As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de vários data centers e da arquitetura de rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve a segurança da nuvem e a segurança na nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. A eficácia de nossa segurança é regularmente testada e verificada por auditores terceirizados como parte dos [programas de AWS conformidade](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade aplicáveis AWS Data Exchange, consulte [AWS Serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelos AWS serviços que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade dos seus dados, os requisitos da sua organização e as leis e regulamentos aplicáveis.
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o AWS Data Exchange. Os tópicos a seguir mostram como configurar para atender AWS Data Exchange aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus AWS Data Exchange recursos.
# Proteção de dados em AWS Data Exchange
O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em AWS Data Exchange. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com AWS Data Exchange ou Serviços da AWS usa o console, a API ou AWS SDKs. AWS CLI Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
AWS Data Exchange fornece as seguintes opções que você pode usar para ajudar a proteger o conteúdo que existe em seus conjuntos de dados:
**Topics**
+ [Criptografia em repouso](#data-protection-encryption-rest)
+ [Criptografia em trânsito](#data-protection-encryption-in-transit)
+ [Restringir o acesso ao conteúdo](#data-protection-restrict-access)
## Criptografia em repouso
AWS Data Exchange sempre criptografa todos os produtos de dados armazenados no serviço em repouso sem exigir nenhuma configuração adicional. Essa criptografia é automática quando você usa AWS Data Exchange.
## Criptografia em trânsito
AWS Data Exchange usa Transport Layer Security (TLS) e criptografia do lado do cliente para criptografia em trânsito. A comunicação com AWS Data Exchange é sempre feita por HTTPS para que seus dados sejam sempre criptografados em trânsito. Essa criptografia é configurada por padrão quando você usa AWS Data Exchange.
## Restringir o acesso ao conteúdo
Como uma melhor prática, você deve restringir o acesso ao subconjunto de usuários apropriado. Com AWS Data Exchange, você pode fazer isso garantindo que os usuários, grupos e funções que usam o seu Conta da AWS tenham as permissões corretas. Para obter mais informações sobre as políticas e perfis para entidades do IAM, consulte o *[Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.
# Gerenciamento de chaves para acesso aos dados do Amazon S3
Esta página é específica para o tipo de acesso a dados do Amazon S3 em que o provedor compartilha objetos criptografados usando SSE-KMS. O assinante deve ter uma concessão nas chaves utilizadas para acesso.
Se seu bucket do Amazon S3 contiver dados criptografados usando chaves gerenciadas pelo AWS KMS cliente, você deverá compartilhá-los AWS Data Exchange para configurar seu AWS KMS keys conjunto de dados de acesso a dados do Amazon S3. Para obter mais informações, consulte [Etapa 2: configurar o acesso aos dados do Amazon S3](publish-s3-data-access-product.md#configure-s3-data-access-product).
**Topics**
+ [Criação de AWS KMS subsídios](#create-kms-grants)
+ [Contexto de criptografia e restrições de concessão](#encryption-context-grant-constraint)
+ [Monitorando sua AWS KMS keys entrada AWS Data Exchange](#monitoring-your-kms-keys)
## Criação de AWS KMS subsídios
Quando você fornece AWS KMS keys como parte do seu conjunto de dados de acesso a dados do Amazon S3, AWS Data Exchange cria uma AWS KMS concessão em cada AWS KMS key compartilhamento. Esse subsídio, conhecido como *subsídio principal*, é usado para dar AWS Data Exchange permissão para criar AWS KMS subsídios adicionais para assinantes. Esses subsídios adicionais são conhecidos como *subsídios secundários*. Cada assinante tem direito a uma AWS KMS concessão. Os assinantes têm permissão para decifrar o. AWS KMS key Em seguida, eles poderão descriptografar e usar os objetos criptografados do Amazon S3 compartilhados com eles. Para obter mais informações, consulte [Concessões no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no *Guia do desenvolvedor AWS Key Management Service *.
AWS Data Exchange também usa a concessão AWS KMS principal para gerenciar o ciclo de vida da AWS KMS concessão que ela cria. Quando uma assinatura termina, o subsídio AWS Data Exchange para AWS KMS crianças criado para o assinante correspondente é cancelado. Se a revisão for revogada ou o conjunto de dados for excluído, a concessão AWS KMS principal será AWS Data Exchange cancelada. Para obter mais informações sobre AWS KMS ações, consulte a [referência AWS KMS da API](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html).
## Contexto de criptografia e restrições de concessão
AWS Data Exchange usa restrições de concessão para permitir a operação de descriptografia somente quando a solicitação inclui o contexto de criptografia especificado. Você pode usar o recurso Amazon S3 Bucket Key para criptografar seus objetos do Amazon S3 e compartilhá-los com. AWS Data Exchange O nome de recurso da Amazon (ARN) do bucket é usado implicitamente pelo Amazon S3 como contexto de criptografia. O exemplo a seguir mostra que AWS Data Exchange usa o ARN do bucket como a restrição de concessão para todas as AWS KMS concessões que ele cria.
```
"Constraints": {
"EncryptionContextSubset": "aws:s3:arn": “arn:aws:s3:::"
}
}
```
## Monitorando sua AWS KMS keys entrada AWS Data Exchange
Ao compartilhar chaves gerenciadas pelo AWS KMS cliente AWS Data Exchange, você pode usá-las [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)para rastrear solicitações AWS Data Exchange ou dados para os quais os assinantes enviam AWS KMS. Veja a seguir exemplos de como serão seus CloudTrail registros para o `CreateGrant` e as `Decrypt` chamadas para AWS KMS.
