Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di più data center e di un'architettura di rete progettata per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza del cloud e sicurezza nel cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. L'efficacia della nostra sicurezza viene regolarmente testata e verificata da revisori di terze parti nell'ambito dei programmi di [AWS conformità](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità applicabili AWS Data Exchange, consulta la sezione [AWS Servizi rientranti nell'ambito del programma di conformità](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dai AWS servizi che utilizzi. Sei responsabile anche di altri fattori, tra cui la sensibilità dei tuoi dati, i requisiti della tua organizzazione e le leggi e i regolamenti applicabili.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando lo utilizzi AWS Data Exchange. I seguenti argomenti mostrano come eseguire la configurazione AWS Data Exchange per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere AWS Data Exchange le tue risorse.
# Protezione dei dati in AWS Data Exchange
Il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in AWS Data Exchange. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori AWS Data Exchange o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
AWS Data Exchange fornisce le seguenti opzioni che puoi utilizzare per proteggere il contenuto presente nei tuoi set di dati:
**Topics**
+ [Crittografia dei dati a riposo](#data-protection-encryption-rest)
+ [Crittografia dei dati in transito](#data-protection-encryption-in-transit)
+ [Limitazione dell'accesso ai contenuti](#data-protection-restrict-access)
## Crittografia dei dati a riposo
AWS Data Exchange crittografa sempre tutti i prodotti di dati archiviati nel servizio a riposo senza richiedere alcuna configurazione aggiuntiva. Questa crittografia è automatica quando si utilizza AWS Data Exchange.
## Crittografia dei dati in transito
AWS Data Exchange utilizza Transport Layer Security (TLS) e la crittografia lato client per la crittografia in transito. La comunicazione con AWS Data Exchange avviene sempre tramite HTTPS, quindi i dati sono sempre crittografati in transito. Questa crittografia è configurata per impostazione predefinita quando si utilizza AWS Data Exchange.
## Limitazione dell'accesso ai contenuti
Come best practice, è consigliabile limitare l'accesso ai sottoinsiemi di utenti appropriati. Con AWS Data Exchange, puoi farlo assicurandoti che gli utenti, i gruppi e i ruoli che utilizzano il tuo Account AWS abbiano le autorizzazioni giuste. Per ulteriori informazioni sui ruoli e le policy per le entità IAM, consulta la *[IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.
# Gestione delle chiavi per l'accesso ai dati di Amazon S3
Questa pagina è specifica per il tipo di accesso ai dati di Amazon S3 in cui il provider condivide oggetti crittografati tramite SSE-KMS. L'abbonato deve disporre di una concessione sulle chiavi utilizzate per l'accesso.
Se il tuo bucket Amazon S3 contiene dati crittografati utilizzando chiavi gestite AWS KMS dal cliente, devi condividerli AWS KMS keys con loro AWS Data Exchange per configurare il set di dati di accesso ai dati di Amazon S3. Per ulteriori informazioni, consulta [Fase 2: configurare l'accesso ai dati di Amazon S3](publish-s3-data-access-product.md#configure-s3-data-access-product).
**Topics**
+ [Creare sovvenzioni AWS KMS](#create-kms-grants)
+ [Contesto di crittografia e vincoli di concessione](#encryption-context-grant-constraint)
+ [AWS KMS keys Monitoraggio del tuo ingresso AWS Data Exchange](#monitoring-your-kms-keys)
## Creare sovvenzioni AWS KMS
Quando lo fornisci AWS KMS keys come parte del set di dati di accesso ai dati di Amazon S3, AWS Data Exchange crea una AWS KMS concessione per ogni AWS KMS key condivisione. Questa concessione, nota come *sovvenzione principale*, viene utilizzata per AWS Data Exchange autorizzare la creazione di sovvenzioni aggiuntive per AWS KMS gli abbonati. *Queste borse di studio aggiuntive sono note come borse di studio per bambini.* A ciascun abbonato è concessa una sovvenzione. AWS KMS Gli abbonati ottengono il permesso di decrittografare il. AWS KMS key Quindi, possono decrittografare e utilizzare gli oggetti Amazon S3 crittografati condivisi con loro. *Per ulteriori informazioni, consulta [Grants AWS KMS nella](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Developer Guide.AWS Key Management Service *
AWS Data Exchange utilizza anche la sovvenzione AWS KMS principale per gestire il ciclo di vita della AWS KMS sovvenzione che crea. Al termine di un abbonamento, AWS Data Exchange ritira la borsa di studio per AWS KMS figli creata per l'abbonato corrispondente. Se la revisione viene revocata o il set di dati viene eliminato, la sovvenzione principale viene revocata AWS Data Exchange . AWS KMS [Per ulteriori informazioni sulle AWS KMS azioni, consulta il riferimento all'AWS KMS API.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html)
## Contesto di crittografia e vincoli di concessione
AWS Data Exchange utilizza i vincoli di concessione per consentire l'operazione di decrittografia solo quando la richiesta include il contesto di crittografia specificato. Puoi utilizzare la funzionalità Amazon S3 Bucket Key per crittografare i tuoi oggetti Amazon S3 e condividerli con. AWS Data Exchange Il bucket Amazon Resource Name (ARN) viene utilizzato implicitamente da Amazon S3 come contesto di crittografia. L'esempio seguente mostra che AWS Data Exchange utilizza il bucket ARN come vincolo di concessione per AWS KMS tutte le sovvenzioni che crea.
```
"Constraints": {
"EncryptionContextSubset": "aws:s3:arn": “arn:aws:s3:::"
}
}
```
## AWS KMS keys Monitoraggio del tuo ingresso AWS Data Exchange
Quando condividi le chiavi gestite dai AWS KMS clienti con AWS Data Exchange, puoi utilizzarle [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)per tenere traccia delle richieste AWS Data Exchange o dei dati a AWS KMS cui gli abbonati inviano. Di seguito sono riportati alcuni esempi di come appariranno CloudTrail i log per le `Decrypt` chiamate `CreateGrant` e verso cui verranno inviate. AWS KMS
------
#### [ CreateGrant for parent ]
`CreateGrant`è destinato alle borse di studio per genitori create da sé AWS Data Exchange .
