Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Keamanan
<a name="security"></a>

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari beberapa pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan ini sebagai keamanan cloud dan keamanan di cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Efektivitas keamanan kami secara teratur diuji dan diverifikasi oleh auditor pihak ketiga sebagai bagian dari [program AWS kepatuhan](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku AWS Data Exchange, lihat [AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor-faktor lain, termasuk sensitivitas data Anda, persyaratan organisasi Anda, dan hukum dan peraturan yang berlaku.

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat Anda menggunakannya AWS Data Exchange. Topik berikut menunjukkan cara mengonfigurasi AWS Data Exchange untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan AWS Data Exchange sumber daya Anda.

# Perlindungan data di AWS Data Exchange
<a name="data-protection"></a>

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS Data Exchange. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan AWS Data Exchange atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

AWS Data Exchange menyediakan opsi berikut yang dapat Anda gunakan untuk membantu mengamankan konten yang ada di kumpulan data Anda:

**Topics**
+ [Enkripsi saat diam](#data-protection-encryption-rest)
+ [Enkripsi saat bergerak](#data-protection-encryption-in-transit)
+ [Batasi Akses ke Konten](#data-protection-restrict-access)

## Enkripsi saat diam
<a name="data-protection-encryption-rest"></a>

AWS Data Exchange selalu mengenkripsi semua produk data yang disimpan dalam layanan saat istirahat tanpa memerlukan konfigurasi tambahan apa pun. Enkripsi ini otomatis saat Anda menggunakannya AWS Data Exchange.

## Enkripsi saat bergerak
<a name="data-protection-encryption-in-transit"></a>

AWS Data Exchange menggunakan Transport Layer Security (TLS) dan enkripsi sisi klien untuk enkripsi dalam perjalanan. Komunikasi dengan selalu AWS Data Exchange dilakukan melalui HTTPS sehingga data Anda selalu dienkripsi saat transit. Enkripsi ini dikonfigurasi secara default saat Anda menggunakan AWS Data Exchange.

## Batasi Akses ke Konten
<a name="data-protection-restrict-access"></a>

Sebagai praktik terbaik, Anda harus membatasi akses ke subset pengguna yang sesuai. Dengan AWS Data Exchange, Anda dapat melakukan ini dengan memastikan bahwa pengguna, grup, dan peran yang menggunakan Anda Akun AWS memiliki izin yang tepat. Untuk informasi selengkapnya tentang peran dan kebijakan untuk entitas IAM, lihat *[Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.

# Manajemen kunci untuk akses data Amazon S3
<a name="key-management"></a>

Halaman ini khusus untuk jenis akses data Amazon S3 tempat penyedia berbagi objek yang dienkripsi menggunakan SSE-KMS. Pelanggan harus memiliki hibah pada kunci yang digunakan untuk akses.

Jika bucket Amazon S3 berisi data yang dienkripsi menggunakan kunci terkelola AWS KMS pelanggan, Anda harus membagikannya AWS Data Exchange untuk mengonfigurasi AWS KMS keys kumpulan data akses data Amazon S3. Untuk informasi selengkapnya, lihat [Langkah 2: Konfigurasikan akses data Amazon S3](publish-s3-data-access-product.md#configure-s3-data-access-product).

**Topics**
+ [Membuat AWS KMS hibah](#create-kms-grants)
+ [Konteks enkripsi dan batasan hibah](#encryption-context-grant-constraint)
+ [Memantau Anda AWS KMS keys di AWS Data Exchange](#monitoring-your-kms-keys)

## Membuat AWS KMS hibah
<a name="create-kms-grants"></a>

Saat Anda memberikan AWS KMS keys sebagai bagian dari kumpulan data akses data Amazon S3, AWS Data Exchange buat AWS KMS hibah pada setiap AWS KMS key yang dibagikan. Hibah ini, yang dikenal sebagai *hibah induk*, digunakan untuk memberikan AWS Data Exchange izin untuk membuat AWS KMS hibah tambahan bagi pelanggan. Hibah tambahan ini dikenal sebagai *hibah anak*. Setiap pelanggan diizinkan satu AWS KMS hibah. Pelanggan mendapatkan izin untuk mendekripsi. AWS KMS key Kemudian, mereka dapat mendekripsi dan menggunakan objek Amazon S3 terenkripsi yang dibagikan dengan mereka. Untuk informasi selengkapnya, lihat [Hibah AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *Panduan AWS Key Management Service Pengembang*.

AWS Data Exchange juga menggunakan hibah AWS KMS induk untuk mengelola siklus hidup AWS KMS hibah yang dibuatnya. Ketika langganan berakhir, AWS Data Exchange pensiun hibah AWS KMS anak yang dibuat untuk pelanggan yang sesuai. Jika revisi dicabut, atau kumpulan data dihapus, AWS Data Exchange menghentikan hibah induk. AWS KMS Untuk informasi selengkapnya tentang AWS KMS tindakan, lihat [referensi AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html).

## Konteks enkripsi dan batasan hibah
<a name="encryption-context-grant-constraint"></a>

AWS Data Exchange menggunakan batasan hibah untuk mengizinkan operasi dekripsi hanya jika permintaan menyertakan konteks enkripsi yang ditentukan. Anda dapat menggunakan fitur Amazon S3 Bucket Key untuk mengenkripsi objek Amazon S3 Anda dan membagikannya. AWS Data Exchange Bucket Amazon Resource Name (ARN) secara implisit digunakan oleh Amazon S3 sebagai konteks enkripsi. Contoh berikut menunjukkan bahwa AWS Data Exchange menggunakan bucket ARN sebagai batasan hibah untuk semua AWS KMS hibah yang dibuatnya.

```
"Constraints": {
   "EncryptionContextSubset":  "aws:s3:arn": “arn:aws:s3:::<Bucket ARN>"
   }
}
```

## Memantau Anda AWS KMS keys di AWS Data Exchange
<a name="monitoring-your-kms-keys"></a>

Saat Anda berbagi kunci yang dikelola AWS KMS pelanggan AWS Data Exchange, Anda dapat menggunakannya [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)untuk melacak permintaan yang dikirimkan oleh pelanggan AWS Data Exchange atau data AWS KMS. Berikut ini adalah contoh dari apa CloudTrail log Anda akan terlihat seperti untuk `CreateGrant` dan `Decrypt` panggilan ke AWS KMS.

------
#### [ CreateGrant for parent ]

`CreateGrant`adalah untuk hibah induk yang dibuat oleh AWS Data Exchange untuk dirinya sendiri.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole", 
        "principalId": "AROAIGDTESTANDEXAMPLE:Provider01",
        "arn": "arn:aws:sts::<your-account-id>:assumed-role/Admin/Provider01",
        "accountId": "<your-account-id>",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::<your-account-id>:role/Admin/Provider01”,
                "accountId": "<your-account-id>",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-16T17:29:23Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "datax.amazonaws.com"
    },
    "eventTime": "2023-02-16T17:32:47Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "datax.amazonaws.com",
    "userAgent": "datax.amazonaws.com",
    "requestParameters": {
        "keyId": "<Key ARN of the Key you shared with AWS Data Exchange>",
        "operations": [
            "CreateGrant",
            "Decrypt",
            "RetireGrant"
        ],
        "granteePrincipal": "dataexchange.us-east-2.amazonaws.com",
        "retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
        "constraints": {
            "encryptionContextSubset": { AWS:s3:arn": "arn:aws:s3:::<Your Bucket ARN>"
            }
        }
    },
    "responseElements": {
        "grantId": "<KMS Grant ID of the created Grant>",
        "keyId": "<Key ARN of the Key you shared with AWS Data Exchange>"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "<Your Account Id>",
            "type": "AWS::KMS::Key",
            "ARN": "<Key ARN of the Key you shared with AWS Data Exchange>"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "<Your Account Id>",
    "eventCategory": "Management"
}
```

------
#### [ CreateGrant for child ]

`CreateGrant`adalah untuk hibah anak yang dibuat oleh AWS Data Exchange untuk pelanggan.

