Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez de plusieurs centres de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci en tant que sécurité du cloud et sécurité dans le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. L'efficacité de notre sécurité est régulièrement testée et vérifiée par des auditeurs tiers dans le cadre de [programmes de AWS conformité](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS Data Exchange, consultez la section [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par les AWS services que vous utilisez. Vous êtes également responsable d'autres facteurs, notamment de la sensibilité de vos données, des exigences de votre organisation et des lois et réglementations applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lorsque vous l'utilisez AWS Data Exchange. Les rubriques suivantes expliquent comment procéder à la configuration AWS Data Exchange pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos AWS Data Exchange ressources.
# Protection des données dans AWS Data Exchange
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans AWS Data Exchange. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec AWS Data Exchange ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
AWS Data Exchange propose les options suivantes que vous pouvez utiliser pour sécuriser le contenu existant dans vos ensembles de données :
**Topics**
+ [Chiffrement au repos](#data-protection-encryption-rest)
+ [Chiffrement en transit](#data-protection-encryption-in-transit)
+ [Restreindre l'accès au contenu](#data-protection-restrict-access)
## Chiffrement au repos
AWS Data Exchange chiffre toujours tous les produits de données stockés dans le service au repos sans nécessiter de configuration supplémentaire. Ce chiffrement est automatique lorsque vous l'utilisez AWS Data Exchange.
## Chiffrement en transit
AWS Data Exchange utilise le protocole TLS (Transport Layer Security) et le chiffrement côté client pour le chiffrement en transit. La communication se AWS Data Exchange fait toujours via HTTPS, de sorte que vos données sont toujours cryptées pendant le transport. Ce chiffrement est configuré par défaut lorsque vous utilisez AWS Data Exchange.
## Restreindre l'accès au contenu
La bonne pratique consiste à limiter l'accès au sous-ensemble d'utilisateurs approprié. Avec AWS Data Exchange, vous pouvez le faire en vous assurant que les utilisateurs, les groupes et les rôles qui vous utilisent Compte AWS disposent des autorisations appropriées. Pour plus d'informations sur les rôles et les politiques des entités IAM, consultez le Guide de *[l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.
# Gestion des clés pour l'accès aux données Amazon S3
Cette page est spécifique au type d'accès aux données Amazon S3 où le fournisseur partage des objets chiffrés à l'aide de SSE-KMS. L'abonné doit disposer d'une autorisation sur les clés utilisées pour l'accès.
Si votre compartiment Amazon S3 contient des données chiffrées à l'aide de clés gérées par le AWS KMS client, vous devez les AWS KMS keys partager AWS Data Exchange pour configurer votre ensemble de données d'accès aux données Amazon S3. Pour de plus amples informations, veuillez consulter [Étape 2 : configurer l'accès aux données Amazon S3](publish-s3-data-access-product.md#configure-s3-data-access-product).
**Topics**
+ [Création de AWS KMS subventions](#create-kms-grants)
+ [Contexte de chiffrement et contraintes liées aux subventions](#encryption-context-grant-constraint)
+ [Surveiller votre AWS KMS keys entrée AWS Data Exchange](#monitoring-your-kms-keys)
## Création de AWS KMS subventions
Lorsque vous fournissez dans AWS KMS keys le cadre de votre ensemble de données d'accès aux données Amazon S3, vous AWS Data Exchange créez une AWS KMS autorisation pour chaque AWS KMS key partage. Cette subvention, connue sous le nom de *subvention parentale*, est utilisée pour AWS Data Exchange autoriser la création de AWS KMS subventions supplémentaires pour les abonnés. Ces subventions supplémentaires sont connues sous le nom de *subventions pour enfants*. Chaque abonné a droit à une AWS KMS subvention. Les abonnés sont autorisés à déchiffrer le AWS KMS key. Ils peuvent ensuite déchiffrer et utiliser les objets Amazon S3 chiffrés partagés avec eux. Pour plus d'informations, consultez la section [Subventions AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) le *guide du AWS Key Management Service développeur*.
AWS Data Exchange utilise également la subvention AWS KMS parent pour gérer le cycle de vie de la AWS KMS subvention qu'elle crée. Lorsqu'un abonnement prend fin, la AWS Data Exchange subvention familiale AWS KMS créée pour l'abonné correspondant est retirée. Si la révision est révoquée ou si l'ensemble de données est supprimé, la AWS Data Exchange licence AWS KMS parent est retirée. Pour plus d'informations sur AWS KMS les actions, consultez la [référence de AWS KMS l'API](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html).
## Contexte de chiffrement et contraintes liées aux subventions
AWS Data Exchange utilise des contraintes d'autorisation pour autoriser l'opération de déchiffrement uniquement lorsque la demande inclut le contexte de chiffrement spécifié. Vous pouvez utiliser la fonctionnalité Amazon S3 Bucket Key pour chiffrer vos objets Amazon S3 et les partager avec AWS Data Exchange eux. Le bucket Amazon Resource Name (ARN) est implicitement utilisé par Amazon S3 comme contexte de chiffrement. L'exemple suivant montre qu'il AWS Data Exchange utilise l'ARN du bucket comme contrainte de subvention pour toutes les AWS KMS autorisations qu'il crée.
```
"Constraints": {
"EncryptionContextSubset": "aws:s3:arn": “arn:aws:s3:::"
}
}
```
## Surveiller votre AWS KMS keys entrée AWS Data Exchange
Lorsque vous partagez des clés gérées par le AWS KMS client avec AWS Data Exchange, vous pouvez les utiliser [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)pour suivre les demandes AWS Data Exchange ou les données auxquelles les abonnés envoient AWS KMS. Vous trouverez ci-dessous des exemples de ce à quoi ressembleront vos CloudTrail journaux pour les `Decrypt` appels `CreateGrant` et vers AWS KMS.