------
#### [ CreateGrant for parent ]
`CreateGrant`é para subsídios para pais criados AWS Data Exchange por ele mesmo.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Provider01",
"arn": "arn:aws:sts:::assumed-role/Admin/Provider01",
"accountId": "",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam:::role/Admin/Provider01”,
"accountId": "",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-16T17:29:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-16T17:32:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"CreateGrant",
"Decrypt",
"RetireGrant"
],
"granteePrincipal": "dataexchange.us-east-2.amazonaws.com",
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": { AWS:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"eventCategory": "Management"
}
```
------
#### [ CreateGrant for child ]
`CreateGrant`é para bolsas infantis criadas por AWS Data Exchange para assinantes.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-15T23:15:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"Decrypt"
],
"granteePrincipal": “”,
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
"aws:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE ",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
`Decrypt` é chamado pelos assinantes quando tentam ler os dados criptografados nos quais estão inscritos.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AROAIGDTESTANDEXAMPLE:Subscriber01",
"accountId": "",
"invokedBy": ""
},
"eventTime": "2023-02-15T23:28:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-2",
"sourceIPAddress": "",
"userAgent": "",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE”,
"readOnly": true,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "602466227860",
"sharedEventID": "bcf4d02a-31ea-4497-9c98-4c3549f20a7b",
"eventCategory": "Management"
}
```
------
# Gerenciamento de identidade e acesso em AWS Data Exchange
Para realizar qualquer operação em AWS Data Exchange, como criar um trabalho de importação usando um AWS SDK ou assinar um produto no AWS Data Exchange console, o AWS Identity and Access Management (IAM) exige que você autentique que é um usuário aprovado. AWS Por exemplo, se você estiver usando o AWS Data Exchange console, autentica sua identidade fornecendo suas credenciais de AWS login.
Depois de autenticar sua identidade, o IAM controla seu acesso AWS com um conjunto definido de permissões em um conjunto de operações e recursos. Se você for administrador de conta, poderá usar o IAM para controlar o acesso de outros usuários aos recursos associados à sua conta.
**Topics**
+ [Autenticação](#authentication)
+ [Controle de acesso](access-control.md)
+ [AWS Data Exchange Permissões de API: referência de ações e recursos](api-permissions-ref.md)
+ [AWS políticas gerenciadas para AWS Data Exchange](security-iam-awsmanpol.md)
## Autenticação
Você pode acessar AWS com qualquer um dos seguintes tipos de identidades:
+ **Conta da AWS usuário raiz** — Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
+ **Usuário** — Um [usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) é uma identidade em sua Conta da AWS que tem permissões personalizadas específicas. Você pode usar suas credenciais do IAM para fazer login em AWS páginas da Web seguras, como o Console de gerenciamento da AWS ou o AWS Support Center.
+ **Perfil do IAM**: [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma identidade do IAM que você pode criar em sua conta com permissões específicas. Uma função do IAM é semelhante à de um usuário do IAM, pois é uma AWS identidade com políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil. As funções com credenciais temporárias são úteis nas seguintes situações:
+ **Acesso de usuário federado** — Em vez de criar um usuário, você pode usar identidades existentes do seu diretório de Directory Service usuários corporativo ou de um provedor de identidade da web. Eles são conhecidos como *usuários federados*. AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um provedor de identidade. Para obter mais informações sobre usuários federados, consulte [Usuários federados e funções](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles).
+ **AWS service (Serviço da AWS) acesso** — Uma função de serviço é uma função do IAM que um serviço assume para realizar ações em sua conta em seu nome. Ao configurar alguns ambientes de AWS service (Serviço da AWS) , você deve definir uma função a ser assumida pelo serviço. Essa função de serviço deve incluir todas as permissões necessárias para que o serviço acesse os AWS recursos necessários. As funções de serviço variam de acordo com o serviço, mas muitas permitem que você escolha suas permissões, desde que atenda aos requisitos documentados para esse serviço. As funções de serviço fornecem acesso apenas dentro de sua conta e não podem ser usadas para conceder acesso a serviços em outras contas. Você pode criar, modificar e excluir uma função de serviço no IAM. Por exemplo, é possível criar uma função que permita ao Amazon Redshift acessar um bucket do Amazon S3 em seu nome e carregar dados do bucket em um cluster do Amazon Redshift. Para obter mais informações, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
+ **Aplicativos em execução no Amazon EC2** — Você pode usar uma função do IAM para gerenciar credenciais temporárias para aplicativos que estão sendo executados em uma instância do Amazon EC2 e fazendo solicitações de API. AWS CLI AWS É preferível fazer isso a armazenar chaves de acesso na instância do Amazon EC2. Para atribuir uma AWS função a uma instância do Amazon EC2 e disponibilizá-la para todos os seus aplicativos, você cria um perfil de instância que é anexado à instância. Um perfil de instância contém o perfil e permite que programas que estejam em execução na instância do Amazon EC2 obtenham credenciais temporárias. Para obter mais informações, consulte [Como usar um perfil do IAM para conceder permissões a aplicações em execução em instâncias do Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).
# Controle de acesso
Para criar, atualizar, excluir ou listar AWS Data Exchange recursos, você precisa de permissões para realizar a operação e acessar os recursos correspondentes. Para executar a operação programaticamente, você também precisa de chaves de acesso válidas.
## Visão geral do gerenciamento de permissões de acesso aos seus AWS Data Exchange recursos
Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de permissões a usuários, grupos e perfis. Alguns serviços (como o AWS Lambda) também oferecem suporte à anexação de políticas de permissões aos recursos.
**nota**
Um *administrador da conta* (ou administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte [Melhores práticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
**Topics**
+ [AWS Data Exchange recursos e operações](#access-control-resources)
+ [Informações sobre propriedade de recursos](#access-control-owner)
+ [Gerenciar acesso aos recursos da](#access-control-manage-access-intro)
+ [Especificando elementos de política: ações, efeitos e entidades principais](#access-control-specify-control-tower-actions)
+ [Especificar condições em uma política](#specifying-conditions)
### AWS Data Exchange recursos e operações
Em AWS Data Exchange, há dois tipos diferentes de recursos primários com planos de controle diferentes:
+ Os principais recursos para AWS Data Exchange são *conjuntos de dados* e *trabalhos*. AWS Data Exchange também oferece suporte a *revisões* e *ativos*.
