Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol akses
Untuk membuat, memperbarui, menghapus, atau mencantumkan AWS Data Exchange sumber daya, Anda memerlukan izin untuk melakukan operasi dan mengakses sumber daya yang sesuai. Untuk melakukan operasi secara terprogram, Anda juga memerlukan kunci akses yang valid.
Ikhtisar mengelola izin akses ke sumber daya Anda AWS Data Exchange
Setiap AWS sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke pengguna, grup, dan peran. Layanan lain (seperti AWS Lambda) juga mensupport melampirkan kebijakan izin untuk sumber daya.
catatan
Administrator akun (atau administrator) adalah pengguna dengan hak administrator. Untuk informasi selengkapnya, lihat Praktik IAM Terbaik.
Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
-
IAMpengguna:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran bagi IAM pengguna di Panduan IAM Pengguna.
-
(Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.
-
Topik
AWS Data Exchange sumber daya dan operasi
Di AWS Data Exchange, ada dua jenis sumber daya primer dengan bidang kontrol yang berbeda:
-
Sumber daya utama untuk AWS Data Exchange adalah kumpulan data dan pekerjaan. AWS Data Exchange juga mendukung revisi dan aset.
-
Untuk memfasilitasi transaksi antara penyedia dan pelanggan, AWS Data Exchange juga menggunakan AWS Marketplace konsep dan sumber daya, termasuk produk, penawaran, dan langganan. Anda dapat menggunakan AWS Marketplace Katalog API atau AWS Data Exchange konsol untuk mengelola produk, penawaran, permintaan berlangganan, dan langganan Anda.
Memahami kepemilikan sumber daya
Akun AWS Memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang menciptakan sumber daya. Secara khusus, pemilik sumber daya adalah entitas utama (yaitu, pengguna Akun AWS root, pengguna, atau peran) yang mengautentikasi permintaan pembuatan sumber daya. Akun AWS Contoh berikut menggambarkan cara kerjanya.
Kepemilikan sumber daya
IAMEntitas apa pun dalam sebuah Akun AWS dengan izin yang benar dapat membuat kumpulan AWS Data Exchange data. Ketika IAM entitas membuat kumpulan data, mereka Akun AWS memiliki kumpulan data. Produk data yang dipublikasikan dapat berisi kumpulan data yang hanya dimiliki oleh Akun AWS yang membuatnya.
Untuk berlangganan AWS Data Exchange produk, IAM entitas memerlukan izin untuk menggunakan AWS Data Exchange, selain aws-marketplace:subscribeaws-marketplace:aws-marketplace:CreateAgreementRequest, dan aws-marketplace:AcceptAgreementRequest IAM izin untuk AWS Marketplace (dengan asumsi mereka lulus verifikasi langganan terkait). Sebagai pelanggan, akun Anda memiliki akses baca ke kumpulan data yang berhak; namun, akun tersebut tidak memiliki kumpulan data yang berhak. Setiap kumpulan data berhak yang diekspor ke Amazon S3 dimiliki oleh pelanggan. Akun AWS
Mengelola akses ke sumber daya
Bagian ini membahas penggunaan IAM dalam konteks. AWS Data Exchange Itu tidak memberikan informasi rinci tentang IAM layanan. Untuk IAM dokumentasi lengkap, lihat Apa ituIAM? dalam IAMUser Guide. Untuk informasi tentang sintaks IAM kebijakan dan deskripsi, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.
Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan pilihan yang tersedia untuk membuat kebijakan izin.
Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (kebijakan)IAM. Kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis sumber daya. AWS Data Exchange hanya mendukung kebijakan berbasis identitas (kebijakan)IAM.
Kebijakan dan izin berbasis identitas
AWS Data Exchange menyediakan empat kebijakan terkelola:
-
AWSDataExchangeFullAccess -
AWSDataExchangeSubscriberFullAccess -
AWSDataExchangeProviderFullAccess -
AWSDataExchangeReadOnly
Untuk informasi selengkapnya tentang kebijakan ini dan izinnya, lihatAWS kebijakan terkelola untuk AWS Data Exchange.
Izin Amazon S3
Saat mengimpor aset dari Amazon S3 AWS Data Exchange ke, Anda memerlukan izin untuk menulis ke AWS Data Exchange bucket S3 layanan. Demikian pula, saat mengekspor aset dari Amazon S3 AWS Data Exchange ke, Anda memerlukan izin untuk membaca dari AWS Data Exchange bucket layanan S3. Izin ini disertakan dalam kebijakan yang disebutkan sebelumnya, tetapi Anda juga dapat membuat kebijakan sendiri untuk mengizinkan apa yang Anda ingin pengguna dapat lakukan. Anda dapat membuat cakupan izin ini ke bucket yang berisi aws-data-exchange namanya dan menggunakan CalledViaizin tersebut untuk membatasi penggunaan izin pada permintaan yang dibuat AWS Data Exchange atas nama prinsipal.