```
{
      "eventVersion": "1.08",
      "userIdentity": {
         "type": "AWSService",
         "invokedBy": "datax.amazonaws.com"
     },
     "eventTime": "2023-02-15T23:15:49Z",
     "eventSource": "kms.amazonaws.com",
     "eventName": "CreateGrant",
     "awsRegion": "us-east-2",
     "sourceIPAddress": "datax.amazonaws.com",
     "userAgent": "datax.amazonaws.com",
     "requestParameters": {
         "keyId": "<Key ARN of the Key you shared with AWS Data Exchange>",
         "operations": [
             "Decrypt"
         ],
         "granteePrincipal": “<Subscriber’s account Id>”,
         "retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
         "constraints": {
             "encryptionContextSubset": {
                 "aws:s3:arn": "arn:aws:s3:::<Your Bucket ARN>"
             }
         }
     },
     "responseElements": {
         "grantId": "<KMS Grant ID of the created Grant>",
         "keyId": "<Key ARN of the Key you shared with AWS Data Exchange>"
     },
     "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
     "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
     "readOnly": false,
     "resources": [
         {
             "accountId": "<Your Account Id>",
             "type": "AWS::KMS::Key",
             "ARN": "<Key ARN of the Key you shared with AWS Data Exchange>"
         }
     ],
     "eventType": "AwsApiCall",
     "managementEvent": true,
     "recipientAccountId": "<Your Account Id>",
     "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE ",
     "eventCategory": "Management"
}
```

------
#### [ Dekripsi ]

`Decrypt`dipanggil oleh pelanggan ketika mereka mencoba membaca data terenkripsi di mana mereka berlangganan.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAIGDTESTANDEXAMPLE:Subscriber01",
        "accountId": "<subscriber-account-id>",
        "invokedBy": "<subscriber’s IAM identity>"
    },
    "eventTime": "2023-02-15T23:28:30Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "<subscriber’s IP address>",
    "userAgent": "<subscriber’s user agent>",
    "requestParameters": {
        "encryptionContext": {
            "aws:s3:arn": "arn:aws:s3:::<Your Bucket ARN>"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE”,
    "readOnly": true,
    "resources": [
        {
            "accountId": "<Your Account Id>",
            "type": "AWS::KMS::Key",
            "ARN": "<Key ARN of the Key you shared with AWS Data Exchange>"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "602466227860",
    "sharedEventID": "bcf4d02a-31ea-4497-9c98-4c3549f20a7b",
    "eventCategory": "Management"
}
```

------

# Identitas dan manajemen akses di AWS Data Exchange
<a name="auth-access"></a>

Untuk melakukan operasi apa pun di AWS Data Exchange, seperti membuat pekerjaan impor menggunakan AWS SDK, atau berlangganan produk di AWS Data Exchange konsol, AWS Identity and Access Management (IAM) mengharuskan Anda mengautentikasi bahwa Anda adalah pengguna yang disetujui. AWS Misalnya, jika Anda menggunakan AWS Data Exchange konsol, Anda mengautentikasi identitas Anda dengan memberikan AWS kredenal masuk Anda.

Setelah Anda mengautentikasi identitas Anda, IAM mengontrol akses Anda AWS dengan sekumpulan izin yang ditentukan pada serangkaian operasi dan sumber daya. Jika Anda administrator akun, Anda dapat menggunakan IAM untuk mengontrol akses pengguna lain ke sumber daya yang terkait dengan akun Anda.

**Topics**
+ [Autentikasi](#authentication)
+ [Kontrol akses](access-control.md)
+ [AWS Data Exchange Izin API: referensi tindakan dan sumber daya](api-permissions-ref.md)
+ [AWS kebijakan terkelola untuk AWS Data Exchange](security-iam-awsmanpol.md)

## Autentikasi
<a name="authentication"></a>

Anda dapat mengakses AWS dengan salah satu jenis identitas berikut:
+ **Akun AWS pengguna root** — Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 
+ **Pengguna** — [Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) adalah identitas di Anda Akun AWS yang memiliki izin khusus khusus. Anda dapat menggunakan kredensi IAM Anda untuk masuk untuk mengamankan AWS halaman web seperti atau Pusat. Konsol Manajemen AWS AWS Dukungan 
+ **IAM role** – [IAM role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin spesifik. Peran IAM mirip dengan pengguna IAM karena merupakan AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, peran tersebut akan memberikan kredensial keamanan sementara untuk sesi peran. Peran dengan kredensi sementara berguna dalam situasi berikut:
  + **Akses pengguna federasi** — Alih-alih membuat pengguna, Anda dapat menggunakan identitas yang ada dari Directory Service, direktori pengguna perusahaan Anda, atau penyedia identitas web. Ini dikenal sebagai *pengguna federasi*. AWS memberikan peran kepada pengguna federasi ketika akses diminta melalui penyedia identitas. Untuk informasi selengkapnya tentang pengguna federasi, lihat [Pengguna dan Peran Federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles).
  + **Layanan AWS akses** — Peran layanan adalah peran IAM yang diasumsikan oleh layanan untuk melakukan tindakan di akun Anda atas nama Anda. Ketika Anda mengatur beberapa Layanan AWS lingkungan, Anda harus menentukan peran untuk layanan untuk mengambil alih. Peran layanan ini harus mencakup semua izin yang diperlukan untuk layanan untuk mengakses AWS sumber daya yang dibutuhkan. Peran layanan bervariasi dari layanan ke layanan, tetapi banyak yang memungkinkan Anda untuk memilih izin Anda selama Anda memenuhi persyaratan yang didokumentasikan untuk layanan tersebut. Peran layanan hanya menyediakan akses dalam akun Anda dan tidak dapat digunakan untuk memberikan akses ke layanan dalam akun lain. Anda dapat membuat, memodifikasi, dan menghapus peran layanan dari dalam IAM. Misalnya, Anda dapat membuat peran yang memungkinkan Amazon Redshift untuk mengakses bucket Amazon S3 atas nama Anda dan kemudian memuat data yang tersimpan di bucket ke dalam klaster Amazon Redshift. Untuk informasi selengkapnya, lihat [Membuat Peran untuk Mendelegasikan Izin ke Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html). AWS 
  + **Aplikasi yang berjalan di Amazon EC2** - Anda dapat menggunakan peran IAM untuk mengelola kredensi sementara untuk aplikasi yang berjalan pada instans Amazon EC2 dan membuat atau permintaan API. AWS CLI AWS Ini lebih baik untuk menyimpan kunci akses di instans Amazon EC2. Untuk menetapkan AWS peran ke instans Amazon EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda membuat profil instans yang dilampirkan ke instans. Profil instans berisi peran dan memungkinkan program yang berjalan di instans Amazon EC2 untuk mendapatkan kredensi sementara. Untuk informasi selengkapnya, lihat [Menggunakan Peran IAM untuk Memberikan Izin ke Aplikasi yang Berjalan di Instans Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).

