Paso 1: Creación de un conjunto de datos de Amazon S3 Paso 2: Configuración del acceso a los datos de Amazon S3 Paso 3: Revisar y finalizar el conjunto de datos Paso 4: Crear una nueva concesión de datos

Crear una concesión de datos para AWS Data Exchange contener el acceso a los datos de Amazon S3

Con AWS Data Exchange Amazon S3, los propietarios de los datos pueden compartir el acceso directo a los buckets de Amazon S3 o a prefijos y objetos de Amazon S3 específicos. Los propietarios de los datos también suelen AWS Data Exchange gestionar automáticamente los derechos mediante la concesión de datos.

Como propietario de datos, puede compartir el acceso directo a todo un bucket de Amazon S3 o a prefijos y objetos de Amazon S3 específicos sin tener que crear ni gestionar copias. Estos objetos compartidos de Amazon S3 se pueden cifrar en el servidor con claves administradas por el cliente almacenadas en AWS Key Management Service (AWS KMS) o con Claves administradas por AWS (SSE-S3). Para obtener más información sobre la supervisión de sus KMS claves y la comprensión de los contextos de cifrado, consulte. Administración de claves para el acceso a datos de Amazon S3 Cuando un destinatario obtiene acceso a sus productos de datos, aprovisiona AWS Data Exchange automáticamente un punto de acceso Amazon S3 y actualiza sus políticas de recursos en su nombre para conceder a los destinatarios acceso de solo lectura. Los receptores pueden usar alias de puntos de acceso de Amazon S3 en los lugares donde utilizan nombres de bucket de Amazon S3 con el fin de acceder a datos en Amazon S3.

Cuando la suscripción finaliza, se revocan los permisos del receptor.

Antes de poder crear una concesión de datos que contenga acceso a datos de Amazon S3, debe cumplir con los siguientes requisitos previos:

Requisitos previos

Confirme que los buckets de Amazon S3 que alojan los datos estén configurados con la opción ACLsInhabilitada por el propietario del bucket de Amazon S3. Para obtener más información, consulta Cómo controlar la propiedad de los objetos y deshabilitar ACLs tu depósito en la Guía del usuario de Amazon Simple Storage Service.
Sus objetos compartidos deben estar en la clase de almacenamiento estándar de Amazon S3 o gestionarse mediante Amazon S3 Intelligent-Tiering para que los receptores puedan acceder a ellos correctamente. Si están en otras clases de almacenamiento o si se ha activado Intelligent Tiering con Deep Archive, sus receptores verán errores porque no tendrán permiso para RestoreObject.
Confirme que los buckets de Amazon S3 que alojan los datos tengan el cifrado desactivado o estén cifrados con claves administradas de Amazon S3 (SSE-S3) o claves administradas por el cliente almacenadas en AWS Key Management Service (AWSKMS).

Si utiliza claves administradas por el cliente, debe disponer de lo siguiente:

IAMpermisos para acceder a kms:CreateGrant las KMS claves. Puede acceder a estos permisos mediante la política de claves, IAM las credenciales o mediante la AWS KMS concesión de la KMS clave. Para obtener más información sobre la administración de claves y comprender cómo se AWS Data Exchange utilizan AWS KMS las concesiones, consulteCrear AWS KMS subvenciones.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
Usuarios gestionados IAM a través de un proveedor de identidad:

Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
IAMusuarios:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.

Los usuarios necesitan acceso mediante programación si desean interactuar con personas AWS ajenas a. AWS Management Console La forma de conceder el acceso programático depende del tipo de usuario que acceda. AWS

Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.

