As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança e permissões
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
**Segurança da nuvem:** AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao gerenciamento de AWS custos, consulte [AWS Serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
**Segurança na nuvem:** sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis. Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Gerenciamento de Faturamento e Custos. Os tópicos a seguir mostram como configurar o Gerenciamento de Faturamento e Custos para atender aos seus objetivos de segurança e compatibilidade. Saiba também como usar outros produtos da AWS que ajudam a monitorar e proteger os recursos do Gerenciamento de Faturamento e Custos.
**Topics**
+ [Gerenciamento de identidade e acesso para o Data Exports](bcm-data-exports-access.md)
+ [Proteção de dados no Data Exports](data-protection.md)
# Gerenciamento de identidade e acesso para o Data Exports
AWS O Identity and Access Management (IAM) é AWS um serviço que ajuda o administrador a controlar com segurança o acesso aos recursos. AWS Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (ter permissões) a usar os recursos do Faturamento. O IAM é um AWS serviço que você pode usar sem custo adicional.
Para usar o Data Exports, um usuário do IAM precisa ter acesso às ações no `bcm-data-exports namespace` no IAM. Consulte a tabela a seguir para conhecer as ações disponíveis.
****
| Ação do Data Exports | Description | Nível de acesso | Resource types | Chaves de condição |
| --- | --- | --- | --- | --- |
| CreateExport | Permite que o usuário crie uma exportação e especifique consultas, configurações de entrega, configurações de agendamento e configurações de conteúdo. | Gravar | exportar table | foi: RequestTag /\$1 \$1\$1 TagKey leis: TagKeys |
| UpdateExport | Permite que o usuário atualize uma exportação existente. | Gravar | exportar table | foi: ResourceTag /\$1 \$1\$1 TagKey |
| DeleteExport | Permite que o usuário exclua uma exportação existente. | Gravar | exportar | foi: ResourceTag /\$1 \$1\$1 TagKey |
| GetExport | Permite que o usuário visualize uma exportação existente. | Ler | exportar | foi: ResourceTag /\$1 \$1\$1 TagKey |
| ListExports | Permite que o usuário liste todas as exportações existentes. | Ler | | |
| GetExecution | Permite que o usuário veja detalhes da execução especificada, incluindo os metadados e o esquema dos dados exportados. | Ler | exportar | foi: ResourceTag /\$1 \$1\$1 TagKey |
| ListExecutions | Permite que o usuário liste todas as execuções do identificador de exportação fornecido. | Ler | exportar | foi: ResourceTag /\$1 \$1\$1 TagKey |
| GetTable | Permite que o usuário obtenha o esquema da tabela fornecida. | Ler | table | |
| ListTables | Permite que o usuário liste todas as tabelas disponíveis. | Ler | | |
| TagResource | Permite que o usuário marque uma exportação existente. | Gravar | exportar | foi: ResourceTag /\$1 \$1\$1 TagKey foi: RequestTag /\$1 \$1\$1 TagKey leis: TagKeys |
| UntagResource | Permite que o usuário desmarque uma exportação existente. | Gravar | exportar | foi: ResourceTag /\$1 \$1\$1 TagKey leis: TagKeys |
| ListTagsForResource | Permite que o usuário liste tags associadas a uma exportação existente. | Ler | exportar | foi: ResourceTag /\$1 \$1\$1 TagKey |
Para obter informações sobre como usar essas tags de contexto, consulte [Controlar o acesso a recursos da AWS usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*.
A tabela a seguir descreve os tipos de recursos que estão disponíveis no Data Exports.
****
| Tipo de atributo | Description | ARN |
| --- | --- | --- |
| exportar | Uma exportação é o recurso criado pela CreateExport API. Uma exportação gera uma saída de consulta de gerenciamento de faturamento e custos de forma recorrente. | arn: \$1 \$1Partition\$1:bcm-data-exports: \$1 \$1Region\$1 :\$1 \$1Account\$1 :export/\$1 \$1exportName\$1 - \$1UUID\$1 |
| table | Tabela são dados em formato de linha e coluna que um usuário consulta com uma exportação. As tabelas são criadas e gerenciadas AWS por quatro clientes. As tabelas não podem ser excluídas pelos clientes. | arn: \$1 \$1Partition\$1:bcm-data-exports: \$1 \$1Region\$1 :\$1 \$1Account\$1 :table/\$1 \$1\$1 TableName |
Para criar exportações dos recursos da tabela COST\$1AND\$1USAGE\$1REPORT ou COST\$1AND\$1USAGE\$1DASHBOARD no Data Exports, os usuários do IAM também devem ter permissões para a respectiva ação `cur` no IAM. Isso significa que, se um usuário do IAM for impedido de usar ações `cur` por qualquer motivo, como a falta de uma permissão explícita no `cur` ou uma política de controle de serviços (SCP) que forneça uma negação explícita no `cur`, esse usuário do IAM será impedido de criar ou atualizar as exportações dessas duas tabelas.
