Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo accessi
Per creare, aggiornare, eliminare o elencare AWS Data Exchange le risorse, sono necessarie le autorizzazioni per eseguire l'operazione e accedere alle risorse corrispondenti. Per eseguire l'operazione a livello di codice, sono inoltre necessarie chiavi di accesso valide.
Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Data Exchange
Ogni AWS risorsa è di proprietà di un Account AWS utente e le autorizzazioni per creare o accedere a una risorsa sono regolate dalle politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione a utenti, gruppi e ruoli. Alcuni servizi (ad esempio AWS Lambda) supportano anche l'associazione di politiche di autorizzazione alle risorse.
Nota
Un amministratore account (o un amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta IAMBest Practices.
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
-
IAMutenti:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella sezione Creazione di un ruolo per un IAM utente nella Guida per l'IAMutente.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.
-
Argomenti
AWS Data Exchange risorse e operazioni
In AWS Data Exchange, esistono due diversi tipi di risorse primarie con piani di controllo diversi:
-
Le risorse principali per AWS Data Exchange sono i set di dati e i lavori. AWS Data Exchange supporta anche revisioni e risorse.
-
Per facilitare le transazioni tra fornitori e abbonati, utilizza AWS Data Exchange anche Marketplace AWS concetti e risorse, inclusi prodotti, offerte e abbonamenti. Puoi utilizzare il Marketplace AWS catalogo API o la AWS Data Exchange console per gestire prodotti, offerte, richieste di abbonamento e abbonamenti.
Informazioni sulla proprietà delle risorse
È Account AWS proprietario delle risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'entità principale (ovvero l'utente Account AWS root, un utente o un ruolo) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento.
Proprietà delle risorse
Qualsiasi IAM entità in un Account AWS con le autorizzazioni corrette può creare AWS Data Exchange set di dati. Quando un'IAMentità crea un set di dati, è Account AWS proprietaria del set di dati. I prodotti di dati pubblicati possono contenere set di dati di proprietà solo di chi li Account AWS ha creati.
Per abbonarsi a un AWS Data Exchange prodotto, l'IAMentità necessita delle autorizzazioni per l'utilizzo AWS Data Exchange, oltre alle aws-marketplace:subscribe
aws-marketplace:aws-marketplace:CreateAgreementRequest
, e delle aws-marketplace:AcceptAgreementRequest
IAM autorizzazioni per Marketplace AWS (supponendo che superi le relative verifiche di abbonamento). In qualità di abbonato, il tuo account ha accesso in lettura ai set di dati autorizzati; tuttavia, non possiede i set di dati autorizzati. Tutti i set di dati autorizzati che vengono esportati in Amazon S3 sono di proprietà dell'abbonato. Account AWS
Gestione dell'accesso alle risorse
Questa sezione illustra l'utilizzo IAM nel contesto di. AWS Data Exchange Non fornisce informazioni dettagliate sul IAM servizio. Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM policy, vedere AWSIAMPolicy Reference nella Guida per l'IAMutente.
La policy delle autorizzazioni descrive chi ha accesso a cosa. La sezione che segue spiega le opzioni per la creazione di policy relative alle autorizzazioni.
Le politiche associate a un'IAMidentità sono denominate politiche basate sull'identità (politiche). IAM Le politiche associate a una risorsa vengono chiamate politiche basate sulle risorse. AWS Data Exchange supporta solo politiche (politiche) basate sull'identità. IAM
Politiche e autorizzazioni basate sull'identità
AWS Data Exchange fornisce quattro politiche gestite:
-
AWSDataExchangeFullAccess
-
AWSDataExchangeSubscriberFullAccess
-
AWSDataExchangeProviderFullAccess
-
AWSDataExchangeReadOnly
Per ulteriori informazioni su queste politiche e sulle relative autorizzazioni, vedereAWS politiche gestite per AWS Data Exchange.
Autorizzazioni di Amazon S3
Quando si importano risorse da Amazon S3 AWS Data Exchange a, sono necessarie le autorizzazioni per scrivere nei bucket AWS Data Exchange del servizio S3. Allo stesso modo, quando si esportano risorse AWS Data Exchange da Amazon S3, sono necessarie le autorizzazioni per leggere dai bucket AWS Data Exchange del servizio S3. Queste autorizzazioni sono incluse nelle politiche menzionate in precedenza, ma puoi anche creare una politica personalizzata per consentire solo ciò che desideri che i tuoi utenti siano in grado di fare. Puoi estendere queste autorizzazioni ai bucket che contengono aws-data-exchange
il loro nome e utilizzare l' CalledViaautorizzazione per limitare l'utilizzo dell'autorizzazione alle richieste effettuate per AWS Data Exchange conto del responsabile.
