翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# セキュリティ
<a name="security"></a>

のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築された複数のデータセンターとネットワークアーキテクチャを活用できます。

セキュリティは、 AWS とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。
+ **クラウドのセキュリティ** – AWS は、 で AWS サービスを実行するインフラストラクチャを保護する責任を担います AWS クラウド。 は、お客様が安全に使用できるサービス AWS も提供します。当社のセキュリティの有効性は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの監査者によって定期的にテストおよび検証されます。が適用されるコンプライアンスプログラムの詳細については AWS Data Exchange、[AWS 「コンプライアンスプログラムによる対象範囲内のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウドのセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。ユーザーは、ユーザーのデータの機密性、組織の要件、および適用法と規制などのその他要因に対する責任も担います。

このドキュメントは、 AWS Data Exchangeの使用時における責任共有モデルの適用方法を理解するために役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成する AWS Data Exchange ように を設定する方法を示します。また、 AWS Data Exchange リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。

# でのデータ保護 AWS Data Exchange
<a name="data-protection"></a>

責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、 でのデータ保護に適用されます AWS Data Exchange。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+  AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール AWS Data Exchange 、API、または SDK を使用して AWS CLIまたは他の AWS のサービス を操作する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

AWS Data Exchange には、データセットに存在するコンテンツの保護に役立つ以下のオプションが用意されています。

**Topics**
+ [保管中の暗号化](#data-protection-encryption-rest)
+ [転送中の暗号化](#data-protection-encryption-in-transit)
+ [コンテンツに対するアクセス制限](#data-protection-restrict-access)

## 保管中の暗号化
<a name="data-protection-encryption-rest"></a>

AWS Data Exchange は、追加の設定を必要とせずに、保管中のサービスに保存されているすべてのデータ製品を常に暗号化します。を使用する場合、この暗号化は自動的に行われます AWS Data Exchange。

## 転送中の暗号化
<a name="data-protection-encryption-in-transit"></a>

AWS Data Exchange は、転送中の暗号化に Transport Layer Security (TLS) とクライアント側の暗号化を使用します。との通信 AWS Data Exchange は常に HTTPS 経由で行われるため、データは転送中に常に暗号化されます。この暗号化は、 を使用するときにデフォルトで設定されます AWS Data Exchange。

## コンテンツに対するアクセス制限
<a name="data-protection-restrict-access"></a>

ベストプラクティスとして、適切なユーザーのサブセットへのアクセスを制限する必要があります。では AWS Data Exchange、 を使用するユーザー、グループ、ロールに適切なアクセス許可 AWS アカウント を付与することで、これを行うことができます。IAM エンティティのロールとポリシーの詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/)」を参照してください。**

# Amazon S3 データアクセスのキー管理
<a name="key-management"></a>

このページは、プロバイダーが SSE-KMS を使用して暗号化されたオブジェクトを共有する Amazon S3 データアクセスタイプに固有のものです。サブスクライバーは、アクセスに使用するキーを付与されている必要があります。

Amazon S3 バケットに AWS KMS カスタマーマネージドキーを使用して暗号化されたデータが含まれている場合は、それらを AWS KMS keys と共有 AWS Data Exchange して Amazon S3 データアクセスデータセットを設定する必要があります。詳細については、「[ステップ 2: Amazon S3 データアクセスを設定する](publish-s3-data-access-product.md#configure-s3-data-access-product)」を参照してください。

**Topics**
+ [AWS KMS 許可の作成](#create-kms-grants)
+ [暗号化コンテキストと許可制約](#encryption-context-grant-constraint)
+ [AWS KMS keys での のモニタリング AWS Data Exchange](#monitoring-your-kms-keys)

## AWS KMS 許可の作成
<a name="create-kms-grants"></a>

Amazon S3 データアクセスデータセット AWS KMS keys の一部として を指定すると、 AWS Data Exchange は AWS KMS key 共有された各 に AWS KMS 許可を作成します。*親*権限と呼ばれるこの権限は、サブスクライバーに追加の AWS KMS 権限を作成する AWS Data Exchange アクセス許可を付与するために使用されます。*これらの追加許可は子許可補助金と呼ばれます*。各サブスクライバーには 1 つの AWS KMS 許可が付与されます。サブスクライバーは、 を復号するアクセス許可を取得します AWS KMS key。その後、共有されている暗号化された Amazon S3 オブジェクトを復号して使用できます。詳細については、「*AWS Key Management Service デベロッパーガイド*」の「[AWS KMSでの許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)」を参照してください。

AWS Data Exchange は、 AWS KMS 親グラントを使用して、作成する AWS KMS グラントのライフサイクルを管理します。サブスクリプションが終了すると、 は対応するサブスクライバー用に作成された AWS KMS 子許可を AWS Data Exchange 廃止します。リビジョンが取り消された場合、またはデータセットが削除された場合、 は AWS KMS 親許可を AWS Data Exchange 廃止します。 AWS KMS アクションの詳細については、 [AWS KMS API リファレンス](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html)を参照してください。

## 暗号化コンテキストと許可制約
<a name="encryption-context-grant-constraint"></a>

AWS Data Exchange は許可制約を使用して、リクエストに指定された暗号化コンテキストが含まれている場合にのみ復号オペレーションを許可します。Amazon S3 バケットキー機能を使用してAmazon S3 オブジェクトを暗号化し、 と共有できます AWS Data Exchange。バケットの Amazon リソースネーム (ARN) は Amazon S3 によって暗号化コンテキストとして暗黙的に使用されます。次の例は、 が AWS KMS 作成するすべての許可の許可制約としてバケット ARN AWS Data Exchange を使用することを示しています。

```
"Constraints": {
   "EncryptionContextSubset":  "aws:s3:arn": “arn:aws:s3:::<Bucket ARN>"
   }
}
```

## AWS KMS keys での のモニタリング AWS Data Exchange
<a name="monitoring-your-kms-keys"></a>

 AWS KMS カスタマーマネージドキーを と共有する場合 AWS Data Exchange、 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)を使用して、 AWS Data Exchange またはデータサブスクライバーが送信するリクエストを追跡できます AWS KMS。以下は、 `CreateGrant`および `Decrypt`呼び出しの CloudTrail ログの例です AWS KMS。

------
#### [ CreateGrant for parent ]

`CreateGrant` は、 自体のために によって作成された親許可 AWS Data Exchange 用です。

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole", 
        "principalId": "AROAIGDTESTANDEXAMPLE:Provider01",
        "arn": "arn:aws:sts::<your-account-id>:assumed-role/Admin/Provider01",
        "accountId": "<your-account-id>",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::<your-account-id>:role/Admin/Provider01”,
                "accountId": "<your-account-id>",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-16T17:29:23Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "datax.amazonaws.com"
    },
    "eventTime": "2023-02-16T17:32:47Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "datax.amazonaws.com",
    "userAgent": "datax.amazonaws.com",
    "requestParameters": {
        "keyId": "<Key ARN of the Key you shared with AWS Data Exchange>",
        "operations": [
            "CreateGrant",
            "Decrypt",
            "RetireGrant"
        ],
        "granteePrincipal": "dataexchange.us-east-2.amazonaws.com",
        "retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
        "constraints": {
            "encryptionContextSubset": { AWS:s3:arn": "arn:aws:s3:::<Your Bucket ARN>"
            }
        }
    },
    "responseElements": {
        "grantId": "<KMS Grant ID of the created Grant>",
        "keyId": "<Key ARN of the Key you shared with AWS Data Exchange>"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "<Your Account Id>",
            "type": "AWS::KMS::Key",
            "ARN": "<Key ARN of the Key you shared with AWS Data Exchange>"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "<Your Account Id>",
    "eventCategory": "Management"
}
```

------
#### [ CreateGrant for child ]

`CreateGrant` は、サブスクライバー用に によって作成された子許可 AWS Data Exchange 用です。

