本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性
云安全 AWS 是重中之重。作为 AWS 客户,您将受益于多个数据中心和网络架构,这些数据中心和网络架构专为满足对安全最敏感的组织的要求而构建。
安全是双方共同承担 AWS 的责任。[责任共担模型](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云的安全性和云中的安全性:
+ **云安全** — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划](https://aws.amazon.com/compliance/programs/)的一部分,第三方审计师会定期对我们的安全措施进行测试和验证。要了解适用的合规计划 AWS Data Exchange,请参阅[按合规计划划分的范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。
此文档将帮助您了解如何在使用 AWS Data Exchange时应用责任共担模式。以下主题向您介绍如何进行配置 AWS Data Exchange 以满足您的安全和合规性目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 AWS Data Exchange 资源。
# 中的数据保护 AWS Data Exchange
分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于中的数据保护 AWS Data Exchange。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅*AWS CloudTrail 用户指南*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括您使用控制台、API AWS Data Exchange 或以其他 AWS 服务 方式使用控制台 AWS CLI、API 或时 AWS SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
AWS Data Exchange 提供了以下选项,您可以使用这些选项来帮助保护数据集中存在的内容:
**Topics**
+ [静态加密](#data-protection-encryption-rest)
+ [传输中加密](#data-protection-encryption-in-transit)
+ [限制对内容的访问](#data-protection-restrict-access)
## 静态加密
AWS Data Exchange 始终对存储在服务中的所有静态数据产品进行加密,而无需进行任何其他配置。使用时会自动进行加密 AWS Data Exchange。
## 传输中加密
AWS Data Exchange 使用传输层安全 (TLS) 和客户端加密进行传输中的加密。与的通信 AWS Data Exchange 始终通过 HTTPS 完成,因此您的数据在传输过程中始终处于加密状态。默认情况下,此加密是在您使用时配置 AWS Data Exchange的。
## 限制对内容的访问
作为最佳实践,您应限制对适当的用户子集的访问。使用 AWS Data Exchange,您可以通过确保使用您的用户、群组和角色 AWS 账户 拥有正确的权限来做到这一点。有关 IAM 实体角色和策略的更多信息,请参阅 *[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*。
# 适用于 Amazon S3 数据访问的密钥管理
此页面特定于 Amazon S3 数据访问类型,在这种类型中,提供商共享使用 SSE-KMS 加密的对象。订阅者必须拥有对用于访问的密钥的授权。
如果您的 Amazon S3 存储桶包含使用 AWS KMS 客户托管密钥加密的数据,则必须 AWS KMS keys 与共享这些数据 AWS Data Exchange 才能配置 Amazon S3 数据访问数据集。有关更多信息,请参阅 [步骤 2:配置 Amazon S3 数据访问](publish-s3-data-access-product.md#configure-s3-data-access-product)。
**Topics**
+ [创建 AWS KMS 补助金](#create-kms-grants)
+ [加密上下文和授权约束](#encryption-context-grant-constraint)
+ [监视你的 AWS KMS keys in AWS Data Exchange](#monitoring-your-kms-keys)
## 创建 AWS KMS 补助金
当您提供 AWS KMS keys 作为 Amazon S3 数据访问数据集的一部分时, AWS Data Exchange 会为每个 AWS KMS key 共享数据创建 AWS KMS 授权。这种授权,称为*家长授权*,用于授予为订阅者创建额外 AWS KMS 授予的 AWS Data Exchange 权限。这些额外授权被称为*子授权*。允许每位订阅者 AWS KMS 获得一次授权。订阅者获得解密权限. AWS KMS key然后,他们可以解密,并使用与他们共享的加密 Amazon S3 对象。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的 [AWS KMS中的授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。
AWS Data Exchange 还使用 AWS KMS 父级拨款来管理其创建的 AWS KMS 赠款的生命周期。订阅结束后,将 AWS Data Exchange 停用为相应订阅者创建的 AWS KMS 子女补助金。如果修订版被撤销或数据集被删除,则会 AWS Data Exchange 停用 AWS KMS 父授权。有关 AWS KMS 操作的更多信息,请参阅 [AWS KMS API 参考](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html)。
## 加密上下文和授权约束
AWS Data Exchange 仅当请求包含指定的加密上下文时,才使用授权约束允许解密操作。您可以使用 Amazon S3 存储桶密钥功能来加密您的 Amazon S3 对象并与之共享 AWS Data Exchange。Amazon S3 隐式使用存储桶 Amazon 资源名称 (ARN) 作为加密上下文。以下示例显示了 AWS Data Exchange 使用存储桶 ARN 作为其创建的所有 AWS KMS 授权的授予约束。
```
"Constraints": {
"EncryptionContextSubset": "aws:s3:arn": “arn:aws:s3:::"
}
}
```
## 监视你的 AWS KMS keys in AWS Data Exchange
当您与共享 AWS KMS 客户托管密钥时 AWS Data Exchange,您可以使用[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)来跟踪 AWS Data Exchange 或数据订阅者向其发送的请求 AWS KMS。以下示例说明了`CreateGrant`和`Decrypt`调用的 CloudTrail 日志会是什么样子 AWS KMS。
------
#### [ CreateGrant for parent ]
`CreateGrant`用于为自己创建的家长补助金。 AWS Data Exchange
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Provider01",
"arn": "arn:aws:sts:::assumed-role/Admin/Provider01",
"accountId": "",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam:::role/Admin/Provider01”,
"accountId": "",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-16T17:29:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-16T17:32:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"CreateGrant",
