Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Sécurité et autorisations
<a name="security"></a>

La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.

La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :

**Sécurité du cloud :** AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à la gestion des AWS coûts, consultez la section [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).

**Sécurité dans le cloud :** votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables. Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation de la Gestion de la facturation et des coûts. Les rubriques suivantes vous montrent comment configurer la Gestion de la facturation et des coûts pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres services AWS pour surveiller et sécuriser vos ressources de Gestion de la facturation et des coûts.

**Topics**
+ [Gestion des identités et des accès pour les exportations de données](bcm-data-exports-access.md)
+ [Protection des données dans les exportations de données](data-protection.md)

# Gestion des identités et des accès pour les exportations de données
<a name="bcm-data-exports-access"></a>

AWS Identity and Access Management (IAM) est un AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès aux ressources. AWS Des administrateurs IAM contrôlent les personnes qui *s’authentifient* (sont connectées) et *sont autorisées* (disposent d'autorisations) à utiliser des ressources de facturation. IAM est un AWS service que vous pouvez utiliser sans frais supplémentaires.

Pour utiliser les exportations de données, un utilisateur IAM doit avoir accès aux actions `bcm-data-exports namespace` dans IAM. Consultez le tableau suivant pour connaître les actions disponibles.


****  

| Action d'exportation de données | Description | Niveau d’accès | Types de ressources | Clés de condition | 
| --- | --- | --- | --- | --- | 
| CreateExport | Permet à l'utilisateur de créer une exportation et spécifie les requêtes, les configurations de diffusion, les configurations de planification et les configurations de contenu. | Écrire |  exportation table  |  était : RequestTag /\$1 \$1\$1 TagKey lois : TagKeys  | 
| UpdateExport | Permet à l'utilisateur de mettre à jour une exportation existante. | Écrire |  exportation table  |  était : ResourceTag /\$1 \$1\$1 TagKey  | 
| DeleteExport | Permet à l'utilisateur de supprimer une exportation existante. | Écrire |  exportation  |  était : ResourceTag /\$1 \$1\$1 TagKey  | 
| GetExport | Permet à l'utilisateur de visualiser une exportation existante. | Lecture |  exportation  |  était : ResourceTag /\$1 \$1\$1 TagKey  | 
| ListExports | Permet à l'utilisateur de répertorier toutes les exportations existantes. | Lecture |  |  | 
| GetExecution | Permet à l'utilisateur de voir les détails de l'exécution donnée, y compris les métadonnées et le schéma des données exportées. | Lecture |  exportation  |  était : ResourceTag /\$1 \$1\$1 TagKey  | 
| ListExecutions | Permet à l'utilisateur de répertorier toutes les exécutions de l'identifiant d'exportation fourni. | Lecture |  exportation  |  était : ResourceTag /\$1 \$1\$1 TagKey  | 
| GetTable | Permet à l'utilisateur d'obtenir le schéma de la table donnée. | Lecture |  table  |  | 
| ListTables | Permet à l'utilisateur de répertorier toutes les tables disponibles. | Lecture |  |  | 
| TagResource | Permet à l'utilisateur de baliser une exportation existante. | Écrire |  exportation  |  était : ResourceTag /\$1 \$1\$1 TagKey était : RequestTag /\$1 \$1\$1 TagKey lois : TagKeys  | 
| UntagResource | Permet à l'utilisateur de supprimer le balisage d'une exportation existante. | Écrire |  exportation  |  était : ResourceTag /\$1 \$1\$1 TagKey lois : TagKeys  | 
| ListTagsForResource | Permet à l'utilisateur de répertorier les balises associées à une exportation existante. | Lecture |  exportation  |  était : ResourceTag /\$1 \$1\$1 TagKey  | 

Pour plus d'informations sur l'utilisation de ces clés contextuelles, consultez la section [Contrôle de l'accès aux AWS ressources à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*.

Le tableau suivant décrit les types de ressources disponibles dans Data Exports.