A tabela a seguir mostra qual ação `cur` é necessária para quais ações `bcm-data-exports` no Data Exports para essas duas tabelas.
****
| Ação do Data Exports | Recursos de tabela | Ações adicionais necessárias no IAM |
| --- | --- | --- |
| bcm-data-exports:CreateExport | COST\$1AND\$1USAGE\$1REPORT COST\$1AND\$1USAGE\$1DASHBOARD | cura: PutReportDefinition |
## Exemplo da política do
Permitir que o usuário do IAM tenha acesso total às exportações do CUR 2.0 no Data Exports.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewDataExportsTablesAndExports",
"Effect": "Allow",
"Action": [
"bcm-data-exports:ListTables",
"bcm-data-exports:ListExports",
"bcm-data-exports:GetExport"
],
"Resource": "*"
},
{
"Sid": "CreateCurExports",
"Effect": "Allow",
"Action": "bcm-data-exports:*",
"Resource": [
"arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
"arn:aws:bcm-data-exports:*:*:export/*"
]
},
{
"Sid": "CurDataAccess",
"Effect": "Allow",
"Action": "cur:PutReportDefinition",
"Resource": "*"
}
]
}
```
------
Para obter mais informações sobre controle de acesso e permissões do IAM para usar o Data Exports no Gerenciamento de Faturamento e Custos, consulte [Visão geral do gerenciamento de permissões de acesso](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html).
### Crie um AWS CUR 2.0 pro forma
Para criar um CUR 2.0 pro forma, você precisará incluir a seguinte política do IAM:
Permita que o usuário do IAM tenha acesso total ao CUR 2.0 e ao Billing Group Billing View.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateCur20AnyBillingView",
"Effect": "Allow",
"Action": "bcm-data-exports:CreateExport",
"Resource": [
"arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
"arn:aws:bcm-data-exports:*:*:export/*",
"arn:aws:billing::*:billingview/*"
]
},{
"Sid": "CurDataAccess",
"Effect": "Allow",
"Action": "cur:PutReportDefinition",
"Resource": "*"
}
]
}
```
------
Se você quiser que um papel do IAM tenha acesso a um grupo de faturamento específico, você pode adicionar o ARN do Billing View que o papel tem permissão para acessar.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateSpecificBillingViewCur20",
"Effect": "Allow",
"Action": "bcm-data-exports:CreateExport",
"Resource": [
"arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
"arn:aws:bcm-data-exports:*:*:export/*",
"arn:aws:billing::444455556666:billingview/billing-group-111122223333"
]
},{
"Sid": "CurDataAccess",
"Effect": "Allow",
"Action": "cur:PutReportDefinition",
"Resource": "*"
}
]
}
```
------
# Proteção de dados no Data Exports
Saiba como o modelo de responsabilidade AWS compartilhada se aplica à proteção de dados nas exportações de dados.
## Práticas recomendadas de segurança do S3
O Data Exports entrega os dados de gerenciamento de faturamento e custos a um bucket do Amazon S3. Há várias etapas que você pode seguir para garantir que o bucket do S3 esteja seguro. Para obter mais informações, consulte [Práticas recomendadas de segurança para o Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) no *Guia do usuário do Amazon S3*.
## Criptografia de dados no S3
Por padrão, as exportações de dados são criptografados usando criptografia no lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3). Se você quiser usar a criptografia do Amazon Key Management Service (KMS) (SSE-KMS) para criptografar as exportações, é necessário acionar a criptografia com o KMS após a entrega da exportação. Para obter mais informações, consulte [Definir o comportamento padrão da criptografia para os buckets do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html) no *Guia do usuário do Amazon S3*.