+ Para facilitar as transações entre provedores e assinantes, AWS Data Exchange também usa AWS Marketplace conceitos e recursos, incluindo produtos, ofertas e assinaturas. Você pode usar a API do AWS Marketplace Catálogo ou o AWS Data Exchange console para gerenciar seus produtos, ofertas, solicitações de assinatura e assinaturas.
### Informações sobre propriedade de recursos
Ele Conta da AWS possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a [entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (ou seja, o usuário Conta da AWS raiz, um usuário ou uma função) que autentica a solicitação de criação do recurso. Os exemplos a seguir ilustram como isso funciona.
#### Propriedade de recursos
Qualquer entidade do IAM em um Conta da AWS com as permissões corretas pode criar conjuntos AWS Data Exchange de dados. Quando uma entidade do IAM cria um conjunto de dados, sua Conta da AWS tem o conjunto de dados. Os produtos de dados publicados podem conter conjuntos de dados pertencentes somente à Conta da AWS pessoa que os criou.
Para assinar um AWS Data Exchange produto, a entidade do IAM precisa de permissões para usar AWS Data Exchange, além das permissões `aws-marketplace:subscribe``aws-marketplace:aws-marketplace:CreateAgreementRequest`, e do `aws-marketplace:AcceptAgreementRequest` IAM AWS Marketplace (supondo que elas passem por qualquer verificação de assinatura relacionada). Como assinante, sua conta tem acesso de leitura aos conjuntos de dados autorizados; no entanto, ela não tem os conjuntos de dados autorizados. Todos os conjuntos de dados autorizados que são exportados para o Amazon S3 são de propriedade da Conta da AWS do assinante.
### Gerenciar acesso aos recursos da
Esta seção discute o uso do IAM no contexto de AWS Data Exchange. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de políticas do AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções para criar políticas de permissões.
As políticas anexadas a uma identidade do IAM são conhecidas como políticas *baseadas em identidade* (políticas do IAM). As políticas anexadas a um recurso são chamadas de políticas *baseadas em recursos*. AWS Data Exchange suporta somente políticas baseadas em identidade (políticas do IAM).
**Topics**
+ [Políticas e permissões baseadas em identidade](#access-control-manage-access-intro-iam-policies)
+ [Políticas baseadas em recursos](#access-control-manage-access-intro-resource-policies)
#### Políticas e permissões baseadas em identidade
AWS Data Exchange fornece um conjunto de políticas gerenciadas. Para obter mais informações sobre eles e suas permissões, consulte[AWS políticas gerenciadas para AWS Data Exchange](security-iam-awsmanpol.md).
##### Permissões do Amazon S3
Ao importar ativos do Amazon S3 AWS Data Exchange para, você precisa de permissões para gravar nos buckets AWS Data Exchange do serviço S3. Da mesma forma, ao exportar ativos AWS Data Exchange para o Amazon S3, você precisa de permissões para ler os buckets AWS Data Exchange do serviço S3. Essas permissões estão incluídas nas políticas mencionadas anteriormente, mas você também pode criar a própria política para permitir exatamente o que deseja que seus usuários possam fazer. Você pode definir o escopo dessas permissões para buckets que contêm `aws-data-exchange` seus nomes e usar a [ CalledVia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia)permissão para restringir o uso da permissão às solicitações feitas AWS Data Exchange em nome do diretor.
Por exemplo, você pode criar uma política para permitir a importação e exportação AWS Data Exchange que inclua essas permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
}
]
}
```
------
Essas permissões permitem que os provedores importem e exportem com AWS Data Exchange. A política inclui as seguintes permissões e restrições:
+ **s3: PutObject** e **s3: PutObjectAcl** — Essas permissões são restritas somente aos buckets do S3 que contêm `aws-data-exchange` seus nomes. Essas permissões permitem que os provedores gravem em buckets AWS Data Exchange de serviço ao importar do Amazon S3.
+ **s3: GetObject** — Essa permissão é restrita aos buckets do S3 que contêm `aws-data-exchange` seus nomes. Essa permissão permite que os clientes leiam os buckets de AWS Data Exchange serviço ao exportar AWS Data Exchange para o Amazon S3.
+ Essas permissões são restritas a solicitações feitas usando o AWS Data Exchange com a condição `CalledVia` do IAM. Isso permite que as `PutObject` permissões do S3 sejam usadas somente no contexto do AWS Data Exchange console ou da API.
+ **AWS Lake Formation****e **AWS Resource Access Manager******(AWS RAM)** **—** Para usar conjuntos de AWS Lake Formation dados, você precisará aceitar o convite de AWS RAM compartilhamento para cada novo provedor líquido com o qual você tenha uma assinatura. Para aceitar o convite de AWS RAM compartilhamento, você precisará assumir uma função que tenha permissão para aceitar um convite de AWS RAM compartilhamento. Para saber mais sobre como AWS gerenciar as políticas AWS RAM, consulte [Políticas gerenciadas para AWS RAM.](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html)
+ Para criar conjuntos de AWS Lake Formation dados, você precisará criar o conjunto de dados com uma função assumida que permita ao IAM transmitir uma função para AWS Data Exchange. Isso permitirá AWS Data Exchange conceder e revogar permissões aos recursos do Lake Formation em seu nome. Veja um exemplo de política abaixo:
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dataexchange.amazonaws.com"
}
}
}
```
**nota**
Seus usuários também podem precisar de permissões adicionais para ler ou gravar em seus próprios objetos e buckets do S3 que não são abordados neste exemplo.
Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*.
#### Políticas baseadas em recursos
AWS Data Exchange não oferece suporte a políticas baseadas em recursos.
Outros serviços, como o Amazon S3, oferecem suporte a políticas de permissões baseadas em recursos. Por exemplo: você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket.
### Especificando elementos de política: ações, efeitos e entidades principais
Para usar AWS Data Exchange, suas permissões de usuário devem ser definidas em uma política do IAM.