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Provider01",
"arn": "arn:aws:sts:::assumed-role/Admin/Provider01",
"accountId": "",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam:::role/Admin/Provider01”,
"accountId": "",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-16T17:29:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-16T17:32:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"CreateGrant",
"Decrypt",
"RetireGrant"
],
"granteePrincipal": "dataexchange.us-east-2.amazonaws.com",
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": { AWS:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"eventCategory": "Management"
}
```
------
#### [ CreateGrant for child ]
`CreateGrant`è destinato alle borse di studio per bambini create da AWS Data Exchange per gli abbonati.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-15T23:15:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"Decrypt"
],
"granteePrincipal": “”,
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
"aws:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE ",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
`Decrypt`viene richiamato dagli abbonati quando tentano di leggere i dati crittografati a cui sono abbonati.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AROAIGDTESTANDEXAMPLE:Subscriber01",
"accountId": "",
"invokedBy": ""
},
"eventTime": "2023-02-15T23:28:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-2",
"sourceIPAddress": "",
"userAgent": "",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE”,
"readOnly": true,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "602466227860",
"sharedEventID": "bcf4d02a-31ea-4497-9c98-4c3549f20a7b",
"eventCategory": "Management"
}
```
------
# Gestione delle identità e degli accessi in AWS Data Exchange
Per eseguire qualsiasi operazione AWS Data Exchange, come la creazione di un processo di importazione utilizzando un AWS SDK o la sottoscrizione a un prodotto nella AWS Data Exchange console, AWS Identity and Access Management (IAM) è necessario autenticarsi come utente approvato. AWS Ad esempio, se utilizzi la AWS Data Exchange console, autentichi la tua identità fornendo le tue credenziali di accesso. AWS
Dopo aver autenticato la tua identità, IAM controlla il tuo accesso AWS con un set definito di autorizzazioni su una serie di operazioni e risorse. Se sei un amministratore di account, puoi utilizzare IAM per controllare l'accesso di altri utenti alle risorse associate al tuo account.
**Topics**
+ [Autenticazione](#authentication)
+ [Controllo accessi](access-control.md)
+ [AWS Data Exchange Autorizzazioni API: riferimento alle azioni e alle risorse](api-permissions-ref.md)
+ [AWS politiche gestite per AWS Data Exchange](security-iam-awsmanpol.md)
## Autenticazione
Puoi accedere AWS con uno dei seguenti tipi di identità:
+ **Account AWS utente root**: quando si crea un utente Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
+ **Utente**: un [utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) è un'identità all'interno dell'utente Account AWS che dispone di autorizzazioni personalizzate specifiche. Puoi utilizzare le tue credenziali IAM per accedere a AWS pagine Web sicure come the Console di gestione AWS o il Center. Supporto AWS
+ **Ruolo IAM**: un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'identità IAM che è possibile creare nell'account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a quello di un utente IAM in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Invece, quando assumi un ruolo, ti fornisce credenziali di sicurezza temporanee per la tua sessione di ruolo. I ruoli con credenziali temporanee sono utili nelle seguenti situazioni:
+ **Accesso utente federato**: anziché creare un utente, è possibile utilizzare le identità esistenti dell'elenco utenti aziendale o di un provider di identità Web. Directory Service Questi sono noti come utenti *federati*. AWS assegna un ruolo a un utente federato quando l'accesso viene richiesto tramite un provider di identità. Per ulteriori informazioni sugli utenti federati, vedere Utenti e ruoli [federati.](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)
+ **Servizio AWS accesso**: un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire azioni sul tuo account per tuo conto. Quando configuri alcuni Servizio AWS ambienti, devi definire un ruolo che il servizio deve assumere. Questo ruolo di servizio deve includere tutte le autorizzazioni necessarie al servizio per accedere alle AWS risorse di cui ha bisogno. I ruoli del servizio variano da servizio a servizio, ma molti permettono di selezionare le autorizzazioni, a condizione di soddisfare i requisiti documentati per quel servizio. I ruoli del servizio forniscono l'accesso all'interno dell'account e non possono essere utilizzati per concedere l'accesso ai servizi in altri account. Puoi creare, modificare ed eliminare un ruolo del servizio dall'interno di IAM. Ad esempio, puoi creare un ruolo che consente ad Amazon Redshift di accedere a un bucket Amazon S3 per tuo conto e quindi caricare i dati dal bucket in un cluster Amazon Redshift. Per ulteriori informazioni, vedere [Creazione di un ruolo per delegare le autorizzazioni a](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) un servizio. AWS
+ **Applicazioni in esecuzione su Amazon EC2**: puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un'istanza Amazon EC2 e che effettuano richieste API. AWS CLI AWS È preferibile alla memorizzazione delle chiavi di accesso nell'istanza Amazon EC2. Per assegnare un AWS ruolo a un'istanza Amazon EC2 e renderlo disponibile per tutte le sue applicazioni, crei un profilo di istanza collegato all'istanza. Un profilo dell'istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza Amazon EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta [Utilizzo di un ruolo IAM per concedere autorizzazioni alle applicazioni in esecuzione su istanze Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).
# Controllo accessi
Per creare, aggiornare, eliminare o elencare AWS Data Exchange le risorse, sono necessarie le autorizzazioni per eseguire l'operazione e accedere alle risorse corrispondenti. Per eseguire l'operazione a livello di codice, sono inoltre necessarie chiavi di accesso valide.
## Panoramica della gestione delle autorizzazioni di accesso alle risorse AWS Data Exchange
Ogni AWS risorsa è di proprietà di un Account AWS utente e le autorizzazioni per creare o accedere a una risorsa sono regolate dalle politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione a utenti, gruppi e ruoli. Alcuni servizi (ad esempio AWS Lambda) supportano anche l'associazione di politiche di autorizzazione alle risorse.
**Nota**
Un *amministratore account* (o un amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta [Best Practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
**Topics**
+ [AWS Data Exchange risorse e operazioni](#access-control-resources)
+ [Informazioni sulla proprietà delle risorse](#access-control-owner)
+ [Gestione dell'accesso alle risorse](#access-control-manage-access-intro)
+ [Specificare elementi delle policy: azioni, effetti e principali](#access-control-specify-control-tower-actions)
+ [Specifica delle condizioni in una policy](#specifying-conditions)
### AWS Data Exchange risorse e operazioni
In AWS Data Exchange, esistono due diversi tipi di risorse primarie con piani di controllo diversi:
+ Le risorse principali per AWS Data Exchange sono *i set di dati* e i *lavori*. AWS Data Exchange supporta anche *revisioni* e *risorse*.