# Kontrol akses
<a name="access-control"></a>

Untuk membuat, memperbarui, menghapus, atau mencantumkan AWS Data Exchange sumber daya, Anda memerlukan izin untuk melakukan operasi dan mengakses sumber daya yang sesuai. Untuk melakukan operasi secara terprogram, Anda juga memerlukan kunci akses yang valid.

## Ikhtisar mengelola izin akses ke sumber daya Anda AWS Data Exchange
<a name="access-control-overview"></a>

Setiap AWS sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke pengguna, grup, dan peran. Layanan lain (seperti AWS Lambda) juga mensupport melampirkan kebijakan izin untuk sumber daya. 

**catatan**  
*Administrator akun* (atau administrator) adalah pengguna dengan hak administrator. Untuk informasi lebih lanjut, lihat [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).

Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:

  Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
  + Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
  + (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.

**Topics**
+ [AWS Data Exchange sumber daya dan operasi](#access-control-resources)
+ [Memahami kepemilikan sumber daya](#access-control-owner)
+ [Mengelola akses ke sumber daya](#access-control-manage-access-intro)
+ [Menentukan elemen kebijakan: tindakan, efek, dan prinsip](#access-control-specify-control-tower-actions)
+ [Menentukan kondisi dalam kebijakan](#specifying-conditions)

### AWS Data Exchange sumber daya dan operasi
<a name="access-control-resources"></a>

Di AWS Data Exchange, ada dua jenis sumber daya primer dengan bidang kontrol yang berbeda:
+ Sumber daya utama untuk AWS Data Exchange adalah *kumpulan data* dan *pekerjaan*. AWS Data Exchange juga mendukung *revisi* dan *aset*.
+ Untuk memfasilitasi transaksi antara penyedia dan pelanggan, AWS Data Exchange juga menggunakan AWS Marketplace konsep dan sumber daya, termasuk produk, penawaran, dan langganan. Anda dapat menggunakan API AWS Marketplace Katalog atau AWS Data Exchange konsol untuk mengelola produk, penawaran, permintaan berlangganan, dan langganan Anda.

### Memahami kepemilikan sumber daya
<a name="access-control-owner"></a>

 Akun AWS Memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang menciptakan sumber daya. Secara khusus, pemilik sumber daya adalah [entitas utama](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (yaitu, pengguna Akun AWS root, pengguna, atau peran) yang mengautentikasi permintaan pembuatan sumber daya. Akun AWS Contoh berikut menggambarkan cara kerjanya.

#### Kepemilikan sumber daya
<a name="resource-ownership"></a>

Entitas IAM apa pun Akun AWS dengan izin yang benar dapat membuat kumpulan AWS Data Exchange data. Ketika entitas IAM membuat kumpulan data, mereka Akun AWS memiliki kumpulan data. Produk data yang dipublikasikan dapat berisi kumpulan data yang hanya dimiliki oleh Akun AWS yang membuatnya.

Untuk berlangganan AWS Data Exchange produk, entitas IAM memerlukan izin untuk menggunakan AWS Data Exchange, selain, `aws-marketplace:subscribe``aws-marketplace:aws-marketplace:CreateAgreementRequest`, dan izin `aws-marketplace:AcceptAgreementRequest` IAM untuk AWS Marketplace (dengan asumsi mereka lulus verifikasi langganan terkait). Sebagai pelanggan, akun Anda memiliki akses baca ke kumpulan data yang berhak; namun, akun tersebut tidak memiliki kumpulan data yang berhak. Setiap kumpulan data berhak yang diekspor ke Amazon S3 dimiliki oleh pelanggan. Akun AWS

### Mengelola akses ke sumber daya
<a name="access-control-manage-access-intro"></a>

Bagian ini membahas penggunaan IAM dalam konteks. AWS Data Exchange Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat [Apa yang Dimaksud dengan IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dalam *Panduan Pengguna IAM*. Untuk informasi tentang sintaks dan deskripsi kebijakan IAM, lihat [Referensi AWS Identity and Access Management Kebijakan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) Pengguna *IAM*.

*Kebijakan izin* menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan pilihan yang tersedia untuk membuat kebijakan izin.

Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan *berbasis identitas* (kebijakan IAM). Kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis *sumber daya*. AWS Data Exchange hanya mendukung kebijakan berbasis identitas (kebijakan IAM). 

**Topics**
+ [Kebijakan dan izin berbasis identitas](#access-control-manage-access-intro-iam-policies)
+ [Kebijakan berbasis sumber daya](#access-control-manage-access-intro-resource-policies)

#### Kebijakan dan izin berbasis identitas
<a name="access-control-manage-access-intro-iam-policies"></a>

AWS Data Exchange menyediakan seperangkat kebijakan terkelola. Untuk informasi selengkapnya tentang mereka dan izinnya, lihat[AWS kebijakan terkelola untuk AWS Data Exchange](security-iam-awsmanpol.md). 

##### Izin Amazon S3
<a name="additional-s3-permissions"></a>

Saat mengimpor aset dari Amazon S3 AWS Data Exchange ke, Anda memerlukan izin untuk menulis ke AWS Data Exchange bucket S3 layanan. Demikian pula, saat mengekspor aset dari Amazon S3 AWS Data Exchange ke, Anda memerlukan izin untuk membaca dari AWS Data Exchange bucket layanan S3. Izin ini disertakan dalam kebijakan yang disebutkan sebelumnya, tetapi Anda juga dapat membuat kebijakan sendiri untuk mengizinkan apa yang Anda ingin pengguna dapat lakukan. Anda dapat membuat cakupan izin ini ke bucket yang berisi `aws-data-exchange` namanya dan menggunakan [ CalledVia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia)izin tersebut untuk membatasi penggunaan izin pada permintaan yang dibuat AWS Data Exchange atas nama prinsipal.

