Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Control de acceso
Para crear, actualizar, eliminar o enumerar AWS Data Exchange recursos, necesita permisos para realizar la operación y acceder a los recursos correspondientes. Además, para realizar la operación mediante programación, necesita claves de acceso válidas.
Descripción general de la administración de los permisos de acceso a sus AWS Data Exchange recursos
Cada AWS recurso es propiedad de un Cuenta de AWS, y los permisos para crear o acceder a un recurso se rigen por las políticas de permisos. Un administrador de la cuenta puede asociar políticas de permisos a usuarios, grupos y roles. Algunos servicios (como por ejemplo AWS Lambda) también permiten asociar políticas de permisos a recursos.
nota
Un administrador de la cuenta (o administrador) es un usuario con privilegios de administrador. Para obtener más información, consulte Prácticas IAM recomendadas.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
-
Usuarios gestionados IAM a través de un proveedor de identidad:
Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
-
IAMusuarios:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.
-
Temas
AWS Data Exchange recursos y operaciones
En AWS Data Exchange, hay dos tipos diferentes de recursos primarios con diferentes planos de control:
-
Los recursos principales AWS Data Exchange son los conjuntos de datos y los trabajos. AWS Data Exchange también admite revisiones y activos.
-
Para facilitar las transacciones entre proveedores y suscriptores, AWS Data Exchange también utiliza AWS Marketplace conceptos y recursos, incluidos productos, ofertas y suscripciones. Puede utilizar el AWS Marketplace catálogo API o la AWS Data Exchange consola para gestionar sus productos, ofertas, solicitudes de suscripción y suscripciones.
Titularidad de los recursos
Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de la entidad principal (es decir, el usuario Cuenta de AWS raíz, un usuario o un rol) que autentica la solicitud de creación del recurso. Los siguientes ejemplos ilustran cómo funciona.
Propiedad del recurso
Cualquier IAM entidad Cuenta de AWS con los permisos correctos puede crear conjuntos de AWS Data Exchange datos. Cuando una IAM entidad crea un conjunto de datos, Cuenta de AWS es suya la propietaria del conjunto de datos. Los productos de datos publicados pueden contener conjuntos de datos que son propiedad exclusiva de la Cuenta de AWS persona que los creó.
Para suscribirse a un AWS Data Exchange producto, la IAM entidad necesita permisos de uso AWS Data Exchange, además de aws-marketplace:subscribe
aws-marketplace:aws-marketplace:CreateAgreementRequest
, y aws-marketplace:AcceptAgreementRequest
IAM permisos para usarlo AWS Marketplace (siempre que supere cualquier verificación de suscripción relacionada). Como suscriptor, su cuenta tiene acceso de lectura a los conjuntos de datos con derechos. Sin embargo, no es propietaria de los conjuntos de datos con derechos. Todos los conjuntos de datos con derechos que se exporten a Amazon S3 son propiedad de la Cuenta de AWS del suscriptor.
Administración del acceso a los recursos
En esta sección se analiza el uso IAM en el contexto de AWS Data Exchange. No se proporciona información detallada acerca del servicio IAM. Para obtener IAM la documentación completa, consulte ¿Qué esIAM? en la Guía IAM del usuario. Para obtener información sobre IAM la sintaxis y las descripciones de las AWS Identity and Access Management políticas, consulte la referencia de políticas en la Guía del IAM usuario.
Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones para crear políticas de permisos.
Las políticas que se asocian a una identidad de IAM se denominan políticas basadas en identidades (o políticas de IAM). Las políticas adjuntas a un recurso se denominan políticas basadas en recursos. AWS Data Exchange solo admite políticas basadas en la identidad (políticas). IAM
Políticas y permisos basados en identidades
AWS Data Exchange proporciona un conjunto de políticas gestionadas. Para obtener más información sobre ellas y sus permisos, consulteAWS políticas gestionadas para AWS Data Exchange.
Permisos de Amazon S3
Al importar activos de Amazon S3 a AWS Data Exchange, necesita permisos para escribir en los buckets de S3 del AWS Data Exchange servicio. Del mismo modo, al exportar activos AWS Data Exchange a Amazon S3, necesita permisos para leer los buckets de S3 del AWS Data Exchange servicio. Estos permisos están incluidos en las políticas mencionadas anteriormente, pero también puede crear su propia política para permitir solo lo que desee que los usuarios puedan hacer. Puede limitar estos permisos a los depósitos que contengan aws-data-exchange
su nombre y usar el CalledViapermiso para restringir el uso del permiso a las solicitudes realizadas AWS Data Exchange en nombre del principal.