+ Per facilitare le transazioni tra fornitori e abbonati, utilizza AWS Data Exchange anche Marketplace AWS concetti e risorse, inclusi prodotti, offerte e abbonamenti. Puoi utilizzare l'API Marketplace AWS Catalog o la AWS Data Exchange console per gestire prodotti, offerte, richieste di abbonamento e abbonamenti.
### Informazioni sulla proprietà delle risorse
È Account AWS proprietario delle risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'[entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (ovvero l'utente Account AWS root, un utente o un ruolo) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento.
#### Proprietà delle risorse
Qualsiasi entità IAM in un Account AWS con le autorizzazioni corrette può creare AWS Data Exchange set di dati. Quando un'entità IAM crea un set di dati, è Account AWS proprietaria del set di dati. I prodotti di dati pubblicati possono contenere set di dati di proprietà solo di chi li Account AWS ha creati.
Per abbonarsi a un AWS Data Exchange prodotto, l'entità IAM necessita delle autorizzazioni da utilizzare AWS Data Exchange, oltre alle `aws-marketplace:subscribe``aws-marketplace:aws-marketplace:CreateAgreementRequest`, e delle autorizzazioni `aws-marketplace:AcceptAgreementRequest` IAM per Marketplace AWS (supponendo che superi le relative verifiche di sottoscrizione). In qualità di abbonato, il tuo account ha accesso in lettura ai set di dati autorizzati; tuttavia, non possiede i set di dati autorizzati. Tutti i set di dati autorizzati che vengono esportati in Amazon S3 sono di proprietà dell'abbonato. Account AWS
### Gestione dell'accesso alle risorse
Questa sezione illustra l'utilizzo di IAM nel contesto di. AWS Data Exchange Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [AWS Identity and Access Management Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *IAM User Guide*.
La *policy delle autorizzazioni* descrive chi ha accesso a cosa. La sezione che segue spiega le opzioni per la creazione di policy relative alle autorizzazioni.
Le policy collegate a un'identità IAM vengono definite *policy basate su identità* (policy IAM). Le politiche allegate a una risorsa vengono chiamate politiche basate sulle *risorse*. AWS Data Exchange supporta solo politiche basate sull'identità (politiche IAM).
**Topics**
+ [Politiche e autorizzazioni basate sull'identità](#access-control-manage-access-intro-iam-policies)
+ [Policy basate sulle risorse](#access-control-manage-access-intro-resource-policies)
#### Politiche e autorizzazioni basate sull'identità
AWS Data Exchange fornisce una serie di politiche gestite. Per ulteriori informazioni su di esse e sulle relative autorizzazioni, vedere[AWS politiche gestite per AWS Data Exchange](security-iam-awsmanpol.md).
##### Autorizzazioni di Amazon S3
Quando si importano risorse da Amazon S3 AWS Data Exchange a, sono necessarie le autorizzazioni per scrivere nei bucket AWS Data Exchange del servizio S3. Allo stesso modo, quando si esportano risorse AWS Data Exchange da Amazon S3, sono necessarie le autorizzazioni per leggere dai bucket AWS Data Exchange del servizio S3. Queste autorizzazioni sono incluse nelle politiche menzionate in precedenza, ma puoi anche creare una politica personalizzata per consentire solo ciò che desideri che i tuoi utenti siano in grado di fare. Puoi estendere queste autorizzazioni ai bucket che contengono `aws-data-exchange` il loro nome e utilizzare l'[ CalledVia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia)autorizzazione per limitare l'utilizzo dell'autorizzazione alle richieste effettuate per AWS Data Exchange conto del responsabile.
Ad esempio, è possibile creare una politica per consentire l'importazione e l'esportazione AWS Data Exchange che includa queste autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
}
]
}
```
------
Queste autorizzazioni consentono ai provider di importare ed esportare con. AWS Data Exchange La politica include le seguenti autorizzazioni e restrizioni:
+ **s3: PutObject** e **s3: PutObjectAcl** — Queste autorizzazioni sono limitate solo ai bucket S3 che contengono nel loro nome. `aws-data-exchange` Queste autorizzazioni consentono ai provider di scrivere su bucket di AWS Data Exchange servizi durante l'importazione da Amazon S3.
+ **s3: GetObject** — Questa autorizzazione è limitata ai bucket S3 che contengono nel loro nome. `aws-data-exchange` Questa autorizzazione consente ai clienti di leggere dai bucket di AWS Data Exchange servizi durante l'esportazione AWS Data Exchange da Amazon S3.
+ Queste autorizzazioni sono limitate alle richieste effettuate utilizzando AWS Data Exchange la condizione IAM. `CalledVia` Ciò consente di utilizzare `PutObject` le autorizzazioni S3 solo nel contesto della AWS Data Exchange console o dell'API.
+ **AWS Lake Formation****and **AWS Resource Access Manager******(AWS RAM)** **—** Per utilizzare AWS Lake Formation i set di dati, devi accettare l'invito alla AWS RAM condivisione per ogni nuovo provider di rete con cui hai sottoscritto un abbonamento. Per accettare l'invito alla AWS RAM condivisione, dovrai assumere un ruolo autorizzato ad accettare un invito alla AWS RAM condivisione. Per ulteriori informazioni su come AWS gestire le politiche per AWS RAM, consulta [Politiche gestite per AWS RAM.](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html)
+ Per creare set di AWS Lake Formation dati, dovrai creare il set di dati con un ruolo presunto che consenta a IAM di trasferire un ruolo a AWS Data Exchange. Ciò consentirà di AWS Data Exchange concedere e revocare le autorizzazioni alle risorse di Lake Formation per tuo conto. Vedi un esempio di politica qui sotto:
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dataexchange.amazonaws.com"
}
}
}
```
**Nota**
I tuoi utenti potrebbero inoltre aver bisogno di autorizzazioni aggiuntive per leggere o scrivere dai tuoi bucket e oggetti S3, che non sono coperti in questo esempio.
Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta [Identità (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *Guida per l'utente di IAM*.
#### Policy basate sulle risorse
AWS Data Exchange non supporta politiche basate sulle risorse.
Altri servizi, come Amazon S3, supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile associare una policy a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.