------
#### [ CreateGrant for parent ]
`CreateGrant`est destiné aux subventions aux parents créées par AWS Data Exchange elle-même.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Provider01",
"arn": "arn:aws:sts:::assumed-role/Admin/Provider01",
"accountId": "",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam:::role/Admin/Provider01”,
"accountId": "",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-16T17:29:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-16T17:32:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"CreateGrant",
"Decrypt",
"RetireGrant"
],
"granteePrincipal": "dataexchange.us-east-2.amazonaws.com",
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": { AWS:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"eventCategory": "Management"
}
```
------
#### [ CreateGrant for child ]
`CreateGrant`est destiné aux allocations pour enfants créées par AWS Data Exchange pour les abonnés.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-15T23:15:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"Decrypt"
],
"granteePrincipal": “”,
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
"aws:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE ",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
`Decrypt`est appelé par les abonnés lorsqu'ils tentent de lire les données cryptées auxquelles ils sont abonnés.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AROAIGDTESTANDEXAMPLE:Subscriber01",
"accountId": "",
"invokedBy": ""
},
"eventTime": "2023-02-15T23:28:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-2",
"sourceIPAddress": "",
"userAgent": "",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE”,
"readOnly": true,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "602466227860",
"sharedEventID": "bcf4d02a-31ea-4497-9c98-4c3549f20a7b",
"eventCategory": "Management"
}
```
------
# Gestion des identités et des accès dans AWS Data Exchange
Pour effectuer une opération dans AWS Data Exchange, telle que la création d'une tâche d'importation à l'aide d'un AWS SDK ou l'abonnement à un produit dans la AWS Data Exchange console, Gestion des identités et des accès AWS (IAM) nécessite que vous vous authentifiiez en tant qu'utilisateur approuvé. AWS Par exemple, si vous utilisez la AWS Data Exchange console, vous authentifiez votre identité en fournissant vos informations de AWS connexion.
Après avoir authentifié votre identité, IAM contrôle votre accès à un ensemble défini AWS d'autorisations sur un ensemble d'opérations et de ressources. Si vous êtes administrateur de compte, vous pouvez utiliser IAM pour contrôler l'accès des autres utilisateurs aux ressources associées à votre compte.
**Topics**
+ [Authentification](#authentication)
+ [Contrôle d’accès](access-control.md)
+ [AWS Data Exchange Autorisations d'API : référence des actions et des ressources](api-permissions-ref.md)
+ [AWS politiques gérées pour AWS Data Exchange](security-iam-awsmanpol.md)
## Authentification
Vous pouvez y accéder AWS avec l'un des types d'identité suivants :
+ **Compte AWS utilisateur root** : lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
+ **Utilisateur** : un [utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) est une identité Compte AWS qui possède des autorisations personnalisées spécifiques. Vous pouvez utiliser vos informations d'identification IAM pour vous connecter à des AWS pages Web sécurisées telles que le AWS Management Console ou le AWS Support Centre.
+ **Rôle IAM :** un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle. Les rôles dotés d'informations d'identification temporaires sont utiles dans les situations suivantes :
+ **Accès utilisateur fédéré** : au lieu de créer un utilisateur, vous pouvez utiliser des identités existantes provenant du Directory Service répertoire des utilisateurs de votre entreprise ou d'un fournisseur d'identité Web. C'est ce que l'on appelle les *utilisateurs fédérés*. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé par le biais d'un fournisseur d'identité. Pour plus d'informations sur les utilisateurs fédérés, consultez la section [Utilisateurs fédérés et rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles).
+ **Service AWS accès** — Un rôle de service est un rôle IAM qu'un service suppose d'effectuer des actions sur votre compte en votre nom. Lorsque vous configurez certains Service AWS environnements, vous devez définir le rôle que le service doit assumer. Ce rôle de service doit inclure toutes les autorisations requises pour que le service puisse accéder aux AWS ressources dont il a besoin. Les rôles de service varient d'un service à un service, mais nombre d'entre eux vous permettent de choisir vos autorisations, tant que vous respectez les exigences documentées pour le service en question. Les rôles de service fournissent un accès uniquement au sein de votre compte et ne peuvent pas être utilisés pour accorder l'accès à des services dans d'autres comptes. Vous pouvez créer, modifier et supprimer un rôle de service depuis IAM. Par exemple, vous pouvez créer un rôle qui autorise Amazon Redshift à accéder à un compartiment Amazon S3 en votre nom, puis à charger les données de ce compartiment dans un cluster Amazon Redshift. Pour plus d'informations, voir [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
+ **Applications exécutées sur Amazon EC2** : vous pouvez utiliser un rôle IAM pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une instance Amazon EC2 et qui envoient des demandes d'API. AWS CLI AWS Cela est préférable au stockage des clés d'accès dans l'instance Amazon EC2. Pour attribuer un AWS rôle à une instance Amazon EC2 et le mettre à la disposition de toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance Amazon EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez [Utilisation d'un rôle IAM pour accorder des autorisations aux applications exécutées sur des instances Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).
# Contrôle d’accès
Pour créer, mettre à jour, supprimer ou répertorier des AWS Data Exchange ressources, vous devez disposer d'autorisations pour effectuer l'opération et accéder aux ressources correspondantes. Pour effectuer l'opération par programmation, vous avez également besoin de clés d'accès valides.
## Vue d'ensemble de la gestion des autorisations d'accès à vos AWS Data Exchange ressources
Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisation aux utilisateurs, aux groupes et aux rôles. Certains services (comme AWS Lambda) prennent également en charge l'attachement de stratégies d'autorisation aux ressources.
**Note**
Un *administrateur de compte* (ou utilisateur administrateur) est un utilisateur doté des privilèges d'administrateur. Pour de plus amples informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
**Topics**
+ [AWS Data Exchange ressources et opérations](#access-control-resources)
+ [Présentation de la propriété des ressources](#access-control-owner)
+ [Gestion de l’accès aux ressources](#access-control-manage-access-intro)
+ [Spécification des éléments d’une politique : actions, effets et principaux](#access-control-specify-control-tower-actions)
+ [Spécification de conditions dans une politique](#specifying-conditions)
### AWS Data Exchange ressources et opérations
Dans AWS Data Exchange, il existe deux types de ressources principales avec des plans de contrôle différents :
+ Les principales ressources pour AWS Data Exchange sont les *ensembles de données* et les *tâches*. AWS Data Exchange prend également en charge *les révisions* et *les actifs*.
