Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de varios centros de datos y de una arquitectura de red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad de la nube y seguridad en la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores externos comprueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [programas de AWS cumplimiento](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de cumplimiento aplicables AWS Data Exchange, consulte los [AWS servicios incluidos en el ámbito de aplicación por programa de cumplimiento](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por los AWS servicios que utilice. Usted también es responsable de otros factores incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando utiliza AWS Data Exchange. En los temas siguientes, se muestra cómo realizar la configuración AWS Data Exchange para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS Data Exchange recursos.
# Protección de datos en AWS Data Exchange
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS Data Exchange. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con AWS Data Exchange o Servicios de AWS utiliza la consola, la API o. AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
AWS Data Exchange proporciona las siguientes opciones que puede utilizar para proteger el contenido que existe en sus conjuntos de datos:
**Topics**
+ [Cifrado en reposo](#data-protection-encryption-rest)
+ [Cifrado en tránsito](#data-protection-encryption-in-transit)
+ [Restricción del acceso a contenido](#data-protection-restrict-access)
## Cifrado en reposo
AWS Data Exchange siempre cifra todos los productos de datos almacenados en el servicio en reposo sin necesidad de ninguna configuración adicional. Este cifrado es automático cuando se utiliza AWS Data Exchange.
## Cifrado en tránsito
AWS Data Exchange utiliza Transport Layer Security (TLS) y el cifrado del lado del cliente para el cifrado en tránsito. La comunicación siempre AWS Data Exchange se realiza a través de HTTPS, por lo que sus datos siempre están cifrados en tránsito. Este cifrado se configura de forma predeterminada cuando lo usas AWS Data Exchange.
## Restricción del acceso a contenido
Como práctica recomendada, debería restringir el acceso al subconjunto de usuarios adecuado. Con AWS Data Exchange, puede hacerlo asegurándose de que los usuarios, grupos y roles que lo utilizan Cuenta de AWS tengan los permisos correctos. Para obtener más información sobre los roles y las políticas para entidades de IAM, consulte la*[ Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.
# Administración de claves para el acceso a datos de Amazon S3
Esta página es específica del tipo de acceso a datos de Amazon S3 en el que el proveedor comparte objetos cifrados con SSE-KMS. El suscriptor debe tener derechos concedidos sobre las claves utilizadas para el acceso.
Si su bucket de Amazon S3 contiene datos cifrados mediante claves administradas por el AWS KMS cliente, debe compartirlos AWS KMS keys con el AWS Data Exchange fin de configurar su conjunto de datos de acceso a los datos de Amazon S3. Para obtener más información, consulte [Paso 2: Configuración del acceso a los datos de Amazon S3](publish-s3-data-access-product.md#configure-s3-data-access-product).
**Topics**
+ [Crear AWS KMS subvenciones](#create-kms-grants)
+ [Contexto de cifrado y restricciones de concesión](#encryption-context-grant-constraint)
+ [Supervisar tu entrada AWS KMS keys AWS Data Exchange](#monitoring-your-kms-keys)
## Crear AWS KMS subvenciones
Cuando los proporciona AWS KMS keys como parte de su conjunto de datos de acceso a los datos de Amazon S3, AWS Data Exchange crea una AWS KMS concesión por cada uno de los datos AWS KMS key compartidos. Esta subvención, conocida como *subvención principal*, se utiliza para permitir la AWS Data Exchange creación de AWS KMS subvenciones adicionales para los suscriptores. Estas concesiones adicionales se conocen como *concesiones secundarias*. A cada suscriptor se le permite una AWS KMS subvención. Los suscriptores obtienen permiso para descifrar el AWS KMS key. A continuación, pueden descifrar y utilizar los objetos cifrados de Amazon S3 compartidos con ellos. Para obtener más información, consulte [Concesiones de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la *Guía para desarrolladores de AWS Key Management Service *.
AWS Data Exchange también utiliza la subvención AWS KMS principal para gestionar el ciclo de vida de la AWS KMS subvención que crea. Cuando finaliza una suscripción, AWS Data Exchange se retira la subvención AWS KMS secundaria creada para el suscriptor correspondiente. Si se revoca la revisión o se elimina el conjunto de datos, se AWS Data Exchange retira la AWS KMS subvención principal. Para obtener más información sobre AWS KMS las acciones, consulta la referencia de la [AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html).
## Contexto de cifrado y restricciones de concesión
AWS Data Exchange utiliza restricciones de concesión para permitir la operación de descifrado solo cuando la solicitud incluye el contexto de cifrado especificado. Puede utilizar la función Amazon S3 Bucket Key para cifrar sus objetos de Amazon S3 y compartirlos con AWS Data Exchange ellos. Amazon S3 utiliza implícitamente el nombre de recurso de Amazon (ARN) del bucket como contexto de cifrado. El siguiente ejemplo muestra que AWS Data Exchange usa el ARN del bucket como restricción de concesión para todas las AWS KMS concesiones que crea.
```
"Constraints": {
"EncryptionContextSubset": "aws:s3:arn": “arn:aws:s3:::"
}
}
```
## Supervisar tu entrada AWS KMS keys AWS Data Exchange
Cuando compartes las claves gestionadas por el AWS KMS cliente AWS Data Exchange, puedes utilizarlas [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)para hacer un seguimiento de las solicitudes AWS Data Exchange o los datos a los que envían los suscriptores AWS KMS. Los siguientes son ejemplos del aspecto que tendrán tus CloudTrail registros para las `Decrypt` llamadas `CreateGrant` y a las llamadas AWS KMS.
