Membuat hibah data yang AWS Data Exchange berisi akses data Amazon S3 - AWS Data Exchange Panduan Pengguna
Langkah 1: Buat kumpulan data Amazon S3Langkah 2: Konfigurasikan akses data Amazon S3Langkah 3: Tinjau dan selesaikan kumpulan dataLangkah 4: Buat hibah data baru

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat hibah data yang AWS Data Exchange berisi akses data Amazon S3

Dengan AWS Data Exchange untuk Amazon S3, pemilik data dapat berbagi akses langsung ke bucket Amazon S3 atau awalan tertentu dan objek Amazon S3. Pemilik data juga menggunakan AWS Data Exchange untuk secara otomatis mengelola hak melalui hibah data.

Sebagai pemilik data, Anda dapat berbagi akses langsung ke seluruh bucket Amazon S3 atau awalan tertentu dan objek Amazon S3 tanpa membuat atau mengelola salinan. Objek Amazon S3 bersama ini dapat dienkripsi sisi server dengan kunci terkelola pelanggan yang disimpan di AWS Key Management Service () atau dengan (AWS KMS-S3). Kunci yang dikelola AWS SSE Untuk informasi selengkapnya tentang memantau KMS kunci Anda dan memahami konteks enkripsi, lihat. Manajemen kunci untuk akses data Amazon S3 Saat penerima memperoleh akses ke produk data Anda, AWS Data Exchange secara otomatis menyediakan jalur akses Amazon S3 dan memperbarui kebijakan sumber dayanya atas nama Anda untuk memberikan akses hanya-baca kepada penerima. Penerima dapat menggunakan alias jalur akses Amazon S3 di tempat mereka menggunakan nama bucket Amazon S3 untuk mengakses data di Amazon S3.

Ketika langganan berakhir, izin penerima dicabut.

Sebelum Anda dapat membuat hibah data yang berisi akses data Amazon S3, Anda harus memenuhi prasyarat berikut:

Prasyarat

  • Konfirmasikan bahwa bucket Amazon S3 yang menghosting data dikonfigurasi dengan pengaturan yang diberlakukan pemilik bucket Amazon S3 diaktifkan Dinonaktifkan. ACLs Untuk informasi selengkapnya, lihat Mengontrol kepemilikan objek dan menonaktifkan ACLs bucket Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  • Objek bersama Anda harus berada di kelas Penyimpanan Standar Amazon S3, atau dikelola menggunakan Amazon S3 Intelligent Tiering, agar penerima berhasil mengaksesnya. Jika mereka berada di kelas penyimpanan lain, atau jika Anda telah mengaktifkan Intelligent Tiering dengan Deep Archive, penerima Anda akan mendapatkan kesalahan karena mereka tidak akan memiliki izin untuk melakukannya. RestoreObject

  • Konfirmasikan bahwa bucket Amazon S3 yang menghosting data telah menonaktifkan enkripsi atau dienkripsi dengan kunci terkelola Amazon S3 SSE (-S3) atau kunci terkelola pelanggan yang disimpan di (). AWS Key Management Service AWS KMS

  • Jika Anda menggunakan kunci yang dikelola pelanggan, Anda harus memiliki yang berikut:

    1. IAMizin untuk kms:CreateGrant pada KMS kunci. Anda dapat mengakses izin ini melalui kebijakan kunci, IAM kredensional, atau melalui AWS KMS hibah pada kunci. KMS Untuk informasi selengkapnya tentang manajemen kunci dan memahami cara AWS Data Exchange menggunakan AWS KMS hibah, lihatMembuat AWS KMS hibah.

      Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:

      Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. AWS Management Console Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

      Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.

      Pengguna mana yang membutuhkan akses programatis? Untuk Oleh

      Identitas tenaga kerja

      (Pengguna dikelola di Pusat IAM Identitas)

      		 Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs

      Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.
      IAM Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs Mengikuti petunjuk dalam Menggunakan kredensil sementara dengan AWS sumber daya di IAMPanduan Pengguna.
      IAM

      (Tidak direkomendasikan)

      Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs

      Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

      Berikut ini adalah contoh JSON kebijakan yang menunjukkan bagaimana Anda dapat menambahkan ke kebijakan kunci KMS kunci.

      
{
      "Sid": "AllowCreateGrantPermission",
      "Effect": "Allow",
      "Principal": {
"AWS": "<IAM identity who will call Dataexchange API>"             
      },
      "Action": "kms:CreateGrant",
      "Resource": "*"
}

      Kebijakan berikut menunjukkan contoh penambahan kebijakan untuk IAM identitas yang digunakan.