```
{
      "eventVersion": "1.08",
      "userIdentity": {
         "type": "AWSService",
         "invokedBy": "datax.amazonaws.com"
     },
     "eventTime": "2023-02-15T23:15:49Z",
     "eventSource": "kms.amazonaws.com",
     "eventName": "CreateGrant",
     "awsRegion": "us-east-2",
     "sourceIPAddress": "datax.amazonaws.com",
     "userAgent": "datax.amazonaws.com",
     "requestParameters": {
         "keyId": "<Key ARN of the Key you shared with AWS Data Exchange>",
         "operations": [
             "Decrypt"
         ],
         "granteePrincipal": “<Subscriber’s account Id>”,
         "retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
         "constraints": {
             "encryptionContextSubset": {
                 "aws:s3:arn": "arn:aws:s3:::<Your Bucket ARN>"
             }
         }
     },
     "responseElements": {
         "grantId": "<KMS Grant ID of the created Grant>",
         "keyId": "<Key ARN of the Key you shared with AWS Data Exchange>"
     },
     "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
     "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
     "readOnly": false,
     "resources": [
         {
             "accountId": "<Your Account Id>",
             "type": "AWS::KMS::Key",
             "ARN": "<Key ARN of the Key you shared with AWS Data Exchange>"
         }
     ],
     "eventType": "AwsApiCall",
     "managementEvent": true,
     "recipientAccountId": "<Your Account Id>",
     "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE ",
     "eventCategory": "Management"
}
```

------
#### [ Decrypt ]

`Decrypt`は、サブスクライバーがサブスクライブしている暗号化データを読み取ろうとしたときに呼び出されます。

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAIGDTESTANDEXAMPLE:Subscriber01",
        "accountId": "<subscriber-account-id>",
        "invokedBy": "<subscriber’s IAM identity>"
    },
    "eventTime": "2023-02-15T23:28:30Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "<subscriber’s IP address>",
    "userAgent": "<subscriber’s user agent>",
    "requestParameters": {
        "encryptionContext": {
            "aws:s3:arn": "arn:aws:s3:::<Your Bucket ARN>"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE”,
    "readOnly": true,
    "resources": [
        {
            "accountId": "<Your Account Id>",
            "type": "AWS::KMS::Key",
            "ARN": "<Key ARN of the Key you shared with AWS Data Exchange>"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "602466227860",
    "sharedEventID": "bcf4d02a-31ea-4497-9c98-4c3549f20a7b",
    "eventCategory": "Management"
}
```

------

# での ID とアクセスの管理 AWS Data Exchange
<a name="auth-access"></a>

 AWS SDK を使用してインポートジョブを作成する、 AWS Data Exchange コンソールで製品をサブスクライブ AWS Data Exchangeするなど、 でオペレーションを実行するには、 AWS Identity and Access Management (IAM) で承認済み AWS ユーザーであることを認証する必要があります。たとえば、 コンソールを使用している場合は、サインイン認証情報を指定して ID AWS を AWS Data Exchange 認証します。

ID を認証すると、IAM は一連のオペレーションとリソースに対する一連の定義されたアクセス許可 AWS を使用して へのアクセスを制御します。アカウント管理者である場合、IAM を使用して、アカウントに関連付けられたリソースへの他のユーザーのアクセスをコントロールできます。

**Topics**
+ [認証](#authentication)
+ [アクセスコントロール](access-control.md)
+ [AWS Data Exchange API アクセス許可: アクションとリソースリファレンス](api-permissions-ref.md)
+ [AWS の 管理ポリシー AWS Data Exchange](security-iam-awsmanpol.md)

## 認証
<a name="authentication"></a>

には、次のいずれかのタイプの ID AWS でアクセスできます。
+ **AWS アカウント ルートユーザー** – を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
+ **ユーザー** – [ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)は、特定のカスタム許可を持つ AWS アカウント 内のアイデンティティです。IAM 認証情報を使用して、 AWS マネジメントコンソール や AWS サポート センターなどの安全な AWS ウェブページにサインインできます。
+ IAM ロール**** - [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、アカウントで作成して特定の許可を付与できる IAM ID です。IAM ロールは、 AWS アイデンティティができることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、IAM ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。その代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。ロールと一時的な認証情報は、次の状況で役立ちます。
  + **フェデレーティッドユーザーアクセス** – ユーザーを作成する代わりに、 Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダーから既存の ID を使用できます。これらはフェ*デレーティッドユーザー*と呼ばれます。 は、ID プロバイダーを介してアクセスがリクエストされると、フェデレーティッドユーザーにロールを AWS 割り当てます。フェデレーティッドユーザーの詳細については、「[フェデレーティッドユーザーとロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)」を参照してください。
  + **AWS のサービス アクセス** – サービスロールは、ユーザーに代わってアカウントでアクションを実行するためにサービスが引き受ける IAM ロールです。 AWS のサービス 環境には、セットアップ時にサービスが引き受けるロールを定義する必要があるものもあります。このサービスロールには、サービスが必要な AWS リソースにアクセスするために必要なすべてのアクセス許可が含まれている必要があります。サービスロールはサービスによって異なりますが、多くのサービスロールでは、そのサービスの文書化された要件を満たしている限り、許可を選択することができます。サービスロールは、お客様のアカウント内のみでアクセスを提供します。他のアカウントのサービスへのアクセス権を付与するためにサービスロールを使用することはできません。IAM 内部からサービスロールを作成、修正、削除できます。例えば、Amazon Redshift がユーザーに代わって Simple Storage Service (Amazon S3) バケットにアクセスし、そのバケットのデータを Amazon Redshift クラスターにロードすることを許可するロールを作成できます。詳細については、「 [AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。
  + **Amazon EC2 で実行されているアプリケーション** – IAM ロールを使用して、Amazon EC2 インスタンスで実行され、 AWS CLI または AWS API リクエストを行うアプリケーションの一時的な認証情報を管理できます。これは、Amazon EC2 インスタンス内にアクセスキーを保存するよりも望ましい方法です。 AWS ロールを Amazon EC2 インスタンスに割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、Amazon EC2 インスタンスで実行されるプログラムは一時的な認証情報を取得することができます。詳細については、「[IAMロールを使用してAmazon EC2インスタンス上で動作するアプリケーションに権限を付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)」を参照してください。

# アクセスコントロール
<a name="access-control"></a>

 AWS Data Exchange リソースを作成、更新、削除、または一覧表示するには、 オペレーションを実行し、対応するリソースにアクセスするためのアクセス許可が必要です。操作をプログラム的に実行するには、有効なアクセスキーも必要です。