------
#### [ CreateGrant for parent ]
`CreateGrant`es para subvenciones para padres creadas AWS Data Exchange por ella misma.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Provider01",
"arn": "arn:aws:sts:::assumed-role/Admin/Provider01",
"accountId": "",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam:::role/Admin/Provider01”,
"accountId": "",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-16T17:29:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-16T17:32:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"CreateGrant",
"Decrypt",
"RetireGrant"
],
"granteePrincipal": "dataexchange.us-east-2.amazonaws.com",
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": { AWS:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"eventCategory": "Management"
}
```
------
#### [ CreateGrant for child ]
`CreateGrant`es para becas para hijos creadas AWS Data Exchange por suscriptores.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-15T23:15:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"Decrypt"
],
"granteePrincipal": “”,
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
"aws:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE ",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
Los suscriptores llaman a `Decrypt` cuando intentan leer los datos cifrados a los que están suscritos.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AROAIGDTESTANDEXAMPLE:Subscriber01",
"accountId": "",
"invokedBy": ""
},
"eventTime": "2023-02-15T23:28:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-2",
"sourceIPAddress": "",
"userAgent": "",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE”,
"readOnly": true,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "602466227860",
"sharedEventID": "bcf4d02a-31ea-4497-9c98-4c3549f20a7b",
"eventCategory": "Management"
}
```
------
# Gestión de identidad y acceso en AWS Data Exchange
Para realizar cualquier operación AWS Data Exchange, como crear un trabajo de importación mediante un AWS SDK o suscribirse a un producto de la AWS Data Exchange consola, AWS Identity and Access Management (IAM) es necesario que autentique que es un usuario autorizado. AWS Por ejemplo, si utilizas la AWS Data Exchange consola, autenticas tu identidad proporcionando tus credenciales de inicio de sesión. AWS
Tras autenticar tu identidad, IAM controla tu acceso a AWS un conjunto definido de permisos sobre un conjunto de operaciones y recursos. Si es un administrador de la cuenta, puede utilizar IAM para controlar el acceso de otros usuarios a los recursos asociados a su cuenta.
**Topics**
+ [Autenticación](#authentication)
+ [Control de acceso](access-control.md)
+ [AWS Data Exchange Permisos de API: referencia de acciones y recursos](api-permissions-ref.md)
+ [AWS políticas gestionadas para AWS Data Exchange](security-iam-awsmanpol.md)
## Autenticación
Puede acceder AWS con cualquiera de los siguientes tipos de identidades:
+ **Cuenta de AWS usuario raíz**: al crear una Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz*, que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
+ **Usuario**: un [usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) es una identidad en su Cuenta de AWS que tiene permisos personalizados específicos. Puedes usar tus credenciales de IAM para iniciar sesión en AWS páginas web seguras como el Centro Consola de administración de AWS o el Centro. AWS Support
+ **Rol de IAM**: un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una identidad de IAM que puede crear en su cuenta con permisos específicos. Una función de IAM es similar a la de un usuario de IAM en el sentido de que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en ella. AWS No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En cambio, cuando asume un rol, le proporciona credenciales de seguridad temporales para su sesión de rol. Los roles con credenciales temporales son útiles en las situaciones siguientes:
+ **Acceso de usuario federado**: en lugar de crear un usuario, puede utilizar las identidades existentes del directorio de Directory Service usuarios de su empresa o de un proveedor de identidades web. Se conocen como usuarios *federados.* AWS asigna un rol a un usuario federado cuando se solicita el acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte [Usuarios federados y roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles).
+ **Servicio de AWS acceso**: una función de servicio es una función de IAM que un servicio asume para realizar acciones en su cuenta en su nombre. Al configurar algunos de los entornos de Servicio de AWS , debe definir un rol que el servicio asumirá. Esta función de servicio debe incluir todos los permisos necesarios para que el servicio acceda a los AWS recursos que necesita. Los roles de servicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuando se cumplan los requisitos documentados para dicho servicio. Las funciones del servicio ofrecen acceso solo dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puede crear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear una función que permita a Amazon Redshift obtener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte [Crear un rol para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
+ **Aplicaciones que se ejecutan en Amazon EC2**: puede utilizar un rol de IAM para administrar las credenciales temporales de las aplicaciones que se ejecutan en una instancia de Amazon EC2 y que realizan solicitudes o a la API. AWS CLI AWS Esto es preferible a almacenar claves de acceso en la instancia de Amazon EC2. Para asignar un AWS rol a una instancia de Amazon EC2 y ponerlo a disposición de todas sus aplicaciones, debe crear un perfil de instancia adjunto a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se encuentran en ejecución en la instancia de Amazon EC2 obtener credenciales temporales. Para obtener más información, consulte [Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias de Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).
# Control de acceso
Para crear, actualizar, eliminar o enumerar AWS Data Exchange recursos, necesita permisos para realizar la operación y acceder a los recursos correspondientes. Además, para realizar la operación mediante programación, necesita claves de acceso válidas.
## Descripción general de la administración de los permisos de acceso a sus AWS Data Exchange recursos
Cada AWS recurso es propiedad de un Cuenta de AWS, y los permisos para crear o acceder a un recurso se rigen por las políticas de permisos. Un administrador de la cuenta puede asociar políticas de permisos a usuarios, grupos y roles. Algunos servicios (como por ejemplo AWS Lambda) también permiten asociar políticas de permisos a recursos.
**nota**
Un *administrador de la cuenta* (o administrador) es un usuario con privilegios de administrador. Para obtener más información, consulte las [prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
**Topics**
+ [AWS Data Exchange recursos y operaciones](#access-control-resources)
+ [Titularidad de los recursos](#access-control-owner)
+ [Administración del acceso a los recursos](#access-control-manage-access-intro)
+ [Especificación de los elementos de las políticas: acciones, efectos y entidades principales](#access-control-specify-control-tower-actions)
+ [Especificación de las condiciones de una política](#specifying-conditions)
### AWS Data Exchange recursos y operaciones
En AWS Data Exchange, hay dos tipos diferentes de recursos primarios con diferentes planos de control:
+ Los recursos principales AWS Data Exchange son los *conjuntos de datos* y los *trabajos*. AWS Data Exchange también admite *revisiones* y *activos*.
+ Para facilitar las transacciones entre proveedores y suscriptores, AWS Data Exchange también utiliza AWS Marketplace conceptos y recursos, incluidos productos, ofertas y suscripciones. Puede utilizar la API del AWS Marketplace catálogo o la AWS Data Exchange consola para gestionar sus productos, ofertas, solicitudes de suscripción y suscripciones.