Estes são os elementos de política mais básicos:
+ **Recurso**: em uma política, você usa um Amazon Resource Name (ARN – Nome do recurso da Amazon) para identificar o recurso a que a política se aplica. Todas as operações de AWS Data Exchange API oferecem suporte a permissões em nível de recurso (RLP), mas AWS Marketplace as ações não oferecem suporte a RLP. Para obter mais informações, consulte [AWS Data Exchange recursos e operações](#access-control-resources).
+ **Ação**: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar.
+ **Efeito** — Você especifica o efeito (permitir ou negar) quando o usuário solicita a ação específica. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
+ **Entidade principal**: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para políticas baseadas em recursos, você especifica o usuário, a conta, o serviço ou outra entidade que deseja receber permissões (aplica-se somente às políticas baseadas em recursos). AWS Data Exchange não oferece suporte a políticas baseadas em recursos.
Para obter mais informações sobre a sintaxe e as descrições das políticas do IAM, consulte [Referência AWS Identity and Access Management de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
### Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Com AWS Data Exchange, as operações`CreateJob`,`StartJob`,`GetJob`, e `CancelJob` API oferecem suporte a permissões condicionais. Você pode fornecer permissões no nível `JobType`.
**AWS Data Exchange referência da chave de condição**
| Chave de condição | Description | Tipo |
| --- | --- | --- |
| "dataexchange:JobType":"IMPORT\$1ASSETS\$1FROM\$1S3" | Define permissões para trabalhos que importam ativos do Amazon S3. | String |
| "dataexchange:JobType":IMPORT\$1ASSETS\$1FROM\$1LAKE\$1FORMATION\$1TAG\$1POLICY" (Preview) | Define permissões para trabalhos que importam ativos do AWS Lake Formation (Visualização) | String |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL" | Define permissões para trabalhos que importam ativos de um URL assinado. | String |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1REDSHIFT\$1DATA\$1SHARES" | Define permissões para trabalhos que importam ativos do Amazon Redshift. | String |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1API\$1GATEWAY\$1API" | Define permissões para trabalhos que importam ativos do Amazon API Gateway. | String |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1S3" | Define permissões para trabalhos que exportam ativos para o Amazon S3. | String |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL" | Define permissões para trabalhos que exportam ativos para um URL assinado. | String |
| "dataexchange:JobType":EXPORT\$1REVISIONS\$1TO\$1S3" | Define permissões para trabalhos que exportam revisões para o Amazon S3. | String |
Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) no *Guia do usuário do IAM*.
Para expressar condições, você usa chaves de condição predefinidas. AWS Data Exchange tem a `JobType` condição para operações de API. No entanto, existem chaves de condição em toda a AWS que você pode usar, conforme apropriado. Para obter uma lista completa de chaves em toda a AWS , consulte o [https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
# AWS Data Exchange Permissões de API: referência de ações e recursos
Use a tabela a seguir como referência ao configurar [Controle de acesso](access-control.md) e escrever uma política de permissões que você pode anexar a uma identidade AWS Identity and Access Management (IAM) (políticas baseadas em identidade). A tabela lista cada operação da AWS Data Exchange API, as ações para as quais você pode conceder permissões para realizar a ação e o AWS recurso para o qual você pode conceder as permissões. Você especifica as ações no campo `Action` das políticas. Especifique o valor do recurso no campo `Resource` da política.
**nota**
Para especificar uma ação, use o prefixo `dataexchange:` seguido do nome da operação da API (por exemplo, `dataexchange:CreateDataSet`).
**AWS Data Exchange API e permissões necessárias para ações**
| AWS Data Exchange Operações de API | Permissões obrigatórias (ações de API) | Recursos | Condições |
| --- | --- | --- | --- |
| CreateDataSet | dataexchange:CreateDataSet | N/D | `aws:TagKeys` `aws:RequestTag` |
| GetDataSet | dataexchange:GetDataSet | Conjunto de dados | aws:RequestTag |
| UpdateDataSet | dataexchange:UpdateDataSet | Conjunto de dados | aws:RequestTag |
| PublishDataSet | dataexchange:PublishDataSet | Conjunto de dados | aws:RequestTag |
| DeleteDataSet | dataexchange:DeleteDataSet | Conjunto de dados | aws:RequestTag |
| ListDataSets | dataexchange:ListDataSets | N/D | N/D |
| CreateRevision | dataexchange:CreateRevision | Conjunto de dados | `aws:TagKeys` `aws:RequestTag` |
| GetRevision | dataexchange:GetRevision | Revisão | aws:RequestTag |
| DeleteRevision | dataexchange:DeleteRevision | Revisão | aws:RequestTag |
| ListDataSetRevisions | dataexchange:ListDataSetRevisions | Conjunto de dados | aws:RequestTag |
| ListRevisionAssets | dataexchange:ListRevisionAssets | Revisão | aws:RequestTag |
| CreateEventAction | dataexchange:CreateEventAction | N/D | N/D |
| UpdateEventAction | dataexchange:UpdateEventAction | EventAction | N/D |
| GetEventAction | dataexchange:GetEventAction | EventAction | N/D |
| ListEventActions | dataexchange:ListEventActions | N/D | N/D |
| DeleteEventAction | dataexchange:DeleteEventAction | EventAction | N/D |
| CreateJob | dataexchange:CreateJob | N/D | dataexchange:JobType |
| GetJob | dataexchange:GetJob | Trabalho | dataexchange:JobType |
| StartJob\$1\$1 | dataexchange:StartJob | Trabalho | dataexchange:JobType |
| CancelJob | dataexchange:CancelJob | Trabalho | dataexchange:JobType |
| ListJobs | dataexchange:ListJobs | N/D | N/D |
| ListTagsForResource | dataexchange:ListTagsForResource | Revisão | aws:RequestTag |
| TagResource | dataexchange:TagResource | Revisão | `aws:TagKeys` `aws:RequestTag` |
| UnTagResource | dataexchange:UnTagResource | Revisão | `aws:TagKeys` `aws:RequestTag` |
| UpdateRevision | dataexchange:UpdateRevision | Revisão | aws:RequestTag |
| DeleteAsset | dataexchange:DeleteAsset | Ativo | N/D |
| GetAsset | dataexchange:GetAsset | Ativo | N/D |
| UpdateAsset | dataexchange:UpdateAsset | Ativo | N/D |
| SendApiAsset | dataexchange:SendApiAsset | Ativo | N/D |
**\$1\$1** Permissões adicionais do IAM podem ser necessárias dependendo do tipo de trabalho que você está iniciando. Consulte a tabela a seguir para ver os tipos de trabalho do AWS Data Exchange e as permissões adicionais do IAM associadas. Para mais informações sobre trabalhos, consulte [Empregos em AWS Data Exchange](jobs.md).