¿Qué usuario necesita acceso programático?	Para	Mediante
Identidad del personal (Los usuarios se administran en IAM Identity Center)	Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o AWS APIs.	Siga las instrucciones de la interfaz que desea utilizar: Para ello AWS CLI, consulte Configuración del AWS CLI uso AWS IAM Identity Center en la Guía del AWS Command Line Interface usuario. Para AWS SDKs ver las herramientas y AWS APIs, consulte la autenticación de IAM Identity Center en la Guía de referencia de herramientas AWS SDKs y herramientas.
IAM	Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o AWS APIs.	Siga las instrucciones de Uso de credenciales temporales con AWS recursos de la Guía del IAM usuario.
IAM	(No recomendado) Utilice credenciales de larga duración para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs.	Siga las instrucciones de la interfaz que desea utilizar: Para ello AWS CLI, consulte Autenticación con credenciales IAM de usuario en la Guía del AWS Command Line Interface usuario. Para obtener AWS SDKs información sobre las herramientas, consulte Autenticarse con credenciales de larga duración en la Guía de referencia de herramientas AWS SDKs y herramientas. Para ello AWS APIs, consulte Administrar las claves de acceso de IAM los usuarios en la Guía del IAM usuario.

¿Qué usuario necesita acceso programático?

Para

Mediante

Identidad del personal

(Los usuarios se administran en IAM Identity Center)

Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o AWS APIs.

Siga las instrucciones de la interfaz que desea utilizar:

Para ello AWS CLI, consulte Configuración del AWS CLI uso AWS IAM Identity Center en la Guía del AWS Command Line Interface usuario.
Para AWS SDKs ver las herramientas y AWS APIs, consulte la autenticación de IAM Identity Center en la Guía de referencia de herramientas AWS SDKs y herramientas.

IAM

Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o AWS APIs.

Siga las instrucciones de Uso de credenciales temporales con AWS recursos de la Guía del IAM usuario.

IAM

(No recomendado)

Utilice credenciales de larga duración para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs.

Siga las instrucciones de la interfaz que desea utilizar:

Para ello AWS CLI, consulte Autenticación con credenciales IAM de usuario en la Guía del AWS Command Line Interface usuario.
Para obtener AWS SDKs información sobre las herramientas, consulte Autenticarse con credenciales de larga duración en la Guía de referencia de herramientas AWS SDKs y herramientas.
Para ello AWS APIs, consulte Administrar las claves de acceso de IAM los usuarios en la Guía del IAM usuario.

A continuación se muestra un ejemplo de JSON política que muestra cómo se puede añadir a la política clave de la KMS clave.



{
      "Sid": "AllowCreateGrantPermission",
      "Effect": "Allow",
      "Principal": {
"AWS": "<IAM identity who will call Dataexchange API>"             
      },
      "Action": "kms:CreateGrant",
      "Resource": "*"
}

La siguiente política muestra un ejemplo de adición de política para la IAM identidad que se utiliza.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "AllowCreateGrantPermission",
            "Action": [
                 "kms:CreateGrant
            ],
            "Resource": [
              <Enter KMS Key ARNs in your account>                
            ]
        }
    ]
}

nota

También se permiten KMS claves de cuentas cruzadas si el kms:CreateGrant permiso sobre las KMS claves se obtiene mediante el paso anterior. Si la clave es propiedad de otra cuenta, debes tener permisos sobre la política de claves y tus IAM credenciales, tal y como se detalla en los ejemplos anteriores.

Asegúrese de utilizar KMS las claves para cifrar los objetos nuevos y existentes en el bucket de Amazon S3 mediante la función de clave de bucket de Amazon S3. Para obtener más información, consulte Configuración de claves de bucket de S3 en la Guía del usuario de la consola de Amazon Simple Storage Service.
- Para los objetos nuevos agregados a su bucket de Amazon S3, puede configurar el cifrado de claves de bucket de Amazon S3 de forma predeterminada. Si los objetos existentes se han cifrado sin utilizar la función de clave de bucket de Amazon S3, es necesario migrar estos objetos para utilizar la clave de bucket de Amazon S3 para el cifrado.
  