### Specificare elementi delle policy: azioni, effetti e principali
Per utilizzarli AWS Data Exchange, i permessi utente devono essere definiti in una policy IAM.
Di seguito sono elencati gli elementi di base di una policy:
+ **Risorsa**: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa. Tutte le operazioni AWS Data Exchange API supportano le autorizzazioni a livello di risorsa (RLP), ma Marketplace AWS le azioni non supportano l'RLP. Per ulteriori informazioni, consulta [AWS Data Exchange risorse e operazioni](#access-control-resources).
+ **Operazione**: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare.
+ **Effetto**: specifichi l'effetto (consenti o nega) quando l'utente richiede l'azione specifica. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
+ **Principale**: nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per le politiche basate sulle risorse, si specifica l'utente, l'account, il servizio o l'altra entità a cui si desidera ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). AWS Data Exchange non supporta politiche basate sulle risorse.
*Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [AWS Identity and Access Management Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella IAM User Guide.*
### Specifica delle condizioni in una policy
Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della policy IAM per specificare le condizioni in base a cui la policy deve essere applicata. Le operazioni with AWS Data Exchange, `CreateJob` `StartJob``GetJob`, e `CancelJob` API supportano le autorizzazioni condizionali. È possibile fornire autorizzazioni a livello. `JobType`
**AWS Data Exchange riferimento alla chiave condizionale**
| Chiave di condizione | Description | Tipo |
| --- | --- | --- |
| "dataexchange:JobType":"IMPORT\$1ASSETS\$1FROM\$1S3" | Ambita le autorizzazioni per i lavori che importano risorse da Amazon S3. | Stringa |
| "dataexchange:JobType":IMPORT\$1ASSETS\$1FROM\$1LAKE\$1FORMATION\$1TAG\$1POLICY" (Preview) | Ambita le autorizzazioni per i lavori che importano risorse da (Anteprima) AWS Lake Formation | Stringa |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL" | Ambita le autorizzazioni per i lavori che importano risorse da un URL firmato. | Stringa |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1REDSHIFT\$1DATA\$1SHARES" | Ambita le autorizzazioni per i lavori che importano risorse da Amazon Redshift. | Stringa |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1API\$1GATEWAY\$1API" | Ambita le autorizzazioni per i lavori che importano risorse da Amazon API Gateway. | Stringa |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1S3" | Ambita le autorizzazioni per i lavori che esportano risorse in Amazon S3. | Stringa |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL" | Ambita le autorizzazioni per i lavori che esportano risorse in un URL firmato. | Stringa |
| "dataexchange:JobType":EXPORT\$1REVISIONS\$1TO\$1S3" | Ambita le autorizzazioni per i lavori che esportano le revisioni in Amazon S3. | Stringa |
Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione [Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) nella *Guida per l'utente di IAM*.
Per esprimere le condizioni, si utilizzano chiavi di condizione predefinite. AWS Data Exchange ha la `JobType` condizione per le operazioni API. Tuttavia, è possibile utilizzare AWS ampie chiavi di condizione, a seconda delle esigenze. Per un elenco completo delle chiavi AWS ampie, consulta la [https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
# AWS Data Exchange Autorizzazioni API: riferimento alle azioni e alle risorse
Utilizza la tabella seguente come riferimento quando configuri [Controllo accessi](access-control.md) e scrivi una politica di autorizzazioni da allegare a un'identità AWS Identity and Access Management (IAM) (politiche basate sull'identità). La tabella elenca ogni operazione AWS Data Exchange API, le azioni per le quali è possibile concedere le autorizzazioni per eseguire l'azione e la AWS risorsa per la quale è possibile concedere le autorizzazioni. Puoi specificare le operazioni nel campo `Action` della policy. Il valore delle risorse viene specificato nel campo `Resource` della policy.
**Nota**
Per specificare un'operazione, utilizza il prefisso `dataexchange:` seguito dal nome dell'operazione API (ad esempio, `dataexchange:CreateDataSet`).
**AWS Data Exchange API e autorizzazioni richieste per le azioni**
| AWS Data Exchange Operazioni API | Autorizzazioni necessarie (operazioni API) | Resources | Condizioni |
| --- | --- | --- | --- |
| CreateDataSet | dataexchange:CreateDataSet | N/D | `aws:TagKeys` `aws:RequestTag` |
| GetDataSet | dataexchange:GetDataSet | Set di dati | aws:RequestTag |
| UpdateDataSet | dataexchange:UpdateDataSet | Set di dati | aws:RequestTag |
| PublishDataSet | dataexchange:PublishDataSet | Set di dati | aws:RequestTag |
| DeleteDataSet | dataexchange:DeleteDataSet | Set di dati | aws:RequestTag |
| ListDataSets | dataexchange:ListDataSets | N/D | N/D |
| CreateRevision | dataexchange:CreateRevision | Set di dati | `aws:TagKeys` `aws:RequestTag` |
| GetRevision | dataexchange:GetRevision | Revision | aws:RequestTag |
| DeleteRevision | dataexchange:DeleteRevision | Revision | aws:RequestTag |
| ListDataSetRevisions | dataexchange:ListDataSetRevisions | Set di dati | aws:RequestTag |
| ListRevisionAssets | dataexchange:ListRevisionAssets | Revision | aws:RequestTag |
| CreateEventAction | dataexchange:CreateEventAction | N/D | N/D |
| UpdateEventAction | dataexchange:UpdateEventAction | EventAction | N/D |
| GetEventAction | dataexchange:GetEventAction | EventAction | N/D |
| ListEventActions | dataexchange:ListEventActions | N/D | N/D |
| DeleteEventAction | dataexchange:DeleteEventAction | EventAction | N/D |
| CreateJob | dataexchange:CreateJob | N/D | dataexchange:JobType |
| GetJob | dataexchange:GetJob | Processo | dataexchange:JobType |
| StartJob\$1\$1 | dataexchange:StartJob | Processo | dataexchange:JobType |
| CancelJob | dataexchange:CancelJob | Processo | dataexchange:JobType |
| ListJobs | dataexchange:ListJobs | N/D | N/D |
| ListTagsForResource | dataexchange:ListTagsForResource | Revision | aws:RequestTag |
| TagResource | dataexchange:TagResource | Revision | `aws:TagKeys` `aws:RequestTag` |
| UnTagResource | dataexchange:UnTagResource | Revision | `aws:TagKeys` `aws:RequestTag` |
| UpdateRevision | dataexchange:UpdateRevision | Revision | aws:RequestTag |
| DeleteAsset | dataexchange:DeleteAsset | Asset | N/D |
| GetAsset | dataexchange:GetAsset | Asset | N/D |
| UpdateAsset | dataexchange:UpdateAsset | Asset | N/D |
| SendApiAsset | dataexchange:SendApiAsset | Asset | N/D |
**\$1\$1** Potrebbero essere necessarie autorizzazioni IAM aggiuntive a seconda del tipo di lavoro che stai avviando. Consulta la tabella seguente per i tipi di AWS Data Exchange lavoro e le autorizzazioni IAM aggiuntive associate. Per ulteriori informazioni sui processi, consultare [Lavori in AWS Data Exchange](jobs.md).