## AWS Data Exchange リソースへのアクセス許可の管理の概要
<a name="access-control-overview"></a>

すべての AWS リソースは によって所有され AWS アカウント、リソースを作成またはアクセスするアクセス許可はアクセス許可ポリシーによって管理されます。アカウント管理者は、ユーザー、グループ、およびロールにアクセス許可ポリシーをアタッチできます。一部のサービス ( AWS Lambdaなど) は、リソースへの許可ポリシーのアタッチもサポートします。

**注記**  
*アカウント管理者 *(または管理者) は、管理者権限を持つユーザーです。詳細については、「[IAM ベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:

  アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
  + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
  + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。

**Topics**
+ [AWS Data Exchange リソースとオペレーション](#access-control-resources)
+ [リソース所有権についての理解](#access-control-owner)
+ [リソースへのアクセスの管理](#access-control-manage-access-intro)
+ [ポリシー要素 (アクション、効果、プリンシパル) の指定](#access-control-specify-control-tower-actions)
+ [ポリシーでの条件の指定](#specifying-conditions)

### AWS Data Exchange リソースとオペレーション
<a name="access-control-resources"></a>

には AWS Data Exchange、コントロールプレーンが異なる 2 種類のプライマリリソースがあります。
+ の主なリソース AWS Data Exchange は*データセット*と*ジョブ*です。 はリ*ビジョン*と*アセット* AWS Data Exchange もサポートしています。
+ プロバイダーとサブスクライバー間のトランザクションを容易にするために、 AWS Data Exchange は製品、オファー、サブスクリプションなどの AWS Marketplace 概念とリソースも使用します。 AWS Marketplace Catalog API または AWS Data Exchange コンソールを使用して、製品、オファー、サブスクリプションリクエスト、サブスクリプションを管理できます。

### リソース所有権についての理解
<a name="access-control-owner"></a>

は、リソースを作成したユーザーに関係なく、アカウントで作成されたリソース AWS アカウント を所有します。具体的には、リソース所有者は、リソース作成リクエスト AWS アカウント を認証する[プリンシパルエンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) ( AWS アカウント ルートユーザー、ユーザー、またはロール) の です。以下は、この仕組みを説明する例です。

#### リソース所有権
<a name="resource-ownership"></a>

正しいアクセス許可 AWS アカウント を持つ の IAM エンティティは、 AWS Data Exchange データセットを作成できます。IAM エンティティがデータセットを作成すると、その AWS アカウント がデータセットを所有します。公開されたデータ製品には、それらを AWS アカウント 作成した のみが所有するデータセットを含めることができます。

 AWS Data Exchange 製品をサブスクライブするには、IAM エンティティには AWS Data Exchange、 AWS Marketplace (関連するサブスクリプション検証に合格した場合) の `aws-marketplace:subscribe`、`aws-marketplace:aws-marketplace:CreateAgreementRequest`、および `aws-marketplace:AcceptAgreementRequest` IAM アクセス許可に加えて、 を使用するアクセス許可が必要です。サブスクライバーのアカウントには権限を持つデータセットに対する読み取りアクセス権がありますが、アカウントは権限を持つデータセットを所有しません。Amazon S3 にエクスポートされる権限を持つデータセットは、サブスクライバーの AWS アカウントが所有します。

### リソースへのアクセスの管理
<a name="access-control-manage-access-intro"></a>

このセクションでは、 のコンテキストでの IAM の使用について説明します AWS Data Exchange。ここでは、IAM サービスに関する詳細情報を提供しません。完全な IAM ドキュメンテーションについては、「*IAM ユーザーガイド*」の「[IAM とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)」を参照してください。IAM ポリシーの構文の詳細と説明については、*IAM ユーザーガイド* の [AWS Identity and Access Management IAM ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) を参照してください。

アクセスポリシー**は、誰が何に対するアクセス権を持っているのかを説明します。以下のセクションでは、アクセス権限のポリシーを作成するためのオプションについて説明します。

IAM アイデンティティにアタッチされているポリシーは、[アイデンティティベース]** のポリシー (IAM ポリシー) と呼ばれます。リソースにアタッチされたポリシーは、*リソースベースの*ポリシーと呼ばれます。 は、アイデンティティベースのポリシー (IAM ポリシー) のみ AWS Data Exchange をサポートします。

**Topics**
+ [ID ベースのポリシーと権限](#access-control-manage-access-intro-iam-policies)
+ [リソースベースのポリシー](#access-control-manage-access-intro-resource-policies)

#### ID ベースのポリシーと権限
<a name="access-control-manage-access-intro-iam-policies"></a>

AWS Data Exchange には、一連の 管理ポリシーが用意されています。それらとそのアクセス許可の詳細については、「」を参照してください[AWS の 管理ポリシー AWS Data Exchange](security-iam-awsmanpol.md)。

##### Amazon S3 のアクセス許可
<a name="additional-s3-permissions"></a>

Amazon S3 から にアセットをインポートする場合 AWS Data Exchange、 AWS Data Exchange サービス S3 バケットに書き込むためのアクセス許可が必要です。同様に、 から Amazon S3 AWS Data Exchange にアセットをエクスポートする場合、 AWS Data Exchange サービス S3 バケットから読み取るためのアクセス許可が必要です。これらの許可は前述のポリシーに含まれていますが、独自のポリシーを作成して、ユーザーに実行してもらいたい操作だけを許可することもできます。これらのアクセス許可は、名前`aws-data-exchange`に を含むバケットにスコープし、[CalledVia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia) アクセス許可を使用して、アクセス許可の使用をプリンシパル AWS Data Exchange に代わって によって行われたリクエストに制限できます。

たとえば、これらのアクセス許可 AWS Data Exchange を含む へのインポートとエクスポートを許可するポリシーを作成できます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::*aws-data-exchange*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "dataexchange.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::*aws-data-exchange*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "dataexchange.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

これらのアクセス許可により、プロバイダーは を使用してインポートおよびエクスポートできます AWS Data Exchange。ポリシーには、以下の許可と制限が含まれています。
+ s3:PutObject**** と **s3:PutObjectAcl** – これらの許可は、名前に `aws-data-exchange` が含まれる S3 バケットのみに制限されています。これらのアクセス許可により、プロバイダーは Amazon S3 からインポートするときに AWS Data Exchange サービスバケットに書き込むことができます。
+ s3:GetObject**** – この許可は、名前に `aws-data-exchange` が含まれる S3 バケットに制限されています。このアクセス許可により、 から Amazon S3 AWS Data Exchange にエクスポートするときに AWS Data Exchange サービスバケットから読み取ることができます。
+ これらの許可は、IAM `CalledVia` 条件で AWS Data Exchange を使用して行われたリクエストに制限されています。これにより、S3 アクセス`PutObject`許可は AWS Data Exchange コンソールまたは API のコンテキストでのみ使用できます。
+ **AWS Lake Formation**** および** **AWS Resource Access Manager** **(AWS RAM)** **–** AWS Lake Formation データセットを使用するには、サブスクリプションを持つ新しいプロバイダーごとに AWS RAM 共有招待を受け入れる必要があります。 AWS RAM 共有招待を受け入れるには、 AWS RAM 共有招待を受け入れるアクセス許可を持つロールを引き受ける必要があります。の管理 AWS ポリシーの詳細については AWS RAM、「 [の管理ポリシー」を参照してください AWS RAM。](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html)
+  AWS Lake Formation データセットを作成するには、IAM が にロールを渡すことを許可するロールを引き受けたデータセットを作成する必要があります AWS Data Exchange。これにより、 AWS Data Exchange はユーザーに代わって Lake Formation リソースにアクセス許可を付与および取り消すことができます。以下のポリシーの例を参照してください。

  ```
  {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "*",
      "Condition": {
          "StringEquals": {
               "iam:PassedToService": "dataexchange.amazonaws.com"
          }
      }
  }
  ```