### Titularidad de los recursos
Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de la [entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (es decir, el usuario Cuenta de AWS raíz, un usuario o un rol) que autentica la solicitud de creación del recurso. Los siguientes ejemplos ilustran cómo funciona.
#### Propiedad del recurso
Cualquier entidad de IAM Cuenta de AWS con los permisos correctos puede crear conjuntos de AWS Data Exchange datos. Cuando una entidad de IAM crea un conjunto de datos, su Cuenta de AWS es la propietaria del conjunto de datos. Los productos de datos publicados pueden contener conjuntos de datos que son propiedad exclusiva de la persona Cuenta de AWS que los creó.
Para suscribirse a un AWS Data Exchange producto, la entidad de IAM necesita permisos de uso AWS Data Exchange, además de los `aws-marketplace:subscribe` permisos de `aws-marketplace:AcceptAgreementRequest` IAM AWS Marketplace (siempre que supere cualquier verificación de suscripción relacionada). `aws-marketplace:aws-marketplace:CreateAgreementRequest` Como suscriptor, su cuenta tiene acceso de lectura a los conjuntos de datos con derechos. Sin embargo, no es propietaria de los conjuntos de datos con derechos. Todos los conjuntos de datos con derechos que se exporten a Amazon S3 son propiedad de la Cuenta de AWS del suscriptor.
### Administración del acceso a los recursos
En esta sección se analiza el uso de la IAM en el contexto de. AWS Data Exchange No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte [¿Qué es IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) en la *Guía del usuario de IAM*. Para obtener más información acerca de la sintaxis y las descripciones de la política de IAM, consulte [Referencia de políticas de de AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.
Una *política de permisos* describe quién tiene acceso a qué. En la siguiente sección se explican las opciones para crear políticas de permisos.
Las políticas que se asocian a una identidad de IAM se denominan *políticas basadas en identidades* (o políticas de IAM). Las políticas asociadas a un recurso se denominan políticas basadas en *recursos*. AWS Data Exchange solo admite políticas basadas en la identidad (políticas de IAM).
**Topics**
+ [Políticas y permisos basados en identidades](#access-control-manage-access-intro-iam-policies)
+ [Políticas basadas en recursos](#access-control-manage-access-intro-resource-policies)
#### Políticas y permisos basados en identidades
AWS Data Exchange proporciona un conjunto de políticas gestionadas. Para obtener más información sobre ellas y sus permisos, consulte[AWS políticas gestionadas para AWS Data Exchange](security-iam-awsmanpol.md).
##### Permisos de Amazon S3
Al importar activos de Amazon S3 a AWS Data Exchange, necesita permisos para escribir en los buckets de S3 del AWS Data Exchange servicio. Del mismo modo, al exportar activos AWS Data Exchange a Amazon S3, necesita permisos para leer los buckets de S3 del AWS Data Exchange servicio. Estos permisos están incluidos en las políticas mencionadas anteriormente, pero también puede crear su propia política para permitir solo lo que desee que los usuarios puedan hacer. Puede limitar estos permisos a los depósitos que contengan `aws-data-exchange` su nombre y usar el [ CalledVia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia)permiso para restringir el uso del permiso a las solicitudes realizadas AWS Data Exchange en nombre del principal.
Por ejemplo, puedes crear una política que permita la importación y la exportación y AWS Data Exchange que incluya estos permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
}
]
}
```
------
Estos permisos permiten a los proveedores importar y exportar con AWS Data Exchange. La política incluye los permisos y las restricciones siguientes:
+ **s3: PutObject** y **s3: PutObjectAcl** — Estos permisos están restringidos únicamente a los buckets de S3 que contengan `aws-data-exchange` su nombre. Estos permisos permiten a los proveedores escribir en los buckets de AWS Data Exchange servicio al importar desde Amazon S3.
+ **s3: GetObject** — Este permiso está restringido a los buckets de S3 que contengan su `aws-data-exchange` nombre. Este permiso permite a los clientes leer los buckets de AWS Data Exchange servicio al exportar desde AWS Data Exchange Amazon S3.
+ Estos permisos están restringidos a las solicitudes realizadas utilizando AWS Data Exchange con la condición `CalledVia` de IAM. Esto permite que los `PutObject` permisos de S3 solo se utilicen en el contexto de la AWS Data Exchange consola o la API.
+ **AWS Lake Formation****y **AWS Resource Access Manager******(AWS RAM)****:** para usar conjuntos de AWS Lake Formation datos, tendrás que aceptar la invitación a AWS RAM compartir cada nuevo proveedor neto al que tengas una suscripción. Para aceptar la invitación a AWS RAM compartir, tendrás que asumir un rol que tenga permiso para aceptar una invitación a AWS RAM compartir. Para obtener más información sobre cómo AWS gestionar las políticas AWS RAM, consulte [Políticas gestionadas para AWS RAM.](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html)
+ Para crear conjuntos de AWS Lake Formation datos, tendrá que crear el conjunto de datos con una función asumida que le permita a IAM transferir una función. AWS Data Exchange Esto permitirá AWS Data Exchange conceder y revocar permisos a los recursos de Lake Formation en tu nombre. Consulte la política de ejemplo a continuación:
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dataexchange.amazonaws.com"
}
}
}
```
**nota**
Es posible que sus usuarios también necesiten permisos adicionales para leer o escribir desde sus propios buckets y objetos de S3 que no se incluyen en este ejemplo.
Para obtener más información sobre usuarios, grupos, roles y permisos, consulte [Identidades (usuarios, grupos y roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la *Guía del usuario de IAM*.
#### Políticas basadas en recursos
AWS Data Exchange no es compatible con las políticas basadas en los recursos.
Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket.
### Especificación de los elementos de las políticas: acciones, efectos y entidades principales
Para poder AWS Data Exchange utilizarlos, los permisos de usuario deben estar definidos en una política de IAM.
A continuación se indican los elementos más básicos de la política:
+ **Recurso**: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Todas las operaciones de la AWS Data Exchange API admiten permisos a nivel de recurso (RLP), pero AWS Marketplace las acciones no admiten el RLP. Para obtener más información, consulte [AWS Data Exchange recursos y operaciones](#access-control-resources).