Misalnya, Anda dapat membuat kebijakan untuk mengizinkan pengimporan dan ekspor AWS Data Exchange yang menyertakan izin ini.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::*aws-data-exchange*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "dataexchange.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::*aws-data-exchange*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "dataexchange.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

Izin ini memungkinkan penyedia untuk mengimpor dan mengekspor dengan AWS Data Exchange. Kebijakan ini mencakup izin dan batasan berikut:
+ **s3: PutObject** dan **s3: PutObjectAcl** — Izin ini hanya dibatasi untuk bucket S3 yang berisi namanya. `aws-data-exchange` Izin ini memungkinkan penyedia untuk menulis ke bucket AWS Data Exchange layanan saat mengimpor dari Amazon S3.
+ **s3: GetObject** — Izin ini dibatasi untuk ember S3 yang berisi namanya`aws-data-exchange`. Izin ini memungkinkan pelanggan untuk membaca dari bucket AWS Data Exchange layanan saat mengekspor dari AWS Data Exchange ke Amazon S3.
+ Izin ini dibatasi untuk permintaan yang dibuat dengan menggunakan AWS Data Exchange dengan kondisi IAM`CalledVia`. Ini memungkinkan `PutObject` izin S3 hanya digunakan dalam konteks AWS Data Exchange konsol atau API.
+ **AWS Lake Formation****dan **AWS Resource Access Manager******(AWS RAM)** **—** Untuk menggunakan kumpulan AWS Lake Formation data, Anda harus menerima undangan AWS RAM berbagi untuk setiap penyedia baru internet yang berlangganan. Untuk menerima undangan AWS RAM berbagi, Anda harus mengambil peran yang memiliki izin untuk menerima undangan AWS RAM berbagi. Untuk mempelajari selengkapnya tentang cara kebijakan AWS terkelola AWS RAM, lihat [Kebijakan terkelola untuk AWS RAM.](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html)
+ Untuk membuat kumpulan AWS Lake Formation data, Anda harus membuat kumpulan data dengan peran yang diasumsikan yang memungkinkan IAM meneruskan AWS Data Exchange peran. Ini akan memungkinkan AWS Data Exchange untuk memberikan dan mencabut izin ke sumber daya Lake Formation atas nama Anda. Lihat contoh kebijakan di bawah ini:

  ```
  {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
          "StringEquals": {
               "iam:PassedToService": "dataexchange.amazonaws.com"
          }
      }
  }
  ```

**catatan**  
Pengguna Anda mungkin juga memerlukan izin tambahan untuk membaca atau menulis dari bucket dan objek S3 Anda sendiri yang tidak tercakup dalam contoh ini.

Untuk informasi lebih lanjut tentang pengguna, grup, peran, dan izin, lihat [Identitas (Pengguna, Grup, dan Peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dalam *Panduan Pengguna IAM*. 

#### Kebijakan berbasis sumber daya
<a name="access-control-manage-access-intro-resource-policies"></a>

AWS Data Exchange tidak mendukung kebijakan berbasis sumber daya.

Layanan lain, seperti Amazon S3, mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut.

### Menentukan elemen kebijakan: tindakan, efek, dan prinsip
<a name="access-control-specify-control-tower-actions"></a>

Untuk menggunakannya AWS Data Exchange, izin pengguna Anda harus ditentukan dalam kebijakan IAM.

Berikut adalah elemen-elemen kebijakan yang paling dasar:
+ **Sumber daya** – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diatur kebijakan. Semua operasi AWS Data Exchange API mendukung izin tingkat sumber daya (RLP), tetapi AWS Marketplace tindakan tidak mendukung RLP. Untuk informasi selengkapnya, lihat [AWS Data Exchange sumber daya dan operasi](#access-control-resources).
+ **Tindakan** – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak.
+ **Efek** - Anda menentukan efek (izinkan atau tolak) saat pengguna meminta tindakan tertentu. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.
+ **Principal** – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang kebijakannya terlampir adalah principal yang implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izin (hanya berlaku untuk kebijakan berbasis sumber daya). AWS Data Exchange tidak mendukung kebijakan berbasis sumber daya.

Untuk informasi selengkapnya tentang sintaks dan deskripsi kebijakan IAM, lihat [Referensi AWS Identity and Access Management Kebijakan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) Pengguna *IAM*.

### Menentukan kondisi dalam kebijakan
<a name="specifying-conditions"></a>

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan kondisi ketika kebijakan harus berlaku. Dengan AWS Data Exchange, operasi`CreateJob`,`StartJob`,`GetJob`, dan `CancelJob` API mendukung izin bersyarat. Anda dapat memberikan izin di `JobType` level tersebut.


**AWS Data Exchange referensi kunci kondisi**  

| Kunci syarat | Deskripsi | Tipe | 
| --- | --- | --- | 
| "dataexchange:JobType":"IMPORT\$1ASSETS\$1FROM\$1S3" | Cakupan izin untuk pekerjaan yang mengimpor aset dari Amazon S3. | String | 
| "dataexchange:JobType":IMPORT\$1ASSETS\$1FROM\$1LAKE\$1FORMATION\$1TAG\$1POLICY" (Preview) | Cakupan izin untuk pekerjaan yang mengimpor aset dari AWS Lake Formation (Pratinjau) | String | 
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL" | Mencakup izin untuk pekerjaan yang mengimpor aset dari URL yang ditandatangani. | String | 
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1REDSHIFT\$1DATA\$1SHARES" | Cakupan izin untuk pekerjaan yang mengimpor aset dari Amazon Redshift. | String | 
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1API\$1GATEWAY\$1API" | Mencakup izin untuk lowongan yang mengimpor aset dari Amazon API Gateway. | String | 
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1S3" | Cakupan izin untuk pekerjaan yang mengekspor aset ke Amazon S3. | String | 
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL" | Mencakup izin untuk pekerjaan yang mengekspor aset ke URL yang ditandatangani. | String | 
| "dataexchange:JobType":EXPORT\$1REVISIONS\$1TO\$1S3" | Cakupan izin untuk pekerjaan yang mengekspor revisi ke Amazon S3. | String | 

Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat [Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) dalam *Panduan Pengguna IAM*. 

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi yang telah ditentukan. AWS Data Exchange memiliki `JobType` kondisi untuk operasi API. Namun, ada tombol kondisi AWS lebar yang dapat Anda gunakan, yang sesuai. Untuk daftar lengkap tombol AWS lebar, lihat [https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

# AWS Data Exchange Izin API: referensi tindakan dan sumber daya
<a name="api-permissions-ref"></a>

Gunakan tabel berikut sebagai referensi saat menyiapkan [Kontrol akses](access-control.md) dan menulis kebijakan izin yang dapat dilampirkan ke identitas AWS Identity and Access Management (IAM) (kebijakan berbasis identitas). Tabel mencantumkan setiap operasi AWS Data Exchange API, tindakan yang dapat Anda berikan izin untuk melakukan tindakan, dan AWS sumber daya yang dapat Anda berikan izin. Anda menentukan tindakan di bidang `Action` kebijakan. Anda menentukan nilai sumber daya di `Resource` bidang kebijakan. 

**catatan**  
Untuk menentukan tindakan, gunakan awalan `dataexchange:` diikuti dengan nama operasi API (misalnya, `dataexchange:CreateDataSet`).


