            "Action": "bcm-data-exports:CreateExport",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT", 
                "arn:aws:bcm-data-exports:*:*:export/*", 
                "arn:aws:billing::444455556666:billingview/billing-group-111122223333"
        ]
        },{
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action": "cur:PutReportDefinition",
            "Resource": "*"
        }
    ]
}
```

------

# Protección de datos en Exportación de datos
<a name="data-protection"></a>

Descubra cómo se aplica el modelo de responsabilidad AWS compartida a la protección de datos en Data Exports.

## procedimientos recomendados de seguridad en S3
<a name="s3-security-best-practices"></a>

Exportación de datos le entrega sus datos de administración de facturación y costos a un bucket de Amazon S3. Puede seguir varios pasos para asegurarse de que su bucket de S3 esté protegido. Para obtener más información, consulte [Prácticas recomendadas de seguridad para Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html), en la *Guía del usuario de Amazon S3*.

## Cifrado de datos en S3
<a name="s3-data-encryption"></a>

De forma predeterminada, sus exportaciones de datos se cifran utilizando el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3). Si desea utilizar el cifrado Amazon Key Management Service (KMS), conocido como SSE-KMS, para cifrar sus exportaciones, debe activar el cifrado con KMS una vez entregada la exportación. Para obtener más información, consulte [Establecer el comportamiento del cifrado predeterminado del lado del servidor para los buckets de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html), en la *Guía del usuario de Amazon S3*.