+ **Acción**: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar.
+ **Efecto**: usted especifica el efecto de permitir o denegar cuando el usuario solicite la acción específica. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
+ **Entidad principal**: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. En el caso de las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad para la que desea recibir los permisos (solo se aplica a las políticas basadas en recursos). AWS Data Exchange no admite políticas basadas en recursos.
Para obtener más información sobre la sintaxis y las descripciones de las políticas de IAM, consulte la [referencia de AWS Identity and Access Management políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la Guía del usuario de *IAM*.
### Especificación de las condiciones de una política
Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en la que se debe aplicar una política. Las operaciones With AWS Data Exchange`CreateJob`, `StartJob``GetJob`, y `CancelJob` API admiten permisos condicionales. Puede proporcionar permisos en el nivel de `JobType`.
**AWS Data Exchange referencia clave de condición**
| Clave de condición | Description (Descripción) | Tipo |
| --- | --- | --- |
| "dataexchange:JobType":"IMPORT\$1ASSETS\$1FROM\$1S3" | Limita los permisos a los trabajos para importar activos de Amazon S3. | Cadena |
| "dataexchange:JobType":IMPORT\$1ASSETS\$1FROM\$1LAKE\$1FORMATION\$1TAG\$1POLICY" (Preview) | Limita los permisos a los trabajos para importar activos de AWS Lake Formation (vista previa) | Cadena |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL" | Limita los permisos a los trabajos para importar activos desde una URL firmada. | Cadena |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1REDSHIFT\$1DATA\$1SHARES" | Limita los permisos a los trabajos para importar activos de Amazon Redshift. | Cadena |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1API\$1GATEWAY\$1API" | Limita los permisos a los trabajos para importar activos desde Amazon API Gateway. | Cadena |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1S3" | Limita los permisos de los trabajos para exportar activos a Amazon S3. | Cadena |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL" | Limita los permisos a los trabajos para exportar activos a una URL firmada. | Cadena |
| "dataexchange:JobType":EXPORT\$1REVISIONS\$1TO\$1S3" | Limita los permisos de los trabajos para importar revisiones a Amazon S3. | Cadena |
Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte [Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) en la *Guía del usuario de IAM*.
Para expresar las condiciones, se utilizan claves de condición predefinidas. AWS Data Exchange tiene la `JobType` condición para las operaciones de la API. No obstante, existen claves de condición que se aplican a todo AWS que se pueden utilizar según sea necesario. Para ver una lista completa de claves generales de AWS , consulte la [https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
# AWS Data Exchange Permisos de API: referencia de acciones y recursos
Utilice la siguiente tabla como referencia cuando configure [Control de acceso](access-control.md) y redacte una política de permisos que pueda adjuntar a una identidad AWS Identity and Access Management (IAM) (políticas basadas en la identidad). En la tabla se muestra cada operación de la AWS Data Exchange API, las acciones para las que puedes conceder permisos para realizar la acción y el AWS recurso para el que puedes conceder los permisos. Las acciones se especifican en el campo `Action` de la política. Especifique el valor de recurso en el campo `Resource`.
**nota**
Para especificar una acción, use el prefijo `dataexchange:` seguido del nombre de operación de la API (por ejemplo, `dataexchange:CreateDataSet`).
**AWS Data Exchange La API y los permisos necesarios para las acciones**
| AWS Data Exchange Operaciones de API | Permisos necesarios (acciones de API) | Recursos | Condiciones |
| --- | --- | --- | --- |
| CreateDataSet | dataexchange:CreateDataSet | N/A | `aws:TagKeys` `aws:RequestTag` |
| GetDataSet | dataexchange:GetDataSet | Conjunto de datos | aws:RequestTag |
| UpdateDataSet | dataexchange:UpdateDataSet | Conjunto de datos | aws:RequestTag |
| PublishDataSet | dataexchange:PublishDataSet | Conjunto de datos | aws:RequestTag |
| DeleteDataSet | dataexchange:DeleteDataSet | Conjunto de datos | aws:RequestTag |
| ListDataSets | dataexchange:ListDataSets | N/A | N/A |
| CreateRevision | dataexchange:CreateRevision | Conjunto de datos | `aws:TagKeys` `aws:RequestTag` |
| GetRevision | dataexchange:GetRevision | Revisión | aws:RequestTag |
| DeleteRevision | dataexchange:DeleteRevision | Revisión | aws:RequestTag |
| ListDataSetRevisions | dataexchange:ListDataSetRevisions | Conjunto de datos | aws:RequestTag |
| ListRevisionAssets | dataexchange:ListRevisionAssets | Revisión | aws:RequestTag |
| CreateEventAction | dataexchange:CreateEventAction | N/A | N/A |
| UpdateEventAction | dataexchange:UpdateEventAction | EventAction | N/A |
| GetEventAction | dataexchange:GetEventAction | EventAction | N/A |
| ListEventActions | dataexchange:ListEventActions | N/A | N/A |
| DeleteEventAction | dataexchange:DeleteEventAction | EventAction | N/A |
| CreateJob | dataexchange:CreateJob | N/A | dataexchange:JobType |
| GetJob | dataexchange:GetJob | Trabajo | dataexchange:JobType |
| StartJob\$1\$1 | dataexchange:StartJob | Trabajo | dataexchange:JobType |
| CancelJob | dataexchange:CancelJob | Trabajo | dataexchange:JobType |
| ListJobs | dataexchange:ListJobs | N/A | N/A |
| ListTagsForResource | dataexchange:ListTagsForResource | Revisión | aws:RequestTag |
| TagResource | dataexchange:TagResource | Revisión | `aws:TagKeys` `aws:RequestTag` |
| UnTagResource | dataexchange:UnTagResource | Revisión | `aws:TagKeys` `aws:RequestTag` |
| UpdateRevision | dataexchange:UpdateRevision | Revisión | aws:RequestTag |
| DeleteAsset | dataexchange:DeleteAsset | Activo | N/A |
| GetAsset | dataexchange:GetAsset | Activo | N/A |
| UpdateAsset | dataexchange:UpdateAsset | Activo | N/A |
| SendApiAsset | dataexchange:SendApiAsset | Activo | N/A |
**\$1\$1** Pueden ser necesarios permisos de IAM adicionales en función del tipo de trabajo que vaya a iniciar. Consulte la tabla siguiente para ver los tipos de trabajos de AWS Data Exchange y los permisos de IAM adicionales asociados. Para obtener más información acerca de los trabajos, consulte [Puestos de trabajo en AWS Data Exchange](jobs.md).