**AWS Data Exchange API dan izin yang diperlukan untuk tindakan**  

| AWS Data Exchange Operasi API | Izin yang diperlukan (tindakan API) | Sumber daya | Ketentuan | 
| --- | --- | --- | --- | 
| CreateDataSet | dataexchange:CreateDataSet | N/A |  `aws:TagKeys` `aws:RequestTag`  | 
| GetDataSet | dataexchange:GetDataSet | Kumpulan data |  aws:RequestTag | 
| UpdateDataSet | dataexchange:UpdateDataSet | Kumpulan data |  aws:RequestTag | 
| PublishDataSet | dataexchange:PublishDataSet | Kumpulan data |  aws:RequestTag | 
| DeleteDataSet | dataexchange:DeleteDataSet | Kumpulan data | aws:RequestTag | 
| ListDataSets | dataexchange:ListDataSets | N/A | N/A | 
| CreateRevision | dataexchange:CreateRevision | Kumpulan data |  `aws:TagKeys` `aws:RequestTag`  | 
| GetRevision | dataexchange:GetRevision |  Revisi  | aws:RequestTag | 
| DeleteRevision | dataexchange:DeleteRevision |  Revisi  | aws:RequestTag | 
| ListDataSetRevisions | dataexchange:ListDataSetRevisions | Kumpulan data | aws:RequestTag | 
| ListRevisionAssets | dataexchange:ListRevisionAssets |  Revisi  | aws:RequestTag | 
| CreateEventAction | dataexchange:CreateEventAction | N/A | N/A | 
| UpdateEventAction | dataexchange:UpdateEventAction |  EventAction  | N/A | 
| GetEventAction | dataexchange:GetEventAction |  EventAction  | N/A | 
| ListEventActions | dataexchange:ListEventActions | N/A | N/A | 
| DeleteEventAction | dataexchange:DeleteEventAction |  EventAction  | N/A | 
| CreateJob | dataexchange:CreateJob | N/A | dataexchange:JobType | 
| GetJob | dataexchange:GetJob | Pekerjaan | dataexchange:JobType | 
| StartJob\$1\$1 | dataexchange:StartJob | Pekerjaan | dataexchange:JobType | 
| CancelJob | dataexchange:CancelJob | Pekerjaan | dataexchange:JobType | 
| ListJobs | dataexchange:ListJobs | N/A | N/A | 
| ListTagsForResource | dataexchange:ListTagsForResource |  Revisi  | aws:RequestTag | 
| TagResource | dataexchange:TagResource |  Revisi  |  `aws:TagKeys` `aws:RequestTag`  | 
| UnTagResource | dataexchange:UnTagResource |  Revisi  |  `aws:TagKeys` `aws:RequestTag`  | 
| UpdateRevision | dataexchange:UpdateRevision |  Revisi  | aws:RequestTag | 
| DeleteAsset | dataexchange:DeleteAsset |  Aset  | N/A | 
| GetAsset | dataexchange:GetAsset |  Aset  | N/A | 
| UpdateAsset | dataexchange:UpdateAsset |  Aset  | N/A | 
| SendApiAsset | dataexchange:SendApiAsset |  Aset  | N/A | 

**\$1\$1** Izin IAM tambahan mungkin diperlukan tergantung pada jenis pekerjaan yang Anda mulai. Lihat tabel berikut untuk jenis AWS Data Exchange pekerjaan dan izin IAM tambahan terkait. Untuk informasi lebih lanjut tentang pekerjaan, lihat[Pekerjaan di AWS Data Exchange](jobs.md).

**catatan**  
Saat ini, `SendApiAsset` operasi tidak didukung untuk hal-hal berikut SDKs:  
SDK untuk .NET
AWS SDK untuk C\$1\$1
SDK untuk Java 2.x


**AWS Data Exchange izin jenis pekerjaan untuk `StartJob`**  

| Jenis Tugas | Izin IAM tambahan diperlukan | 
| --- | --- | 
| IMPORT\$1ASSETS\$1FROM\$1S3 | dataexchange:CreateAsset | 
| IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL | dataexchange:CreateAsset | 
| IMPORT\$1ASSETS\$1FROM\$1API\$1GATEWAY\$1API | dataexchange:CreateAsset | 
| IMPORT\$1ASSETS\$1FROM\$1REDSHIFT\$1DATA\$1SHARES | dataexchange:CreateAsset, redshift:AuthorizeDataShare | 
| EXPORT\$1ASSETS\$1TO\$1S3 | dataexchange:GetAsset | 
| EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL | dataexchange:GetAsset | 
| EXPORT\$1REVISIONS\$1TO\$1S3 | dataexchange:GetRevision dataexchange:GetDataSet  Izin IAM hanya `dataexchange:GetDataSet` diperlukan jika Anda menggunakan `DataSet.Name` sebagai referensi dinamis untuk jenis `EXPORT_REVISIONS_TO_S3` pekerjaan.  | 

Anda dapat membuat cakupan tindakan kumpulan data ke tingkat revisi atau aset melalui penggunaan wildcard, seperti pada contoh berikut.

```
arn:aws:dataexchange:us-east-1:123456789012:data-sets/99EXAMPLE23c7c272897cf1EXAMPLE7a/revisions/*/assets/*
```

Beberapa AWS Data Exchange tindakan hanya dapat dilakukan di AWS Data Exchange konsol. Tindakan ini terintegrasi dengan AWS Marketplace fungsionalitas. Tindakan memerlukan AWS Marketplace izin yang ditunjukkan pada tabel berikut.


**AWS Data Exchange tindakan khusus konsol untuk pelanggan**  

| Aksi konsol | Izin IAM | 
| --- | --- | 
| Berlangganan produk |  `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest`  | 
| Kirim permintaan verifikasi langganan |  `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest`  | 
| Aktifkan perpanjangan otomatis langganan |  `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest`  | 
| Melihat status perpanjangan otomatis pada langganan |  `aws-marketplace:ListEntitlementDetails` `aws-marketplace:ViewSubscriptions` `aws-marketplace:GetAgreementTerms`  | 
| Nonaktifkan perpanjangan otomatis langganan |  `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest`  | 
| Daftar langganan aktif |  `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms`  | 
| Lihat langganan |  `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` `aws-marketplace:DescribeAgreement`  | 
| Daftar permintaan verifikasi langganan |  `aws-marketplace:ListAgreementRequests`  | 
| Lihat permintaan verifikasi langganan |  `aws-marketplace:GetAgreementRequest`  | 
| Batalkan permintaan verifikasi langganan |  `aws-marketplace:CancelAgreementRequest`  | 
| Lihat semua penawaran yang ditargetkan ke akun |  `aws-marketplace:ListPrivateListings`  | 
| Lihat detail penawaran tertentu |  `aws-marketplace:GetPrivateListing`  | 


**AWS Data Exchange tindakan khusus konsol untuk penyedia**  

| Aksi konsol | Izin IAM | 
| --- | --- | 
| Tag produk |  `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource`  | 
| Menandai penawaran |  `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource`  | 
| Publikasikan produk |  `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` `dataexchange:PublishDataSet`  | 
| Batalkan publikasi produk |  `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet`  | 
| Edit produk |  `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet`  | 
| Buat penawaran khusus |  `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet`  | 
| Edit penawaran khusus |  `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet`  | 
| Lihat detail produk |  `aws-marketplace:DescribeEntity` `aws-marketplace:ListEntities`  | 
| Lihat penawaran khusus produk | aws-marketplace:DescribeEntity | 
| Lihat dasbor produk |  `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity`  | 
| Buat daftar produk yang kumpulan data atau revisi telah diterbitkan |  `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity`  | 
| Daftar permintaan verifikasi langganan |  `aws-marketplace:ListAgreementApprovalRequests` `aws-marketplace:GetAgreementApprovalRequest`  | 
| Menyetujui permintaan verifikasi langganan |  `aws-marketplace:AcceptAgreementApprovalRequest`  | 
| Tolak permintaan verifikasi langganan |  `aws-marketplace:RejectAgreementApprovalRequest`  | 
| Hapus informasi dari permintaan verifikasi langganan |  `aws-marketplace:UpdateAgreementApprovalRequest`  | 
| Lihat detail langganan |  `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms`  | 

# AWS kebijakan terkelola untuk AWS Data Exchange
<a name="security-iam-awsmanpol"></a>

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.