      
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "AllowCreateGrantPermission",
            "Action": [
                 "kms:CreateGrant
            ],
            "Resource": [
              <Enter KMS Key ARNs in your account>                
            ]
        }
    ]
}
      catatan

      KMSKunci lintas akun juga diizinkan jika kms:CreateGrant izin pada KMS kunci diperoleh melalui langkah sebelumnya. Jika akun lain memiliki kunci, Anda harus memiliki izin pada kebijakan kunci dan IAM kredensional Anda seperti yang dijelaskan dalam contoh di atas.

    2. Pastikan untuk menggunakan KMS kunci untuk mengenkripsi objek yang ada dan yang baru di bucket Amazon S3 menggunakan fitur kunci bucket Amazon S3. Untuk detail selengkapnya, lihat Mengonfigurasi Kunci Bucket S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

      • Untuk objek baru yang ditambahkan ke bucket Amazon S3, Anda dapat mengatur enkripsi kunci bucket Amazon S3 secara default. Jika objek yang ada telah dienkripsi tanpa menggunakan fitur kunci Amazon S3Bucket, objek ini harus dimigrasikan untuk menggunakan kunci bucket Amazon S3 untuk enkripsi.

        Untuk mengaktifkan kunci bucket Amazon S3 untuk objek yang ada, gunakan operasi. copy Untuk informasi selengkapnya, lihat Mengonfigurasi kunci bucket Amazon S3 di tingkat objek menggunakan operasi batch.

      • AWS KMSkunci terkelola atau Kunci milik AWS tidak didukung. Anda dapat bermigrasi dari skema enkripsi yang tidak didukung ke skema yang saat ini didukung. Untuk informasi selengkapnya, lihat Mengubah enkripsi Amazon S3 Anda di Blog AWS Penyimpanan.

    3. Setel bucket Amazon S3 yang menghosting data untuk mempercayai titik akses yang AWS Data Exchange dimiliki. Anda harus memperbarui kebijakan bucket Amazon S3 ini untuk memberikan AWS Data Exchange izin untuk membuat jalur akses Amazon S3 dan memberikan atau menghapus akses pelanggan atas nama Anda. Jika pernyataan kebijakan tidak ada, Anda harus mengedit kebijakan bucket untuk menambahkan lokasi Amazon S3 ke kumpulan data Anda.

      Contoh kebijakan ditunjukkan di bawah ini. Ganti <Bucket ARN> dengan nilai yang sesuai.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "<Bucket ARN>",
                "<Bucket ARN>/*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:DataAccessPointAccount": [
                        "337040091392",
                        "504002150500",
                        "366362662752",
                        "330489627928",
                        "291973504423",
                        "461002523379",
                        "036905324694",
                        "540564263739",
                        "675969394711",
                        "108584782536",
                        "844053218156"
                    ]
                }
            }
        }
    ]
}

Anda dapat mendelegasikan berbagi data AWS Data Exchange ke seluruh bucket Amazon S3. Namun, Anda dapat membuat cakupan delegasi ke awalan dan objek tertentu dari bucket yang ingin Anda bagikan dalam kumpulan data. Berikut ini adalah contoh kebijakan cakupan. Ganti <Bucket ARN> dan "mybucket/folder1/*" dengan informasi Anda sendiri.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegateToAdxGetObjectsInFolder1",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::mybucket/folder1/*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:DataAccessPointAccount": [
            "337040091392",
            "504002150500",
            "366362662752",
            "330489627928",
            "291973504423",
            "461002523379",
            "036905324694",
            "540564263739",
            "675969394711",
            "108584782536",
            "844053218156"
          ]
        }
      }
    },
    {
      "Sid": "DelegateToAdxListObjectsInFolder1",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::mybucket",
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "folder1/*"
          ]
        },
        "StringEquals": {
          "s3:DataAccessPointAccount": [
            "337040091392",
            "504002150500",
            "366362662752",
            "330489627928",
            "291973504423",
            "461002523379",
            "036905324694",
            "540564263739",
            "675969394711",
            "108584782536",
            "844053218156"
          ]
        }
      }
    }
  ]
}

Demikian pula, untuk cakupan akses ke hanya satu file, pemilik data dapat menggunakan kebijakan berikut.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegateToAdxGetMyFile",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::mybucket/folder1/myfile"
      ],
      "Condition": {
        "StringEquals": {
          "s3:DataAccessPointAccount": [
            "337040091392",
            "504002150500",
            "366362662752",
            "330489627928",
            "291973504423",
            "461002523379",
            "036905324694",
            "540564263739",
            "675969394711",
            "108584782536",
            "844053218156"
          ]
        }
      }
    }
  ]
}