**nota**
Actualmente, la `SendApiAsset` operación no es compatible con lo siguiente SDKs:
SDK para .NET
AWS SDK para C\$1\$1
SDK para Java 2.x
**AWS Data Exchange permisos de tipo de trabajo para `StartJob`**
| Tipo de trabajo | Permisos de IAM adicionales necesarios |
| --- | --- |
| IMPORT\$1ASSETS\$1FROM\$1S3 | dataexchange:CreateAsset |
| IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1API\$1GATEWAY\$1API | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1REDSHIFT\$1DATA\$1SHARES | dataexchange:CreateAsset, redshift:AuthorizeDataShare |
| EXPORT\$1ASSETS\$1TO\$1S3 | dataexchange:GetAsset |
| EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL | dataexchange:GetAsset |
| EXPORT\$1REVISIONS\$1TO\$1S3 | dataexchange:GetRevision dataexchange:GetDataSet El permiso de IAM `dataexchange:GetDataSet` solo es necesario si va a utilizar `DataSet.Name` como referencia dinámica para el tipo de trabajo `EXPORT_REVISIONS_TO_S3`. |
Puede limitar las acciones de los conjuntos de datos en el nivel de revisión o de activo utilizando caracteres comodín, como en el ejemplo siguiente.
```
arn:aws:dataexchange:us-east-1:123456789012:data-sets/99EXAMPLE23c7c272897cf1EXAMPLE7a/revisions/*/assets/*
```
Algunas AWS Data Exchange acciones solo se pueden realizar en la AWS Data Exchange consola. Estas acciones están integradas con AWS Marketplace la funcionalidad. Las acciones requieren los AWS Marketplace permisos que se muestran en la siguiente tabla.
**AWS Data Exchange acciones solo de consola para suscriptores**
| Acción de consola | Permiso de IAM |
| --- | --- |
| Suscribirse a un producto | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Enviar una solicitud de verificación de suscripción | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Activar la renovación automática de la suscripción | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Vista del estado de renovación automática de una suscripción | `aws-marketplace:ListEntitlementDetails` `aws-marketplace:ViewSubscriptions` `aws-marketplace:GetAgreementTerms` |
| Desactivar la renovación automática de la suscripción | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Enumerar las suscripciones activas | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
| Consultar suscripción | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` `aws-marketplace:DescribeAgreement` |
| Enumerar las solicitudes de verificación de suscripciones | `aws-marketplace:ListAgreementRequests` |
| Ver la solicitud de verificación de la suscripción | `aws-marketplace:GetAgreementRequest` |
| Cancelar la solicitud de verificación de la suscripción | `aws-marketplace:CancelAgreementRequest` |
| Vista de todas las ofertas dirigidas a la cuenta | `aws-marketplace:ListPrivateListings` |
| Vista de los detalles de un producto y una oferta específicos | `aws-marketplace:GetPrivateListing` |
**AWS Data Exchange acciones solo de consola para proveedores**
| Acción de consola | Permiso de IAM |
| --- | --- |
| Etiquetado de producto | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| Etiquetado de oferta | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| Publicar producto | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` `dataexchange:PublishDataSet` |
| Anular la publicación de un producto | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Editar producto | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Crear una oferta personalizada | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Editar una oferta personalizada | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Consultar los detalles de un producto | `aws-marketplace:DescribeEntity` `aws-marketplace:ListEntities` |
| Ver una oferta personalizada de un producto | aws-marketplace:DescribeEntity |
| Ver el panel de control de un producto | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| Enumerar los productos para los que se ha publicado un conjunto de datos o una revisión | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| Enumerar las solicitudes de verificación de suscripciones | `aws-marketplace:ListAgreementApprovalRequests` `aws-marketplace:GetAgreementApprovalRequest` |
| Aprobar solicitudes de verificación de suscripciones | `aws-marketplace:AcceptAgreementApprovalRequest` |
| Rechazar solicitudes de verificación de suscripciones | `aws-marketplace:RejectAgreementApprovalRequest` |
| Eliminar la información de las solicitudes de verificación de suscripciones | `aws-marketplace:UpdateAgreementApprovalRequest` |
| Ver los detalles de una suscripción | `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
# AWS políticas gestionadas para AWS Data Exchange
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
**Topics**
+ [AWS política gestionada: AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)
+ [AWS política gestionada: AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)
+ [AWS política gestionada: AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)
+ [AWS política gestionada: AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)
+ [AWS política gestionada: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)
+ [AWS política gestionada: AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)
+ [AWS política gestionada: AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess)
+ [AWS política gestionada: AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess)
+ [AWS Data Exchange actualizaciones de las políticas AWS gestionadas](#security-iam-awsmanpol-updates)
## AWS política gestionada: AWSDataExchangeFullAccess
Puede asociar la política `AWSDataExchangeFullAccess` a las identidades de IAM.
Esta política otorga permisos administrativos que permiten el acceso total al SDK AWS Data Exchange Consola de administración de AWS y AWS Marketplace las acciones a través del mismo. También proporciona acceso selecto a Amazon S3 y AWS Key Management Service según sea necesario para sacarle el máximo partido AWS Data Exchange.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html)la *Referencia de políticas AWS administradas*.
## AWS política gestionada: AWSDataExchangeProviderFullAccess
Puede asociar la política `AWSDataExchangeProviderFullAccess` a las identidades de IAM.
Esta política otorga a los colaboradores permisos que permiten al proveedor de datos acceder al SDK AWS Data Exchange Consola de administración de AWS y AWS Marketplace realizar acciones a través de él. También proporciona acceso selecto a Amazon S3 y AWS Key Management Service según sea necesario para sacarle el máximo partido AWS Data Exchange.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html)la *Referencia de políticas AWS administradas*.