**nota**
Atualmente, a `SendApiAsset` operação não é compatível com o seguinte SDKs:
SDK para .NET
AWS SDK para C\$1\$1
SDK para Java 2.x
**AWS Data Exchange permissões de tipo de trabalho para `StartJob`**
| Tipo de trabalho | Permissões adicionais do IAM necessárias |
| --- | --- |
| IMPORT\$1ASSETS\$1FROM\$1S3 | dataexchange:CreateAsset |
| IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1API\$1GATEWAY\$1API | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1REDSHIFT\$1DATA\$1SHARES | dataexchange:CreateAsset, redshift:AuthorizeDataShare |
| EXPORT\$1ASSETS\$1TO\$1S3 | dataexchange:GetAsset |
| EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL | dataexchange:GetAsset |
| EXPORT\$1REVISIONS\$1TO\$1S3 | dataexchange:GetRevision dataexchange:GetDataSet A permissão do IAM `dataexchange:GetDataSet` só será necessária se você estiver usando `DataSet.Name` como referência dinâmica para o tipo de trabalho `EXPORT_REVISIONS_TO_S3`. |
Você pode definir o escopo das ações do conjunto de dados para o nível de revisão ou de ativo por meio do uso de curingas, como no exemplo a seguir.
```
arn:aws:dataexchange:us-east-1:123456789012:data-sets/99EXAMPLE23c7c272897cf1EXAMPLE7a/revisions/*/assets/*
```
Algumas AWS Data Exchange ações só podem ser executadas no AWS Data Exchange console. Essas ações são integradas à AWS Marketplace funcionalidade. As ações exigem as AWS Marketplace permissões mostradas na tabela a seguir.
**AWS Data Exchange ações somente para console para assinantes**
| Ação do console | Permissão do IAM |
| --- | --- |
| Assinar um produto | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Enviar solicitação de verificação de assinatura | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Ativar a renovação automática da assinatura | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Visualizar o status de renovação automática em uma assinatura | `aws-marketplace:ListEntitlementDetails` `aws-marketplace:ViewSubscriptions` `aws-marketplace:GetAgreementTerms` |
| Desativar a renovação automática de assinatura | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| Indicar as assinaturas ativas | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
| Ver a assinatura | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` `aws-marketplace:DescribeAgreement` |
| Indicar solicitações de verificação de assinatura | `aws-marketplace:ListAgreementRequests` |
| Ver a solicitação de verificação de assinatura | `aws-marketplace:GetAgreementRequest` |
| Cancelar solicitação de verificação de assinatura | `aws-marketplace:CancelAgreementRequest` |
| Visualizar todas as ofertas direcionadas à conta | `aws-marketplace:ListPrivateListings` |
| Visualizar detalhes de uma oferta específica | `aws-marketplace:GetPrivateListing` |
**AWS Data Exchange ações somente de console para provedores**
| Ação do console | Permissão do IAM |
| --- | --- |
| Etiquetar produto | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| Etiquetar oferta | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| Publicar produto | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` `dataexchange:PublishDataSet` |
| Cancelar publicação do produto | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Editar produto | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Criar uma oferta personalizada | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Editar uma oferta personalizada | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| Ver detalhes do produto | `aws-marketplace:DescribeEntity` `aws-marketplace:ListEntities` |
| Ver a oferta personalizada do produto | aws-marketplace:DescribeEntity |
| Ver painel do produto | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| Indicar os produtos para os quais um conjunto de dados ou revisão foi publicado | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| Indicar solicitações de verificação de assinatura | `aws-marketplace:ListAgreementApprovalRequests` `aws-marketplace:GetAgreementApprovalRequest` |
| Aprovar solicitações de verificação de assinatura | `aws-marketplace:AcceptAgreementApprovalRequest` |
| Recusar solicitações de verificação de assinatura | `aws-marketplace:RejectAgreementApprovalRequest` |
| Excluir informações de solicitações de verificação de assinatura | `aws-marketplace:UpdateAgreementApprovalRequest` |
| Ver detalhes da assinatura | `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
# AWS políticas gerenciadas para AWS Data Exchange
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
**Topics**
+ [AWS política gerenciada: AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)
+ [AWS política gerenciada: AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)
+ [AWS política gerenciada: AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)
+ [AWS política gerenciada: AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)
+ [AWS política gerenciada: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)
+ [AWS política gerenciada: AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)
+ [AWS política gerenciada: AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess)
+ [AWS política gerenciada: AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess)
+ [AWS Data Exchange atualizações nas políticas AWS gerenciadas](#security-iam-awsmanpol-updates)
## AWS política gerenciada: AWSDataExchangeFullAccess
É possível anexar a política `AWSDataExchangeFullAccess` às suas identidades do IAM.
Essa política concede permissões administrativas que permitem acesso total AWS Data Exchange e AWS Marketplace ações usando o Console de gerenciamento da AWS e SDK. Ele também fornece acesso seleto ao Amazon S3 e, AWS Key Management Service conforme necessário, para aproveitar ao máximo. AWS Data Exchange
Para ver as permissões dessa política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html)na *Referência de política AWS gerenciada*.