**注記**  
ユーザーには、この例で説明されていない独自の S3 バケットとオブジェクトに対して読み取りまたは書き込みを行うための追加の許可も必要になる場合があります。

ユーザー、グループ、ロール、および許可の詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」の「*ID (ユーザー、グループ、ロール)*」を参照してください。

#### リソースベースのポリシー
<a name="access-control-manage-access-intro-resource-policies"></a>

AWS Data Exchange はリソースベースのポリシーをサポートしていません。

Amazon S3 などの他のサービスは、リソースベースの許可ポリシーをサポートします。例えば、ポリシーを S3 バケットにアタッチして、そのバケットに対するアクセス許可を管理できます。

### ポリシー要素 (アクション、効果、プリンシパル) の指定
<a name="access-control-specify-control-tower-actions"></a>

を使用するには AWS Data Exchange、IAM ポリシーでユーザーアクセス許可を定義する必要があります。

最も基本的なポリシーの要素を次に示します。
+ **リソース** – ポリシーでは、ポリシーが適用されるリソースを特定するために Amazon リソースネーム (ARN) を使用します。すべての AWS Data Exchange API オペレーションはリソースレベルのアクセス許可 (RLP) をサポートしていますが、 AWS Marketplace アクションは RLP をサポートしていません。詳細については、「[AWS Data Exchange リソースとオペレーション](#access-control-resources)」を参照してください。
+ アクション**** – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。
+ 効果**** – ユーザーが特定のアクションをリクエストするときの効果 (許可または拒否) を指定します。リソースに対するアクセス権を明示的に付与 (許可) しない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
+ プリンシパル**** – ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス許可を受け取るユーザー、アカウント、サービス、またはその他のエンティティを指定します (リソースベースのポリシーにのみ適用されます）。 AWS Data Exchange はリソースベースのポリシーをサポートしていません。

IAM ポリシーの構文と説明の詳細については、*IAM ユーザーガイド*の[AWS Identity and Access Management 「ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。

### ポリシーでの条件の指定
<a name="specifying-conditions"></a>

許可を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。では AWS Data Exchange、、`CreateJob`、`GetJob`、および `CancelJob` API `StartJob`オペレーションが条件付きアクセス許可をサポートします。許可は `JobType` レベルで提供できます。


**AWS Data Exchange 条件キーリファレンス**  

| 条件キー | 説明 | タイプ | 
| --- | --- | --- | 
| "dataexchange:JobType":"IMPORT\$1ASSETS\$1FROM\$1S3" | Amazon S3 からアセットをインポートするジョブに許可をスコープします。 | String | 
| "dataexchange:JobType":IMPORT\$1ASSETS\$1FROM\$1LAKE\$1FORMATION\$1TAG\$1POLICY" (Preview) |  AWS Lake Formation からアセットをインポートするジョブに対するアクセス許可の範囲を設定します (プレビュー) | String | 
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL" | 署名付き URL からアセットをインポートするジョブに許可をスコープします。 | String | 
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1REDSHIFT\$1DATA\$1SHARES" | Amazon Redshift からアセットをインポートするジョブに許可をスコープします。 | String | 
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1API\$1GATEWAY\$1API" | Amazon API Gateway からアセットをインポートするジョブに許可をスコープします。 | String | 
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1S3" | Amazon S3 にアセットをエクスポートするジョブに許可をスコープします。 | String | 
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL" | 署名付き URL にアセットをエクスポートするジョブに許可をスコープします。 | String | 
| "dataexchange:JobType":EXPORT\$1REVISIONS\$1TO\$1S3" | Amazon S3 にリビジョンをエクスポートするジョブに許可をスコープします。 | String | 

ポリシー言語での条件の指定に関する詳細については、「IAM ユーザーガイド**」の「[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)」を参照してください。

条件を表すには、事前定義された条件キーを使用します。 には API オペレーション`JobType`の条件 AWS Data Exchange があります。必要に応じて使用できる AWS 全体の条件キーもあります。 AWS 全体キーの完全なリストについては、「[https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)」を参照してください。

# AWS Data Exchange API アクセス許可: アクションとリソースリファレンス
<a name="api-permissions-ref"></a>

(IAM) ID AWS Identity and Access Management (アイデンティティベースのポリシー) にアタッチできるアクセス許可ポリシーを設定[アクセスコントロール](access-control.md)して記述する場合は、次の表を参考にしてください。この表は、各 AWS Data Exchange API オペレーション、アクションを実行するためのアクセス許可を付与できるアクション、およびアクセス許可を付与できる AWS リソースを示しています。アクションは、ポリシーの `Action` フィールドで指定します。リソース値は、ポリシーの `Resource` フィールドで指定します。

**注記**  
アクションを指定するには、API 操作名の前に `dataexchange:` プレフィックスを使用します (`dataexchange:CreateDataSet` のようになります)。


**AWS Data Exchange API とアクションに必要なアクセス許可**  

| AWS Data Exchange API オペレーション | 必要な許可 (API アクション) | リソース | 条件 | 
| --- | --- | --- | --- | 
| CreateDataSet | dataexchange:CreateDataSet | 該当なし |  `aws:TagKeys` `aws:RequestTag`  | 
| GetDataSet | dataexchange:GetDataSet | データセット |  aws:RequestTag | 
| UpdateDataSet | dataexchange:UpdateDataSet | データセット |  aws:RequestTag | 
| PublishDataSet | dataexchange:PublishDataSet | データセット |  aws:RequestTag | 
| DeleteDataSet | dataexchange:DeleteDataSet | データセット | aws:RequestTag | 
| ListDataSets | dataexchange:ListDataSets | 該当なし | 該当なし | 
| CreateRevision | dataexchange:CreateRevision | データセット |  `aws:TagKeys` `aws:RequestTag`  | 
| GetRevision | dataexchange:GetRevision |  リビジョン  | aws:RequestTag | 
| DeleteRevision | dataexchange:DeleteRevision |  リビジョン  | aws:RequestTag | 
| ListDataSetRevisions | dataexchange:ListDataSetRevisions | データセット | aws:RequestTag | 
| ListRevisionAssets | dataexchange:ListRevisionAssets |  リビジョン  | aws:RequestTag | 
| CreateEventAction | dataexchange:CreateEventAction | 該当なし | 該当なし | 
| UpdateEventAction | dataexchange:UpdateEventAction |  イベントアクション  | 該当なし | 
| GetEventAction | dataexchange:GetEventAction |  イベントアクション  | 該当なし | 
| ListEventActions | dataexchange:ListEventActions | 該当なし | 該当なし | 
| DeleteEventAction | dataexchange:DeleteEventAction |  イベントアクション  | 該当なし | 
| CreateJob | dataexchange:CreateJob | 該当なし | dataexchange:JobType | 
| GetJob | dataexchange:GetJob | ジョブ | dataexchange:JobType | 
| StartJob\$1\$1 | dataexchange:StartJob | ジョブ | dataexchange:JobType | 
| CancelJob | dataexchange:CancelJob | ジョブ | dataexchange:JobType | 
| ListJobs | dataexchange:ListJobs | 該当なし | 該当なし | 
| ListTagsForResource | dataexchange:ListTagsForResource |  リビジョン  | aws:RequestTag | 
| TagResource | dataexchange:TagResource |  リビジョン  |  `aws:TagKeys` `aws:RequestTag`  | 
| UnTagResource | dataexchange:UnTagResource |  リビジョン  |  `aws:TagKeys` `aws:RequestTag`  | 
| UpdateRevision | dataexchange:UpdateRevision |  リビジョン  | aws:RequestTag | 
| DeleteAsset | dataexchange:DeleteAsset |  アセット  | 該当なし | 
| GetAsset | dataexchange:GetAsset |  アセット  | 該当なし | 
| UpdateAsset | dataexchange:UpdateAsset |  アセット  | 該当なし | 
| SendApiAsset | dataexchange:SendApiAsset |  アセット  | 該当なし | 