**Nota**
Attualmente, l'`SendApiAsset`operazione non è supportata per quanto segue: SDKs
SDK per .NET
AWS SDK per C\$1\$1
SDK per Java 2.x
**AWS Data Exchange autorizzazioni relative al tipo di lavoro per `StartJob`**
| Tipo di processo | Sono necessarie autorizzazioni IAM aggiuntive |
| --- | --- |
| IMPORT\$1ASSETS\$1FROM\$1S3 | dataexchange:CreateAsset |
| IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1API\$1GATEWAY\$1API | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1REDSHIFT\$1DATA\$1SHARES | dataexchange:CreateAsset, redshift:AuthorizeDataShare |
| EXPORT\$1ASSETS\$1TO\$1S3 | dataexchange:GetAsset |
| EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL | dataexchange:GetAsset |
| EXPORT\$1REVISIONS\$1TO\$1S3 | dataexchange:GetRevision dataexchange:GetDataSet L'autorizzazione IAM `dataexchange:GetDataSet` è necessaria solo se si utilizza `DataSet.Name` come riferimento dinamico per il tipo di `EXPORT_REVISIONS_TO_S3` lavoro. |
È possibile definire l'ambito delle azioni dei set di dati a livello di revisione o di asset tramite l'uso di caratteri jolly, come nell'esempio seguente.
```
arn:aws:dataexchange:us-east-1:123456789012:data-sets/99EXAMPLE23c7c272897cf1EXAMPLE7a/revisions/*/assets/*
```
Alcune AWS Data Exchange azioni possono essere eseguite solo sulla AWS Data Exchange console. Queste azioni sono integrate con Marketplace AWS le funzionalità. Le azioni richiedono le Marketplace AWS autorizzazioni illustrate nella tabella seguente.
**AWS Data Exchange azioni solo da console per gli abbonati**
| Azione da console | Autorizzazione IAM |
| --- | --- |
| Abbonarsi a un prodotto | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Invia una richiesta di verifica dell'abbonamento | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Abilita il rinnovo automatico dell'abbonamento | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Visualizza lo stato del rinnovo automatico di un abbonamento | `aws-marketplace:ListEntitlementDetails` `aws-marketplace:ViewSubscriptions` `aws-marketplace:GetAgreementTerms` |
| Disattiva il rinnovo automatico dell'abbonamento | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Elenca gli abbonamenti attivi | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
| Visualizza l'abbonamento | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` `aws-marketplace:DescribeAgreement` |
| Elenca le richieste di verifica dell'abbonamento | `aws-marketplace:ListAgreementRequests` |
| Visualizza la richiesta di verifica dell'abbonamento | `aws-marketplace:GetAgreementRequest` |
| Annulla la richiesta di verifica dell'abbonamento | `aws-marketplace:CancelAgreementRequest` |
| Visualizza tutte le offerte mirate all'account | `aws-marketplace:ListPrivateListings` |
| Visualizza i dettagli di un'offerta specifica | `aws-marketplace:GetPrivateListing` |
**AWS Data Exchange azioni solo da console per i provider**
| Azione da console | Autorizzazione IAM |
| --- | --- |
| Etichetta il prodotto | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| Etichetta l'offerta | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| Pubblica prodotto | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` `dataexchange:PublishDataSet` |
| Annulla la pubblicazione del prodotto | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Modifica prodotto | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Crea un'offerta personalizzata | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Modifica l'offerta personalizzata | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Visualizza i dettagli del prodotto | `aws-marketplace:DescribeEntity` `aws-marketplace:ListEntities` |
| Visualizza l'offerta personalizzata del prodotto | aws-marketplace:DescribeEntity |
| Visualizza la dashboard del prodotto | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| Elenca i prodotti per i quali è stato pubblicato un set di dati o una revisione | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| Elenca le richieste di verifica dell'abbonamento | `aws-marketplace:ListAgreementApprovalRequests` `aws-marketplace:GetAgreementApprovalRequest` |
| Approva le richieste di verifica dell'abbonamento | `aws-marketplace:AcceptAgreementApprovalRequest` |
| Rifiuta le richieste di verifica dell'abbonamento | `aws-marketplace:RejectAgreementApprovalRequest` |
| Elimina le informazioni dalle richieste di verifica dell'abbonamento | `aws-marketplace:UpdateAgreementApprovalRequest` |
| Visualizza i dettagli dell'abbonamento | `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
# AWS politiche gestite per AWS Data Exchange
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
**Topics**
+ [AWS politica gestita: AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)
+ [AWS politica gestita: AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)
+ [AWS politica gestita: AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)
+ [AWS politica gestita: AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)
+ [AWS politica gestita: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)
+ [AWS politica gestita: AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)
+ [AWS politica gestita: AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess)
+ [AWS politica gestita: AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess)
+ [AWS Data Exchange aggiornamenti alle politiche AWS gestite](#security-iam-awsmanpol-updates)
## AWS politica gestita: AWSDataExchangeFullAccess
È possibile allegare la policy `AWSDataExchangeFullAccess` alle identità IAM.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo AWS Data Exchange e le Marketplace AWS azioni tramite l'SDK Console di gestione AWS and. Fornisce inoltre un accesso selezionato ad Amazon S3 e, se necessario AWS Key Management Service , per trarne il massimo vantaggio. AWS Data Exchange
Per visualizzare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html)il *AWS Managed Policy* Reference.
## AWS politica gestita: AWSDataExchangeProviderFullAccess
È possibile allegare la policy `AWSDataExchangeProviderFullAccess` alle identità IAM.