"Decrypt",
"RetireGrant"
],
"granteePrincipal": "dataexchange.us-east-2.amazonaws.com",
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": { AWS:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"eventCategory": "Management"
}
```
------
#### [ CreateGrant for child ]
`CreateGrant`用于为订阅者创建的 AWS Data Exchange 儿童补助金。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-15T23:15:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"Decrypt"
],
"granteePrincipal": “”,
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
"aws:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE ",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
`Decrypt` 由订阅者在尝试读取其订阅的加密数据时调用。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AROAIGDTESTANDEXAMPLE:Subscriber01",
"accountId": "",
"invokedBy": ""
},
"eventTime": "2023-02-15T23:28:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-2",
"sourceIPAddress": "",
"userAgent": "",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE”,
"readOnly": true,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "602466227860",
"sharedEventID": "bcf4d02a-31ea-4497-9c98-4c3549f20a7b",
"eventCategory": "Management"
}
```
------
# 中的身份和访问管理 AWS Data Exchange
要在中执行任何操作 AWS Data Exchange,例如使用 AWS 软件开发工具包创建导入任务或在 AWS Data Exchange 控制台中订阅产品, AWS Identity and Access Management (IAM) 要求您验证自己是经批准的 AWS 用户。例如,如果您使用的是 AWS Data Exchange 控制台,则可以通过提供 AWS 登录凭据来验证自己的身份。
在您对身份进行身份验证后,IAM 会 AWS 使用一组针对一组操作和资源的定义权限来控制您的访问权限。如果您是账户管理员,则可使用 IAM 控制其他用户对与您的账户关联的资源的访问。
**Topics**
+ [身份验证](#authentication)
+ [访问控制](access-control.md)
+ [AWS Data Exchange API 权限:操作和资源参考](api-permissions-ref.md)
+ [AWS 的托管策略 AWS Data Exchange](security-iam-awsmanpol.md)
## 身份验证
您可以使用以下任何类型的身份 AWS 进行访问:
+ **AWS 账户 root 用户** — 创建时 AWS 账户,您首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
+ **用户** – [用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是您的 AWS 账户 中具有特定自定义权限的身份。您可以使用您的 IAM 凭证登录安全 AWS 网页,例如 AWS 管理控制台 或 AWS 支持 中心。
+ **IAM 角色** – [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色与 IAM 用户类似,因为它是一个具有权限策略的 AWS 身份,该策略决定了该身份可以做什么和不能做什么 AWS。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当你担任角色时,它会为你的角色会话提供临时安全证书。具有临时凭证的角色在以下情况下很有用:
+ **联合用户访问权限**-您可以使用来自 Directory Service企业用户目录或 Web 身份提供商的现有身份,而不是创建用户。这些用户被称为*联合用户*。 AWS 当通过身份提供者请求访问权限时,将角色分配给联合用户。有关联合用户的更多信息,请参阅[联合用户和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)。
+ **AWS 服务 访问权限** — 服务角色是一个 IAM 角色,由服务代为代表您在账户中执行操作。在设置一些 AWS 服务 环境时,您必须为服务定义要代入的角色。此服务角色必须包含服务访问其所需 AWS 资源所需的所有权限。服务角色因服务而异,但只要您满足服务记录在案的要求,许多服务都允许您选择权限。服务角色只在您的账户内提供访问权限,不能用于为访问其它账户中的服务授权。您可以从 IAM 中创建、修改和删除服务角色。例如,您可以创建一个角色以允许 Amazon Redshift 代表您访问 Amazon S3 存储桶,然后将该存储桶中的数据加载到 Amazon Redshift 集群中。有关更多信息,请参阅[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
+ 在 A@@ **mazon EC2 上运行的应用程序** — 您可以使用 IAM 角色管理在 Amazon EC2 实例上运行并发出 AWS CLI 或 AWS API 请求的应用程序的临时证书。这优先于在 Amazon EC2 实例中存储访问密钥。要向 Amazon EC2 实例分配 AWS 角色并使其可供其所有应用程序使用,您需要创建附加到该实例的实例配置文件。实例配置文件包含角色,并使 Amazon EC2 实例上运行的程序能够获得临时凭证。有关更多信息,请参阅[使用 IAM 角色为 Amazon EC2 实例上运行的应用程序授予权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。
# 访问控制
要创建、更新、删除或列出 AWS Data Exchange 资源,您需要具有执行操作和访问相应资源的权限。要以编程方式执行该操作,您还需要有效的访问密钥。
## 管理 AWS Data Exchange 资源访问权限概述
每个 AWS 资源都归人所有 AWS 账户,创建或访问资源的权限受权限策略的约束。账户管理员可以向用户、组和角色附加权限策略。有些服务(例如 AWS Lambda)还支持向资源附加权限策略。
**注意**
*账户管理员*(或管理员)是具有管理员权限的用户。有关更多信息,请参阅 [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
要提供访问权限,请为您的用户、组或角色添加权限:
+ 中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
**Topics**
+ [AWS Data Exchange 资源和运营](#access-control-resources)
+ [了解资源所有权](#access-control-owner)
+ [管理对 资源的访问](#access-control-manage-access-intro)
+ [指定策略元素:操作、效果和主体](#access-control-specify-control-tower-actions)