**Topics**
+ [AWS kebijakan terkelola: AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)
+ [AWS kebijakan terkelola: AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)
+ [AWS kebijakan terkelola: AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)
+ [AWS kebijakan terkelola: AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)
+ [AWS kebijakan terkelola: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)
+ [AWS kebijakan terkelola: AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)
+ [AWS kebijakan terkelola: AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess)
+ [AWS kebijakan terkelola: AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess)
+ [AWS Data Exchange pembaruan kebijakan AWS terkelola](#security-iam-awsmanpol-updates)

## AWS kebijakan terkelola: AWSDataExchangeFullAccess
<a name="security-iam-awsmanpol-awsdataexchangefullaccess"></a>

Anda dapat melampirkan kebijakan `AWSDataExchangeFullAccess` ke identitas IAM Anda.

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh AWS Data Exchange dan AWS Marketplace tindakan menggunakan SDK dan SDK Konsol Manajemen AWS . Ini juga menyediakan akses pilih ke Amazon S3 dan sesuai AWS Key Management Service kebutuhan untuk memanfaatkan sepenuhnya. AWS Data Exchange

Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSDataExchangeProviderFullAccess
<a name="security-iam-awsmanpol-awsdataexchangeproviderfullaccess"></a>

Anda dapat melampirkan kebijakan `AWSDataExchangeProviderFullAccess` ke identitas IAM Anda.

Kebijakan ini memberikan izin kontributor yang menyediakan akses AWS Data Exchange dan AWS Marketplace tindakan penyedia data menggunakan SDK dan penyedia data. Konsol Manajemen AWS Ini juga menyediakan akses pilih ke Amazon S3 dan sesuai AWS Key Management Service kebutuhan untuk memanfaatkan sepenuhnya. AWS Data Exchange

Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSDataExchangeReadOnly
<a name="security-iam-awsmanpol-awsdataexchangereadonly"></a>

Anda dapat melampirkan kebijakan `AWSDataExchangeReadOnly` ke identitas IAM Anda.

Kebijakan ini memberikan izin hanya-baca yang memungkinkan akses dan tindakan hanya-baca menggunakan SDK AWS Data Exchange dan AWS Marketplace SDK. Konsol Manajemen AWS 

Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html)di *Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSDataExchangeServiceRolePolicyForLicenseManagement
<a name="security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement"></a>

Anda tidak dapat melampirkan `AWSDataExchangeServiceRolePolicyForLicenseManagement` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang mengizinkan AWS Data Exchange untuk melakukan tindakan atas nama Anda. Ini memberikan izin peran yang memungkinkan AWS Data Exchange untuk mengambil informasi tentang AWS organisasi Anda dan mengelola lisensi hibah AWS Data Exchange data. Untuk informasi lebih lanjut, lihat [Peran terkait layanan untuk manajemen lisensi AWS Data Exchange](using-service-linked-roles-license-management.md) nanti di bagian ini.

Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html)di *Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery
<a name="security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery"></a>

Anda tidak dapat melampirkan `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan AWS Data Exchange untuk melakukan tindakan atas nama Anda. Ini memberikan izin peran yang memungkinkan AWS Data Exchange untuk mengambil informasi tentang AWS organisasi Anda untuk menentukan kelayakan untuk AWS Data Exchange distribusi lisensi hibah data. Untuk informasi selengkapnya, lihat [Peran terkait layanan untuk penemuan AWS Organisasi di AWS Data Exchange](using-service-linked-roles-aws-org-discovery.md).

Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html)di *Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSDataExchangeSubscriberFullAccess
<a name="security-iam-awsmanpol-awsdataexchangesubscriberfullaccess"></a>

Anda dapat melampirkan kebijakan `AWSDataExchangeSubscriberFullAccess` ke identitas IAM Anda.

Kebijakan ini memberikan izin kontributor yang memungkinkan akses AWS Data Exchange dan AWS Marketplace tindakan pelanggan data menggunakan SDK dan SDK. Konsol Manajemen AWS Ini juga menyediakan akses pilih ke Amazon S3 dan sesuai AWS Key Management Service kebutuhan untuk memanfaatkan sepenuhnya. AWS Data Exchange

Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSDataExchangeDataGrantOwnerFullAccess
<a name="security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess"></a>

Anda dapat melampirkan kebijakan `AWSDataExchangeDataGrantOwnerFullAccess` ke identitas IAM Anda.

Kebijakan ini memberi pemilik Data Grant akses ke AWS Data Exchange tindakan menggunakan Konsol Manajemen AWS dan SDKs.

Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSDataExchangeDataGrantReceiverFullAccess
<a name="security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess"></a>

Anda dapat melampirkan kebijakan `AWSDataExchangeDataGrantReceiverFullAccess` ke identitas IAM Anda.

Kebijakan ini memberikan akses kepada penerima Data Grant ke AWS Data Exchange tindakan menggunakan Konsol Manajemen AWS dan SDKs.

Untuk melihat izin kebijakan ini, lihat [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.

## AWS Data Exchange pembaruan kebijakan AWS terkelola
<a name="security-iam-awsmanpol-updates"></a>

Tabel berikut memberikan detail tentang pembaruan kebijakan AWS terkelola AWS Data Exchange sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini (dan perubahan lainnya pada panduan pengguna ini), berlangganan umpan RSS di halaman. [Riwayat dokumen untuk AWS Data Exchange](doc-history.md)