  Para habilitar la clave de bucket de Amazon S3 para los objetos existentes, utilice la operación copy. Para obtener más información, consulte Configuración de una clave de bucket de Amazon S3 en el nivel de objeto mediante operaciones por lotes.
- AWS KMSclaves administradas o Claves propiedad de AWS no son compatibles. Es posible migrar de un esquema de cifrado no compatible a los que se admiten actualmente. Para obtener más información, consulte Cambiar el cifrado de Amazon S3 en el blog sobre AWS almacenamiento.

Configure los buckets de Amazon S3 que alojan los datos para que confíen en los puntos AWS Data Exchange de acceso propios. Debe actualizar estas políticas de bucket de Amazon S3 para conceder AWS Data Exchange permisos para crear puntos de acceso a Amazon S3 y conceder o eliminar el acceso de los suscriptores en su nombre. Si falta la declaración de política, debe editar la política de buckets para añadir las ubicaciones de Amazon S3 a su conjunto de datos.

A continuación, se muestra una política de ejemplo. Sustituya <Bucket ARN> por el valor adecuado.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "<Bucket ARN>",
                "<Bucket ARN>/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:DataAccessPointAccount": [
                        "337040091392",
                        "504002150500",
                        "366362662752",
                        "330489627928",
                        "291973504423",
                        "461002523379",
                        "036905324694",
                        "540564263739",
                        "675969394711",
                        "108584782536",
                        "844053218156"
                    ]
                }
            }
        }
    ]
}

Puede delegar el intercambio de datos AWS Data Exchange en un bucket completo de Amazon S3. Sin embargo, puede limitar la delegación a los prefijos y objetos específicos del bucket que desee compartir en el conjunto de datos. A continuación se muestra un ejemplo de una política limitada. Sustituya <Bucket ARN> y "mybucket/folder1/*" con su propia información.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegateToAdxGetObjectsInFolder1",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::mybucket/folder1/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:DataAccessPointAccount": [
            "337040091392",
            "504002150500",
            "366362662752",
            "330489627928",
            "291973504423",
            "461002523379",
            "036905324694",
            "540564263739",
            "675969394711",
            "108584782536",
            "844053218156"
          ]
        }
      }
    },
    {
      "Sid": "DelegateToAdxListObjectsInFolder1",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::mybucket",
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "folder1/*"
          ]
        },
        "StringEquals": {
          "s3:DataAccessPointAccount": [
            "337040091392",
            "504002150500",
            "366362662752",
            "330489627928",
            "291973504423",
            "461002523379",
            "036905324694",
            "540564263739",
            "675969394711",
            "108584782536",
            "844053218156"
          ]
        }
      }
    }
  ]
}

De forma parecida, para limitar el acceso a un solo archivo, el propietario de datos puede usar la siguiente política.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegateToAdxGetMyFile",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::mybucket/folder1/myfile"
      ],
      "Condition": {
        "StringEquals": {
          "s3:DataAccessPointAccount": [
            "337040091392",
            "504002150500",
            "366362662752",
            "330489627928",
            "291973504423",
            "461002523379",
            "036905324694",
            "540564263739",
            "675969394711",
            "108584782536",
            "844053218156"
          ]
        }
      }
    }
  ]
}

En los siguientes temas se describe el proceso de creación de un conjunto de datos de Amazon S3 y una concesión de datos con conjuntos de datos de Amazon S3 mediante la AWS Data Exchange consola. El proceso consta de los pasos siguientes:

Pasos

Paso 1: Creación de un conjunto de datos de Amazon S3
Paso 2: Configuración del acceso a los datos de Amazon S3
Paso 3: Revisar y finalizar el conjunto de datos
Paso 4: Crear una nueva concesión de datos

Paso 1: Creación de un conjunto de datos de Amazon S3

Para crear un conjunto de datos de Amazon S3

En el panel de navegación de la izquierda, en Mis datos, elija Conjuntos de datos propios.
En Conjuntos de datos propios, elija Crear conjunto de datos para abrir el asistente Pasos para crear un conjunto de datos.
En Seleccionar tipo de conjunto de datos, elija Acceso a datos de Amazon S3.
En Definir conjunto de datos, introduzca un Nombre y una Descripción para el conjunto de datos. Para obtener más información, consulte Prácticas recomendadas con conjuntos de datos.
(Opcional) En Agregar etiquetas - opcional, agregue etiquetas.
Elija Crear conjunto de datos y continúe.