Misalnya, Anda dapat membuat kebijakan untuk mengizinkan pengimporan dan ekspor AWS Data Exchange yang menyertakan izin ini.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*aws-data-exchange*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia":[ "dataexchange.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*aws-data-exchange*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia":[ "dataexchange.amazonaws.com" ] } } }, ] }
Izin ini memungkinkan penyedia untuk mengimpor dan mengekspor dengan AWS Data Exchange. Kebijakan ini mencakup izin dan batasan berikut:
-
s3: PutObject dan s3: PutObjectAcl — Izin ini hanya dibatasi untuk bucket S3 yang berisi namanya.
aws-data-exchangeIzin ini memungkinkan penyedia untuk menulis ke bucket AWS Data Exchange layanan saat mengimpor dari Amazon S3. -
s3: GetObject — Izin ini dibatasi untuk ember S3 yang berisi namanya
aws-data-exchange. Izin ini memungkinkan pelanggan untuk membaca dari bucket AWS Data Exchange layanan saat mengekspor dari AWS Data Exchange ke Amazon S3. -
Izin ini dibatasi untuk permintaan yang dibuat dengan menggunakan AWS Data Exchange dengan IAM
CalledViakondisi. Ini memungkinkanPutObjectizin S3 hanya digunakan dalam konteks AWS Data Exchange konsol atau. API -
AWS Lake Formationdan AWS Resource Access Manager(AWS RAM) — Untuk menggunakan kumpulan AWS Lake Formation data, Anda harus menerima undangan AWS RAM berbagi untuk setiap penyedia baru internet yang berlangganan. Untuk menerima undangan AWS RAM berbagi, Anda harus mengambil peran yang memiliki izin untuk menerima undangan AWS RAM berbagi. Untuk mempelajari selengkapnya tentang cara kebijakan AWS terkelola AWS RAM, lihat Kebijakan terkelola untuk AWS RAM.
-
Untuk membuat kumpulan AWS Lake Formation data, Anda harus membuat kumpulan data dengan peran yang diasumsikan yang memungkinkan IAM untuk meneruskan peran AWS Data Exchange. Ini akan memungkinkan AWS Data Exchange untuk memberikan dan mencabut izin ke sumber daya Lake Formation atas nama Anda. Lihat contoh kebijakan di bawah ini:
{ "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "dataexchange.amazonaws.com" } } }
catatan
Pengguna Anda mungkin juga memerlukan izin tambahan untuk membaca atau menulis dari bucket dan objek S3 Anda sendiri yang tidak tercakup dalam contoh ini.
Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) di IAMPanduan Pengguna.
Kebijakan berbasis sumber daya
AWS Data Exchange tidak mendukung kebijakan berbasis sumber daya.
Layanan lain, seperti Amazon S3, mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut.
Menentukan elemen kebijakan: tindakan, efek, dan prinsip
Untuk menggunakannya AWS Data Exchange, izin pengguna Anda harus ditentukan dalam IAM kebijakan.
Berikut adalah elemen-elemen kebijakan yang paling dasar:
-
Sumber Daya — Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diterapkan kebijakan tersebut. Semua AWS Data Exchange API operasi mendukung izin tingkat sumber daya (RLP), tetapi AWS Marketplace tindakan tidak mendukungRLP. Untuk informasi selengkapnya, lihat AWS Data Exchange sumber daya dan operasi.
-
Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak.
-
Efek - Anda menentukan efek (izinkan atau tolak) saat pengguna meminta tindakan tertentu. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun ada akses memberikan kebijakan yang berbeda.
-
Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang melekat pada kebijakan tersebut adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). AWS Data Exchange tidak mendukung kebijakan berbasis sumber daya.
Untuk informasi selengkapnya tentang sintaks IAM kebijakan dan deskripsi, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.
Menentukan kondisi dalam kebijakan
Saat memberikan izin, Anda dapat menggunakan bahasa IAM kebijakan untuk menentukan kondisi kapan kebijakan harus diterapkan. Dengan AWS Data Exchange,CreateJob,, StartJobGetJob, dan CancelJob API operasi mendukung izin bersyarat. Anda dapat memberikan izin di JobType level tersebut.
| Kunci syarat | Deskripsi | Jenis |
|---|---|---|
"dataexchange:JobType":"IMPORT_ASSETS_FROM_S3" |
Cakupan izin untuk pekerjaan yang mengimpor aset dari Amazon S3. | String |
|
Cakupan izin untuk pekerjaan yang mengimpor aset dari AWS Lake Formation (Pratinjau) | String |
"dataexchange:JobType":"IMPORT_ASSET_FROM_SIGNED_URL" |
Mencakup izin untuk pekerjaan yang mengimpor aset dari yang ditandatangani. URL | String |
"dataexchange:JobType":"IMPORT_ASSET_FROM_REDSHIFT_DATA_SHARES" |
Cakupan izin untuk pekerjaan yang mengimpor aset dari Amazon Redshift. | String |
"dataexchange:JobType":"IMPORT_ASSET_FROM_API_GATEWAY_API" |
Cakupan izin untuk pekerjaan yang mengimpor aset dari Amazon API Gateway. | String |
"dataexchange:JobType":"EXPORT_ASSETS_TO_S3" |
Cakupan izin untuk pekerjaan yang mengekspor aset ke Amazon S3. | String |
"dataexchange:JobType":"EXPORT_ASSETS_TO_SIGNED_URL" |
Cakupan izin untuk pekerjaan yang mengekspor aset ke ditandatangani. URL | String |
"dataexchange:JobType":EXPORT_REVISIONS_TO_S3" |
Cakupan izin untuk pekerjaan yang mengekspor revisi ke Amazon S3. | String |
Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi di Panduan IAM Pengguna.
Untuk menyatakan kondisi, Anda menggunakan kunci kondisi yang telah ditentukan. AWS Data Exchange memiliki JobType kondisi untuk API operasi. Namun, ada tombol kondisi AWS
lebar yang dapat Anda gunakan, yang sesuai. Untuk daftar lengkap tombol AWS lebar, lihat Panduan IAM Pengguna.