+ [在策略中指定条件](#specifying-conditions)
### AWS Data Exchange 资源和运营
在中 AWS Data Exchange,有两种不同的主资源具有不同的控制平面:
+ 的主要资源 AWS Data Exchange 是*数据集*和*作业*。 AWS Data Exchange 还支持*修订版*和*资产*。
+ 为了促进提供商和订阅者之间的交易, AWS Data Exchange 还使用 AWS Marketplace 概念和资源,包括产品、优惠和订阅。您可以使用 AWS Marketplace 目录 API 或 AWS Data Exchange 控制台来管理您的产品、报价、订阅请求和订阅。
### 了解资源所有权
AWS 账户 拥有在账户中创建的资源,无论谁创建了这些资源。具体而言,资源所有者是 AWS 账户 对资源创建请求进行身份验证的[委托人实体](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)(即 AWS 账户 根用户、用户或角色)。以下示例说明了它的工作原理。
#### 资源所有权
中 AWS 账户 具有正确权限的任何 IAM 实体都可以创建 AWS Data Exchange 数据集。当 IAM 实体创建数据集时,该数据集归他们的 AWS 账户 所有。已发布的数据产品可以包含只有创建它们的人才拥有的数据集。 AWS 账户
要订阅 AWS Data Exchange 产品,除了、和 IAM 权限外 AWS Data Exchange,`aws-marketplace:AcceptAgreementRequest`IAM 实体还需要使用权限 AWS Marketplace (假设它们通过了任何相关的订阅验证)。`aws-marketplace:subscribe` `aws-marketplace:aws-marketplace:CreateAgreementRequest`作为订阅者,您的账户拥有对授权数据集的读取权限;但是,授权数据集不归您的账户所有。任何导出到 Amazon S3 的授权数据集均归订阅者的 AWS 账户所有。
### 管理对 资源的访问
本节讨论在的上下文中使用 IAM AWS Data Exchange。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档,请参阅《IAM 用户指南》中的[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM policy 略语法和说明的信息,请参阅 *IAM 用户指南*中的 [AWS Identity and Access Management 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
*权限*策略规定谁可以访问哪些内容。下一节介绍权限策略创建选项。
附加到 IAM 身份的策略称为*基于身份*的策略(IAM 策略)。附加到资源的策略称为*基于资源的*策略。 AWS Data Exchange 仅支持基于身份的策略(IAM 策略)。
**Topics**
+ [基于身份的策略和权限](#access-control-manage-access-intro-iam-policies)
+ [基于资源的策略](#access-control-manage-access-intro-resource-policies)
#### 基于身份的策略和权限
AWS Data Exchange 提供了一组托管策略。有关他们及其权限的更多信息,请参阅[AWS 的托管策略 AWS Data Exchange](security-iam-awsmanpol.md)。
##### Amazon S3 权限
将资产从 Amazon S3 导入到时 AWS Data Exchange,您需要写入 AWS Data Exchange 服务 S3 存储桶的权限。同样,将资产从导出 AWS Data Exchange 到 Amazon S3 时,您需要具有读取 AWS Data Exchange 服务 S3 存储桶的权限。这些权限包含在前面提到的策略中,但您也可以自行创建策略,以允许您希望用户能够执行的操作。您可以将这些权限的范围限定为名称`aws-data-exchange`中包含的存储桶,并使用该[ CalledVia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia)权限将权限的使用限制为 AWS Data Exchange 代表委托人提出的请求。
例如,您可以创建一个允许导入和导出到 AWS Data Exchange 包含这些权限的策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
}
]
}
```
------
这些权限允许提供商使用进行导入和导出 AWS Data Exchange。此策略包含以下权限和限制:
+ **s3: PutObject** 和 **s3: PutObjectAcl** — 这些权限仅限于名称`aws-data-exchange`中包含的 S3 存储桶。这些权限允许提供商在从 Amazon S3 导入时写入 AWS Data Exchange 服务存储桶。
+ **s3: GetObject** — 此权限仅限于名称`aws-data-exchange`中包含的 S3 存储桶。此权限允许客户在从 AWS Data Exchange 服务存储桶导出到 Amazon S3 时读取数据。 AWS Data Exchange
+ 这些权限仅限于通过 AWS Data Exchange 且使用 IAM `CalledVia` 条件发出的请求。这允许 S3 `PutObject` 权限仅在 AWS Data Exchange 控制台或 API 的上下文中使用。
+ **AWS Lake Formation****an **AWS Resource Access Manager******d (AWS RAM)** **—** 要使用 AWS Lake Formation 数据集,您需要接受订阅的每个净新提供商的 AWS RAM 共享邀请。要接受 AWS RAM 共享邀请,您需要扮演一个有权接受 AWS RAM 共享邀请的角色。要详细了解如何使用 AWS 托管策略 AWS RAM,请参阅的[托管策略 AWS RAM。](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html)
+ 要创建 AWS Lake Formation 数据集,您需要使用代入的角色创建数据集,该角色允许 IAM 将角色传递给 AWS Data Exchange。这将允许您代表您授 AWS Data Exchange 予和撤销对 Lake Formation 资源的权限。请参阅以下策略示例。
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dataexchange.amazonaws.com"
}
}
}
```
**注意**
您的用户可能还需要额外权限,才能读取或写入您自己的 S3 存储桶和对象。本示例中未提及这些权限。
有关用户、组、角色和权限的更多信息,请参阅《IAM 用户指南》[https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)中的*身份(用户、组和角色)*。
#### 基于资源的策略
AWS Data Exchange 不支持基于资源的策略。
其他服务(如 Amazon S3)支持基于资源的权限策略。例如,您可以将策略附加到 S3 存储桶以管理对该存储桶的访问权限。
### 指定策略元素:操作、效果和主体
要使用 AWS Data Exchange,必须在 IAM 策略中定义您的用户权限。
以下是最基本的策略元素:
+ **资源**:在策略中,您可以使用 Amazon Resource Name(ARN)标识策略应用到的资源。所有 AWS Data Exchange API 操作都支持资源级权限 (RLP),但 AWS Marketplace 操作不支持 RLP。有关更多信息,请参阅 [AWS Data Exchange 资源和运营](#access-control-resources)。
+ **操作** – 您可以使用操作关键字标识要允许或拒绝的资源操作。
+ **效果** – 您可以指定用户请求特定操作时的效果(可以是允许或拒绝)。如果没有显式授予(允许)对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问,这样可确保用户无法访问该资源,即使有其他策略授予了访问权限的情况下也是如此。