+ Pour faciliter les transactions entre fournisseurs et abonnés, utilise AWS Data Exchange également des AWS Marketplace concepts et des ressources, notamment des produits, des offres et des abonnements. Vous pouvez utiliser l'API du AWS Marketplace catalogue ou la AWS Data Exchange console pour gérer vos produits, vos offres, vos demandes d'abonnement et vos abonnements.
### Présentation de la propriété des ressources
Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'[entité principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (c'est-à-dire l'utilisateur Compte AWS root, un utilisateur ou un rôle) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne.
#### Propriété des ressources
Toute entité IAM dotée Compte AWS des autorisations appropriées peut créer des ensembles de AWS Data Exchange données. Lorsqu'une entité IAM crée un ensemble de données, Compte AWS elle est propriétaire de l'ensemble de données. Les produits de données publiés peuvent contenir des ensembles de données appartenant uniquement à Compte AWS celui qui les a créés.
Pour s'abonner à un AWS Data Exchange produit, l'entité IAM a besoin d'autorisations d'utilisation AWS Data Exchange, en plus des autorisations `aws-marketplace:subscribe``aws-marketplace:aws-marketplace:CreateAgreementRequest`, et des autorisations `aws-marketplace:AcceptAgreementRequest` IAM pour AWS Marketplace (en supposant qu'elle passe toutes les vérifications d'abonnement associées). En tant qu'abonné, votre compte dispose d'un accès en lecture aux ensembles de données autorisés ; toutefois, il ne possède pas les ensembles de données autorisés. Tous les ensembles de données autorisés exportés vers Amazon S3 appartiennent à l'abonné Compte AWS.
### Gestion de l’accès aux ressources
Cette section décrit l'utilisation d'IAM dans le contexte de AWS Data Exchange. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, veuillez consulter [Qu'est-ce qu'IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, consultez la section [Référence des Gestion des identités et des accès AWS politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le guide de l'*utilisateur IAM*.
Une *permissions policy* (politique d'autorisation) décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des stratégies d'autorisation.
Les politiques attachées à une identité IAM sont appelées des politiques *basées sur l'identité* (politiques IAM). Les politiques associées à une ressource sont appelées politiques *basées sur les ressources*. AWS Data Exchange prend uniquement en charge les politiques basées sur l'identité (politiques IAM).
**Topics**
+ [Politiques et autorisations basées sur l'identité](#access-control-manage-access-intro-iam-policies)
+ [Politiques basées sur les ressources](#access-control-manage-access-intro-resource-policies)
#### Politiques et autorisations basées sur l'identité
AWS Data Exchange fournit un ensemble de politiques gérées. Pour plus d'informations les concernant et leurs autorisations, consultez[AWS politiques gérées pour AWS Data Exchange](security-iam-awsmanpol.md).
##### Autorisations Amazon S3
Lorsque vous importez des actifs depuis Amazon S3 vers AWS Data Exchange, vous devez disposer d'autorisations pour écrire dans les compartiments S3 du AWS Data Exchange service. De même, lorsque vous exportez des actifs depuis AWS Data Exchange Amazon S3, vous devez disposer d'autorisations pour lire les buckets du AWS Data Exchange service S3. Ces autorisations sont incluses dans les politiques mentionnées précédemment, mais vous pouvez également créer votre propre politique pour autoriser exactement ce que vous souhaitez que vos utilisateurs puissent faire. Vous pouvez étendre ces autorisations aux compartiments dont le `aws-data-exchange` nom est indiqué et utiliser l'[ CalledVia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia)autorisation pour restreindre l'utilisation de l'autorisation aux demandes effectuées AWS Data Exchange au nom du principal.
Par exemple, vous pouvez créer une politique autorisant l'importation et l'exportation vers AWS Data Exchange une politique incluant ces autorisations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
}
]
}
```
------
Ces autorisations permettent aux fournisseurs d'importer et d'exporter avec AWS Data Exchange. La politique inclut les autorisations et restrictions suivantes :
+ **s3 : PutObject** et **s3 : PutObjectAcl** — Ces autorisations sont limitées uniquement aux compartiments S3 dont le nom `aws-data-exchange` est indiqué. Ces autorisations permettent aux fournisseurs d'écrire dans des compartiments AWS Data Exchange de services lorsqu'ils importent depuis Amazon S3.
+ **s3 : GetObject** — Cette autorisation est limitée aux compartiments S3 dont le nom `aws-data-exchange` est indiqué. Cette autorisation permet aux clients de lire des informations depuis des compartiments de AWS Data Exchange services lorsqu'ils exportent AWS Data Exchange vers Amazon S3.
+ Ces autorisations sont limitées aux demandes effectuées à l' AWS Data Exchange aide de la `CalledVia` condition IAM. Cela permet aux `PutObject` autorisations S3 d'être utilisées uniquement dans le contexte de la AWS Data Exchange console ou de l'API.
+ **AWS Lake Formation****et **AWS Resource Access Manager******(AWS RAM)** **—** Pour utiliser AWS Lake Formation les ensembles de données, vous devez accepter l'invitation de AWS RAM partage pour chaque nouveau fournisseur auprès duquel vous êtes abonné. Pour accepter l'invitation de AWS RAM partage, vous devez assumer un rôle autorisé à accepter une invitation de AWS RAM partage. Pour en savoir plus sur la façon dont les politiques AWS sont gérées pour AWS RAM, consultez la section [Politiques gérées pour AWS RAM.](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html)
+ Pour créer AWS Lake Formation des ensembles de données, vous devez créer l'ensemble de données avec un rôle assumé qui permet à IAM de transmettre un rôle. AWS Data Exchange Cela permettra d' AWS Data Exchange accorder et de révoquer les autorisations relatives aux ressources de Lake Formation en votre nom. Consultez un exemple de politique ci-dessous :
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dataexchange.amazonaws.com"
}
}
}
```
**Note**
Vos utilisateurs peuvent également avoir besoin d'autorisations supplémentaires pour lire ou écrire à partir de vos propres compartiments et objets S3 qui ne sont pas couverts dans cet exemple.
Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez [Identités (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *Guide de l'utilisateur IAM*.
#### Politiques basées sur les ressources
AWS Data Exchange ne prend pas en charge les politiques basées sur les ressources.
D'autres services, tels qu'Amazon S3, prennent en charge les politiques d'autorisation basées sur les ressources. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment.