\$1\$1**** 開始しているジョブのタイプによっては、追加の IAM 許可が必要になる場合があります。 AWS Data Exchange ジョブタイプと関連する追加の IAM 許可については、以下の表を参照してください。ジョブの詳細については、「[のジョブ AWS Data Exchange](jobs.md)」を参照してください。

**注記**  
現在、以下の SDK では `SendApiAsset` 操作がサポートされていません。  
SDK for .NET
AWS SDK for C\$1\$1
SDK for Java 2.x


**AWS Data Exchange のジョブタイプのアクセス許可 `StartJob`**  

| ジョブタイプ | 必要となる追加の IAM 許可 | 
| --- | --- | 
| IMPORT\$1ASSETS\$1FROM\$1S3 | dataexchange:CreateAsset | 
| IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL | dataexchange:CreateAsset | 
| IMPORT\$1ASSETS\$1FROM\$1API\$1GATEWAY\$1API | dataexchange:CreateAsset | 
| IMPORT\$1ASSETS\$1FROM\$1REDSHIFT\$1DATA\$1SHARES | dataexchange:CreateAsset, redshift:AuthorizeDataShare | 
| EXPORT\$1ASSETS\$1TO\$1S3 | dataexchange:GetAsset | 
| EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL | dataexchange:GetAsset | 
| EXPORT\$1REVISIONS\$1TO\$1S3 | dataexchange:GetRevision dataexchange:GetDataSet  IAM 権限 `dataexchange:GetDataSet` は、`EXPORT_REVISIONS_TO_S3` ジョブ タイプの動的参照として `DataSet.Name` を使用している場合にのみ必要です。  | 

以下の例にあるように、ワイルドカードを使用することによって、データセットアクションをリビジョンまたはアセットレベルにスコープできます。

```
arn:aws:dataexchange:us-east-1:123456789012:data-sets/99EXAMPLE23c7c272897cf1EXAMPLE7a/revisions/*/assets/*
```

一部の AWS Data Exchange アクションは AWS Data Exchange コンソールでのみ実行できます。これらのアクションは AWS Marketplace 機能と統合されています。アクションには、次の表に示す AWS Marketplace アクセス許可が必要です。


**AWS Data Exchange サブスクライバーのコンソールのみのアクション**  

| コンソールアクション | IAM 許可 | 
| --- | --- | 
| 製品をサブスクライブする |  `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest`  | 
| サブスクリプション検証リクエストを送信する |  `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest`  | 
| サブスクリプションの自動更新を有効にする |  `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest`  | 
| サブスクリプションの自動更新ステータスを表示する |  `aws-marketplace:ListEntitlementDetails` `aws-marketplace:ViewSubscriptions` `aws-marketplace:GetAgreementTerms`  | 
| サブスクリプションの自動更新を無効にする |  `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest`  | 
| アクティブなサブスクリプションをリストする |  `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms`  | 
| サブスクリプションを表示する |  `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` `aws-marketplace:DescribeAgreement`  | 
| サブスクリプション検証リクエストをリストする |  `aws-marketplace:ListAgreementRequests`  | 
| サブスクリプション検証リクエストを表示する |  `aws-marketplace:GetAgreementRequest`  | 
| サブスクリプション検証リクエストをキャンセルする |  `aws-marketplace:CancelAgreementRequest`  | 
| アカウントを対象とするすべてのオファーを表示する |  `aws-marketplace:ListPrivateListings`  | 
| 特定のオファーの詳細を表示する |  `aws-marketplace:GetPrivateListing`  | 


**AWS Data Exchange プロバイダーのコンソールのみのアクション**  

| コンソールアクション | IAM 許可 | 
| --- | --- | 
| 製品にタグ付けする |  `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource`  | 
| オファーにタグ付けする |  `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource`  | 
| 製品を公開する |  `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` `dataexchange:PublishDataSet`  | 
| 製品を非公開にする |  `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet`  | 
| 製品を編集する |  `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet`  | 
| カスタムオファーを作成する |  `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet`  | 
| カスタムオファーを編集する |  `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet`  | 
| 製品の詳細を表示する |  `aws-marketplace:DescribeEntity` `aws-marketplace:ListEntities`  | 
| 製品のカスタムオファーを表示する | aws-marketplace:DescribeEntity | 
| 製品ダッシュボードを表示する |  `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity`  | 
| データセットまたはリビジョンが発行された製品をリストする |  `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity`  | 
| サブスクリプション検証リクエストをリストする |  `aws-marketplace:ListAgreementApprovalRequests` `aws-marketplace:GetAgreementApprovalRequest`  | 
| サブスクリプション検証リクエストを承認する |  `aws-marketplace:AcceptAgreementApprovalRequest`  | 
| サブスクリプション検証リクエストを拒否する |  `aws-marketplace:RejectAgreementApprovalRequest`  | 
| サブスクリプション検証リクエストからの情報を削除する |  `aws-marketplace:UpdateAgreementApprovalRequest`  | 
| サブスクリプションの詳細を表示する |  `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms`  | 

# AWS の 管理ポリシー AWS Data Exchange
<a name="security-iam-awsmanpol"></a>

 AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。

 AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

**Topics**
+ [AWS マネージドポリシー: AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)
+ [AWS マネージドポリシー: AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)
+ [AWS 管理ポリシー: AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)
+ [AWS マネージドポリシー: AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)
+ [AWS マネージドポリシー: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)
+ [AWS 管理ポリシー: AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)
+ [AWS 管理ポリシー: AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess)
+ [AWS 管理ポリシー: AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess)
+ [AWS Data Exchange AWS 管理ポリシーの更新](#security-iam-awsmanpol-updates)

## AWS マネージドポリシー: AWSDataExchangeFullAccess
<a name="security-iam-awsmanpol-awsdataexchangefullaccess"></a>

`AWSDataExchangeFullAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 AWS Data Exchange および SDK を使用した および AWS Marketplace アクションへのフルアクセスを許可する管理アクセス許可を付与 AWS マネジメントコンソール します。また、Amazon S3 および への選択アクセスを提供し、 AWS Key Management Service 必要に応じて最大限に活用できます AWS Data Exchange。