## AWS política gestionada: AWSDataExchangeReadOnly
Puede asociar la política `AWSDataExchangeReadOnly` a las identidades de IAM.
Esta política otorga permisos de solo lectura que permiten el acceso de solo lectura AWS Data Exchange y AWS Marketplace las acciones mediante el SDK y. Consola de administración de AWS
*Para ver los permisos de esta política, consulta la Referencia de políticas [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html)gestionadas AWS .*
## AWS política gestionada: AWSDataExchangeServiceRolePolicyForLicenseManagement
No puede adjuntar `AWSDataExchangeServiceRolePolicyForLicenseManagement` a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a AWS Data Exchange realizar acciones en su nombre. Otorga permisos de rol que AWS Data Exchange permiten recuperar información sobre su AWS organización y administrar AWS Data Exchange los datos y otorga licencias. Para obtener más información, consulte [Función vinculada al servicio para la administración de licencias AWS Data Exchange](using-service-linked-roles-license-management.md) más adelante en este tema.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html)la *Referencia de políticas AWS gestionadas*.
## AWS política gestionada: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery
No puede adjuntar `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` a sus entidades de IAM. Esta política está asociada a un rol vinculado al servicio que permite AWS Data Exchange realizar acciones en su nombre. Otorga permisos de rol que permiten recuperar información sobre su AWS organización AWS Data Exchange para determinar si reúne los requisitos para la distribución de licencias de concesión de AWS Data Exchange datos. Para obtener más información, consulte [Funciones vinculadas al servicio para la detección de organizaciones en AWS AWS Data Exchange](using-service-linked-roles-aws-org-discovery.md).
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html)la *Referencia de políticas AWS gestionadas*.
## AWS política gestionada: AWSDataExchangeSubscriberFullAccess
Puede asociar la política `AWSDataExchangeSubscriberFullAccess` a las identidades de IAM.
Esta política otorga a los colaboradores permisos que permiten a los suscriptores de datos acceder a los datos AWS Data Exchange y AWS Marketplace realizar acciones mediante el Consola de administración de AWS SDK. También proporciona acceso selecto a Amazon S3 y AWS Key Management Service según sea necesario para sacarle el máximo partido AWS Data Exchange.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html)la *Referencia de políticas AWS administradas*.
## AWS política gestionada: AWSDataExchangeDataGrantOwnerFullAccess
Puede asociar la política `AWSDataExchangeDataGrantOwnerFullAccess` a las identidades de IAM.
Esta política otorga al propietario de Data Grant acceso a AWS Data Exchange las acciones mediante Consola de administración de AWS y SDKs.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html)la *Referencia de políticas AWS gestionadas*.
## AWS política gestionada: AWSDataExchangeDataGrantReceiverFullAccess
Puede asociar la política `AWSDataExchangeDataGrantReceiverFullAccess` a las identidades de IAM.
Esta política otorga al receptor de Data Grant acceso a AWS Data Exchange las acciones mediante Consola de administración de AWS y SDKs.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html)la *Referencia de políticas AWS gestionadas*.
## AWS Data Exchange actualizaciones de las políticas AWS gestionadas
En la siguiente tabla se proporcionan detalles sobre las actualizaciones de las políticas AWS administradas AWS Data Exchange desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página (y cualquier otro cambio en esta guía del usuario), suscríbase a la fuente RSS en la página [Historial de documentos para AWS Data Exchange](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess): política nueva | AWS Data Exchange se agregó una nueva política para permitir que los propietarios de Data Grant accedan a AWS Data Exchange las acciones. | 24 de octubre de 2024 |
| [AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess): política nueva | AWS Data Exchange agregó una nueva política para permitir que los receptores de Data Grant accedan a AWS Data Exchange las acciones. | 24 de octubre de 2024 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly): actualización de una política actual | Se han añadido los permisos necesarios a la política `AWSDataExchangeReadOnly` AWS gestionada para la nueva función de concesión de datos. | 24 de octubre de 2024 |
| [AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement): política nueva | Se agregó una nueva política para respaldar las funciones vinculadas al servicio para administrar las concesiones de licencias en las cuentas de los clientes. | 17 de octubre de 2024 |
| [AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery): política nueva | Se agregó una nueva política para respaldar las funciones vinculadas al servicio y proporcionar acceso de lectura a la información de las cuentas de su organización. AWS | 17 de octubre de 2024 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) | Se agregó una declaración IDs para facilitar la lectura de la política, se ampliaron los permisos comodín a la lista completa de permisos ADX de solo lectura y se agregaron nuevas acciones: y. aws-marketplace:ListTagsForResource aws-marketplace:ListPrivateListings | 9 de julio de 2024 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | Acción eliminada: aws-marketplace:GetPrivateListing | 22 de mayo de 2024 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) | Se agregó una declaración IDs para facilitar la lectura de la política y se agregó una nueva acción:aws-marketplace:ListPrivateListings. | 30 de abril de 2024 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | Se agregó una declaración IDs para facilitar la lectura de la política y se agregaron nuevas acciones: aws-marketplace:TagResource aws-marketplace:UntagResourceaws-marketplace:ListTagsForResource,aws-marketplace:ListPrivateListings,,aws-marketplace:GetPrivateListing, yaws-marketplace:DescribeAgreement. | 30 de abril de 2024 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | Se agregó una declaración IDs para facilitar la lectura de la política. | 9 de agosto de 2024 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | Se agregó dataexchange:SendDataSetNotification un nuevo permiso para enviar notificaciones de conjuntos de datos. | 5 de marzo de 2024 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess), [AWSDataExchangeReadOnly[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)](#security-iam-awsmanpol-awsdataexchangereadonly), y [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess): actualización a las políticas existentes | Se han añadido acciones granulares en todas las políticas gestionadas. Las nuevas acciones añadidas son `aws-marketplace:CreateAgreementRequest`, `aws-marketplace:AcceptAgreementRequest`, `aws-marketplace:ListEntitlementDetails`, `aws-marketplace:ListPrivateListings`, `aws-marketplace:GetPrivateListing`, `license-manager:ListReceivedGrants` `aws-marketplace:TagResource`, `aws-marketplace:UntagResource`, `aws-marketplace:ListTagsForResource`, `aws-marketplace:DescribeAgreement`, `aws-marketplace:GetAgreementTerms`, `aws-marketplace:GetLicense`. | 