### Spécification des éléments d’une politique : actions, effets et principaux
Pour pouvoir être utilisés AWS Data Exchange, vos autorisations d'utilisateur doivent être définies dans une politique IAM.
Voici les éléments les plus élémentaires d'une politique :
+ **Ressource** : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Toutes les opérations AWS Data Exchange d'API prennent en charge les autorisations au niveau des ressources (RLP), mais AWS Marketplace les actions ne le sont pas. Pour de plus amples informations, veuillez consulter [AWS Data Exchange ressources et opérations](#access-control-resources).
+ **Action :** vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser.
+ **Effet** : vous spécifiez l'effet (autoriser ou refuser) lorsque l'utilisateur demande l'action spécifique. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
+ **Principal** – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur les ressources, vous spécifiez l'utilisateur, le compte, le service ou toute autre entité pour lequel vous souhaitez recevoir des autorisations (s'applique uniquement aux politiques basées sur les ressources). AWS Data Exchange ne prend pas en charge les politiques basées sur les ressources.
Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, consultez la section [Référence des Gestion des identités et des accès AWS politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le guide de l'*utilisateur IAM*.
### Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Les opérations avec AWS Data Exchange,`CreateJob`, `StartJob``GetJob`, et `CancelJob` API prennent en charge les autorisations conditionnelles. Vous pouvez fournir des autorisations au `JobType` niveau.
**AWS Data Exchange référence clé de condition**
| Clé de condition | Description | Type |
| --- | --- | --- |
| "dataexchange:JobType":"IMPORT\$1ASSETS\$1FROM\$1S3" | Étend les autorisations accordées aux tâches qui importent des actifs depuis Amazon S3. | String |
| "dataexchange:JobType":IMPORT\$1ASSETS\$1FROM\$1LAKE\$1FORMATION\$1TAG\$1POLICY" (Preview) | Étend les autorisations accordées aux tâches depuis lesquelles des actifs sont importés AWS Lake Formation (version préliminaire) | String |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL" | Étend les autorisations accordées aux tâches qui importent des actifs à partir d'une URL signée. | String |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1REDSHIFT\$1DATA\$1SHARES" | Étend les autorisations accordées aux tâches qui importent des actifs depuis Amazon Redshift. | String |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1API\$1GATEWAY\$1API" | Étend les autorisations accordées aux tâches qui importent des actifs depuis Amazon API Gateway. | String |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1S3" | Étend les autorisations accordées aux tâches qui exportent des actifs vers Amazon S3. | String |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL" | Étend les autorisations accordées aux tâches qui exportent des actifs vers une URL signée. | String |
| "dataexchange:JobType":EXPORT\$1REVISIONS\$1TO\$1S3" | Étend les autorisations accordées aux tâches qui exportent des révisions vers Amazon S3. | String |
Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) dans le *Guide de l'utilisateur IAM*.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. AWS Data Exchange a la `JobType` condition pour les opérations d'API. Cependant, il existe de AWS larges clés de condition que vous pouvez utiliser, le cas échéant. Pour obtenir la liste complète des touches AWS larges, consultez le [https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
# AWS Data Exchange Autorisations d'API : référence des actions et des ressources
Utilisez le tableau suivant comme référence lorsque vous configurez [Contrôle d’accès](access-control.md) et rédigez une politique d'autorisation que vous pouvez associer à une identité Gestion des identités et des accès AWS (IAM) (politiques basées sur l'identité). Le tableau répertorie chaque opération d' AWS Data Exchange API, les actions pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action et la AWS ressource pour laquelle vous pouvez accorder les autorisations. Vous spécifiez les actions dans le champ `Action` de la politique. Vous spécifiez la valeur de la ressource dans le champ `Resource` de la stratégie.
**Note**
Pour indiquer une action, utilisez le préfixe `dataexchange:` suivi du nom de l'opération d'API (par exemple, `dataexchange:CreateDataSet`).
**AWS Data Exchange API et autorisations requises pour les actions**
| AWS Data Exchange Opérations d'API | Autorisations requises (actions API) | Ressources | Conditions |
| --- | --- | --- | --- |
| CreateDataSet | dataexchange:CreateDataSet | N/A | `aws:TagKeys` `aws:RequestTag` |
| GetDataSet | dataexchange:GetDataSet | Jeu de données | aws:RequestTag |
| UpdateDataSet | dataexchange:UpdateDataSet | Jeu de données | aws:RequestTag |
| PublishDataSet | dataexchange:PublishDataSet | Jeu de données | aws:RequestTag |
| DeleteDataSet | dataexchange:DeleteDataSet | Jeu de données | aws:RequestTag |
| ListDataSets | dataexchange:ListDataSets | N/A | N/A |
| CreateRevision | dataexchange:CreateRevision | Jeu de données | `aws:TagKeys` `aws:RequestTag` |
| GetRevision | dataexchange:GetRevision | Revision | aws:RequestTag |
| DeleteRevision | dataexchange:DeleteRevision | Revision | aws:RequestTag |
| ListDataSetRevisions | dataexchange:ListDataSetRevisions | Jeu de données | aws:RequestTag |
| ListRevisionAssets | dataexchange:ListRevisionAssets | Revision | aws:RequestTag |
| CreateEventAction | dataexchange:CreateEventAction | N/A | N/A |
| UpdateEventAction | dataexchange:UpdateEventAction | EventAction | N/A |
| GetEventAction | dataexchange:GetEventAction | EventAction | N/A |
| ListEventActions | dataexchange:ListEventActions | N/A | N/A |
| DeleteEventAction | dataexchange:DeleteEventAction | EventAction | N/A |
| CreateJob | dataexchange:CreateJob | N/A | dataexchange:JobType |
| GetJob | dataexchange:GetJob | Tâche | dataexchange:JobType |
| StartJob\$1\$1 | dataexchange:StartJob | Job | dataexchange:JobType |
| CancelJob | dataexchange:CancelJob | Job | dataexchange:JobType |
| ListJobs | dataexchange:ListJobs | N/A | N/A |
| ListTagsForResource | dataexchange:ListTagsForResource | Revision | aws:RequestTag |
| TagResource | dataexchange:TagResource | Revision | `aws:TagKeys` `aws:RequestTag` |
| UnTagResource | dataexchange:UnTagResource | Revision | `aws:TagKeys` `aws:RequestTag` |
| UpdateRevision | dataexchange:UpdateRevision | Revision | aws:RequestTag |
| DeleteAsset | dataexchange:DeleteAsset | Ressource | N/A |
| GetAsset | dataexchange:GetAsset | Ressource | N/A |
| UpdateAsset | dataexchange:UpdateAsset | Ressource | N/A |
| SendApiAsset | dataexchange:SendApiAsset | Ressource | N/A |
**\$1\$1** Des autorisations IAM supplémentaires peuvent être nécessaires en fonction du type de tâche que vous commencez. Consultez le tableau suivant pour connaître les types de AWS Data Exchange tâches et les autorisations IAM supplémentaires associées. Pour plus d’informations sur les tâches, consultez [Offres d'emploi dans AWS Data Exchange](jobs.md).