Questa politica concede le autorizzazioni per i contributori che forniscono al fornitore di dati l'accesso AWS Data Exchange e le Marketplace AWS azioni tramite l' Console di gestione AWS SDK and. Fornisce inoltre un accesso selezionato ad Amazon S3 e, se necessario AWS Key Management Service , per trarne il massimo vantaggio. AWS Data Exchange
Per visualizzare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html)il *AWS Managed Policy* Reference.
## AWS politica gestita: AWSDataExchangeReadOnly
È possibile allegare la policy `AWSDataExchangeReadOnly` alle identità IAM.
Questa politica concede autorizzazioni di sola lettura che consentono l'accesso in sola lettura e le azioni tramite l'SDK AWS Data Exchange and Marketplace AWS . Console di gestione AWS
*Per visualizzare le autorizzazioni per questa policy, consulta il Managed Policy Reference. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html)AWS *
## AWS politica gestita: AWSDataExchangeServiceRolePolicyForLicenseManagement
Non è possibile attribuire `AWSDataExchangeServiceRolePolicyForLicenseManagement` alle entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente a AWS Data Exchange di eseguire operazioni per tuo conto. Concede autorizzazioni di ruolo che consentono di AWS Data Exchange recuperare informazioni sull' AWS organizzazione e gestire i AWS Data Exchange dati, concede licenze. Per ulteriori informazioni, consulta [Ruolo collegato al servizio per la gestione delle licenze AWS Data Exchange](using-service-linked-roles-license-management.md) di seguito in questa sezione.
*Per visualizzare le autorizzazioni relative a questa politica, consulta il Managed Policy Reference [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html).AWS *
## AWS politica gestita: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery
Non è possibile attribuire `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che consente di eseguire azioni AWS Data Exchange per conto dell'utente. Concede autorizzazioni di ruolo che consentono di recuperare informazioni sull' AWS organizzazione AWS Data Exchange per determinare l'idoneità alla distribuzione delle licenze Data Grants. AWS Data Exchange Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per l'individuazione dell'organizzazione in AWS AWS Data Exchange](using-service-linked-roles-aws-org-discovery.md).
*Per visualizzare le autorizzazioni relative a questa politica, consulta il Managed Policy Reference [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html).AWS *
## AWS politica gestita: AWSDataExchangeSubscriberFullAccess
È possibile allegare la policy `AWSDataExchangeSubscriberFullAccess` alle identità IAM.
Questa politica concede le autorizzazioni per i contributori che consentono agli abbonati ai dati l'accesso AWS Data Exchange e Marketplace AWS le azioni tramite l'SDK and. Console di gestione AWS Fornisce inoltre un accesso selezionato ad Amazon S3 e, se necessario AWS Key Management Service , per trarne il massimo vantaggio. AWS Data Exchange
Per visualizzare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html)il *AWS Managed Policy* Reference.
## AWS politica gestita: AWSDataExchangeDataGrantOwnerFullAccess
È possibile allegare la policy `AWSDataExchangeDataGrantOwnerFullAccess` alle identità IAM.
Questa policy offre al proprietario di Data Grant l'accesso alle AWS Data Exchange azioni che utilizzano Console di gestione AWS and SDKs.
Per visualizzare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html)il *AWS Managed Policy Reference.*
## AWS politica gestita: AWSDataExchangeDataGrantReceiverFullAccess
È possibile allegare la policy `AWSDataExchangeDataGrantReceiverFullAccess` alle identità IAM.
Questa politica consente a un destinatario di Data Grant di accedere alle AWS Data Exchange azioni utilizzando Console di gestione AWS and SDKs.
Per visualizzare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html)il *AWS Managed Policy Reference.*
## AWS Data Exchange aggiornamenti alle politiche AWS gestite
La tabella seguente fornisce dettagli sugli aggiornamenti delle politiche AWS gestite AWS Data Exchange da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina (e su qualsiasi altra modifica a questa guida per l'utente), iscriviti al feed RSS della [Cronologia dei documenti per AWS Data Exchange](doc-history.md) pagina.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess): nuova policy | AWS Data Exchange ha aggiunto una nuova politica per concedere ai proprietari di Data Grant l'accesso alle AWS Data Exchange azioni. | 24 ottobre 2024 |
| [AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess): nuova policy | AWS Data Exchange ha aggiunto una nuova politica per concedere ai destinatari di Data Grant l'accesso alle AWS Data Exchange azioni. | 24 ottobre 2024 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly): aggiornamento di una policy esistente | Sono state aggiunte le autorizzazioni necessarie alla politica `AWSDataExchangeReadOnly` AWS gestita per la nuova funzionalità di concessione dei dati. | 24 ottobre 2024 |
| [AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement): nuova policy | È stata aggiunta una nuova politica per supportare i ruoli collegati ai servizi per la gestione delle concessioni di licenze negli account dei clienti. | 17 ottobre 2024 |
| [AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery): nuova policy | È stata aggiunta una nuova politica per supportare i ruoli collegati ai servizi per fornire l'accesso in lettura alle informazioni dell'account nell'organizzazione. AWS | 17 ottobre 2024 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) | È stata aggiunta una dichiarazione IDs per semplificare la lettura della policy, ha ampliato le autorizzazioni Wild Card all'elenco completo delle autorizzazioni ADX di sola lettura e ha aggiunto nuove azioni: e. aws-marketplace:ListTagsForResource aws-marketplace:ListPrivateListings | 9 luglio 2024 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | Azione rimossa: aws-marketplace:GetPrivateListing | 22 maggio 2024 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) | Dichiarazione aggiunta IDs per rendere la politica più facile da leggere e nuove azioni aggiunte:aws-marketplace:ListPrivateListings. | 30 aprile 2024 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | È stata aggiunta una dichiarazione IDs per rendere la politica più facile da leggere e sono state aggiunte nuove azioni: aws-marketplace:TagResource aws-marketplace:UntagResourceaws-marketplace:ListTagsForResource,aws-marketplace:ListPrivateListings,aws-marketplace:GetPrivateListing,, eaws-marketplace:DescribeAgreement. | 30 aprile 2024 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | È stata aggiunta una dichiarazione IDs per facilitare la lettura della politica. | 9 agosto 2024 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | dataexchange:SendDataSetNotificationAggiunta una nuova autorizzazione per inviare notifiche sui set di dati. | 5 marzo 2024 