****  

| Type de ressource | Description | ARN | 
| --- | --- | --- | 
| exportation | Une exportation est la ressource créée par l' CreateExport API. Une exportation génère une demande de facturation et de gestion des coûts de manière récurrente. | arn : \$1 \$1Partition\$1 bcm-data-exports : \$1 \$1Region\$1 :\$1 \$1Account\$1 :export/\$1 \$1exportName\$1 - \$1UUID\$1 | 
| table | Une table est une donnée au format ligne-colonne qu'un utilisateur interroge lors d'une exportation. Les tables sont créées et gérées par AWS les clients. Les tables ne peuvent pas être supprimées par les clients. | arn : \$1 \$1Partition\$1 : bcm-data-exports : \$1 \$1Region\$1 :\$1 \$1Account\$1 :table/\$1 \$1\$1 TableName | 

Pour créer des exportations des ressources des tables COST\$1AND\$1USAGE\$1REPORT ou COST\$1AND\$1USAGE\$1DASHBOARD dans Data Exports, les utilisateurs IAM doivent également disposer d'autorisations pour l'action correspondante dans IAM. `cur` Cela signifie que si un utilisateur IAM est empêché d'utiliser des `cur` actions pour quelque raison que ce soit, par exemple en l'absence d'une autorisation explicite `cur` ou d'une politique de contrôle des services (SCP) fournissant un refus explicite`cur`, cet utilisateur IAM sera empêché de créer ou de mettre à jour les exportations de ces deux tables.

Le tableau suivant indique les `cur` actions requises pour quelles `bcm-data-exports` actions dans les exportations de données pour ces deux tables.


****  

| Action d'exportation de données | Ressources du tableau | Actions supplémentaires requises dans IAM | 
| --- | --- | --- | 
| bcm-data-exports:CreateExport |  RAPPORT SUR LES COÛTS ET L'UTILISATION TABLEAU DE BORD DES COÛTS ET DE L'UTILISATION  | cœur : PutReportDefinition | 

## Exemple de politique
<a name="bcm-data-exports-access-examples"></a>

Autoriser l'utilisateur IAM à avoir un accès complet aux exportations CUR 2.0 dans Data Exports.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewDataExportsTablesAndExports",
            "Effect": "Allow",
            "Action": [
                "bcm-data-exports:ListTables",
                "bcm-data-exports:ListExports",
                "bcm-data-exports:GetExport"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateCurExports",
            "Effect": "Allow",
            "Action": "bcm-data-exports:*",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
                "arn:aws:bcm-data-exports:*:*:export/*"
                ]
        },
        {
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action":  "cur:PutReportDefinition",
            "Resource": "*"
         }
    ]
}
```

------

Pour plus d'informations sur le contrôle d'accès et les autorisations IAM permettant d'utiliser Data Exports dans Billing and Cost Management, consultez la section [Présentation de la gestion des autorisations d'accès](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html).

### Créez un AWS CUR 2.0 pro forma
<a name="bcm-data-exports-access-examples-2"></a>

Pour créer un CUR 2.0 pro forma, vous devez inclure la politique IAM suivante :

Permettre à l'utilisateur IAM d'avoir un accès complet à CUR 2.0 et à Billing Group Billing View.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateCur20AnyBillingView",
            "Effect": "Allow",
            "Action": "bcm-data-exports:CreateExport",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
                "arn:aws:bcm-data-exports:*:*:export/*",
                "arn:aws:billing::*:billingview/*"
            ]
        },{
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action": "cur:PutReportDefinition",
            "Resource": "*"
        }
    ]
}
```

------

Si vous souhaitez qu'un rôle IAM ait accès à un groupe de facturation spécifique, vous pouvez ajouter l'ARN Billing View auquel le rôle est autorisé à accéder.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateSpecificBillingViewCur20",
            "Effect": "Allow",
            "Action": "bcm-data-exports:CreateExport",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT", 
                "arn:aws:bcm-data-exports:*:*:export/*", 
                "arn:aws:billing::444455556666:billingview/billing-group-111122223333"
        ]
        },{
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action": "cur:PutReportDefinition",
            "Resource": "*"
        }
    ]
}
```

------

# Protection des données dans les exportations de données
<a name="data-protection"></a>

Découvrez comment le modèle de responsabilité AWS partagée s'applique à la protection des données dans les exportations de données.

## Bonnes pratiques en matière de sécurité S3
<a name="s3-security-best-practices"></a>

Data Exports fournit vos données de facturation et de gestion des coûts dans un compartiment Amazon S3. Vous pouvez prendre un certain nombre de mesures pour vous assurer que votre compartiment S3 est sécurisé. Pour plus d'informations, consultez les [meilleures pratiques de sécurité pour Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) dans le *guide de l'utilisateur d'Amazon S3*.

## Chiffrement des données dans S3
<a name="s3-data-encryption"></a>

Par défaut, vos exportations de données sont chiffrées à l'aide du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). Si vous souhaitez utiliser le chiffrement Amazon Key Management Service (KMS) (SSE-KMS) pour chiffrer vos exportations, vous devez déclencher le chiffrement avec KMS une fois l'exportation livrée. Pour plus d'informations, consultez la section [Configuration du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) dans le guide de l'utilisateur *Amazon S3*.