このポリシーのアクセス許可を表示するには、*AWS 「 マネージドポリシーリファレンス*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html)」の「」を参照してください。

## AWS マネージドポリシー: AWSDataExchangeProviderFullAccess
<a name="security-iam-awsmanpol-awsdataexchangeproviderfullaccess"></a>

`AWSDataExchangeProviderFullAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 AWS マネジメントコンソール および SDK を使用してデータプロバイダーに AWS Data Exchange および AWS Marketplace アクションへのアクセスを提供する寄稿者アクセス許可を付与します。また、Amazon S3 と への選択アクセスを提供し、 AWS Key Management Service 必要に応じて を最大限に活用します AWS Data Exchange。

このポリシーのアクセス許可を表示するには、*AWS 「 マネージドポリシーリファレンス*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html)」の「」を参照してください。

## AWS 管理ポリシー: AWSDataExchangeReadOnly
<a name="security-iam-awsmanpol-awsdataexchangereadonly"></a>

`AWSDataExchangeReadOnly` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 AWS Data Exchange および SDK を使用した および AWS Marketplace アクションへの読み取り専用アクセスを許可する読み取り専用アクセス許可を付与 AWS マネジメントコンソール します。

このポリシーのアクセス許可を表示するには、*AWS 「 マネージドポリシーリファレンス*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html)」の「」を参照してください。

## AWS マネージドポリシー: AWSDataExchangeServiceRolePolicyForLicenseManagement
<a name="security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement"></a>

IAM エンティティに `AWSDataExchangeServiceRolePolicyForLicenseManagement` をアタッチすることはできません。このポリシーは、ユーザーに代わって AWS Data Exchange がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。これにより、 が AWS 組織に関する情報を取得し AWS Data Exchange 、データ付与ライセンスを管理する AWS Data Exchange ためのロールアクセス許可が付与されます。詳細については、このセクションで後述する[AWS Data Exchange ライセンス管理のサービスにリンクされたロール](using-service-linked-roles-license-management.md)を参照してください。

このポリシーのアクセス許可を表示するには、*AWS 「 マネージドポリシーリファレンス*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html)」の「」を参照してください。

## AWS マネージドポリシー: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery
<a name="security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery"></a>

IAM エンティティに `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` をアタッチすることはできません。このポリシーは、 がユーザーに代わって AWS Data Exchange アクションを実行できるようにするサービスにリンクされたロールにアタッチされます。これにより、 が AWS 組織に関する情報を取得 AWS Data Exchange して、 AWS Data Exchange データ付与ライセンス配布の適格性を判断するためのロールアクセス許可が付与されます。詳細については、「[での AWS Organization Discovery のサービスにリンクされたロール AWS Data Exchange](using-service-linked-roles-aws-org-discovery.md)」を参照してください。

このポリシーのアクセス許可を表示するには、*AWS 「 マネージドポリシーリファレンス*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html)」の「」を参照してください。

## AWS 管理ポリシー: AWSDataExchangeSubscriberFullAccess
<a name="security-iam-awsmanpol-awsdataexchangesubscriberfullaccess"></a>

`AWSDataExchangeSubscriberFullAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、データサブスクライバーに および SDK を使用した および AWS Marketplace アクションへのアクセス AWS Data Exchange を許可するアクセス許可を付与 AWS マネジメントコンソール します。また、Amazon S3 と への選択アクセスを提供し、 AWS Key Management Service 必要に応じて を最大限に活用します AWS Data Exchange。

このポリシーのアクセス許可を表示するには、*AWS 「 マネージドポリシーリファレンス*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html)」の「」を参照してください。

## AWS 管理ポリシー: AWSDataExchangeDataGrantOwnerFullAccess
<a name="security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess"></a>

`AWSDataExchangeDataGrantOwnerFullAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 AWS マネジメントコンソール および SDK を使用した AWS Data Exchange アクションへのアクセスを Data Grant 所有者に付与します。 SDKs

このポリシーのアクセス許可を表示するには、*AWS 「 マネージドポリシーリファレンス*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html)」の「」を参照してください。

## AWS 管理ポリシー: AWSDataExchangeDataGrantReceiverFullAccess
<a name="security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess"></a>

`AWSDataExchangeDataGrantReceiverFullAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 および SDK を使用した AWS Data Exchange アクションへのアクセスを Data Grant AWS マネジメントコンソール レシーバーに付与します。 SDKs

このポリシーのアクセス許可を表示するには、*AWS 「 マネージドポリシーリファレンス*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html)」の「」を参照してください。

## AWS Data Exchange AWS 管理ポリシーの更新
<a name="security-iam-awsmanpol-updates"></a>

次の表は、このサービスがこれらの変更の追跡を開始 AWS Data Exchange してからの AWS の管理ポリシーの更新に関する詳細を示しています。このページに対する変更 (および本ユーザーガイドに対するその他変更) に関する自動アラートについては、「[のドキュメント履歴 AWS Data Exchange](doc-history.md)」ページの RSS フィードをサブスクライブしてください。






| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  [AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess) - 新しいポリシー  |  AWS Data Exchange は、Data Grant 所有者に AWS Data Exchange アクションへのアクセスを許可する新しいポリシーを追加しました。  | 2024 年 10 月 24 日 | 
|  [AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess) - 新しいポリシー  |  AWS Data Exchange は、Data Grant レシーバーに AWS Data Exchange アクションへのアクセスを許可する新しいポリシーを追加しました。  | 2024 年 10 月 24 日 | 
|  [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) – 既存ポリシーへの更新  |  新しいデータ付与機能に必要なアクセス許可を `AWSDataExchangeReadOnly` AWS 管理ポリシーに追加しました。  | 2024 年 10 月 24 日 | 
|  [AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement) - 新しいポリシー  |  カスタマーアカウントのライセンス付与を管理するためのサービスにリンクされたロールをサポートする新しいポリシーを追加しました。  | 2024 年 10 月 17 日 | 
|  [AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery) - 新しいポリシー  |  Organization のアカウント情報への読み取りアクセスを提供するサービスにリンクされたロールをサポートする新しいポリシーを追加しました AWS 。  | 2024 年 10 月 17 日 | 
|  [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)  | ポリシーを読みやすくするためにステートメント IDs を追加し、ワイルドカードによるアクセス許可を読み取り専用 ADX アクセス許可の完全なリストに拡張し、新しいアクション aws-marketplace:ListTagsForResourceおよび を追加しましたaws-marketplace:ListPrivateListings。 |  2024 年 7 月 9 日  | 
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | 削除されたアクション: aws-marketplace:GetPrivateListing | 2024 年 5 月 22 日 | 
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) | ポリシーを読みやすくするためにステートメント IDs を追加し、新しいアクション を追加しましたaws-marketplace:ListPrivateListings。 | 2024 年 4 月 30 日 | 
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | ポリシーを読みやすくするためにステートメント IDs を追加し、新しいアクション aws-marketplace:TagResource、aws-marketplace:UntagResource、、aws-marketplace:ListTagsForResourceaws-marketplace:ListPrivateListings、aws-marketplace:GetPrivateListing、 を追加しましたaws-marketplace:DescribeAgreement。 | 2024 年 4 月 30 日 | 
|  [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)  | ポリシーを読みやすくするためにステートメント IDs を追加しました。 | 2024 年 8 月 9 日 | 
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | dataexchange:SendDataSetNotificationデータセット通知を送信するための新しいアクセス許可である を追加しました。 | 2024 年 3 月 5 日 | 
|  [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)、[AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)、 [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)- 既存のポリシーの更新  |  すべてのマネージドポリシーにきめ細かいアクションを追加しました。新たに追加されたアクション: `aws-marketplace:CreateAgreementRequest`、`aws-marketplace:AcceptAgreementRequest`、`aws-marketplace:ListEntitlementDetails`、`aws-marketplace:ListPrivateListings`、`aws-marketplace:GetPrivateListing`、`license-manager:ListReceivedGrants``aws-marketplace:TagResource`、`aws-marketplace:UntagResource`、`aws-marketplace:ListTagsForResource`、`aws-marketplace:DescribeAgreement`、`aws-marketplace:GetAgreementTerms`、`aws-marketplace:GetLicense`  | 2023 年 7 月 31 日 | 
|  [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) – 既存のポリシーの更新  |  リビジョンを取り消すための新しい権限 `dataexchange:RevokeRevision` が追加されました。  | 2022 年 3 月 15 日 | 
|  [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) と [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) - 既存のポリシーに対する更新  |  Amazon API Gateway から API アセットを取得するための新しい権限である `apigateway:GET` を追加しました。  | 2021 年 12 月 3 日 | 
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) と [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) - 既存のポリシーに対する更新 |  API アセットにリクエストを送信するための新しい許可である `dataexchange:SendApiAsset` を追加しました。  | 2021 年 11 月 29 日 | 
|  [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) と [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) - 既存のポリシーに対する更新  |  Amazon Redshift データセットへのアクセスを承認し、それらを作成するための新しい許可である `redshift:AuthorizeDataShare`、`redshift:DescribeDataSharesForProducer`、および ` redshift:DescribeDataShares` を追加しました。  | 2021 年 11 月 1 日 | 
|  [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) – 既存ポリシーへの更新  |  データセットの新しいリビジョンを自動的にエクスポートするためのアクセスを制御する新しい許可である `dataexchange:CreateEventAction`、`dataexchange:UpdateEventAction`、および `dataexchange:DeleteEventAction` を追加しました。  | 2021 年 9 月 30 日 | 
|  [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) と [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) - 既存のポリシーに対する更新  |  データセットの新しいバージョンを発行するためのアクセスを制御する新しい許可である `dataexchange:PublishDataSet` を追加しました。  | 2021 年 5 月 25 日 | 
|  [AWS DataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)、[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)、および [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) – 既存のポリシーの更新  |  製品とオファーのサブスクリプションの表示を可能にする `aws-marketplace:SearchAgreements` および `aws-marketplace:GetAgreementTerms` を追加しました。  | 2021 年 5 月 12 日 | 
|  AWS Data Exchange が変更の追跡を開始しました  |  AWS Data Exchange は、 AWS 管理ポリシーの変更の追跡を開始しました。  | 2021 年 4 月 20 日 | 

# のサービスにリンクされたロールの使用 AWS Data Exchange
<a name="using-service-linked-roles-adx"></a>

AWS Data Exchange は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS Data Exchange。サービスにリンクされたロールは によって事前定義 AWS Data Exchange されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Data Exchange が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Data Exchange を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Data Exchange ることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、 AWS Data Exchange リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」を持つサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。

## のサービスにリンクされたロールの作成 AWS Data Exchange
<a name="create-service-linked-role-license-management"></a>

サービスリンクロールを手動で作成する必要はありません。ライセンスマネージャーを使用してデータ許可を配布すると、サービスにリンクされたロールが作成されます。

**サービスリンクロールを作成するには**

1. [AWS Data Exchange コンソール](https://console.aws.amazon.com/adx/)でサインインし、**Data Grant 設定**を選択します。

1. **データ付与設定**ページで、**統合の設定**を選択します。

1. ** AWS Organizations 統合の作成**セクションで、**統合の設定**を選択します。

1. ** AWS Organizations 統合の作成**ページで、適切な信頼レベルの設定を選択し、**統合の作成**を選択します。

IAM コンソールを使用して、ユースケースでサービスにリンクされたロールを作成することもできます。 AWS CLI または AWS API で、サービス名を使用して`appropriate-service-name.amazonaws.com`サービスにリンクされたロールを作成します。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

## のサービスにリンクされたロールの編集 AWS Data Exchange
<a name="edit-service-linked-role-license-management"></a>

AWS Data Exchange では、サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## のサービスにリンクされたロールの削除 AWS Data Exchange
<a name="delete-service-linked-role-license-management"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

**注記**  
リソースを削除しようとしたときに AWS Data Exchange サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

サービスにリンクされたロールを削除する前に、以下を実行する必要があります。
+ `AWSServiceRoleForAWSDataExchangeLicenseManagement` ロールで、受け取った AWS Data Exchange データ許可のすべての AWS License Manager 分散許可を削除します。
+ `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` ロールについては、 AWS 組織内のアカウントが受け取った AWS Data Exchange データ付与の AWS License Manager 分散付与をすべて削除します。

**サービスにリンクされたロールを手動で削除する**

IAM コンソール、 AWS CLI、または AWS API を使用して、サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## AWS Data Exchange サービスにリンクされたロールでサポートされているリージョン
<a name="slr-regions-adx"></a>

AWS Data Exchange は、サービスが利用可能なすべての で AWS リージョン サービスにリンクされたロールの使用をサポートします。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。

# AWS Data Exchange ライセンス管理のサービスにリンクされたロール
<a name="using-service-linked-roles-license-management"></a>

AWS Data Exchange は という名前のサービスにリンクされたロールを使用します`AWSServiceRoleForAWSDataExchangeLicenseManagement`。このロールにより、 AWS Data Exchange は AWS 組織に関する情報を取得し、 AWS Data Exchange データ付与ライセンスを管理できます。

`AWSServiceRoleForAWSDataExchangeLicenseManagement` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `license-management.dataexchange.amazonaws.com`

という名前のロールアクセス許可ポリシー`AWSDataExchangeServiceRolePolicyForLicenseManagement`により AWS Data Exchange 、 は指定されたリソースに対して次のアクションを実行できます。
+ アクション: 
  + `organizations:DescribeOrganization`
  + `license-manager:ListDistributedGrants`
  + `license-manager:GetGrant`
  + `license-manager:CreateGrantVersion`
  + `license-manager:DeleteGrant`
+ リソース:
  + すべてのリソース (`*`)

`AWSDataExchangeServiceRolePolicyForLicenseManagement` ロールの詳細については、「[AWS マネージドポリシー: AWSDataExchangeServiceRolePolicyForLicenseManagement](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)」を参照してください。

`AWSServiceRoleForAWSDataExchangeLicenseManagement` サービスにリンクされたロールの使用の詳細については、「」を参照してください[のサービスにリンクされたロールの使用 AWS Data Exchange](using-service-linked-roles-adx.md)。

ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

# での AWS Organization Discovery のサービスにリンクされたロール AWS Data Exchange
<a name="using-service-linked-roles-aws-org-discovery"></a>

AWS Data Exchange は という名前のサービスにリンクされたロールを使用します`AWSServiceRoleForAWSDataExchangeOrganizationDiscovery`。このロールにより、 AWS Data Exchange は AWS 組織に関する情報を取得して AWS 、Data Exchange データグラントライセンスディストリビューションの適格性を判断できます。

**注記**  
このロールは、 AWS 組織の管理アカウントでのみ必要です。

`AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `organization-discovery.dataexchange.amazonaws.com`

という名前のロールアクセス許可ポリシー`AWSDataExchangeServiceRolePolicyForOrganizationDiscovery`により AWS Data Exchange 、 は指定されたリソースに対して次のアクションを実行できます。
+ アクション:
  + `organizations:DescribeOrganization`
  + `organizations:DescribeAccount`
  + `organizations:ListAccounts`
+ リソース:
  + すべてのリソース (`*`)

`AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` ロールの詳細については、「[AWS マネージドポリシー: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)」を参照してください。

`AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` サービスにリンクされたロールの使用の詳細については、このセクションの前[のサービスにリンクされたロールの使用 AWS Data Exchange](using-service-linked-roles-adx.md)半の「」を参照してください。

ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

# のコンプライアンス検証 AWS Data Exchange
<a name="compliance-program-info"></a>

 AWS のサービス が特定のコンプライアンスプログラムの範囲内にあるかどうかを確認するには、[AWS のサービス 「コンプライアンスプログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)」の「コンプライアンス」を参照して、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。

を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。

を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用可能な法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。

## PCI DSS コンプライアンス
<a name="pci-dss-compliance"></a>

AWS Data Exchange は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、保存、および送信をサポートし、Payment Card Industry (PCI) Data Security Standard (DSS) に準拠していることが確認されています。PCI コンプライアンスパッケージのコピーをリクエストする方法など、 AWS PCI DSS の詳細については、[「PCI DSS レベル 1](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)」を参照してください。

# の耐障害性 AWS Data Exchange
<a name="disaster-recovery-resiliency"></a>

 AWS グローバルインフラストラクチャは、 AWS リージョン およびアベイラビリティーゾーンを中心に構築されています。 は、低レイテンシー、高スループット、高度に冗長なネットワークで接続された、物理的に分離および分離された複数のアベイラビリティーゾーン AWS リージョン を提供します。アベイラビリティーゾーンでは、アベイラビリティーゾーン間で中断されることなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、および拡張性に優れています。

AWS Data Exchange には、プロバイダーが提供するグローバルに利用可能な単一の製品カタログがあります。サブスクライバーは、使用しているリージョンにかかわらず、同一のカタログを表示できます。製品の基盤となるリソース (データセット、リビジョン、アセット) は、プログラムまたはサポートされているリージョンの AWS Data Exchange コンソールを通じて管理するリージョンリソースです。 は、サービスが動作するリージョン内の複数のアベイラビリティーゾーンにデータを AWS Data Exchange レプリケートします。サポートされるリージョンの詳細については、「[グローバルインフラストラクチャのリージョン表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。

 AWS リージョン およびアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。

# のインフラストラクチャセキュリティ AWS Data Exchange
<a name="infrastructure-security"></a>

マネージドサービスである AWS Data Exchange は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。

 AWS が公開した API コールを使用して、ネットワーク AWS Data Exchange 経由で にアクセスします。クライアントは次をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。

# AWS Data Exchange およびインターフェイス VPC エンドポイント (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

仮想プライベートクラウド (VPC) と AWS Data Exchange 間のプライベート接続は、*インターフェイス VPC エンドポイント*を作成することで確立できます。インターフェイスエンドポイントは、インターネットゲートウェイ[AWS PrivateLink](https://aws.amazon.com/privatelink)、NAT デバイス、VPN 接続、または Direct Connect 接続なしで AWS Data Exchange API オペレーションにプライベートにアクセスできるテクノロジーである を利用しています。VPC 内のインスタンスは、 AWS Data Exchange API オペレーションと通信するためにパブリック IP アドレスを必要としません。VPC と 間のトラフィック AWS Data Exchange は Amazon ネットワークを離れません。

各インターフェースエンドポイントは、サブネット内の 1 つ以上の [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) によって表されます。

**注記**  
を除くすべての AWS Data Exchange アクション`SendAPIAsset`が VPC でサポートされています。

詳細については、Amazon [VPC ユーザーガイドの「インターフェイス VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)」を参照してください。 **

## AWS Data Exchange VPC エンドポイントに関する考慮事項
<a name="vpc-endpoint-considerations"></a>

のインターフェイス VPC エンドポイントを設定する前に AWS Data Exchange、*Amazon VPC ユーザーガイド*の[インターフェイスエンドポイントのプロパティと制限](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)を確認してください。

AWS Data Exchange は、VPC からのすべての API オペレーションの呼び出しをサポートしています。

## のインターフェイス VPC エンドポイントの作成 AWS Data Exchange
<a name="vpc-endpoint-create"></a>

Amazon VPC コンソールまたは AWS Command Line Interface () を使用して、 AWS Data Exchange サービスの VPC エンドポイントを作成できますAWS CLI。詳細については、「Amazon VPC ユーザーガイド」の[インターフェイスエンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)を参照してください。

次のサービス名 AWS Data Exchange を使用して 用の VPC エンドポイントを作成します。
+ `com.amazonaws.region.dataexchange`

エンドポイントのプライベート DNS を有効にすると、 などの のデフォルト DNS 名 AWS Data Exchange を使用して AWS リージョンに API リクエストを行うことができます`com.amazonaws.us-east-1.dataexchange`。

詳細については、「Amazon VPC ユーザーガイド**」の「[インターフェイスエンドポイントを介したサービスへのアクセス](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)」を参照してください。

## の VPC エンドポイントポリシーの作成 AWS Data Exchange
<a name="vpc-endpoint-policy"></a>

VPC エンドポイントには、 AWS Data Exchangeへのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できるプリンシパル
+ 実行可能なアクション
+ アクションを実行できるリソース

詳細については、「Amazon VPC ユーザーガイド**」の「[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。

**例: AWS Data Exchange アクションの VPC エンドポイントポリシー**  
以下は、 のエンドポイントポリシーの例です AWS Data Exchange。エンドポイントにアタッチすると、このポリシーは、すべてのリソースのすべてのプリンシパルに対して、リストされた AWS Data Exchange アクションへのアクセスを許可します。

この VPC エンドポイントポリシーの例では、 からの `bts`の AWS アカウント `123456789012`ユーザーへのフルアクセスのみを許可します`vpc-12345678`。ユーザー `readUser` にはリソースの読み取りが許可されますが、その他のすべての IAM プリンシパルに対しては、エンドポイントへのアクセスが拒否されます。

------
#### [ JSON ]

****  

```
{
    "Id": "example-policy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow administrative actions from vpc-12345678",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/bts"
                ]
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-12345678"
                }
            }
        },
        {
            "Sid": "Allow ReadOnly actions",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:user/readUser"
                ]
            },
            "Action": [
                "dataexchange:list*",
                "dataexchange:get*"
            ],
            "Resource": "*"
        }
    ]
}
```

------