## AWS política gerenciada: AWSDataExchangeProviderFullAccess
É possível anexar a política `AWSDataExchangeProviderFullAccess` às suas identidades do IAM.
Essa política concede ao colaborador permissões que fornecem ao provedor de dados acesso AWS Data Exchange e AWS Marketplace ações usando o Console de gerenciamento da AWS e SDK. Ele também fornece acesso seleto ao Amazon S3 e, AWS Key Management Service conforme necessário, para aproveitar ao máximo. AWS Data Exchange
Para ver as permissões dessa política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html)na *Referência de política AWS gerenciada*.
## AWS política gerenciada: AWSDataExchangeReadOnly
É possível anexar a política `AWSDataExchangeReadOnly` às suas identidades do IAM.
Essa política concede permissões somente de leitura que permitem acesso somente leitura AWS Data Exchange e AWS Marketplace ações usando o SDK e. Console de gerenciamento da AWS
Para ver as permissões dessa política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html)na *Referência de política AWS gerenciada*.
## AWS política gerenciada: AWSDataExchangeServiceRolePolicyForLicenseManagement
Não é possível anexar o `AWSDataExchangeServiceRolePolicyForLicenseManagement` às suas entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o AWS Data Exchange realize ações em seu nome. Ele concede permissões de função que AWS Data Exchange permitem recuperar informações sobre sua AWS organização e gerenciar licenças de concessão AWS Data Exchange de dados. Para obter mais informações, consulte [Função vinculada ao serviço para gerenciamento de licenças AWS Data Exchange](using-service-linked-roles-license-management.md) mais adiante nesta seção.
Para ver as permissões dessa política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html)na *Referência de política AWS gerenciada*.
## AWS política gerenciada: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery
Não é possível anexar o `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` às suas entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite AWS Data Exchange realizar ações em seu nome. Ele concede permissões de função que permitem recuperar informações sobre sua AWS organização AWS Data Exchange para determinar a elegibilidade para a distribuição de licenças de concessão de AWS Data Exchange dados. Para obter mais informações, consulte [Funções vinculadas a serviços para descoberta AWS da organização em AWS Data Exchange](using-service-linked-roles-aws-org-discovery.md).
Para ver as permissões dessa política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html)na *Referência de política AWS gerenciada*.
## AWS política gerenciada: AWSDataExchangeSubscriberFullAccess
É possível anexar a política `AWSDataExchangeSubscriberFullAccess` às suas identidades do IAM.
Essa política concede ao colaborador permissões que permitem que os assinantes de dados acessem AWS Data Exchange e AWS Marketplace realizem ações usando o Console de gerenciamento da AWS e SDK. Ele também fornece acesso seleto ao Amazon S3 e, AWS Key Management Service conforme necessário, para aproveitar ao máximo. AWS Data Exchange
Para ver as permissões dessa política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html)na *Referência de política AWS gerenciada*.
## AWS política gerenciada: AWSDataExchangeDataGrantOwnerFullAccess
É possível anexar a política `AWSDataExchangeDataGrantOwnerFullAccess` às suas identidades do IAM.
Esta política dá ao proprietário do Data Grant acesso às AWS Data Exchange ações usando Console de gerenciamento da AWS SDKs e.
Para ver as permissões dessa política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html)na *Referência de política AWS gerenciada*.
## AWS política gerenciada: AWSDataExchangeDataGrantReceiverFullAccess
É possível anexar a política `AWSDataExchangeDataGrantReceiverFullAccess` às suas identidades do IAM.
Esta política dá ao destinatário do Data Grant acesso às AWS Data Exchange ações usando Console de gerenciamento da AWS SDKs e.
Para ver as permissões dessa política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html)na *Referência de política AWS gerenciada*.
## AWS Data Exchange atualizações nas políticas AWS gerenciadas
A tabela a seguir fornece detalhes sobre as atualizações das políticas AWS gerenciadas AWS Data Exchange desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nesta página (e quaisquer outras alterações neste guia do usuário), assine o feed RSS na página [Histórico do documento para AWS Data Exchange](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess) – Nova política | AWS Data Exchange adicionou uma nova política para conceder aos proprietários do Data Grant acesso às AWS Data Exchange ações. | 24 de outubro de 2024 |
| [AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess) – Nova política | AWS Data Exchange adicionou uma nova política para conceder aos destinatários do Data Grant acesso às AWS Data Exchange ações. | 24 de outubro de 2024 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) – atualização para uma política existente | Foram adicionadas as permissões necessárias à política `AWSDataExchangeReadOnly` AWS gerenciada para o novo recurso de concessão de dados. | 24 de outubro de 2024 |
| [AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement) – Nova política | Foi adicionada uma nova política para oferecer suporte a funções vinculadas a serviços para gerenciar concessões de licenças em contas de clientes. | 17 de outubro de 2024 |
| [AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery) – Nova política | Foi adicionada uma nova política para oferecer suporte a funções vinculadas a serviços para fornecer acesso de leitura às informações da conta em sua AWS organização. | 17 de outubro de 2024 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) | Foi adicionada uma declaração IDs para facilitar a leitura da política, expandiu as permissões com caracteres curinga para a lista completa de permissões ADX somente para leitura e adicionou novas ações: e. aws-marketplace:ListTagsForResource aws-marketplace:ListPrivateListings | 9 de julho de 2024 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | Ação removida: aws-marketplace:GetPrivateListing | 22 de maio de 2024 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) | Declaração adicionada IDs para facilitar a leitura da política e adicionada nova ação:aws-marketplace:ListPrivateListings. | 30 de abril de 2024 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | Declaração adicionada IDs para facilitar a leitura da política e novas ações adicionadas: aws-marketplace:TagResource aws-marketplace:UntagResourceaws-marketplace:ListTagsForResource,aws-marketplace:ListPrivateListings,aws-marketplace:GetPrivateListing,, aws-marketplace:DescribeAgreement e. | 30 de abril de 2024 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | Declaração adicionada IDs para facilitar a leitura da política. | 9 de agosto de 2024 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | Foi dataexchange:SendDataSetNotification adicionada uma nova permissão para enviar notificações de conjuntos de