Controllo accessi - AWS Data Exchange Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo accessi

Per creare, aggiornare, eliminare o elencare AWS Data Exchange le risorse, sono necessarie le autorizzazioni per eseguire l'operazione e accedere alle risorse corrispondenti. Per eseguire l'operazione a livello di codice, sono inoltre necessarie chiavi di accesso valide.

Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Data Exchange

Ogni AWS risorsa è di proprietà di un Account AWS utente e le autorizzazioni per creare o accedere a una risorsa sono regolate dalle politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione a utenti, gruppi e ruoli. Alcuni servizi (ad esempio AWS Lambda) supportano anche l'associazione di politiche di autorizzazione alle risorse.

Nota

Un amministratore account (o un amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta IAMBest Practices.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

AWS Data Exchange risorse e operazioni

In AWS Data Exchange, esistono due diversi tipi di risorse primarie con piani di controllo diversi:

  • Le risorse principali per AWS Data Exchange sono i set di dati e i lavori. AWS Data Exchange supporta anche revisioni e risorse.

  • Per facilitare le transazioni tra fornitori e abbonati, utilizza AWS Data Exchange anche Marketplace AWS concetti e risorse, inclusi prodotti, offerte e abbonamenti. Puoi utilizzare il Marketplace AWS catalogo API o la AWS Data Exchange console per gestire prodotti, offerte, richieste di abbonamento e abbonamenti.

Informazioni sulla proprietà delle risorse

È Account AWS proprietario delle risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'entità principale (ovvero l'utente Account AWS root, un utente o un ruolo) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento.

Proprietà delle risorse

Qualsiasi IAM entità in un Account AWS con le autorizzazioni corrette può creare AWS Data Exchange set di dati. Quando un'IAMentità crea un set di dati, è Account AWS proprietaria del set di dati. I prodotti di dati pubblicati possono contenere set di dati di proprietà solo di chi li Account AWS ha creati.

Per abbonarsi a un AWS Data Exchange prodotto, l'IAMentità necessita delle autorizzazioni per l'utilizzo AWS Data Exchange, oltre alle aws-marketplace:subscribeaws-marketplace:aws-marketplace:CreateAgreementRequest, e delle aws-marketplace:AcceptAgreementRequest IAM autorizzazioni per Marketplace AWS (supponendo che superi le relative verifiche di abbonamento). In qualità di abbonato, il tuo account ha accesso in lettura ai set di dati autorizzati; tuttavia, non possiede i set di dati autorizzati. Tutti i set di dati autorizzati che vengono esportati in Amazon S3 sono di proprietà dell'abbonato. Account AWS

Gestione dell'accesso alle risorse

Questa sezione illustra l'utilizzo IAM nel contesto di. AWS Data Exchange Non fornisce informazioni dettagliate sul IAM servizio. Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM policy, vedere AWSIAMPolicy Reference nella Guida per l'IAMutente.

La policy delle autorizzazioni descrive chi ha accesso a cosa. La sezione che segue spiega le opzioni per la creazione di policy relative alle autorizzazioni.

Le politiche associate a un'IAMidentità sono denominate politiche basate sull'identità (politiche). IAM Le politiche associate a una risorsa vengono chiamate politiche basate sulle risorse. AWS Data Exchange supporta solo politiche (politiche) basate sull'identità. IAM

Politiche e autorizzazioni basate sull'identità

AWS Data Exchange fornisce quattro politiche gestite:

  • AWSDataExchangeFullAccess

  • AWSDataExchangeSubscriberFullAccess

  • AWSDataExchangeProviderFullAccess

  • AWSDataExchangeReadOnly

Per ulteriori informazioni su queste politiche e sulle relative autorizzazioni, vedereAWS politiche gestite per AWS Data Exchange.

Autorizzazioni di Amazon S3

Quando si importano risorse da Amazon S3 AWS Data Exchange a, sono necessarie le autorizzazioni per scrivere nei bucket AWS Data Exchange del servizio S3. Allo stesso modo, quando si esportano risorse AWS Data Exchange da Amazon S3, sono necessarie le autorizzazioni per leggere dai bucket AWS Data Exchange del servizio S3. Queste autorizzazioni sono incluse nelle politiche menzionate in precedenza, ma puoi anche creare una politica personalizzata per consentire solo ciò che desideri che i tuoi utenti siano in grado di fare. Puoi estendere queste autorizzazioni ai bucket che contengono aws-data-exchange il loro nome e utilizzare l' CalledViaautorizzazione per limitare l'utilizzo dell'autorizzazione alle richieste effettuate per AWS Data Exchange conto del responsabile.

Ad esempio, è possibile creare una politica per consentire l'importazione e l'esportazione AWS Data Exchange che includa queste autorizzazioni.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*aws-data-exchange*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia":[ "dataexchange.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*aws-data-exchange*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia":[ "dataexchange.amazonaws.com" ] } } }, ] }

Queste autorizzazioni consentono ai provider di importare ed esportare con. AWS Data Exchange La politica include le seguenti autorizzazioni e restrizioni:

  • s3: PutObject e s3: PutObjectAcl — Queste autorizzazioni sono limitate solo ai bucket S3 che contengono nel loro nome. aws-data-exchange Queste autorizzazioni consentono ai provider di scrivere su bucket di AWS Data Exchange servizi durante l'importazione da Amazon S3.