Paso 2: Configuración del acceso a los datos de Amazon S3

Elija los buckets de Amazon S3 o las ubicaciones de los buckets de Amazon S3 que desea poner a disposición de los receptores. Puede seleccionar un bucket de Amazon S3 completo o especificar hasta cinco prefijos u objetos dentro de un bucket de Amazon S3. Para agregar más buckets de Amazon S3, es necesario crear otro recurso compartido de datos de Amazon S3.

Para configurar el acceso a datos compartidos de Amazon S3

En la página Configurar el acceso a datos de Amazon S3, seleccione Elegir ubicaciones de Amazon S3.
En Elegir ubicaciones de Amazon S3, introduzca el nombre de su bucket de Amazon S3 en la barra de búsqueda o seleccione su bucket de Amazon S3, prefijos o archivos de Amazon S3 y elija Agregar selección. A continuación, elija Agregar aplicación.

nota
Recomendamos elegir una carpeta de nivel superior donde se almacenen la mayoría de los objetos y prefijos con el fin de que los propietarios de datos no tengan que volver a configurar los prefijos u objetos que van a compartir.
En Detalles de configuración, elija la configuración El solicitante paga. Dispone de dos opciones:
- Permitir que el solicitante pague (recomendado): los solicitantes pagarán todas las solicitudes y transferencias del bucket de Amazon S3. Recomendamos esta opción porque ayuda a proteger frente a costes imprevistos derivados de las solicitudes y transferencias de los receptores.
- Deshabilitar el pago por el solicitante: usted paga las solicitudes y transferencias de los receptores en el bucket de Amazon S3.
  
  Para obtener más información sobre El solicitante paga, consulte Objetos en los buckets El solicitante paga en la Guía del usuario de Amazon Simple Storage Service.
Seleccione la Política de bucket que mejor se adapte a sus necesidades. Seleccione General para utilizar una política para todo su bucket de Amazon S3. Se trata de una configuración que se realiza por una sola vez y no es necesaria ninguna configuración adicional para compartir prefijos u objetos en el futuro. Elija Específica para usar una política de bucket específica para las ubicaciones de Amazon S3 seleccionadas. Su bucket compartido de Amazon S3 necesita una política de bucket para crear correctamente un conjunto de datos de acceso a los datos de Amazon S3 y no se puede ACLs habilitar.
1. Para deshabilitarloACLs, dirígete a los permisos de tu bucket y establece Object Ownership como Impuesto por el propietario del bucket.
2. Para añadir una política de bucket, copie la declaración del bucket en el portapapeles. En la consola de Amazon S3, en la pestaña Permisos de Amazon S3, seleccione Editar en la sección de políticas de bucket, pegue la política de bucket en la declaración y Guarde los cambios.
Si el bucket de Amazon S3 contiene objetos cifrados con claves administradas por el AWS KMS cliente, debe compartir todas esas KMS claves con AWS Data Exchange. Para obtener información sobre los requisitos previos necesarios para utilizar KMS claves para cifrar objetos en su bucket de Amazon S3, consulte. Publicar un producto AWS Data Exchange que contenga el acceso a los datos de Amazon S3 Para compartir estas KMS claves AWS Data Exchange, haga lo siguiente:
1. En la página Configurar el acceso a los datos de Amazon S3, en KMSClaves administradas por el cliente, seleccione Elegir entre sus AWS KMS keys o Entrar AWS KMS key ARN y seleccione todas las que se estén utilizando AWS KMS keysactualmente para cifrar las ubicaciones compartidas de Amazon S3. AWS Data Exchange utiliza estas KMS claves para crear subvenciones para que los destinatarios accedan a sus ubicaciones compartidas. Para obtener más información, consulte Concesiones en AWS KMS.
nota
AWS KMS tiene un límite de 50 000 subvenciones por KMS clave, incluidas las subvenciones preexistentes.
Revise las ubicaciones de Amazon S3, KMS las claves seleccionadas y los detalles de configuración, y seleccione Guardar y continuar.