dados. | 5 de março de 2024 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess), [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly), [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess), e [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— Atualização das políticas existentes | Foram adicionadas ações granulares a todas as políticas gerenciadas. As novas ações adicionadas são `aws-marketplace:CreateAgreementRequest`, `aws-marketplace:AcceptAgreementRequest`, `aws-marketplace:ListEntitlementDetails`, `aws-marketplace:ListPrivateListings`, `aws-marketplace:GetPrivateListing`, `license-manager:ListReceivedGrants`, `aws-marketplace:TagResource`, `aws-marketplace:UntagResource`, `aws-marketplace:ListTagsForResource`, `aws-marketplace:DescribeAgreement`, `aws-marketplace:GetAgreementTerms` e `aws-marketplace:GetLicense`. | 31 de julho de 2023 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess): atualizar para uma política existente. | Foi adicionado `dataexchange:RevokeRevision`, uma nova permissão para revogar uma revisão. | 15 de março de 2022 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) e [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess): atualização em políticas existentes | Foi adicionado `apigateway:GET`, uma nova permissão para recuperar um ativo de API do Amazon API Gateway. | 3 de dezembro de 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) e [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess): atualização em políticas existentes | Foi adicionado `dataexchange:SendApiAsset`, uma nova permissão para enviar uma solicitação a um ativo de API. | 29 de novembro de 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) e [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess): atualização em políticas existentes | Foram adicionados `redshift:AuthorizeDataShare`, `redshift:DescribeDataSharesForProducer` e ` redshift:DescribeDataShares`, novas permissões para autorizar o acesso e criar conjuntos de dados do Amazon Redshift. | 1º de novembro de 2023 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) – atualização para uma política existente | Foram adicionados `dataexchange:CreateEventAction`, `dataexchange:UpdateEventAction` e `dataexchange:DeleteEventAction`, novas permissões para controlar o acesso e exportar automaticamente novas revisões de conjuntos de dados. | 30 de setembro de 2021 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) e [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess): atualização em políticas existentes | Foi adicionado `dataexchange:PublishDataSet`, uma nova permissão para controlar o acesso à publicação de novas versões dos conjuntos de dados. | 25 de maio de 2021 |
| [AWS DataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly), [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) e [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess): atualização de políticas existentes | Adicionado `aws-marketplace:SearchAgreements` e `aws-marketplace:GetAgreementTerms` para permitir a visualização de assinaturas de produtos e ofertas. | 12 de maio de 2021 |
| AWS Data Exchange começou a rastrear alterações | AWS Data Exchange começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 20 de abril de 2021 |
# Usando funções vinculadas a serviços para AWS Data Exchange
AWS Data Exchange usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Data Exchange As funções vinculadas ao serviço são predefinidas AWS Data Exchange e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Data Exchange porque você não precisa adicionar manualmente as permissões necessárias. AWS Data Exchange define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Data Exchange pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus AWS Data Exchange recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Criação de uma função vinculada ao serviço para AWS Data Exchange
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você distribui uma concessão de dados usando o gerenciador de licenças, ele cria a função vinculada ao serviço para você.
**Como criar um perfil vinculado ao serviço**
1. No [AWS Data Exchange console](https://console.aws.amazon.com/adx/), faça login e escolha **Configurações de concessão de dados**.
1. Na página de **configurações do Data Grant**, escolha **Configurar integração**.
1. Na seção **Integração Create AWS Organizations**, selecione **Configurar integração**.
1. Na página de **integração Create AWS Organizations**, escolha a preferência de nível de confiança apropriada e, em seguida, escolha **Create integration**.
Você também pode usar o console do IAM para criar uma função vinculada ao serviço com um caso de uso. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do `appropriate-service-name.amazonaws.com` serviço. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
## Editando uma função vinculada ao serviço para AWS Data Exchange
AWS Data Exchange não permite que você edite a função vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para AWS Data Exchange
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**nota**
Se o AWS Data Exchange serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Antes de excluir a função vinculada ao serviço, você deve:
+ Para a `AWSServiceRoleForAWSDataExchangeLicenseManagement` função, remova todas as concessões AWS License Manager distribuídas para concessões AWS Data Exchange de dados que você recebeu.
+ Para a `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` função, remova todas as concessões AWS License Manager distribuídas para concessões de AWS Data Exchange dados recebidas por contas em sua AWS organização.
**Exclusão manual da função vinculada ao serviço**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a AWS Data Exchange serviços
AWS Data Exchange suporta o uso de funções vinculadas ao serviço em todos os lugares em Regiões da AWS que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Função vinculada ao serviço para gerenciamento de licenças AWS Data Exchange
AWS Data Exchange usa a função vinculada ao serviço chamada `AWSServiceRoleForAWSDataExchangeLicenseManagement` — essa função permite que o AWS Data Exchange recupere informações sobre sua AWS organização e gerencie licenças de concessão de AWS dados do Data Exchange.
O perfil vinculado ao serviço `AWSServiceRoleForAWSDataExchangeLicenseManagement` confia nos seguintes serviços para aceitar o perfil:
+ `license-management.dataexchange.amazonaws.com`
A política de permissões de função nomeada `AWSDataExchangeServiceRolePolicyForLicenseManagement` AWS Data Exchange permite concluir as seguintes ações nos recursos especificados:
+ Ações:
+ `organizations:DescribeOrganization`
+ `license-manager:ListDistributedGrants`
+ `license-manager:GetGrant`
+ `license-manager:CreateGrantVersion`
+ `license-manager:DeleteGrant`
+ Recursos:
+ Todos os recursos (`*`)
Para obter mais informações sobre a função `AWSDataExchangeServiceRolePolicyForLicenseManagement`, consulte [AWS política gerenciada: AWSDataExchangeServiceRolePolicyForLicenseManagement](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement).