**Note**
Actuellement, l'`SendApiAsset`opération n'est pas prise en charge dans les cas suivants SDKs :
SDK pour .NET
AWS SDK pour C\$1\$1
SDK pour Java 2.x
**AWS Data Exchange autorisations de type de tâche pour `StartJob`**
| Type de tâche | Autorisations IAM supplémentaires nécessaires |
| --- | --- |
| IMPORT\$1ASSETS\$1FROM\$1S3 | dataexchange:CreateAsset |
| IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1API\$1GATEWAY\$1API | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1REDSHIFT\$1DATA\$1SHARES | dataexchange:CreateAsset, redshift:AuthorizeDataShare |
| EXPORT\$1ASSETS\$1TO\$1S3 | dataexchange:GetAsset |
| EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL | dataexchange:GetAsset |
| EXPORT\$1REVISIONS\$1TO\$1S3 | dataexchange:GetRevision dataexchange:GetDataSet L'autorisation IAM n'`dataexchange:GetDataSet`est requise que si vous l'utilisez `DataSet.Name` comme référence dynamique pour le type de `EXPORT_REVISIONS_TO_S3` tâche. |
Vous pouvez définir les actions relatives aux ensembles de données au niveau de la révision ou de l'actif en utilisant des caractères génériques, comme dans l'exemple suivant.
```
arn:aws:dataexchange:us-east-1:123456789012:data-sets/99EXAMPLE23c7c272897cf1EXAMPLE7a/revisions/*/assets/*
```
Certaines AWS Data Exchange actions ne peuvent être effectuées que sur la AWS Data Exchange console. Ces actions sont intégrées aux AWS Marketplace fonctionnalités. Les actions nécessitent les AWS Marketplace autorisations indiquées dans le tableau suivant.
**AWS Data Exchange actions réservées à la console pour les abonnés**
| Action de console | Autorisation IAM |
| --- | --- |
| S'abonner à un produit | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Envoyer une demande de vérification d'abonnement | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Activer le renouvellement automatique de l'abonnement | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Afficher le statut du renouvellement automatique d'un abonnement | `aws-marketplace:ListEntitlementDetails` `aws-marketplace:ViewSubscriptions` `aws-marketplace:GetAgreementTerms` |
| Désactiver le renouvellement automatique de l'abonnement | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Répertorier les abonnements actifs | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
| Afficher l'abonnement | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` `aws-marketplace:DescribeAgreement` |
| Lister les demandes de vérification d'abonnement | `aws-marketplace:ListAgreementRequests` |
| Afficher la demande de vérification d'abonnement | `aws-marketplace:GetAgreementRequest` |
| Annuler la demande de vérification d'abonnement | `aws-marketplace:CancelAgreementRequest` |
| Afficher toutes les offres ciblées sur le compte | `aws-marketplace:ListPrivateListings` |
| Afficher les détails d'une offre spécifique | `aws-marketplace:GetPrivateListing` |
**AWS Data Exchange actions relatives à la console uniquement pour les fournisseurs**
| Action de console | Autorisation IAM |
| --- | --- |
| Tag : produit | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| Tag : offre | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| Publier un produit | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` `dataexchange:PublishDataSet` |
| Dépublier le produit | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Modifier le produit | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Créez une offre personnalisée | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Modifier l'offre personnalisée | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Afficher les détails du produit | `aws-marketplace:DescribeEntity` `aws-marketplace:ListEntities` |
| Voir l'offre personnalisée du produit | aws-marketplace:DescribeEntity |
| Afficher le tableau de bord des produits | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| Répertorier les produits pour lesquels un ensemble de données ou une révision a été publié | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| Lister les demandes de vérification d'abonnement | `aws-marketplace:ListAgreementApprovalRequests` `aws-marketplace:GetAgreementApprovalRequest` |
| Approuver les demandes de vérification d'abonnement | `aws-marketplace:AcceptAgreementApprovalRequest` |
| Refuser les demandes de vérification d'abonnement | `aws-marketplace:RejectAgreementApprovalRequest` |
| Supprimer les informations des demandes de vérification d'abonnement | `aws-marketplace:UpdateAgreementApprovalRequest` |
| Afficher les détails de l'abonnement | `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
# AWS politiques gérées pour AWS Data Exchange
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [AWS politique gérée : AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)
+ [AWS politique gérée : AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)
+ [AWS politique gérée : AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)
+ [AWS politique gérée : AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)
+ [AWS politique gérée : AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)
+ [AWS politique gérée : AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)
+ [AWS politique gérée : AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess)
+ [AWS politique gérée : AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess)
+ [AWS Data Exchange mises à jour des politiques AWS gérées](#security-iam-awsmanpol-updates)
## AWS politique gérée : AWSDataExchangeFullAccess
Vous pouvez associer la politique `AWSDataExchangeFullAccess` à vos identités IAM.
Cette politique accorde des autorisations administratives qui permettent un accès complet au SDK AWS Data Exchange AWS Management Console et AWS Marketplace des actions à l'aide de celui-ci. Il fournit également un accès sélectif à Amazon S3 et, AWS Key Management Service selon les besoins, pour en tirer pleinement parti AWS Data Exchange.
Pour consulter les autorisations associées à cette politique, reportez-vous [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html)à la *référence des politiques AWS gérées*.