  • s3: GetObject — Questa autorizzazione è limitata ai bucket S3 che contengono nel loro nome. aws-data-exchange Questa autorizzazione consente ai clienti di leggere dai bucket di AWS Data Exchange servizi durante l'esportazione AWS Data Exchange da Amazon S3.

  • Queste autorizzazioni sono limitate alle richieste effettuate utilizzando AWS Data Exchange la condizione. IAM CalledVia Ciò consente di utilizzare PutObject le autorizzazioni S3 solo nel contesto della AWS Data Exchange console o. API

  • AWS Lake Formationand AWS Resource Access Manager(AWS RAM) Per utilizzare AWS Lake Formation i set di dati, devi accettare l'invito alla AWS RAM condivisione per ogni nuovo provider di rete con cui hai sottoscritto un abbonamento. Per accettare l'invito alla AWS RAM condivisione, dovrai assumere un ruolo autorizzato ad accettare un invito alla AWS RAM condivisione. Per ulteriori informazioni su come AWS gestire le politiche per AWS RAM, consulta Politiche gestite per AWS RAM.

  • Per creare set di AWS Lake Formation dati, dovrai creare il set di dati con un ruolo presunto IAM a cui passare un ruolo AWS Data Exchange. Ciò consentirà di AWS Data Exchange concedere e revocare le autorizzazioni alle risorse di Lake Formation per tuo conto. Vedi un esempio di politica qui sotto:

    { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "dataexchange.amazonaws.com" } } }
Nota

I tuoi utenti potrebbero inoltre aver bisogno di autorizzazioni aggiuntive per leggere o scrivere dai tuoi bucket e oggetti S3, che non sono coperti in questo esempio.

Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente. IAM

Policy basate su risorse

AWS Data Exchange non supporta politiche basate sulle risorse.

Altri servizi, come Amazon S3, supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.

Specificare elementi delle policy: azioni, effetti e principali

Per utilizzarli AWS Data Exchange, i permessi utente devono essere definiti in una policy. IAM

Di seguito sono elencati gli elementi di base di una policy:

  • Risorsa: in una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Tutte le AWS Data Exchange API operazioni supportano le autorizzazioni a livello di risorsa (RLP), ma Marketplace AWS le azioni no. RLP Per ulteriori informazioni, consulta AWS Data Exchange risorse e operazioni.

  • Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare.

  • Effetto: si specifica l'effetto (consenti o nega) quando l'utente richiede l'azione specifica. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.

  • Principio: nelle politiche basate sull'identità (IAMpolitiche), l'utente a cui è associata la politica è il principale implicito. Per le politiche basate sulle risorse, si specifica l'utente, l'account, il servizio o l'altra entità a cui si desidera ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). AWS Data Exchange non supporta politiche basate sulle risorse.

Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM policy, consulta AWSIAMPolicy Reference nella Guida per l'utente. IAM

Specifica delle condizioni in una policy

Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio delle IAM policy per specificare le condizioni in cui una politica deve avere effetto. Con AWS Data Exchange,, CreateJob StartJobGetJob, e CancelJob API le operazioni supportano le autorizzazioni condizionali. È possibile fornire autorizzazioni a livello. JobType

AWS Data Exchange riferimento alla chiave condizionale
Chiave di condizione Descrizione Tipo
"dataexchange:JobType":"IMPORT_ASSETS_FROM_S3" Ambita le autorizzazioni per i lavori che importano risorse da Amazon S3. Stringa
"dataexchange:JobType":IMPORT_ASSETS_FROM_LAKE_FORMATION_TAG_POLICY" (Preview) Ambita le autorizzazioni per i lavori che importano risorse da (Anteprima) AWS Lake Formation Stringa
"dataexchange:JobType":"IMPORT_ASSET_FROM_SIGNED_URL" Ambita le autorizzazioni per i lavori che importano risorse da un oggetto firmato. URL Stringa
"dataexchange:JobType":"IMPORT_ASSET_FROM_REDSHIFT_DATA_SHARES" Ambita le autorizzazioni per i lavori che importano risorse da Amazon Redshift. Stringa
"dataexchange:JobType":"IMPORT_ASSET_FROM_API_GATEWAY_API" Ambita le autorizzazioni per i lavori che importano risorse da Amazon API Gateway. Stringa
"dataexchange:JobType":"EXPORT_ASSETS_TO_S3" Ambita le autorizzazioni per i lavori che esportano risorse in Amazon S3. Stringa
"dataexchange:JobType":"EXPORT_ASSETS_TO_SIGNED_URL" Ambita le autorizzazioni per i lavori che esportano risorse in un file firmato. URL Stringa
"dataexchange:JobType":EXPORT_REVISIONS_TO_S3" Ambita le autorizzazioni per i lavori che esportano le revisioni in Amazon S3. Stringa

Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, consulta Condition nella Guida per l'utente. IAM

Per esprimere le condizioni, si utilizzano chiavi di condizione predefinite. AWS Data Exchange ha la JobType condizione per API le operazioni. Tuttavia, sono disponibili AWS ampi tasti di condizione che è possibile utilizzare, a seconda delle esigenze. Per un elenco completo dei tasti AWS larghi, consulta la Guida IAM per l'utente.