+ **主体**:在基于身份的策略(IAM 策略)中,附加了策略的用户是隐式主体。对于基于资源的策略,您可以指定要获得权限的用户、账户、服务或其他实体(仅适用于基于资源的策略)。 AWS Data Exchange 不支持基于资源的策略。
有关 IAM 策略语法和描述的更多信息,请参阅 *IAM 用户指南*中的[AWS Identity and Access Management 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
### 在策略中指定条件
当您授予权限时,可使用 IAM 策略语言来指定规定策略何时生效的条件。使用 AWS Data Exchange、`CreateJob`、`StartJob``GetJob`、和 `CancelJob` API 操作支持条件权限。您可以在 `JobType` 级别提供权限。
**AWS Data Exchange 条件键参考**
| 条件键 | 说明 | Type |
| --- | --- | --- |
| "dataexchange:JobType":"IMPORT\$1ASSETS\$1FROM\$1S3" | 将权限范围限定为从 Amazon S3 导入资产的作业。 | 字符串 |
| "dataexchange:JobType":IMPORT\$1ASSETS\$1FROM\$1LAKE\$1FORMATION\$1TAG\$1POLICY" (Preview) | 将权限范围限定为从 AWS Lake Formation (预览版)导入资产的作业。 | 字符串 |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL" | 将权限范围限定为从已签名 URL 导入资产的作业。 | 字符串 |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1REDSHIFT\$1DATA\$1SHARES" | 将权限范围限定为从 Amazon Redshift 导入资产的作业。 | 字符串 |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1API\$1GATEWAY\$1API" | 将权限范围限定为从 Amazon API Gateway 导入资产的作业。 | 字符串 |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1S3" | 将权限范围限定为将资产导出到 Amazon S3 的作业。 | 字符串 |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL" | 将权限范围限定为将资产导出到已签名 URL 的作业。 | 字符串 |
| "dataexchange:JobType":EXPORT\$1REVISIONS\$1TO\$1S3" | 将权限范围限定为将修订导出到 Amazon S3 的作业。 | 字符串 |
有关使用策略语言指定条件的更多信息,请参阅《IAM 用户指南》**中的[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。
要表达条件,您可以使用预定义的条件键。 AWS Data Exchange 具有 API 操作的`JobType`条件。但有 AWS 范围内的条件键,您可以根据需要使用。有关 AWS 范围内的键的完整列表,请参阅《[IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)》。**
# AWS Data Exchange API 权限:操作和资源参考
在设置[访问控制](access-control.md)和编写可附加到 AWS Identity and Access Management (IAM) 身份的权限策略(基于身份的策略)时,请使用下表作为参考。该表列出了每个 AWS Data Exchange API 操作、您可以为其授予执行该操作的权限的操作以及您可以为其授予权限的 AWS 资源。请在策略的 `Action` 字段中指定这些操作。您在策略的 `Resource` 字段中指定资源值。
**注意**
要指定操作,请在 API 操作名称之前使用 `dataexchange:` 前缀(例如,`dataexchange:CreateDataSet`)。
**AWS Data Exchange API 和操作所需的权限**
| AWS Data Exchange API 操作 | 所需权限(API 操作) | 资源 | Conditions |
| --- | --- | --- | --- |
| CreateDataSet | dataexchange:CreateDataSet | 不适用 | `aws:TagKeys` `aws:RequestTag` |
| GetDataSet | dataexchange:GetDataSet | 数据集 | aws:RequestTag |
| UpdateDataSet | dataexchange:UpdateDataSet | 数据集 | aws:RequestTag |
| PublishDataSet | dataexchange:PublishDataSet | 数据集 | aws:RequestTag |
| DeleteDataSet | dataexchange:DeleteDataSet | 数据集 | aws:RequestTag |
| ListDataSets | dataexchange:ListDataSets | 不适用 | 不适用 |
| CreateRevision | dataexchange:CreateRevision | 数据集 | `aws:TagKeys` `aws:RequestTag` |
| GetRevision | dataexchange:GetRevision | 修订 | aws:RequestTag |
| DeleteRevision | dataexchange:DeleteRevision | 修订 | aws:RequestTag |
| ListDataSetRevisions | dataexchange:ListDataSetRevisions | 数据集 | aws:RequestTag |
| ListRevisionAssets | dataexchange:ListRevisionAssets | 修订 | aws:RequestTag |
| CreateEventAction | dataexchange:CreateEventAction | 不适用 | 不适用 |
| UpdateEventAction | dataexchange:UpdateEventAction | EventAction | 不适用 |
| GetEventAction | dataexchange:GetEventAction | EventAction | 不适用 |
| ListEventActions | dataexchange:ListEventActions | 不适用 | 不适用 |
| DeleteEventAction | dataexchange:DeleteEventAction | EventAction | 不适用 |
| CreateJob | dataexchange:CreateJob | 不适用 | dataexchange:JobType |
| GetJob | dataexchange:GetJob | 作业 | dataexchange:JobType |
| StartJob\$1\$1 | dataexchange:StartJob | 任务 | dataexchange:JobType |
| CancelJob | dataexchange:CancelJob | 任务 | dataexchange:JobType |
| ListJobs | dataexchange:ListJobs | 不适用 | 不适用 |
| ListTagsForResource | dataexchange:ListTagsForResource | 修订 | aws:RequestTag |
| TagResource | dataexchange:TagResource | 修订 | `aws:TagKeys` `aws:RequestTag` |