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess), [AWSDataExchangeReadOnly[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)](#security-iam-awsmanpol-awsdataexchangereadonly), e [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Aggiornamento alle politiche esistenti | Sono state aggiunte azioni granulari in tutte le politiche gestite. Le nuove azioni aggiunte sono `aws-marketplace:CreateAgreementRequest``aws-marketplace:AcceptAgreementRequest`,,`aws-marketplace:ListEntitlementDetails`,`aws-marketplace:ListPrivateListings`,`aws-marketplace:GetPrivateListing`, `license-manager:ListReceivedGrants``aws-marketplace:TagResource`,`aws-marketplace:UntagResource`, `aws-marketplace:ListTagsForResource``aws-marketplace:DescribeAgreement`, `aws-marketplace:GetAgreementTerms``aws-marketplace:GetLicense`. | 31 luglio 2023 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess): aggiornamento a policy esistente | È stata aggiunta `dataexchange:RevokeRevision` una nuova autorizzazione per revocare una revisione. | 15 marzo 2022 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)e [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Aggiornamento alle politiche esistenti | È stata aggiunta `apigateway:GET` una nuova autorizzazione per recuperare una risorsa API da Amazon API Gateway. | 3 dicembre 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)e [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)— Aggiornamento alle politiche esistenti | `dataexchange:SendApiAsset`Aggiunta una nuova autorizzazione per inviare una richiesta a una risorsa API. | 29 novembre 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)e [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Aggiornamento alle politiche esistenti | Sono state aggiunte `redshift:AuthorizeDataShare` e ` redshift:DescribeDataShares` nuove autorizzazioni per autorizzare l'accesso e la creazione di set di dati Amazon Redshift. `redshift:DescribeDataSharesForProducer` | 1° novembre 2021 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess): aggiornamento di una policy esistente | Sono state aggiunte `dataexchange:CreateEventAction` e `dataexchange:DeleteEventAction` nuove autorizzazioni per controllare l'accesso all'esportazione automatica di nuove revisioni dei set di dati. `dataexchange:UpdateEventAction` | 30 settembre 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)e [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Aggiornamento alle politiche esistenti | È stata aggiunta `dataexchange:PublishDataSet` una nuova autorizzazione per controllare l'accesso alla pubblicazione di nuove versioni dei set di dati. | 25 maggio 2021 |
| [AWS DataExchangeReadOnly[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)](#security-iam-awsmanpol-awsdataexchangereadonly), e [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Aggiornamento alle politiche esistenti | Aggiunto `aws-marketplace:SearchAgreements` e `aws-marketplace:GetAgreementTerms` per consentire la visualizzazione degli abbonamenti a prodotti e offerte. | 12 maggio 2021 |
| AWS Data Exchange ha iniziato a tenere traccia delle modifiche | AWS Data Exchange ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 20 aprile 2021 |
# Utilizzo di ruoli collegati ai servizi per AWS Data Exchange
AWS Data Exchange utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Data Exchange I ruoli collegati ai servizi sono predefiniti AWS Data Exchange e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Data Exchange perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Data Exchange definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Data Exchange Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS Data Exchange le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Creazione di un ruolo collegato al servizio per AWS Data Exchange
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando distribuisci una concessione di dati utilizzando il gestore delle licenze, viene creato automaticamente il ruolo collegato al servizio.
**Come creare un ruolo collegato a un servizio**
1. Nella [AWS Data Exchange console](https://console.aws.amazon.com/adx/), accedi e scegli le impostazioni di **Data Grant**.
1. Nella pagina delle **impostazioni di Data Grant**, scegli **Configura integrazione**.
1. Nella sezione **Integrazione AWS Create Organizations**, seleziona **Configure integration**.
1. Nella pagina di **integrazione AWS Create Organizations**, scegli la preferenza del livello di fiducia appropriata, quindi scegli **Create integration**.
Puoi anche utilizzare la console IAM per creare un ruolo collegato ai servizi con un caso d'uso. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `appropriate-service-name.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato al servizio per AWS Data Exchange
AWS Data Exchange non consente di modificare il ruolo collegato al servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS Data Exchange
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il AWS Data Exchange servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
Prima di poter eliminare il ruolo collegato al servizio, è necessario:
+ Per il `AWSServiceRoleForAWSDataExchangeLicenseManagement` ruolo, rimuovi tutte le concessioni AWS License Manager distribuite per le concessioni relative ai AWS Data Exchange dati che hai ricevuto.
+ Per il `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` ruolo, rimuovi tutte le sovvenzioni AWS License Manager distribuite per le concessioni di AWS Data Exchange dati ricevute dagli account della tua organizzazione. AWS
**Eliminazione manuale del ruolo collegato al servizio**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi AWS Data Exchange
AWS Data Exchange supporta l'utilizzo di ruoli collegati al servizio in tutti i paesi in Regioni AWS cui il servizio è disponibile. Per maggiori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Ruolo collegato al servizio per la gestione delle licenze AWS Data Exchange
AWS Data Exchange utilizza il ruolo collegato al servizio denominato`AWSServiceRoleForAWSDataExchangeLicenseManagement`: questo ruolo consente a AWS Data Exchange di recuperare informazioni sull' AWS organizzazione e gestire le licenze di concessione AWS dei dati di Data Exchange.
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForAWSDataExchangeLicenseManagement` considera attendibili i seguenti servizi:
+ `license-management.dataexchange.amazonaws.com`
La politica di autorizzazione dei ruoli denominata `AWSDataExchangeServiceRolePolicyForLicenseManagement` consente di AWS Data Exchange completare le seguenti azioni sulle risorse specificate:
+ Operazioni:
+ `organizations:DescribeOrganization`
+ `license-manager:ListDistributedGrants`
+ `license-manager:GetGrant`
+ `license-manager:CreateGrantVersion`
+ `license-manager:DeleteGrant`
+ Risorse:
+ Tutte le risorse () `*`
Per ulteriori informazioni sul ruolo `AWSDataExchangeServiceRolePolicyForLicenseManagement`, consulta [AWS politica gestita: AWSDataExchangeServiceRolePolicyForLicenseManagement](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement).