Para obter mais informações sobre como usar a função `AWSServiceRoleForAWSDataExchangeLicenseManagement` vinculada ao serviço, consulte. [Usando funções vinculadas a serviços para AWS Data Exchange](using-service-linked-roles-adx.md)
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
# Funções vinculadas a serviços para descoberta AWS da organização em AWS Data Exchange
AWS Data Exchange usa a função vinculada ao serviço chamada `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` — essa função permite que o AWS Data Exchange recupere informações sobre sua AWS organização para determinar a elegibilidade para a distribuição de licenças de concessões de AWS dados do Data Exchange.
**nota**
Essa função só é necessária na conta de gerenciamento da AWS organização.
O perfil vinculado ao serviço `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` confia nos seguintes serviços para aceitar o perfil:
+ `organization-discovery.dataexchange.amazonaws.com`
A política de permissões de função nomeada `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` AWS Data Exchange permite concluir as seguintes ações nos recursos especificados:
+ Ações:
+ `organizations:DescribeOrganization`
+ `organizations:DescribeAccount`
+ `organizations:ListAccounts`
+ Recursos:
+ Todos os recursos (`*`)
Para obter mais informações sobre a função `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery`, consulte [AWS política gerenciada: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery).
Para obter mais informações sobre como usar a função `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` vinculada ao serviço, consulte o [Usando funções vinculadas a serviços para AWS Data Exchange](using-service-linked-roles-adx.md) início desta seção.
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
# Validação de conformidade para AWS Data Exchange
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
## Conformidade do PCI DSS
AWS Data Exchange suporta o processamento, armazenamento e transmissão de dados de cartão de crédito por um comerciante ou provedor de serviços e foi validado como compatível com o Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI). Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do PCI AWS Compliance Package, consulte [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS Nível 1.
# Resiliência em AWS Data Exchange
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, você pode projetar e operar aplicativos e bancos de dados que fazem failover entre zonas de disponibilidade sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
AWS Data Exchange tem um catálogo de produtos único, disponível globalmente, oferecido pelos fornecedores. Os assinantes podem ver o mesmo catálogo, independentemente da região que estiverem acessando. Os recursos subjacentes ao produto (conjuntos de dados, revisões, ativos) são recursos regionais que você gerencia programaticamente ou por meio do AWS Data Exchange console nas regiões suportadas. AWS Data Exchange replica seus dados em várias zonas de disponibilidade nas regiões em que o serviço opera. Para obter informações sobre regiões compatíveis, consulte [Tabela de regiões da infraestrutura global](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Segurança da infraestrutura em AWS Data Exchange
Como serviço gerenciado, AWS Data Exchange é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar AWS Data Exchange pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
# AWS Data Exchange e endpoints VPC de interface ()AWS PrivateLink
Você pode estabelecer uma conexão privada entre a nuvem privada virtual (VPC) e o AWS Data Exchange criando um *endpoint da VPC de interface*. Os endpoints de interface são alimentados por [AWS PrivateLink](https://aws.amazon.com/privatelink)uma tecnologia que permite acessar de forma privada as operações AWS Data Exchange da API sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias na sua VPC não precisam de endereços IP públicos para se comunicar com as operações AWS Data Exchange da API. O tráfego entre sua VPC e AWS Data Exchange o tráfego não sai da rede Amazon.
Cada endpoint de interface é representado por uma ou mais [Interfaces de Rede Elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nas sub-redes.
**nota**
Cada AWS Data Exchange ação, exceto a`SendAPIAsset`, é compatível com VPC.
Para obter mais informações, consulte [Endpoints da VPC da interface (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) no *Manual do Usuário do Amazon VPC*.
## Considerações sobre AWS Data Exchange VPC endpoints
Antes de configurar uma interface para o VPC endpoint AWS Data Exchange, certifique-se de revisar as [propriedades e limitações do endpoint da interface no](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) Guia do usuário do Amazon *VPC*.
AWS Data Exchange suporta fazer chamadas para todas as suas operações de API a partir de sua VPC.
## Criação de uma interface VPC endpoint para AWS Data Exchange
Você pode criar um VPC endpoint para o AWS Data Exchange serviço usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) no *Guia do usuário da Amazon VPC*.
Crie um VPC endpoint para AWS Data Exchange usar o seguinte nome de serviço:
+ `com.amazonaws.region.dataexchange`
Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API AWS Data Exchange usando seu nome DNS padrão para, por exemplo Região da AWS,. `com.amazonaws.us-east-1.dataexchange`
Para mais informações, consulte [Acessar um serviço por um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) no *Guia do usuário da Amazon VPC*.
## Criação de uma política de VPC endpoint para AWS Data Exchange
É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso ao AWS Data Exchange. Essa política especifica as seguintes informações:
+ A entidade principal que pode executar ações
+ As ações que podem ser executadas
+ Os recursos nos quais as ações podem ser executadas
Para mais informações, consulte [Controlar o acesso a serviços com VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.
**Exemplo: política de VPC endpoint para ações AWS Data Exchange**
Veja a seguir um exemplo de uma política de endpoint para AWS Data Exchange. Quando anexada a um endpoint, essa política concede acesso às AWS Data Exchange ações listadas para todos os diretores em todos os recursos.
Este exemplo de política de VPC endpoint permite acesso total somente ao usuário `bts` em from. Conta da AWS `123456789012` `vpc-12345678` O usuário `readUser` tem permissão para ler os recursos, mas todas as outras entidades principais do IAM têm acesso negado ao endpoint.
------
#### [ JSON ]
****
```
{
"Id": "example-policy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow administrative actions from vpc-12345678",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/bts"
]
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "Allow ReadOnly actions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/readUser"
]
},
"Action": [
"dataexchange:list*",
"dataexchange:get*"
],
"Resource": "*"
}
]
}
```
------