| UnTagResource | dataexchange:UnTagResource | 修订 | `aws:TagKeys` `aws:RequestTag` |
| UpdateRevision | dataexchange:UpdateRevision | 修订 | aws:RequestTag |
| DeleteAsset | dataexchange:DeleteAsset | 资产 | 不适用 |
| GetAsset | dataexchange:GetAsset | 资产 | 不适用 |
| UpdateAsset | dataexchange:UpdateAsset | 资产 | 不适用 |
| SendApiAsset | dataexchange:SendApiAsset | 资产 | 不适用 |
**\$1\$1** 可能需要其他 IAM 权限,具体取决于您开始的作业类型。有关 AWS Data Exchange 作业类型和相关的其他 IAM 权限,请参阅下表。有关作业的更多信息,请参阅[中的职位 AWS Data Exchange](jobs.md)。
**注意**
目前,以下各项不支持该`SendApiAsset`操作 SDKs:
适用于 .NET 的 SDK
适用于 C\$1\$1 的 AWS SDK
适用于 Java 的 SDK 2.x
**AWS Data Exchange 的作业类型权限 `StartJob`**
| 作业类型 | 所需的其他 IAM 权限 |
| --- | --- |
| IMPORT\$1ASSETS\$1FROM\$1S3 | dataexchange:CreateAsset |
| IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1API\$1GATEWAY\$1API | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1REDSHIFT\$1DATA\$1SHARES | dataexchange:CreateAsset, redshift:AuthorizeDataShare |
| EXPORT\$1ASSETS\$1TO\$1S3 | dataexchange:GetAsset |
| EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL | dataexchange:GetAsset |
| EXPORT\$1REVISIONS\$1TO\$1S3 | dataexchange:GetRevision dataexchange:GetDataSet 仅当您使用 `DataSet.Name` 作为 `EXPORT_REVISIONS_TO_S3` 作业类型的动态参考时,才需要 `dataexchange:GetDataSet` IAM 权限。 |
通过使用通配符,您可以将数据集操作的范围限定为修订或资产级别,如以下示例所示。
```
arn:aws:dataexchange:us-east-1:123456789012:data-sets/99EXAMPLE23c7c272897cf1EXAMPLE7a/revisions/*/assets/*
```
有些 AWS Data Exchange 操作只能在 AWS Data Exchange 控制台上执行。这些操作与 AWS Marketplace 功能集成。这些操作需要下表所示的 AWS Marketplace 权限。
**AWS Data Exchange 仅适用于订阅者的控制台操作**
| 控制台操作 | IAM 权限 |
| --- | --- |
| 订阅产品 | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| 发送订阅验证请求 | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| 启用订阅自动续订 | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| 查看订阅的自动续订状态 | `aws-marketplace:ListEntitlementDetails` `aws-marketplace:ViewSubscriptions` `aws-marketplace:GetAgreementTerms` |
| 禁用订阅自动续订 | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| 列出有效订阅 | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
| 查看订阅 | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` `aws-marketplace:DescribeAgreement` |
| 列出订阅验证请求 | `aws-marketplace:ListAgreementRequests` |
| 查看订阅验证请求 | `aws-marketplace:GetAgreementRequest` |
| 取消订阅验证请求 | `aws-marketplace:CancelAgreementRequest` |
| 查看针对该账户的所有优惠 | `aws-marketplace:ListPrivateListings` |
| 查看特定优惠的详细信息 | `aws-marketplace:GetPrivateListing` |
**AWS Data Exchange 提供商仅限控制台的操作**
| 控制台操作 | IAM 权限 |
| --- | --- |
| 标记产品 | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| 标记优惠 | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| 发布产品 | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` `dataexchange:PublishDataSet` |
| 取消发布产品 | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| 编辑产品 | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| 创建自定义优惠 | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| 编辑自定义优惠 | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| 查看产品详细信息 | `aws-marketplace:DescribeEntity` `aws-marketplace:ListEntities` |
| 查看产品的自定义优惠 | aws-marketplace:DescribeEntity |
| 查看产品控制面板 | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| 列出已发布数据集或修订的产品 | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| 列出订阅验证请求 | `aws-marketplace:ListAgreementApprovalRequests` `aws-marketplace:GetAgreementApprovalRequest` |
| 批准订阅验证请求 | `aws-marketplace:AcceptAgreementApprovalRequest` |
| 拒绝订阅验证请求 | `aws-marketplace:RejectAgreementApprovalRequest` |
| 从订阅验证请求中删除信息 | `aws-marketplace:UpdateAgreementApprovalRequest` |
| 查看订阅详细信息 | `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
# AWS 的托管策略 AWS Data Exchange
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 托管策略:AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)
+ [AWS 托管策略:AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)