## AWS politique gérée : AWSDataExchangeProviderFullAccess
Vous pouvez associer la politique `AWSDataExchangeProviderFullAccess` à vos identités IAM.
Cette politique accorde aux contributeurs des autorisations permettant aux fournisseurs de données d'accéder au SDK AWS Data Exchange AWS Management Console et d' AWS Marketplace effectuer des actions à l'aide de celui-ci. Il fournit également un accès sélectif à Amazon S3 et, AWS Key Management Service selon les besoins, pour en tirer pleinement parti AWS Data Exchange.
Pour consulter les autorisations associées à cette politique, reportez-vous [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html)à la *référence des politiques AWS gérées*.
## AWS politique gérée : AWSDataExchangeReadOnly
Vous pouvez associer la politique `AWSDataExchangeReadOnly` à vos identités IAM.
Cette politique accorde des autorisations en lecture seule qui autorisent l'accès en lecture seule au SDK AWS Data Exchange et les AWS Marketplace actions à l'aide de celui-ci. AWS Management Console
Pour consulter les autorisations associées à cette politique, reportez-vous [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html)à la *référence des politiques AWS gérées*.
## AWS politique gérée : AWSDataExchangeServiceRolePolicyForLicenseManagement
Vous ne pouvez pas attacher `AWSDataExchangeServiceRolePolicyForLicenseManagement` à vos entités IAM. Cette politique est attachée à un rôle lié au service qui permet à AWS Data Exchange d’effectuer des actions en votre nom. Il accorde des autorisations de rôle qui permettent AWS Data Exchange de récupérer des informations sur votre AWS organisation et de gérer les AWS Data Exchange données et octroie des licences. Pour plus d’informations, consultez [Rôle lié au service pour la gestion des licences AWS Data Exchange](using-service-linked-roles-license-management.md), plus loin dans cette section.
Pour consulter les autorisations associées à cette politique, reportez-vous [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html)à la *référence des politiques AWS gérées*.
## AWS politique gérée : AWSDataExchangeServiceRolePolicyForOrganizationDiscovery
Vous ne pouvez pas attacher `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet d' AWS Data Exchange effectuer des actions en votre nom. Il accorde des autorisations de rôle qui permettent AWS Data Exchange de récupérer des informations sur votre AWS organisation afin de déterminer l'éligibilité à la distribution de licences AWS Data Exchange Data Grants. Pour de plus amples informations, veuillez consulter [Rôles liés à un service pour la découverte de AWS l'organisation dans AWS Data Exchange](using-service-linked-roles-aws-org-discovery.md).
Pour consulter les autorisations associées à cette politique, reportez-vous [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html)à la *référence des politiques AWS gérées*.
## AWS politique gérée : AWSDataExchangeSubscriberFullAccess
Vous pouvez associer la politique `AWSDataExchangeSubscriberFullAccess` à vos identités IAM.
Cette politique accorde aux contributeurs des autorisations permettant aux abonnés d'accéder aux données AWS Data Exchange et d'effectuer AWS Marketplace des actions à l'aide du SDK AWS Management Console et. Il fournit également un accès sélectif à Amazon S3 et, AWS Key Management Service selon les besoins, pour en tirer pleinement parti AWS Data Exchange.
Pour consulter les autorisations associées à cette politique, reportez-vous [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html)à la *référence des politiques AWS gérées*.
## AWS politique gérée : AWSDataExchangeDataGrantOwnerFullAccess
Vous pouvez associer la politique `AWSDataExchangeDataGrantOwnerFullAccess` à vos identités IAM.
Cette politique permet au titulaire d'une subvention de données d'accéder aux AWS Data Exchange actions utilisant le AWS Management Console et SDKs.
Pour consulter les autorisations associées à cette politique, reportez-vous [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html)à la *référence des politiques AWS gérées*.
## AWS politique gérée : AWSDataExchangeDataGrantReceiverFullAccess
Vous pouvez associer la politique `AWSDataExchangeDataGrantReceiverFullAccess` à vos identités IAM.
Cette politique permet au destinataire de Data Grant d'accéder aux AWS Data Exchange actions utilisant le AWS Management Console et SDKs.
Pour consulter les autorisations associées à cette politique, reportez-vous [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html)à la *référence des politiques AWS gérées*.
## AWS Data Exchange mises à jour des politiques AWS gérées
Le tableau suivant fournit des informations détaillées sur les mises à jour des politiques AWS gérées AWS Data Exchange depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page (et toute autre modification apportée à ce guide de l'utilisateur), abonnez-vous au fil RSS de la [Historique du document pour AWS Data Exchange](doc-history.md) page.