31 de julio de 2023 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess): actualización de una política actual | Se ha agregado `dataexchange:RevokeRevision`, un nuevo permiso para revocar una revisión. | 15 de marzo de 2022 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) y [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess): actualización de políticas existentes | Se ha agregado `apigateway:GET`, un nuevo permiso para recuperar un activo de API de Amazon API Gateway. | 3 de diciembre de 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) y [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess): actualización de políticas existentes | Se ha agregado `dataexchange:SendApiAsset`, un nuevo permiso para enviar una solicitud a un activo de API. | 29 de noviembre de 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) y [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess): actualización de políticas existentes | Se han agregado `redshift:AuthorizeDataShare`, `redshift:DescribeDataSharesForProducer` y ` redshift:DescribeDataShares`, permisos nuevos para autorizar el acceso a los conjuntos de datos de Amazon Redshift y crearlos. | 1 de noviembre de 2021 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess): actualización de una política actual | Se han agregado los nuevos permisos `dataexchange:CreateEventAction`, `dataexchange:UpdateEventAction` y `dataexchange:DeleteEventAction`, para controlar el acceso con el fin de exportar automáticamente las nuevas revisiones de los conjuntos de datos. | 30 de septiembre de 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) y [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess): actualización de políticas existentes | Se ha agregado `dataexchange:PublishDataSet`, un nuevo permiso para controlar el acceso a la publicación de nuevas versiones de conjuntos de datos. | 25 de mayo de 2021 |
| [AWS DataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly), [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) y [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess): actualización de políticas existentes | Se ha agregado `aws-marketplace:SearchAgreements` y `aws-marketplace:GetAgreementTerms` ver las suscripciones de productos y ofertas. | 12 de mayo de 2021 |
| AWS Data Exchange comenzó a rastrear los cambios | AWS Data Exchange comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 20 de abril de 2021 |
# Uso de roles vinculados a servicios para AWS Data Exchange
AWS Data Exchange [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Data Exchange Los roles vinculados al servicio están predefinidos AWS Data Exchange e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS Data Exchange , ya que no es necesario añadir manualmente los permisos necesarios. AWS Data Exchange define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Data Exchange puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS Data Exchange recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Crear un rol vinculado a un servicio para AWS Data Exchange
No necesita crear manualmente un rol vinculado a servicios. Al distribuir una concesión de datos mediante el administrador de licencias, se crea automáticamente el rol vinculado al servicio.
**Cómo crear un rol vinculado a un servicio**
1. En la [AWS Data Exchange consola](https://console.aws.amazon.com/adx/), inicie sesión y seleccione la configuración de **concesión de datos**.
1. En la página de **ajustes de Data Grant**, selecciona **Configurar la integración**.
1. En la sección de **integración Create AWS ** Organizations, selecciona **Configurar la integración**.
1. En la página de **integración de Create AWS ** Organizations, elija la preferencia de nivel de confianza adecuada y, a continuación, elija **Create integration**.
También puede usar la consola de IAM para crear un rol vinculado a un servicio con un caso de uso. En la API AWS CLI o en la AWS API, cree un rol vinculado al servicio con el nombre del servicio. `appropriate-service-name.amazonaws.com` Para obtener más información, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Edición de un rol vinculado a un servicio para AWS Data Exchange
AWS Data Exchange no permite editar el rol vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para AWS Data Exchange
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el AWS Data Exchange servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
Para poder eliminar el rol vinculado al servicio, debe:
+ Para el `AWSServiceRoleForAWSDataExchangeLicenseManagement` rol, elimine todas las concesiones AWS License Manager distribuidas de AWS Data Exchange datos que haya recibido.
+ Para el `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` rol, elimina todas las concesiones AWS License Manager distribuidas de AWS Data Exchange datos recibidas por las cuentas de tu AWS organización.
**Eliminar manualmente el rol vinculado a servicios**
Usa la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles para los roles vinculados al servicio AWS Data Exchange
AWS Data Exchange admite el uso de funciones vinculadas al servicio en todos los lugares en los que el servicio Regiones de AWS esté disponible. Para obtener más información, consulte [Puntos de conexión y Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Función vinculada al servicio para la administración de licencias AWS Data Exchange
AWS Data Exchange usa el rol vinculado al servicio denominado`AWSServiceRoleForAWSDataExchangeLicenseManagement`: este rol permite a AWS Data Exchange recuperar información sobre su AWS organización y administrar AWS los datos de Data Exchange y conceder licencias.
El rol vinculado al servicio `AWSServiceRoleForAWSDataExchangeLicenseManagement` depende de los siguientes servicios para asumir el rol:
+ `license-management.dataexchange.amazonaws.com`
La política de permisos de roles denominada `AWSDataExchangeServiceRolePolicyForLicenseManagement` permite AWS Data Exchange realizar las siguientes acciones en los recursos especificados:
+ Acciones:
+ `organizations:DescribeOrganization`
+ `license-manager:ListDistributedGrants`
+ `license-manager:GetGrant`
+ `license-manager:CreateGrantVersion`
+ `license-manager:DeleteGrant`
+ Recursos:
+ Todos los recursos (`*`)
Para obtener más información acerca de los roles de `AWSDataExchangeServiceRolePolicyForLicenseManagement`, consulte [AWS política gestionada: AWSDataExchangeServiceRolePolicyForLicenseManagement](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement).
Para obtener más información sobre el uso del rol `AWSServiceRoleForAWSDataExchangeLicenseManagement` vinculado al servicio, consulte. [Uso de roles vinculados a servicios para AWS Data Exchange](using-service-linked-roles-adx.md)
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
# Funciones vinculadas al servicio para la detección de organizaciones en AWS AWS Data Exchange
AWS Data Exchange utiliza el rol vinculado al servicio denominado`AWSServiceRoleForAWSDataExchangeOrganizationDiscovery`: este rol permite a AWS Data Exchange recuperar información sobre su AWS organización para determinar si reúne los requisitos para la distribución de licencias de concesión de AWS datos de Data Exchange.