+ [AWS 托管策略:AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)
+ [AWS 托管策略:AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)
+ [AWS 托管策略:AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)
+ [AWS 托管策略:AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)
+ [AWS 托管策略:AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess)
+ [AWS 托管策略:AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess)
+ [AWS Data Exchange AWS 托管策略的更新](#security-iam-awsmanpol-updates)
## AWS 托管策略:AWSDataExchangeFullAccess
您可以将 `AWSDataExchangeFullAccess` 策略附加到 IAM 身份。
此策略授予管理权限,允许使用 AWS Data Exchange 和 SDK 进行完全访问 AWS 管理控制台 和 AWS Marketplace 操作。它还提供对 Amazon S3 的精选访问权限 AWS Key Management Service ,并根据需要提供充分利用的权限 AWS Data Exchange。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html)中的。
## AWS 托管策略:AWSDataExchangeProviderFullAccess
您可以将 `AWSDataExchangeProviderFullAccess` 策略附加到 IAM 身份。
此政策向贡献者授予权限,允许数据提供者访问 AWS Data Exchange 和使用 AWS 管理控制台 和 SDK 进行 AWS Marketplace 操作。它还提供对 Amazon S3 的精选访问权限 AWS Key Management Service ,并根据需要提供充分利用的权限 AWS Data Exchange。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html)中的。
## AWS 托管策略:AWSDataExchangeReadOnly
您可以将 `AWSDataExchangeReadOnly` 策略附加到 IAM 身份。
此策略授予只读权限,允许对 AWS Data Exchange 和 SDK 进行只读访问 AWS 管理控制台 和 AWS Marketplace 操作。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html)中的。
## AWS 托管策略:AWSDataExchangeServiceRolePolicyForLicenseManagement
您不能将 `AWSDataExchangeServiceRolePolicyForLicenseManagement` 附加到您的 IAM 实体。此策略附加至服务相关角色,允许 AWS Data Exchange 代表您执行操作。它授予角色权限, AWS Data Exchange 允许检索有关您的 AWS 组织的信息并管理 AWS Data Exchange 数据,授予许可证。有关更多信息,请参阅此部分后面的[AWS Data Exchange 许可证管理的服务关联角色](using-service-linked-roles-license-management.md)。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html)中的。
## AWS 托管策略:AWSDataExchangeServiceRolePolicyForOrganizationDiscovery
您不能将 `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` 附加到您的 IAM 实体。此策略附加到允许代表您执行操作 AWS Data Exchange 的服务相关角色。它授予角色权限, AWS Data Exchange 允许检索有关您的 AWS 组织的信息,以确定 AWS Data Exchange 数据授予许可证分发的资格。有关更多信息,请参阅 [用于 AWS 组织发现的服务相关角色 AWS Data Exchange](using-service-linked-roles-aws-org-discovery.md)。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html)中的。
## AWS 托管策略:AWSDataExchangeSubscriberFullAccess
您可以将 `AWSDataExchangeSubscriberFullAccess` 策略附加到 IAM 身份。
此策略向贡献者授予权限,允许数据订阅者访问 AWS Data Exchange 和使用 AWS 管理控制台 和 SDK 进行 AWS Marketplace 操作。它还提供对 Amazon S3 的精选访问权限 AWS Key Management Service ,并根据需要提供充分利用的权限 AWS Data Exchange。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html)中的。
## AWS 托管策略:AWSDataExchangeDataGrantOwnerFullAccess
您可以将 `AWSDataExchangeDataGrantOwnerFullAccess` 策略附加到 IAM 身份。
此政策授予数据授予所有者使用 AWS 管理控制台 和 AWS Data Exchange 执行操作的权限 SDKs。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html)中的。
## AWS 托管策略:AWSDataExchangeDataGrantReceiverFullAccess
您可以将 `AWSDataExchangeDataGrantReceiverFullAccess` 策略附加到 IAM 身份。
此政策允许数据授予接收者使用 AWS 管理控制台 和访问 AWS Data Exchange 操作的权限 SDKs。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html)中的。
## AWS Data Exchange AWS 托管策略的更新
下表提供了 AWS Data Exchange 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面更改(以及针对此用户指南的任何其他更改)的自动提示,请订阅 [的文档历史记录 AWS Data Exchange](doc-history.md) 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess) - 新策略 | AWS Data Exchange 添加了一项新政策,以授予数据授权所有者访问 AWS Data Exchange 操作的权限。 | 2024 年 10 月 24 日 |
| [AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess):新策略 | AWS Data Exchange 添加了一项新政策,以授予数据授权接收者访问 AWS Data Exchange 操作的权限。 | 2024 年 10 月 24 日 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly):对现有策略的更新 | 为新数据授权功能的`AWSDataExchangeReadOnly` AWS 托管策略添加了必要的权限。 | 2024 年 10 月 24 日 |
| [AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement):新策略 | 添加了一项新政策,以支持服务相关角色来管理客户账户中的许可证授予。 | 2024 年 10 月 17 日 |