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess) : nouvelle politique | AWS Data Exchange a ajouté une nouvelle politique permettant aux propriétaires de Data Grant d'accéder aux AWS Data Exchange actions. | 24 octobre 2024 |
| [AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess) : nouvelle politique | AWS Data Exchange a ajouté une nouvelle politique permettant aux bénéficiaires de Data Grant d'accéder aux AWS Data Exchange actions. | 24 octobre 2024 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) : mise à jour d’une politique existante | Ajout des autorisations nécessaires à la politique `AWSDataExchangeReadOnly` AWS gérée pour la nouvelle fonctionnalité d'octroi de données. | 24 octobre 2024 |
| [AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement) : nouvelle politique | Ajout d'une nouvelle politique pour prendre en charge les rôles liés aux services afin de gérer les licences accordées dans les comptes clients. | 17 octobre 2024 |
| [AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery) : nouvelle politique | Ajout d'une nouvelle politique pour prendre en charge les rôles liés aux services afin de fournir un accès en lecture aux informations de compte de votre AWS organisation. | 17 octobre 2024 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) | Ajout IDs d'une déclaration pour faciliter la lecture de la politique, extension des autorisations génériques à la liste complète des autorisations ADX en lecture seule et ajout de nouvelles actions : aws-marketplace:ListTagsForResource et. aws-marketplace:ListPrivateListings | 9 juillet 2024 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | Action supprimée : aws-marketplace:GetPrivateListing | 22 mai 2024 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) | Ajout IDs d'une déclaration pour faciliter la lecture de la politique et ajout d'une nouvelle action :aws-marketplace:ListPrivateListings. | 30 avril 2024 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | Ajout IDs d'une déclaration pour faciliter la lecture de la politique et ajout de nouvelles actions : aws-marketplace:TagResourceaws-marketplace:UntagResource,aws-marketplace:ListTagsForResource,aws-marketplace:ListPrivateListings,aws-marketplace:GetPrivateListing, etaws-marketplace:DescribeAgreement. | 30 avril 2024 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | Ajout IDs d'une déclaration pour faciliter la lecture de la politique. | 9 août 2024 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | Ajout dataexchange:SendDataSetNotification d'une nouvelle autorisation pour envoyer des notifications d'ensembles de données. | 5 mars 2024 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess), [AWSDataExchangeReadOnly[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)](#security-iam-awsmanpol-awsdataexchangereadonly), et [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Mise à jour des politiques existantes | Ajout d'actions granulaires dans toutes les politiques gérées. Les nouvelles actions ajoutées sont `aws-marketplace:CreateAgreementRequest``aws-marketplace:AcceptAgreementRequest`,`aws-marketplace:ListEntitlementDetails`,`aws-marketplace:ListPrivateListings`,`aws-marketplace:GetPrivateListing`, `license-manager:ListReceivedGrants``aws-marketplace:TagResource`,`aws-marketplace:UntagResource`,`aws-marketplace:ListTagsForResource`,`aws-marketplace:DescribeAgreement`, `aws-marketplace:GetAgreementTerms``aws-marketplace:GetLicense`. | 31 juillet 2023 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) : mise à jour de la politique existante | Ajout `dataexchange:RevokeRevision` d'une nouvelle autorisation pour révoquer une révision. | 15 mars 2022 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)et [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Mise à jour des politiques existantes | Ajout `apigateway:GET` d'une nouvelle autorisation permettant de récupérer un actif d'API depuis Amazon API Gateway. | 3 décembre 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)et [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)— Mise à jour des politiques existantes | Ajout `dataexchange:SendApiAsset` d'une nouvelle autorisation pour envoyer une demande à un actif d'API. | 29 novembre 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)et [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Mise à jour des politiques existantes | Ajout `redshift:AuthorizeDataShare` et ` redshift:DescribeDataShares` nouvelles autorisations pour autoriser l'accès aux ensembles de données Amazon Redshift et leur création. `redshift:DescribeDataSharesForProducer` | 1er novembre 2021 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) : mise à jour d’une politique existante | Ajout de `dataexchange:CreateEventAction` `dataexchange:UpdateEventAction``dataexchange:DeleteEventAction`, et de nouvelles autorisations pour contrôler l'accès afin d'exporter automatiquement les nouvelles révisions des ensembles de données. | 30 septembre 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)et [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Mise à jour des politiques existantes | Ajout `dataexchange:PublishDataSet` d'une nouvelle autorisation pour contrôler l'accès à la publication de nouvelles versions d'ensembles de données. | 25 mai 2021 |
| [AWS DataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly), [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess), et [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Mise à jour des politiques existantes | Ajouté `aws-marketplace:SearchAgreements` et `aws-marketplace:GetAgreementTerms` pour permettre l'affichage des abonnements aux produits et aux offres. | 12 mai 2021 |
| AWS Data Exchange a commencé à suivre les modifications | AWS Data Exchange a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 20 avril 2021 |
# Utilisation de rôles liés à un service pour AWS Data Exchange
AWS Data Exchange utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Data Exchange Les rôles liés au service sont prédéfinis par AWS Data Exchange et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Data Exchange car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Data Exchange définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Data Exchange peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Data Exchange ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
## Création d'un rôle lié à un service pour AWS Data Exchange
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous distribuez une licence de données à l'aide du gestionnaire de licences, le rôle lié au service est créé pour vous.
**Pour créer un rôle lié à un service**
1. Dans la [AWS Data Exchange console](https://console.aws.amazon.com/adx/), connectez-vous et choisissez **Data Grant settings**.
1. Sur la page des **paramètres de Data Grant**, choisissez **Configurer l'intégration**.
1. Dans la section **Create AWS Organizations integration**, sélectionnez **Configurer l'intégration**.
1. Sur la page **d'intégration Create AWS Organizations**, choisissez la préférence de niveau de confiance appropriée, puis choisissez **Create integration**.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec un cas d'utilisation. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `appropriate-service-name.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Modification d'un rôle lié à un service pour AWS Data Exchange
AWS Data Exchange ne vous permet pas de modifier le rôle lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour AWS Data Exchange
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le AWS Data Exchange service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
Avant de pouvoir supprimer le rôle lié à un service, vous devez :
+ Pour le `AWSServiceRoleForAWSDataExchangeLicenseManagement` rôle, supprimez toutes les subventions AWS License Manager distribuées pour les autorisations de AWS Data Exchange données que vous avez reçues.
+ Pour le `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` rôle, supprimez toutes les subventions AWS License Manager distribuées pour les autorisations de AWS Data Exchange données reçues par les comptes de votre AWS organisation.
**Suppression manuelle du rôle lié à un service**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles AWS Data Exchange liés à un service
AWS Data Exchange prend en charge l'utilisation de rôles liés au service partout Régions AWS où le service est disponible. Pour plus d’informations, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Rôle lié au service pour la gestion des licences AWS Data Exchange
AWS Data Exchange utilise le rôle lié à un service nommé `AWSServiceRoleForAWSDataExchangeLicenseManagement` : ce rôle permet à AWS Data Exchange de récupérer des informations sur votre AWS organisation et de gérer les licences de AWS Data Exchange Data Exchange.
Le rôle lié à un service `AWSServiceRoleForAWSDataExchangeLicenseManagement` approuve les services suivants pour endosser le rôle :
+ `license-management.dataexchange.amazonaws.com`
La politique d'autorisations de rôle nommée `AWSDataExchangeServiceRolePolicyForLicenseManagement` AWS Data Exchange permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ Actions:
+ `organizations:DescribeOrganization`
+ `license-manager:ListDistributedGrants`
+ `license-manager:GetGrant`
+ `license-manager:CreateGrantVersion`
+ `license-manager:DeleteGrant`
+ Ressources :
+ Toutes les ressources (`*`)
Pour plus d'informations sur le rôle `AWSDataExchangeServiceRolePolicyForLicenseManagement`, consultez [AWS politique gérée : AWSDataExchangeServiceRolePolicyForLicenseManagement](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement).