**nota**
Esta función solo es necesaria en la cuenta de administración de la AWS organización.
El rol vinculado al servicio `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` depende de los siguientes servicios para asumir el rol:
+ `organization-discovery.dataexchange.amazonaws.com`
La política de permisos de roles denominada `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` AWS Data Exchange permite realizar las siguientes acciones en los recursos especificados:
+ Acciones:
+ `organizations:DescribeOrganization`
+ `organizations:DescribeAccount`
+ `organizations:ListAccounts`
+ Recursos:
+ Todos los recursos (`*`)
Para obtener más información acerca de los roles de `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery`, consulte [AWS política gestionada: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery).
Para obtener más información sobre el uso del rol `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` vinculado al servicio, consulte la [Uso de roles vinculados a servicios para AWS Data Exchange](using-service-linked-roles-adx.md) sección anterior.
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
# Validación de conformidad para AWS Data Exchange
Para saber si un programa de cumplimiento Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa](https://aws.amazon.com/compliance/services-in-scope/) de de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
## Conformidad con DSS PCI
AWS Data Exchange admite el procesamiento, el almacenamiento y la transmisión de datos de tarjetas de crédito por parte de un comerciante o proveedor de servicios, y se ha comprobado que cumple con el estándar de seguridad de datos (DSS) de la industria de tarjetas de pago (PCI). Para obtener más información sobre PCI DSS, incluida la forma de solicitar una copia del PCI AWS Compliance Package, consulte [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS Level 1.
# Resiliencia en AWS Data Exchange
La infraestructura AWS global se basa en Regiones de AWS zonas de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
AWS Data Exchange tiene un catálogo único de productos disponible en todo el mundo ofrecido por los proveedores. Los suscriptores pueden ver el mismo catálogo independientemente de la región que utilicen. Los recursos subyacentes al producto (conjuntos de datos, revisiones, activos) son recursos regionales que se administran mediante programación o a través de la AWS Data Exchange consola en las regiones compatibles. AWS Data Exchange replica sus datos en varias zonas de disponibilidad dentro de las regiones en las que opera el servicio. Para obtener más información sobre las regiones admitidas, consulte [Tabla de regiones de infraestructura global](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte [Infraestructura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Seguridad de la infraestructura en AWS Data Exchange
Como servicio gestionado, AWS Data Exchange está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a AWS Data Exchange través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
# AWS Data Exchange y puntos finales de VPC de interfaz ()AWS PrivateLink
Puede establecer una conexión privada entre su nube privada virtual (VPC) y la AWS Data Exchange creando un *punto de conexión de VPC de interfaz*. Los puntos finales de la interfaz funcionan con una tecnología que te permite acceder de forma privada a las operaciones de la AWS Data Exchange API sin necesidad de una pasarela de Internet, un dispositivo NAT, una conexión VPN o una conexión. [AWS PrivateLink](https://aws.amazon.com/privatelink) Direct Connect Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con las operaciones de la AWS Data Exchange API. El tráfico entre tu VPC y AWS Data Exchange no sale de la red de Amazon.
Cada punto de conexión de la interfaz está representado por una o más [interfaces de red elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) en las subredes.
**nota**
Todas las AWS Data Exchange acciones, excepto esta`SendAPIAsset`, son compatibles con la VPC.
Para obtener más información, consulte [Puntos de conexión de VPC de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) en la *Guía del usuario de Amazon VPC*.
## Consideraciones sobre los puntos AWS Data Exchange finales de VPC
Antes de configurar un punto de enlace de VPC de interfaz AWS Data Exchange, asegúrese de revisar las [propiedades y limitaciones del punto de enlace de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) en la Guía del usuario de Amazon *VPC*.
AWS Data Exchange admite realizar llamadas a todas sus operaciones de API desde su VPC.
## Creación de un punto final de VPC de interfaz para AWS Data Exchange
Puede crear un punto de enlace de VPC para el AWS Data Exchange servicio mediante la consola de Amazon VPC o el (). AWS Command Line Interface AWS CLI Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) en la *Guía del usuario de Amazon VPC*.
Cree un punto final de VPC para AWS Data Exchange usar el siguiente nombre de servicio:
+ `com.amazonaws.region.dataexchange`
Si habilitas el DNS privado para el punto final, puedes realizar solicitudes a la API para AWS Data Exchange utilizar su nombre de DNS predeterminado para Región de AWS, por ejemplo,`com.amazonaws.us-east-1.dataexchange`.
Para más información, consulte [Acceso a un servicio a través de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) en la *Guía del usuario de Amazon VPC*.
## Crear una política de puntos de conexión de VPC para AWS Data Exchange
Puede asociar una política de punto de conexión con su punto de conexión de VPC que controla el acceso a AWS Data Exchange. La política especifica la siguiente información:
+ La entidad principal que puede realizar acciones
+ Las acciones que se pueden realizar
+ Los recursos en los que se pueden llevar a cabo las acciones
Para más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.
**Ejemplo: política de puntos finales de VPC para acciones AWS Data Exchange**
El siguiente es un ejemplo de una política de puntos finales para AWS Data Exchange. Cuando se adjunta a un punto final, esta política otorga acceso a las AWS Data Exchange acciones enumeradas a todos los principales de todos los recursos.
Este ejemplo de política de punto final de VPC permite el acceso total solo al usuario desde el que `bts` entra Cuenta de AWS `123456789012`. `vpc-12345678` El usuario `readUser` puede leer los recursos, pero a todas las demás entidades principales de IAM se les deniega el acceso al punto de conexión.
------
#### [ JSON ]
****
```
{
"Id": "example-policy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow administrative actions from vpc-12345678",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/bts"
]
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "Allow ReadOnly actions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/readUser"
]
},
"Action": [
"dataexchange:list*",
"dataexchange:get*"
],
"Resource": "*"
}
]
}
```
------