Por ejemplo, puedes crear una política que permita la importación y la exportación y AWS Data Exchange que incluya estos permisos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*aws-data-exchange*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia":[ "dataexchange.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*aws-data-exchange*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia":[ "dataexchange.amazonaws.com" ] } } }, ] }
Estos permisos permiten a los proveedores importar y exportar con AWS Data Exchange. La política incluye los permisos y las restricciones siguientes:
-
s3: PutObject y s3: PutObjectAcl — Estos permisos están restringidos únicamente a los buckets de S3 que contengan
aws-data-exchange
su nombre. Estos permisos permiten a los proveedores escribir en los buckets de AWS Data Exchange servicio al importar desde Amazon S3. -
s3: GetObject — Este permiso está restringido a los buckets de S3 que contengan su
aws-data-exchange
nombre. Este permiso permite a los clientes leer los buckets de AWS Data Exchange servicio al exportar desde AWS Data Exchange Amazon S3. -
Estos permisos están restringidos a las solicitudes realizadas AWS Data Exchange con IAM
CalledVia
esta condición. Esto permite que losPutObject
permisos de S3 solo se utilicen en el contexto de la AWS Data Exchange consola oAPI. -
AWS Lake Formationy AWS Resource Access Manager(AWS RAM): para usar conjuntos de AWS Lake Formation datos, tendrás que aceptar la invitación a AWS RAM compartir cada nuevo proveedor neto al que tengas una suscripción. Para aceptar la invitación a AWS RAM compartir, tendrás que asumir un rol que tenga permiso para aceptar una invitación a AWS RAM compartir. Para obtener más información sobre cómo AWS gestionar las políticas AWS RAM, consulte Políticas gestionadas para AWS RAM.
-
Para crear conjuntos de AWS Lake Formation datos, tendrá que crear el conjunto de datos con una función asumida que le IAM permita transferirle una función AWS Data Exchange. Esto permitirá AWS Data Exchange conceder y revocar permisos a los recursos de Lake Formation en tu nombre. Consulte la política de ejemplo a continuación:
{ "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "dataexchange.amazonaws.com" } } }
nota
Es posible que sus usuarios también necesiten permisos adicionales para leer o escribir desde sus propios buckets y objetos de S3 que no se incluyen en este ejemplo.
Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte Identidades (usuarios, grupos y funciones) en la Guía del IAM usuario.
Políticas basadas en recursos
AWS Data Exchange no admite políticas basadas en recursos.
Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket.
Especificación de los elementos de las políticas: acciones, efectos y entidades principales
Para poder AWS Data Exchange utilizarlos, los permisos de usuario deben estar definidos en una IAM política.
A continuación se indican los elementos más básicos de la política:
-
Recurso: en una política, se utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Todas AWS Data Exchange API las operaciones admiten permisos a nivel de recurso (RLP), pero AWS Marketplace las acciones noRLP. Para obtener más información, consulte AWS Data Exchange recursos y operaciones.
-
Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar.
-
Efecto: usted especifica el efecto de permitir o denegar cuando el usuario solicite la acción específica. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
-
Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que está asociada la política es el principal implícito. En el caso de las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad para la que desea recibir los permisos (solo se aplica a las políticas basadas en recursos). AWS Data Exchange no admite políticas basadas en recursos.
Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia AWS Identity and Access Management de políticas en la Guía del IAMusuario.
Especificación de las condiciones de una política
Al conceder permisos, puede usar el lenguaje de la política de IAM para especificar las condiciones en la que se debe aplicar una política. Las CancelJob
API operaciones CreateJob
With StartJob
GetJob
, y admiten permisos condicionales. AWS Data Exchange Puede proporcionar permisos en el nivel de JobType
.
Clave de condición | Descripción | Tipo |
---|---|---|
"dataexchange:JobType":"IMPORT_ASSETS_FROM_S3" |
Limita los permisos a los trabajos para importar activos de Amazon S3. | Cadena |
|
Limita los permisos a los trabajos para importar activos de AWS Lake Formation (vista previa) | Cadena |
"dataexchange:JobType":"IMPORT_ASSET_FROM_SIGNED_URL" |
Limita los permisos a los trabajos que importan activos de un objeto firmadoURL. | Cadena |
"dataexchange:JobType":"IMPORT_ASSET_FROM_REDSHIFT_DATA_SHARES" |
Limita los permisos a los trabajos para importar activos de Amazon Redshift. | Cadena |
"dataexchange:JobType":"IMPORT_ASSET_FROM_API_GATEWAY_API" |
Limita los permisos a los trabajos que importan activos de Amazon API Gateway. | Cadena |
"dataexchange:JobType":"EXPORT_ASSETS_TO_S3" |
Limita los permisos de los trabajos para exportar activos a Amazon S3. | Cadena |
"dataexchange:JobType":"EXPORT_ASSETS_TO_SIGNED_URL" |
Limita los permisos a los trabajos que exportan activos a un firmante. URL | Cadena |
"dataexchange:JobType":EXPORT_REVISIONS_TO_S3" |
Limita los permisos de los trabajos para importar revisiones a Amazon S3. | Cadena |
Para obtener más información sobre cómo especificar las condiciones en el lenguaje de una política, consulte Condición en la Guía del IAM usuario.
Para expresar las condiciones, se utilizan claves de condición predefinidas. AWS Data Exchange tiene la JobType
condición para API las operaciones. No obstante, existen claves de condición que se aplican a todo AWS
que se pueden utilizar según sea necesario. Para obtener una lista completa de las teclas AWS anchas, consulte la Guía del IAM usuario.