| Ubah | Deskripsi | Date | 
| --- | --- | --- | 
|  [AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess) – Kebijakan baru  |  AWS Data Exchange menambahkan kebijakan baru untuk memberikan akses kepada pemilik Data Grant ke AWS Data Exchange tindakan.  | Oktober 24, 2024 | 
|  [AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess) – Kebijakan baru  |  AWS Data Exchange menambahkan kebijakan baru untuk memberikan akses kepada penerima Data Grant ke AWS Data Exchange tindakan.  | Oktober 24, 2024 | 
|  [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) – Pembaruan ke kebijakan yang ada  |  Menambahkan izin yang diperlukan ke kebijakan `AWSDataExchangeReadOnly` AWS terkelola untuk fitur hibah data baru.  | Oktober 24, 2024 | 
|  [AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement) – Kebijakan baru  |  Menambahkan kebijakan baru untuk mendukung peran terkait layanan guna mengelola hibah lisensi di akun pelanggan.  | Oktober 17, 2024 | 
|  [AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery) – Kebijakan baru  |  Menambahkan kebijakan baru untuk mendukung peran terkait layanan guna menyediakan akses baca ke informasi akun di Organisasi Anda AWS .  | Oktober 17, 2024 | 
|  [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)  | Menambahkan pernyataan IDs agar kebijakan lebih mudah dibaca, memperluas izin kartu liar ke daftar lengkap izin ADX hanya baca, dan menambahkan tindakan baru: dan. aws-marketplace:ListTagsForResource aws-marketplace:ListPrivateListings |  9 Juli 2024  | 
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | Tindakan yang dihapus: aws-marketplace:GetPrivateListing | 22 Mei 2024 | 
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) | Menambahkan pernyataan IDs untuk membuat kebijakan lebih mudah dibaca dan menambahkan tindakan baru:aws-marketplace:ListPrivateListings. | April 30, 2024 | 
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | Menambahkan pernyataan IDs untuk membuat kebijakan lebih mudah dibaca dan menambahkan tindakan baru:aws-marketplace:TagResource,aws-marketplace:UntagResource,aws-marketplace:ListTagsForResource,aws-marketplace:ListPrivateListings,aws-marketplace:GetPrivateListing, danaws-marketplace:DescribeAgreement.  | April 30, 2024 | 
|  [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)  | Menambahkan pernyataan IDs untuk membuat kebijakan lebih mudah dibaca. | Agustus 9, 2024 | 
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | Ditambahkandataexchange:SendDataSetNotification, izin baru untuk mengirim pemberitahuan set data. | Maret 5, 2024 | 
|  [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess), [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly), [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess), dan [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Perbarui ke kebijakan yang ada  |  Menambahkan tindakan terperinci di semua kebijakan terkelola. Tindakan baru yang ditambahkan adalah `aws-marketplace:CreateAgreementRequest``aws-marketplace:AcceptAgreementRequest`,`aws-marketplace:ListEntitlementDetails`,`aws-marketplace:ListPrivateListings`,`aws-marketplace:GetPrivateListing`, `license-manager:ListReceivedGrants``aws-marketplace:TagResource`,`aws-marketplace:UntagResource`,`aws-marketplace:ListTagsForResource`,`aws-marketplace:DescribeAgreement`, `aws-marketplace:GetAgreementTerms``aws-marketplace:GetLicense`.  | 31 Juli 2023 | 
|  [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) – Pembaruan ke kebijakan yang sudah ada  |  Ditambahkan`dataexchange:RevokeRevision`, izin baru untuk mencabut revisi.  | 15 Maret 2022 | 
|  [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)dan [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Perbarui ke kebijakan yang ada  |  Ditambahkan`apigateway:GET`, izin baru untuk mengambil aset API dari Amazon API Gateway.  | Desember 3, 2021 | 
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)dan [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)— Perbarui ke kebijakan yang ada |  Ditambahkan`dataexchange:SendApiAsset`, izin baru untuk mengirim permintaan ke aset API.  | 29 November 2021 | 
|  [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)dan [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Perbarui ke kebijakan yang ada  |  Menambahkan`redshift:AuthorizeDataShare`,`redshift:DescribeDataSharesForProducer`, dan` redshift:DescribeDataShares`, izin baru untuk mengotorisasi akses ke dan membuat kumpulan data Amazon Redshift.  | November 1, 2021 | 
|  [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) – Pembaruan ke kebijakan yang ada  |  Menambahkan `dataexchange:CreateEventAction``dataexchange:UpdateEventAction`,, dan`dataexchange:DeleteEventAction`, izin baru untuk mengontrol akses untuk secara otomatis mengekspor revisi baru set data.  | 30 September 2021 | 
|  [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)dan [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Perbarui ke kebijakan yang ada  |  Ditambahkan`dataexchange:PublishDataSet`, izin baru untuk mengontrol akses untuk menerbitkan versi baru set data.  | 25 Mei 2021 | 
|  [AWS DataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly), [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess), dan [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Perbarui ke kebijakan yang ada  |  Ditambahkan `aws-marketplace:SearchAgreements` dan `aws-marketplace:GetAgreementTerms` untuk memungkinkan melihat langganan untuk produk dan penawaran.  | 12 Mei 2021 | 
|  AWS Data Exchange mulai melacak perubahan  |  AWS Data Exchange mulai melacak perubahan untuk kebijakan AWS terkelolanya.  | 20 April 2021 | 

# Menggunakan peran terkait layanan untuk AWS Data Exchange
<a name="using-service-linked-roles-adx"></a>

AWS Data Exchange menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Data Exchange Peran terkait layanan telah ditentukan sebelumnya oleh AWS Data Exchange dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

Peran terkait layanan membuat pengaturan AWS Data Exchange lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Data Exchange mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Data Exchange dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS Data Exchange sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

## Membuat peran terkait layanan untuk AWS Data Exchange
<a name="create-service-linked-role-license-management"></a>

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mendistribusikan hibah data menggunakan pengelola lisensi, itu akan menciptakan peran terkait layanan untuk Anda. 

**Untuk membuat peran tertaut layanan**

1. Di [AWS Data Exchange konsol](https://console.aws.amazon.com/adx/), masuk dan pilih **Pengaturan Data Grant**.

1. Pada halaman **pengaturan Data Grant**, pilih **Configure integration**.

1. Di bagian **Create AWS Organizations integration**, pilih **Configure integration**.

1. Pada halaman **Integrasi Create AWS Organizations**, pilih preferensi tingkat kepercayaan yang sesuai, lalu pilih **Buat integrasi**.

Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan kasus penggunaan. Di AWS CLI atau AWS API, buat peran terkait layanan dengan nama `appropriate-service-name.amazonaws.com` layanan. Untuk informasi selengkapnya, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.

## Mengedit peran terkait layanan untuk AWS Data Exchange
<a name="edit-service-linked-role-license-management"></a>

AWS Data Exchange tidak memungkinkan Anda untuk mengedit peran terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait layanan untuk AWS Data Exchange
<a name="delete-service-linked-role-license-management"></a>

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.

**catatan**  
Jika AWS Data Exchange layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Sebelum Anda dapat menghapus peran terkait layanan, Anda harus:
+ Untuk `AWSServiceRoleForAWSDataExchangeLicenseManagement` peran tersebut, hapus semua hibah AWS License Manager terdistribusi untuk hibah AWS Data Exchange data yang Anda terima.
+ Untuk `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` peran tersebut, hapus semua hibah AWS License Manager terdistribusi untuk hibah AWS Data Exchange data yang diterima oleh akun di organisasi Anda AWS .

**Menghapus peran terkait layanan secara manual**

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk AWS Data Exchange peran terkait layanan
<a name="slr-regions-adx"></a>

AWS Data Exchange mendukung penggunaan peran terkait layanan di semua Wilayah AWS tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html).

# Peran terkait layanan untuk manajemen lisensi AWS Data Exchange
<a name="using-service-linked-roles-license-management"></a>

AWS Data Exchange menggunakan peran terkait layanan bernama `AWSServiceRoleForAWSDataExchangeLicenseManagement` — peran ini memungkinkan AWS Data Exchange untuk mengambil informasi tentang AWS organisasi Anda dan mengelola lisensi pemberian AWS data Data Exchange.

Peran tertaut layanan `AWSServiceRoleForAWSDataExchangeLicenseManagement` memercayai layanan berikut untuk mengambil peran tersebut:
+ `license-management.dataexchange.amazonaws.com`

Kebijakan izin peran bernama `AWSDataExchangeServiceRolePolicyForLicenseManagement` memungkinkan AWS Data Exchange untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: 
  + `organizations:DescribeOrganization`
  + `license-manager:ListDistributedGrants`
  + `license-manager:GetGrant`
  + `license-manager:CreateGrantVersion`
  + `license-manager:DeleteGrant`
+ Sumber Daya:
  + Semua sumber daya (`*`)

Untuk informasi selengkapnya tentang peran `AWSDataExchangeServiceRolePolicyForLicenseManagement` ini, lihat [AWS kebijakan terkelola: AWSDataExchangeServiceRolePolicyForLicenseManagement](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement).