Ad esempio, è possibile creare una politica per consentire l'importazione e l'esportazione AWS Data Exchange che includa queste autorizzazioni.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*aws-data-exchange*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia":[ "dataexchange.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*aws-data-exchange*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia":[ "dataexchange.amazonaws.com" ] } } }, ] }
Queste autorizzazioni consentono ai provider di importare ed esportare con. AWS Data Exchange La politica include le seguenti autorizzazioni e restrizioni:
-
s3: PutObject e s3: PutObjectAcl — Queste autorizzazioni sono limitate solo ai bucket S3 che contengono nel loro nome.
aws-data-exchange
Queste autorizzazioni consentono ai provider di scrivere su bucket di AWS Data Exchange servizi durante l'importazione da Amazon S3. -
s3: GetObject — Questa autorizzazione è limitata ai bucket S3 che contengono nel loro nome.
aws-data-exchange
Questa autorizzazione consente ai clienti di leggere dai bucket di AWS Data Exchange servizi durante l'esportazione AWS Data Exchange da Amazon S3. -
Queste autorizzazioni sono limitate alle richieste effettuate utilizzando AWS Data Exchange la condizione. IAM
CalledVia
Ciò consente di utilizzarePutObject
le autorizzazioni S3 solo nel contesto della AWS Data Exchange console o. API -
AWS Lake Formationand AWS Resource Access Manager(AWS RAM) — Per utilizzare AWS Lake Formation i set di dati, devi accettare l'invito alla AWS RAM condivisione per ogni nuovo provider di rete con cui hai sottoscritto un abbonamento. Per accettare l'invito alla AWS RAM condivisione, dovrai assumere un ruolo autorizzato ad accettare un invito alla AWS RAM condivisione. Per ulteriori informazioni su come AWS gestire le politiche per AWS RAM, consulta Politiche gestite per AWS RAM.
-
Per creare set di AWS Lake Formation dati, dovrai creare il set di dati con un ruolo presunto IAM a cui passare un ruolo AWS Data Exchange. Ciò consentirà di AWS Data Exchange concedere e revocare le autorizzazioni alle risorse di Lake Formation per tuo conto. Vedi un esempio di politica qui sotto:
{ "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "dataexchange.amazonaws.com" } } }
Nota
I tuoi utenti potrebbero inoltre aver bisogno di autorizzazioni aggiuntive per leggere o scrivere dai tuoi bucket e oggetti S3, che non sono coperti in questo esempio.
Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente. IAM
Policy basate su risorse
AWS Data Exchange non supporta politiche basate sulle risorse.
Altri servizi, come Amazon S3, supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.
Specificare elementi delle policy: azioni, effetti e principali
Per utilizzarli AWS Data Exchange, i permessi utente devono essere definiti in una policy. IAM
Di seguito sono elencati gli elementi di base di una policy:
-
Risorsa: in una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Tutte le AWS Data Exchange API operazioni supportano le autorizzazioni a livello di risorsa (RLP), ma Marketplace AWS le azioni no. RLP Per ulteriori informazioni, consulta AWS Data Exchange risorse e operazioni.
-
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare.
-
Effetto: si specifica l'effetto (consenti o nega) quando l'utente richiede l'azione specifica. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
-
Principio: nelle politiche basate sull'identità (IAMpolitiche), l'utente a cui è associata la politica è il principale implicito. Per le politiche basate sulle risorse, si specifica l'utente, l'account, il servizio o l'altra entità a cui si desidera ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). AWS Data Exchange non supporta politiche basate sulle risorse.
Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM policy, consulta AWSIAMPolicy Reference nella Guida per l'utente. IAM
Specifica delle condizioni in una policy
Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio delle IAM policy per specificare le condizioni in cui una politica deve avere effetto. Con AWS Data Exchange,, CreateJob
StartJob
GetJob
, e CancelJob
API le operazioni supportano le autorizzazioni condizionali. È possibile fornire autorizzazioni a livello. JobType
Chiave di condizione | Descrizione | Tipo |
---|---|---|
"dataexchange:JobType":"IMPORT_ASSETS_FROM_S3" |
Ambita le autorizzazioni per i lavori che importano risorse da Amazon S3. | Stringa |
|
Ambita le autorizzazioni per i lavori che importano risorse da (Anteprima) AWS Lake Formation | Stringa |
"dataexchange:JobType":"IMPORT_ASSET_FROM_SIGNED_URL" |
Ambita le autorizzazioni per i lavori che importano risorse da un oggetto firmato. URL | Stringa |
"dataexchange:JobType":"IMPORT_ASSET_FROM_REDSHIFT_DATA_SHARES" |
Ambita le autorizzazioni per i lavori che importano risorse da Amazon Redshift. | Stringa |
"dataexchange:JobType":"IMPORT_ASSET_FROM_API_GATEWAY_API" |
Ambita le autorizzazioni per i lavori che importano risorse da Amazon API Gateway. | Stringa |
"dataexchange:JobType":"EXPORT_ASSETS_TO_S3" |
Ambita le autorizzazioni per i lavori che esportano risorse in Amazon S3. | Stringa |
"dataexchange:JobType":"EXPORT_ASSETS_TO_SIGNED_URL" |
Ambita le autorizzazioni per i lavori che esportano risorse in un file firmato. URL | Stringa |
"dataexchange:JobType":EXPORT_REVISIONS_TO_S3" |
Ambita le autorizzazioni per i lavori che esportano le revisioni in Amazon S3. | Stringa |
Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, consulta Condition nella Guida per l'utente. IAM
Per esprimere le condizioni, si utilizzano chiavi di condizione predefinite. AWS Data Exchange ha la JobType
condizione per API le operazioni. Tuttavia, sono disponibili AWS
ampi tasti di condizione che è possibile utilizzare, a seconda delle esigenze. Per un elenco completo dei tasti AWS larghi, consulta la Guida IAM per l'utente.