Per ulteriori informazioni sull'utilizzo del ruolo `AWSServiceRoleForAWSDataExchangeLicenseManagement` collegato al servizio, consulta. [Utilizzo di ruoli collegati ai servizi per AWS Data Exchange](using-service-linked-roles-adx.md)
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
# Ruoli collegati ai servizi per l'individuazione dell'organizzazione in AWS AWS Data Exchange
AWS Data Exchange utilizza il ruolo collegato al servizio denominato`AWSServiceRoleForAWSDataExchangeOrganizationDiscovery`: questo ruolo consente a AWS Data Exchange di recuperare informazioni sull' AWS organizzazione per determinare l'idoneità alla distribuzione delle licenze Data Exchange AWS Data Grants.
**Nota**
Questo ruolo è necessario solo nell'account di gestione dell' AWS organizzazione.
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` considera attendibili i seguenti servizi:
+ `organization-discovery.dataexchange.amazonaws.com`
La politica di autorizzazione dei ruoli denominata `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` consente di AWS Data Exchange completare le seguenti azioni sulle risorse specificate:
+ Operazioni:
+ `organizations:DescribeOrganization`
+ `organizations:DescribeAccount`
+ `organizations:ListAccounts`
+ Risorse:
+ Tutte le risorse () `*`
Per ulteriori informazioni sul ruolo `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery`, consulta [AWS politica gestita: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery).
Per ulteriori informazioni sull'utilizzo del ruolo `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` collegato al servizio, consulta la sezione [Utilizzo di ruoli collegati ai servizi per AWS Data Exchange](using-service-linked-roles-adx.md) precedente in questa sezione.
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
# Convalida della conformità per AWS Data Exchange
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
## Conformità PCI DSS
AWS Data Exchange supporta l'elaborazione, l'archiviazione e la trasmissione dei dati delle carte di credito da parte di un commerciante o di un fornitore di servizi ed è stato convalidato come conforme al Payment Card Industry (PCI) Data Security Standard (DSS). Per ulteriori informazioni su PCI DSS, incluso come richiedere una copia del PCI AWS Compliance Package, vedere [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS Level 1.
# Resilienza in AWS Data Exchange
L'infrastruttura AWS globale è costruita attorno a zone Regioni AWS di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con Availability Zones, è possibile progettare e gestire applicazioni e database che eseguono il failover tra le zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
AWS Data Exchange dispone di un unico catalogo di prodotti disponibile a livello globale offerto dai provider. Gli abbonati possono visualizzare lo stesso catalogo, indipendentemente dalla regione in cui stanno utilizzando. Le risorse alla base del prodotto (set di dati, revisioni, risorse) sono risorse regionali gestite a livello di codice o tramite la AWS Data Exchange console nelle regioni supportate. AWS Data Exchange replica i dati in più zone di disponibilità all'interno delle regioni in cui opera il servizio. Per informazioni sulle regioni supportate, consulta la [Tabella delle regioni dell'infrastruttura globale](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Per ulteriori informazioni sulle zone Regioni AWS di disponibilità, vedere [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicurezza dell'infrastruttura in AWS Data Exchange
In quanto servizio gestito, AWS Data Exchange è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere AWS Data Exchange attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# AWS Data Exchange e endpoint VPC di interfaccia ()AWS PrivateLink
È possibile stabilire una connessione privata tra il cloud privato virtuale (VPC) e creare un AWS Data Exchange endpoint *VPC* di interfaccia. Gli endpoint di interfaccia sono basati su una tecnologia che consente di accedere in modo privato alle operazioni AWS Data Exchange API senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. [AWS PrivateLink](https://aws.amazon.com/privatelink) Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare AWS Data Exchange con le operazioni API. Il traffico tra il tuo VPC e AWS Data Exchange non esce dalla rete Amazon.
Ogni endpoint dell'interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nelle sottoreti.
**Nota**
Ogni AWS Data Exchange azione, ad eccezione di`SendAPIAsset`, è supportata per VPC.
Per ulteriori informazioni, consultare [Endpoint VPC di interfaccia (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) nella *Guida per l'utente di Amazon VPC*.
## Considerazioni sugli endpoint AWS Data Exchange VPC
Prima di configurare un endpoint VPC di interfaccia per AWS Data Exchange, assicurati di esaminare le [proprietà e le limitazioni degli endpoint dell'interfaccia nella](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) Amazon *VPC* User Guide.
AWS Data Exchange supporta l'effettuazione di chiamate a tutte le sue operazioni API dal tuo VPC.
## Creazione di un endpoint VPC di interfaccia per AWS Data Exchange
Puoi creare un endpoint VPC per il AWS Data Exchange servizio utilizzando la console Amazon VPC o (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consultare [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) nella *Guida per l’utente di Amazon VPC*.
Crea un endpoint VPC per AWS Data Exchange utilizzare il seguente nome di servizio:
+ `com.amazonaws.region.dataexchange`
Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API AWS Data Exchange utilizzando il nome DNS predefinito per, ad esempio,. Regione AWS`com.amazonaws.us-east-1.dataexchange`
Per ulteriori informazioni, consultare [Accesso a un servizio tramite un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) in *Guida per l'utente di Amazon VPC*.
## Creazione di una policy per gli endpoint VPC per AWS Data Exchange
È possibile allegare un criterio all'endpoint VPC che controlla l'accesso all' AWS Data Exchange. Questa policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite
+ Le risorse sui cui si possono eseguire le azioni
Per ulteriori informazioni, consultare [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) in *Guida per l'utente di Amazon VPC*.
**Esempio: policy degli endpoint VPC per le azioni AWS Data Exchange**
Di seguito è riportato un esempio di policy sugli endpoint per. AWS Data Exchange Se associata a un endpoint, questa politica consente l'accesso alle AWS Data Exchange azioni elencate per tutti i principali su tutte le risorse.
Questo esempio di politica degli endpoint VPC consente l'accesso completo solo all'utente `bts` che proviene da. Account AWS `123456789012` `vpc-12345678` `readUser`L'utente può leggere le risorse, ma a tutti gli altri principali IAM viene negato l'accesso all'endpoint.
------
#### [ JSON ]
****
```
{
"Id": "example-policy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow administrative actions from vpc-12345678",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/bts"
]
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "Allow ReadOnly actions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/readUser"
]
},
"Action": [
"dataexchange:list*",
"dataexchange:get*"
],
"Resource": "*"
}
]
}
```
------