| [AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery):新策略 | 添加了一项支持服务相关角色的新政策,以提供对 AWS 组织中账户信息的读取权限。 | 2024 年 10 月 17 日 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) | 添加了 IDs 使策略更易于阅读的声明,将通配符权限扩展到只读 ADX 权限的完整列表,并添加了新操作:aws-marketplace:ListTagsForResource和。aws-marketplace:ListPrivateListings | 2024 年 7 月 9 日 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | 已删除操作:aws-marketplace:GetPrivateListing | 2024 年 5 月 22 日 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) | 添加了 IDs 使政策更易于阅读的声明,并添加了新操作:aws-marketplace:ListPrivateListings. | 2024 年 4 月 30 日 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | 添加了 IDs 使策略更易于阅读的语句并添加了新操作:aws-marketplace:TagResourceaws-marketplace:UntagResource、aws-marketplace:ListTagsForResource、aws-marketplace:ListPrivateListings、aws-marketplace:GetPrivateListing、和aws-marketplace:DescribeAgreement。 | 2024 年 4 月 30 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | 添加了 IDs 使政策更易于阅读的声明。 | 2024 年 8 月 9 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | 新增了dataexchange:SendDataSetNotification发送数据集通知的权限。 | 2024 年 3 月 5 日 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)、[AWSDataExchangeReadOnly[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)](#security-iam-awsmanpol-awsdataexchangereadonly)、和 [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)— 更新现有政策 | 在所有托管策略中添加了精细操作。新增的操作有 `aws-marketplace:CreateAgreementRequest`、`aws-marketplace:AcceptAgreementRequest`、`aws-marketplace:ListEntitlementDetails`、`aws-marketplace:ListPrivateListings`、`aws-marketplace:GetPrivateListing`、`license-manager:ListReceivedGrants` `aws-marketplace:TagResource`、`aws-marketplace:UntagResource`、`aws-marketplace:ListTagsForResource`、`aws-marketplace:DescribeAgreement`、`aws-marketplace:GetAgreementTerms` `aws-marketplace:GetLicense`。 | 2023 年 7 月 31 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) - 对现有策略的更新 | 添加了用于撤销修订的新权限 `dataexchange:RevokeRevision`。 | 2022 年 3 月 15 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) 和 [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) – 现有策略更新 | 添加了用于从 Amazon API Gateway 检索 API 资产的新权限 `apigateway:GET`。 | 2021 年 12 月 3 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) 和 [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) – 现有策略更新 | 添加了用于向 API 资产发送请求的新权限 `dataexchange:SendApiAsset`。 | 2021 年 11 月 29 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) 和 [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) – 现有策略更新 | 添加了用于授权访问和创建 Amazon Redshift 数据集的新权限 `redshift:AuthorizeDataShare`、`redshift:DescribeDataSharesForProducer` 和 ` redshift:DescribeDataShares`。 | 2021 年 11 月 1 日 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess):对现有策略的更新 | 添加了用于控制自动导出数据集新修订的访问权限的新权限 `dataexchange:CreateEventAction`、`dataexchange:UpdateEventAction` 和 `dataexchange:DeleteEventAction`。 | 2021 年 9 月 30 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) 和 [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) – 现有策略更新 | 添加了用于控制发布数据集新版本的访问权限的新权限 `dataexchange:PublishDataSet`。 | 2021 年 5 月 25 日 |
| [AWS DataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)、[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) 和 [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) – 现有策略更新 | 添加了用于查看产品和优惠订阅的 `aws-marketplace:SearchAgreements` 和 `aws-marketplace:GetAgreementTerms`。 | 2021 年 5 月 12 日 |
| AWS Data Exchange 开始跟踪更改 | AWS Data Exchange 开始跟踪其 AWS 托管策略的更改。 | 2021 年 4 月 20 日 |
# 将服务相关角色用于 AWS Data Exchange
AWS Data Exchange 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Data Exchange服务相关角色由服务预定义 AWS Data Exchange ,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置变得 AWS Data Exchange 更加容易,因为您不必手动添加必要的权限。 AWS Data Exchange 定义其服务相关角色的权限,除非另有定义,否则 AWS Data Exchange 只能担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这样可以保护您的 AWS Data Exchange 资源,因为您不会无意中删除访问资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅与 [IAM 配合使用的AWS 服务,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 为创建服务相关角色 AWS Data Exchange