Pour plus d'informations sur l'utilisation du rôle `AWSServiceRoleForAWSDataExchangeLicenseManagement` lié à un service, consultez. [Utilisation de rôles liés à un service pour AWS Data Exchange](using-service-linked-roles-adx.md)
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
# Rôles liés à un service pour la découverte de AWS l'organisation dans AWS Data Exchange
AWS Data Exchange utilise le rôle lié à un service nommé `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` : ce rôle permet à AWS Data Exchange de récupérer des informations sur votre AWS organisation afin de déterminer votre éligibilité à la distribution de licences AWS Data Exchange Data Grants.
**Note**
Ce rôle n'est nécessaire que dans le compte de gestion de AWS l'organisation.
Le rôle lié à un service `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` approuve les services suivants pour endosser le rôle :
+ `organization-discovery.dataexchange.amazonaws.com`
La politique d'autorisations de rôle nommée `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` AWS Data Exchange permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ Actions:
+ `organizations:DescribeOrganization`
+ `organizations:DescribeAccount`
+ `organizations:ListAccounts`
+ Ressources :
+ Toutes les ressources (`*`)
Pour plus d'informations sur le rôle `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery`, consultez [AWS politique gérée : AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery).
Pour plus d'informations sur l'utilisation du rôle `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` lié à un service, voir [Utilisation de rôles liés à un service pour AWS Data Exchange](using-service-linked-roles-adx.md) plus haut dans cette section.
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
# Validation de conformité pour AWS Data Exchange
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
## Conformité PCI DSS
AWS Data Exchange prend en charge le traitement, le stockage et la transmission des données de carte de crédit par un commerçant ou un fournisseur de services, et sa conformité à la norme de sécurité des données (DSS) de l'industrie des cartes de paiement (PCI) a été validée. Pour plus d'informations sur la norme PCI DSS, notamment sur la manière de demander une copie du Package de AWS conformité PCI, consultez la section [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS niveau 1.
# Résilience dans AWS Data Exchange
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent entre les zones de disponibilité sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
AWS Data Exchange dispose d'un catalogue de produits unique, disponible dans le monde entier, proposé par les fournisseurs. Les abonnés peuvent consulter le même catalogue, quelle que soit la région qu'ils utilisent. Les ressources sous-jacentes au produit (ensembles de données, révisions, actifs) sont des ressources régionales que vous gérez par programmation ou via la AWS Data Exchange console dans les régions prises en charge. AWS Data Exchange réplique vos données sur plusieurs zones de disponibilité au sein des régions où le service fonctionne. Pour plus d'informations sur les régions prises en charge, consultez le [tableau des régions d'infrastructure mondiale](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l'infrastructure dans AWS Data Exchange
En tant que service géré, AWS Data Exchange il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder AWS Data Exchange via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
# AWS Data Exchange et points de terminaison VPC d'interface ()AWS PrivateLink
Vous pouvez établir une connexion privée entre votre cloud privé virtuel (VPC) et en AWS Data Exchange créant un point de terminaison *VPC d'interface*. Les points de terminaison de l'interface sont alimentés par [AWS PrivateLink](https://aws.amazon.com/privatelink)une technologie qui vous permet d'accéder de manière privée aux opérations d' AWS Data Exchange API sans passerelle Internet, périphérique NAT, connexion VPN ou Direct Connect connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec les opérations d' AWS Data Exchange API. Le trafic entre votre VPC et celui qui AWS Data Exchange ne quitte pas le réseau Amazon.
Chaque point de terminaison d’interface est représenté par une ou plusieurs [interfaces réseau Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dans vos sous-réseaux.
**Note**
Toutes les AWS Data Exchange actions, à l'exception de`SendAPIAsset`, sont prises en charge pour le VPC.
Pour de plus amples informations, consultez [Points de terminaison VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) dans le *Guide de l’utilisateur Amazon VPC*.
## Considérations relatives aux points de AWS Data Exchange terminaison VPC
Avant de configurer un point de terminaison VPC d'interface pour AWS Data Exchange, assurez-vous de consulter les [propriétés et les limites du point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) dans le guide de l'utilisateur Amazon *VPC*.
AWS Data Exchange permet d'appeler toutes ses opérations d'API depuis votre VPC.
## Création d'un point de terminaison VPC d'interface pour AWS Data Exchange
Vous pouvez créer un point de terminaison VPC pour le AWS Data Exchange service à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) dans le *Guide de l’utilisateur Amazon VPC*.
Créez un point de terminaison VPC à l' AWS Data Exchange aide du nom de service suivant :
+ `com.amazonaws.region.dataexchange`
Si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API AWS Data Exchange en utilisant son nom DNS par défaut pour Région AWS, par exemple,`com.amazonaws.us-east-1.dataexchange`.
Pour plus d’informations, consultez [Accès à un service via un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) dans le *Guide de l’utilisateur Amazon VPC*.
## Création d'une politique de point de terminaison VPC pour AWS Data Exchange
Vous pouvez attacher une stratégie de point de terminaison à votre point de terminaison d’un VPC qui contrôle l’accès à AWS Data Exchange. La politique spécifie les informations suivantes :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, consultez [Contrôle de l’accès aux services avec points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.
**Exemple : politique de point de terminaison VPC pour les actions AWS Data Exchange**
Voici un exemple de politique de point de terminaison pour AWS Data Exchange. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux AWS Data Exchange actions répertoriées à tous les principaux sur toutes les ressources.
Cet exemple de politique de point de terminaison VPC autorise un accès complet uniquement à l'utilisateur entrant`bts`. Compte AWS `123456789012` `vpc-12345678` L'utilisateur `readUser` est autorisé à lire les ressources, mais tous les autres principaux IAM se voient refuser l'accès au point de terminaison.
------
#### [ JSON ]
****
```
{
"Id": "example-policy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow administrative actions from vpc-12345678",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/bts"
]
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "Allow ReadOnly actions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/readUser"
]
},
"Action": [
"dataexchange:list*",
"dataexchange:get*"
],
"Resource": "*"
}
]
}
```
------