Paso 3: Revisar y finalizar el conjunto de datos

Revise y finalice el conjunto de datos que acaba de crear. Si desea crear y agregar otro acceso a datos de Amazon S3 para compartir el acceso a buckets, prefijos u objetos adicionales de Amazon S3, seleccione Agregar otro acceso a datos de Amazon S3.

nota

Lo recomendamos cuando necesite compartir el acceso a los datos alojados en un bucket de Amazon S3 distinto del seleccionado anteriormente en el acceso inicial a los datos de Amazon S3.

Si desea realizar cambios antes de la publicación, puede guardar el conjunto de datos como borrador seleccionando Guardar borrador. A continuación, seleccione Finalizar conjunto de datos para agregarlo a su concesión.

Paso 4: Crear una nueva concesión de datos

Una vez que haya creado al menos un conjunto de datos y finalizado una revisión con activos, ya se podrá publicar ese conjunto de datos como parte de una concesión de datos.

Para crear una nueva concesión de datos

En el panel de navegación izquierdo de la consola de AWS Data Exchange, en Concesiones de datos intercambiadas, seleccione Concesiones de datos enviadas.
En Concesiones de datos enviadas, elija Crear concesión de datos para abrir el asistente Definir concesión de datos.
En la sección Seleccionar conjunto de datos propio, active la casilla situada junto al conjunto de datos que desea agregar.

nota
El conjunto de datos que elija debe tener una revisión finalizada. Los conjuntos de datos sin las revisiones finalizadas no se pueden agregar a las concesiones de datos.
A diferencia de los conjuntos de datos incluidos en los productos de datos que se comparten AWS Marketplace, los conjuntos de datos que se añaden a las concesiones de datos no tienen reglas de acceso a las revisiones, lo que significa que el destinatario de una concesión de datos, una vez aprobada la concesión de datos, tendrá acceso a todas las revisiones finalizadas de un conjunto de datos determinado (incluidas las revisiones históricas finalizadas antes de la creación de la concesión de datos).
En la sección Descripción general de la concesión, introduzca la información que el receptor verá en relación con su concesión de datos, incluido el nombre de la concesión de datos y la descripción de la concesión de datos.
Elija Next (Siguiente).

Para obtener más información, consulte Mejores prácticas de productos en AWS Data Exchange.
En la sección Información de acceso del destinatario, en Cuenta de AWS ID, ingresa el Cuenta de AWS ID de la cuenta del destinatario que debe recibir la concesión de datos.
En Fecha de finalización del acceso, seleccione una fecha de finalización específica en la que deba caducar la concesión de datos o, si la concesión debe ser indefinida, selecciona Sin fecha de finalización.
Elija Next (Siguiente).
En la sección Revisar y enviar, revise la información sobre la concesión de datos.
Si está seguro de que desea crear la concesión de datos y enviarla al receptor elegido, seleccione Crear y enviar concesión de datos.

Ya ha completado la parte manual de creación de una concesión de datos. La concesión de datos aparecerá en la pestaña Concesiones de datos enviadas de la página Concesiones de datos enviadas, donde se mostrará su estado como Pendiente de aceptación hasta que la cuenta del destinatario la acepte.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Contiene conjuntos de datos de Amazon Redshift

Contiene conjuntos AWS Lake Formation de datos de permisos (vista previa)