Topik berikut menjelaskan proses pembuatan kumpulan data Amazon S3 dan hibah data dengan kumpulan data Amazon S3 menggunakan konsol. AWS Data Exchange Prosesnya memiliki langkah-langkah berikut:

Langkah 1: Buat kumpulan data Amazon S3

Untuk membuat kumpulan data Amazon S3

  1. Di panel navigasi sisi kiri, di bawah Data saya, pilih Kumpulan data yang dimiliki.

  2. Di Kumpulan data yang dimiliki, pilih Buat kumpulan data untuk membuka panduan langkah pembuatan kumpulan data.

  3. Di Pilih jenis kumpulan data, pilih akses data Amazon S3.

  4. Di Tentukan kumpulan data, masukkan Nama dan Deskripsi untuk kumpulan data Anda. Untuk informasi selengkapnya, lihat Praktik terbaik kumpulan data.

  5. (Opsional) Di bawah Tambahkan tag - opsional, tambahkan tag.

  6. Pilih Buat kumpulan data dan lanjutkan.

Langkah 2: Konfigurasikan akses data Amazon S3

Pilih bucket Amazon S3 atau lokasi bucket Amazon S3 yang ingin Anda sediakan untuk penerima. Anda dapat memilih seluruh bucket Amazon S3, atau menentukan hingga lima awalan atau objek dalam bucket Amazon S3. Untuk menambahkan lebih banyak bucket Amazon S3, Anda harus membuat berbagi data Amazon S3 lainnya.

Untuk mengonfigurasi akses data Amazon S3 bersama

  1. Pada halaman Konfigurasikan akses data Amazon S3, pilih Pilih lokasi Amazon S3.

  2. Di Pilih lokasi Amazon S3, masukkan nama bucket Amazon S3 Anda di bilah pencarian atau pilih bucket Amazon S3, awalan, atau file Amazon S3 Anda dan pilih Tambahkan yang dipilih. Kemudian, pilih Tambahkan lokasi.

    catatan

    Sebaiknya pilih folder tingkat atas tempat sebagian besar objek dan awalan disimpan sehingga pemilik data tidak perlu mengkonfigurasi ulang awalan atau objek mana yang akan dibagikan.

  3. Dalam detail Konfigurasi, pilih konfigurasi Requester Pays Anda. Ada dua opsi:

    • Aktifkan Pembayaran Pemohon (disarankan) — Pemohon akan membayar semua permintaan dan transfer di bucket Amazon S3. Kami merekomendasikan opsi ini karena membantu melindungi terhadap biaya yang tidak diinginkan dari permintaan dan transfer penerima.

    • Nonaktifkan Pembayaran Pemohon — Anda membayar permintaan penerima dan transfer di bucket Amazon S3.

      Untuk informasi selengkapnya tentang Pembayaran Pemohon, lihat Objek di Bucket Pembayaran Peminta di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  4. Pilih Kebijakan Bucket yang paling sesuai dengan kebutuhan Anda. Pilih Umum untuk menggunakan satu kebijakan bucket untuk seluruh bucket Amazon S3 Anda. Ini adalah konfigurasi satu kali dan konfigurasi tambahan tidak diperlukan untuk berbagi awalan atau objek di masa mendatang. Pilih Spesifik untuk menggunakan kebijakan bucket yang khusus untuk lokasi Amazon S3 yang dipilih. Bucket Amazon S3 bersama Anda memerlukan kebijakan bucket untuk membuat kumpulan data akses data Amazon S3 dengan sukses dan tidak dapat diaktifkan. ACLs

    1. Untuk menonaktifkanACLs, navigasikan ke izin bucket Anda dan setel Object Ownership ke Bucket owner diberlakukan.

    2. Untuk menambahkan kebijakan bucket, salin pernyataan bucket ke clipboard Anda. Di konsol Amazon S3, dari tab izin Amazon S3, pilih Edit di bagian kebijakan bucket, tempelkan kebijakan bucket ke dalam pernyataan, dan Simpan perubahan.