Untuk informasi selengkapnya tentang penggunaan peran `AWSServiceRoleForAWSDataExchangeLicenseManagement` terkait layanan, lihat. [Menggunakan peran terkait layanan untuk AWS Data Exchange](using-service-linked-roles-adx.md)

Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

# Peran terkait layanan untuk penemuan AWS Organisasi di AWS Data Exchange
<a name="using-service-linked-roles-aws-org-discovery"></a>

AWS Data Exchange menggunakan peran terkait layanan bernama `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` — peran ini memungkinkan AWS Data Exchange untuk mengambil informasi tentang AWS organisasi Anda guna menentukan kelayakan untuk Data AWS Exchange memberikan distribusi lisensi.

**catatan**  
Peran ini hanya diperlukan dalam akun manajemen AWS Organisasi.

Peran tertaut layanan `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` memercayai layanan berikut untuk mengambil peran tersebut:
+ `organization-discovery.dataexchange.amazonaws.com`

Kebijakan izin peran bernama `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` memungkinkan AWS Data Exchange untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan:
  + `organizations:DescribeOrganization`
  + `organizations:DescribeAccount`
  + `organizations:ListAccounts`
+ Sumber Daya:
  + Semua sumber daya (`*`)

Untuk informasi selengkapnya tentang peran `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` ini, lihat [AWS kebijakan terkelola: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery).

Untuk informasi selengkapnya tentang penggunaan peran `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` terkait layanan, lihat [Menggunakan peran terkait layanan untuk AWS Data Exchange](using-service-linked-roles-adx.md) sebelumnya di bagian ini.

Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

# Validasi kepatuhan untuk AWS Data Exchange
<a name="compliance-program-info"></a>

Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .

Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).

## Kepatuhan PCI DSS
<a name="pci-dss-compliance"></a>

AWS Data Exchange mendukung pemrosesan, penyimpanan, dan transmisi data kartu kredit oleh pedagang atau penyedia layanan, dan telah divalidasi sesuai dengan Standar Keamanan Data Industri Kartu Pembayaran (PCI) Data Security Standard (DSS). Untuk informasi selengkapnya tentang PCI DSS, termasuk cara meminta salinan PCI AWS Compliance Package, lihat [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS Level 1. 

# Ketahanan di AWS Data Exchange
<a name="disaster-recovery-resiliency"></a>

Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Availability Zones, Anda dapat merancang dan mengoperasikan aplikasi dan database yang gagal di antara Availability Zones tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.

AWS Data Exchange memiliki katalog produk tunggal yang tersedia secara global yang ditawarkan oleh penyedia. Pelanggan dapat melihat katalog yang sama, terlepas dari Wilayah mana yang mereka gunakan. Sumber daya yang mendasari produk (kumpulan data, revisi, aset) adalah sumber daya regional yang Anda kelola secara terprogram atau melalui AWS Data Exchange konsol di Wilayah yang didukung. AWS Data Exchange mereplikasi data Anda di beberapa Availability Zone dalam Wilayah tempat layanan beroperasi. Untuk informasi tentang Wilayah yang didukung, lihat [Tabel Wilayah Infrastruktur Global](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).

# Keamanan infrastruktur di AWS Data Exchange
<a name="infrastructure-security"></a>

Sebagai layanan terkelola, AWS Data Exchange dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS Data Exchange melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

# AWS Data Exchange dan antarmuka titik akhir VPC ()AWS PrivateLink
<a name="vpc-interface-endpoints"></a>

Anda dapat membuat koneksi pribadi antara virtual private cloud (VPC) Anda dan AWS Data Exchange dengan membuat antarmuka *VPC* endpoint. Endpoint antarmuka didukung oleh [AWS PrivateLink](https://aws.amazon.com/privatelink), teknologi yang memungkinkan Anda mengakses operasi AWS Data Exchange API secara pribadi tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi AWS Data Exchange dengan operasi API. Lalu lintas antara VPC Anda dan AWS Data Exchange tidak meninggalkan jaringan Amazon. 

Setiap titik akhir antarmuka diwakili oleh satu atau beberapa [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) di subnet Anda. 

**catatan**  
Setiap AWS Data Exchange tindakan, kecuali`SendAPIAsset`, didukung untuk VPC. 

Untuk informasi selengkapnya, lihat [Antarmuka VPC endpoint (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) dalam *Panduan Pengguna Amazon VPC*. 

## Pertimbangan untuk titik akhir AWS Data Exchange VPC
<a name="vpc-endpoint-considerations"></a>

Sebelum menyiapkan titik akhir VPC antarmuka AWS Data Exchange, pastikan Anda meninjau [properti dan batasan titik akhir Antarmuka di](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) Panduan Pengguna Amazon *VPC*. 

AWS Data Exchange mendukung panggilan ke semua operasi API-nya dari VPC Anda. 

## Membuat titik akhir VPC antarmuka untuk AWS Data Exchange
<a name="vpc-endpoint-create"></a>

Anda dapat membuat titik akhir VPC untuk AWS Data Exchange layanan menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) dalam *Panduan Pengguna Amazon VPC*.

Buat titik akhir VPC untuk AWS Data Exchange menggunakan nama layanan berikut: 
+ `com.amazonaws.region.dataexchange`

Jika Anda mengaktifkan DNS pribadi untuk titik akhir, Anda dapat membuat permintaan API untuk AWS Data Exchange menggunakan nama DNS default untuk Wilayah AWS, misalnya,. `com.amazonaws.us-east-1.dataexchange`

Untuk informasi selengkapnya, lihat [Mengakses layanan melalui titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) dalam *Panduan Pengguna Amazon VPC*.

## Membuat kebijakan titik akhir VPC untuk AWS Data Exchange
<a name="vpc-endpoint-policy"></a>

Anda dapat melampirkan kebijakan titik akhir ke VPC endpoint yang mengendalikan akses ke AWS Data Exchange. Kebijakan titik akhir menentukan informasi berikut:
+ Prinsip-prinsip yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan
+ Sumber daya yang dapat digunakan untuk mengambil tindakan

Untuk informasi selengkapnya, lihat [Mengendalikan akses ke layanan dengan VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) di *Panduan Pengguna Amazon VPC*. 

**Contoh: Kebijakan titik akhir VPC untuk tindakan AWS Data Exchange**  
Berikut ini adalah contoh kebijakan endpoint untuk AWS Data Exchange. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke AWS Data Exchange tindakan yang tercantum untuk semua prinsipal di semua sumber daya.

Contoh kebijakan titik akhir VPC ini memungkinkan akses penuh hanya ke pengguna `bts` di from. Akun AWS `123456789012` `vpc-12345678` Pengguna `readUser` diizinkan untuk membaca sumber daya, tetapi semua prinsip IAM lainnya ditolak akses ke titik akhir.

------
#### [ JSON ]

****  

```
{
    "Id": "example-policy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow administrative actions from vpc-12345678",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/bts"
                ]
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-12345678"
                }
            }
        },
        {
            "Sid": "Allow ReadOnly actions",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/readUser"
                ]
            },
            "Action": [
                "dataexchange:list*",
                "dataexchange:get*"
            ],
            "Resource": "*"
        }
    ]
}
```

------