  5. Jika bucket Amazon S3 berisi objek yang dienkripsi menggunakan kunci yang dikelola AWS KMS pelanggan, Anda harus membagikan semua kunci tersebut. KMS AWS Data Exchange Untuk informasi tentang prasyarat yang diperlukan saat menggunakan KMS kunci untuk mengenkripsi objek di bucket Amazon S3, lihat. Menerbitkan produk yang AWS Data Exchange berisi akses data Amazon S3 Untuk berbagi KMS kunci ini AWS Data Exchange, lakukan hal berikut:

    1. Dari halaman Konfigurasikan akses data Amazon S3, di KMSkunci yang dikelola Pelanggan, pilih Pilih dari Anda AWS KMS keys atau Enter AWS KMS key ARN dan pilih semua yang AWS KMS keyssedang digunakan untuk mengenkripsi lokasi bersama Amazon S3. AWS Data Exchange menggunakan KMS kunci ini untuk membuat hibah bagi penerima untuk mengakses lokasi bersama Anda. Untuk informasi lebih lanjut, lihat Hibah di AWS KMS.

    catatan

    AWS KMS memiliki batas 50.000 hibah per KMS kunci termasuk hibah yang sudah ada sebelumnya.

  6. Tinjau lokasi Amazon S3, KMS kunci yang dipilih, dan detail konfigurasi, lalu pilih Simpan dan lanjutkan.

Langkah 3: Tinjau dan selesaikan kumpulan data

Tinjau dan selesaikan kumpulan data yang baru Anda buat. Jika Anda ingin membuat dan menambahkan akses data Amazon S3 lain untuk berbagi akses ke bucket, awalan, objek Amazon S3 tambahan, pilih Tambahkan akses data Amazon S3 lainnya.

catatan

Kami merekomendasikan hal ini saat perlu berbagi akses ke data yang dihosting di bucket Amazon S3 yang berbeda dari yang sebelumnya dipilih di akses data Amazon S3 awal.

Jika Anda ingin membuat perubahan sebelum penerbitan, Anda dapat menyimpan kumpulan data sebagai draf dengan memilih Simpan draf. Kemudian, pilih Selesaikan kumpulan data untuk menambahkannya ke hibah data Anda.

Langkah 4: Buat hibah data baru

Setelah membuat setidaknya satu kumpulan data dan menyelesaikan revisi dengan aset, Anda siap menggunakan kumpulan data tersebut sebagai bagian dari hibah data.

Untuk membuat hibah data baru

  1. Di panel navigasi kiri AWS Data Exchange konsol, di bawah Hibah data yang dipertukarkan, pilih Hibah data terkirim.

  2. Dari Hibah data terkirim, pilih Buat hibah data untuk membuka panduan Tentukan hibah data.

  3. Di bagian Pilih kumpulan data yang dimiliki, pilih kotak centang di sebelah kumpulan data yang ingin Anda tambahkan.

    catatan

    Kumpulan data yang Anda pilih harus memiliki revisi yang diselesaikan. Kumpulan data tanpa revisi akhir tidak dapat ditambahkan ke hibah data.

    Tidak seperti kumpulan data yang disertakan dalam produk data yang dibagikan AWS Marketplace, kumpulan data yang ditambahkan ke hibah data tidak memiliki aturan akses revisi, yang berarti penerima hibah data, setelah hibah data disetujui, akan memiliki akses ke semua revisi akhir dari kumpulan data yang diberikan (termasuk revisi historis yang diselesaikan sebelum pembuatan hibah data).

  4. Di bagian Ikhtisar hibah, masukkan informasi yang akan dilihat penerima tentang hibah data Anda, termasuk nama hibah data dan deskripsi hibah data.

  5. Pilih Berikutnya.

    Untuk informasi selengkapnya, lihat Praktik terbaik produk di AWS Data Exchange.

  6. Di bagian Informasi akses Penerima, di bawah Akun AWS Akun AWS ID, masukkan ID akun penerima yang harus menerima hibah data.

  7. Di bawah Tanggal akhir akses, pilih tanggal akhir tertentu untuk kapan hibah data harus kedaluwarsa atau, jika hibah harus ada selamanya, pilih Tidak ada tanggal akhir.

  8. Pilih Berikutnya.

  9. Di bagian Tinjau dan kirim, tinjau informasi pemberian data Anda.

  10. Jika Anda yakin ingin membuat hibah data dan mengirimkannya ke penerima yang dipilih, pilih Buat dan kirim data hibah.

Anda sekarang telah menyelesaikan bagian manual untuk membuat hibah data. Pemberian data akan ditampilkan di tab Hibah data terkirim di halaman Hibah data terkirim yang menunjukkan statusnya sebagai Penerimaan tertunda hingga akun penerima menerimanya.