您无需手动创建服务关联角色。当您使用许可管理器分配数据授权时,它会为您创建服务相关角色。
**创建服务相关角色**
1. 在[AWS Data Exchange 控制台](https://console.aws.amazon.com/adx/)中,登录并选择**数据授权设置**。
1. 在**数据授权设置**页面上,选择**配置集成**。
1. 在 C **reate AWS Organizations 集成**部分,选择**配置集成**。
1. 在 C **reate AWS Organizations 集成**页面上,选择相应的信任级别首选项,然后选择**创建集成**。
您还可以使用 IAM 控制台创建带有用例的服务相关角色。在 AWS CLI 或 AWS API 中,使用服务名称创建服务相关角色。`appropriate-service-name.amazonaws.com`有关更多信息,请参阅 *IAM 用户指南* 中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
## 编辑的服务相关角色 AWS Data Exchange
AWS Data Exchange 不允许您编辑服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除的服务相关角色 AWS Data Exchange
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果您尝试删除资源时 AWS Data Exchange 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
在删除服务相关角色之前,您必须:
+ 对于该`AWSServiceRoleForAWSDataExchangeLicenseManagement`角色,请移除您收到的所有已 AWS License Manager 分配 AWS Data Exchange 数据授权。
+ 对于该`AWSServiceRoleForAWSDataExchangeOrganizationDiscovery`角色,请移除 AWS 组织中账户收到的所有已 AWS License Manager 分配 AWS Data Exchange 数据授权。
**手动删除服务相关角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AWS Data Exchange 服务相关角色支持的区域
AWS Data Exchange 支持在所有提供服务 AWS 区域 的地方使用服务相关角色。有关更多信息,请参阅[AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
# AWS Data Exchange 许可证管理的服务关联角色
AWS Data Exchange 使用名为的服务相关角色 `AWSServiceRoleForAWSDataExchangeLicenseManagement` — 此角色允许 AWS Data Exchange 检索有关您的 AWS 组织的信息并管理 AWS Data Exchange 数据授予许可。
`AWSServiceRoleForAWSDataExchangeLicenseManagement` 服务相关角色信任以下服务代入该角色:
+ `license-management.dataexchange.amazonaws.com`
名为的角色权限策略`AWSDataExchangeServiceRolePolicyForLicenseManagement` AWS Data Exchange 允许对指定资源完成以下操作:
+ 操作:
+ `organizations:DescribeOrganization`
+ `license-manager:ListDistributedGrants`
+ `license-manager:GetGrant`
+ `license-manager:CreateGrantVersion`
+ `license-manager:DeleteGrant`
+ 资源:
+ 所有资源 (`*`)
有关 `AWSDataExchangeServiceRolePolicyForLicenseManagement` 角色的更多信息,请参阅 [AWS 托管策略:AWSDataExchangeServiceRolePolicyForLicenseManagement](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)。
有关使用`AWSServiceRoleForAWSDataExchangeLicenseManagement`服务相关角色的更多信息,请参阅[将服务相关角色用于 AWS Data Exchange](using-service-linked-roles-adx.md)。
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 用于 AWS 组织发现的服务相关角色 AWS Data Exchange
AWS Data Exchange 使用名为的服务相关角色 `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` — 此角色允许 AWS Data Exchange 检索有关您的 AWS 组织的信息,以确定 AWS Data Exchange 数据授予许可证分发的资格。
**注意**
只有本 AWS 组织的管理账户才需要这个角色。
`AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` 服务相关角色信任以下服务代入该角色:
+ `organization-discovery.dataexchange.amazonaws.com`
名为的角色权限策略`AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` AWS Data Exchange 允许对指定资源完成以下操作:
+ 操作:
+ `organizations:DescribeOrganization`
+ `organizations:DescribeAccount`
+ `organizations:ListAccounts`
+ 资源:
+ 所有资源 (`*`)
有关 `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` 角色的更多信息,请参阅 [AWS 托管策略:AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)。
有关使用`AWSServiceRoleForAWSDataExchangeOrganizationDiscovery`服务相关角色的更多信息,请参阅本节[将服务相关角色用于 AWS Data Exchange](using-service-linked-roles-adx.md)前面部分。
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 合规性验证 AWS Data Exchange
要了解是否属于特定合规计划的范围,请参阅AWS 服务 “[按合规计划划分的范围](https://aws.amazon.com/compliance/services-in-scope/)” ”,然后选择您感兴趣的合规计划。 AWS 服务 有关一般信息,请参阅[AWS 合规计划AWS](https://aws.amazon.com/compliance/programs/)。
您可以使用下载第三方审计报告 AWS Artifact。有关更多信息,请参阅中的 “[下载报告” 中的 “ AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您在使用 AWS 服务 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。有关您在使用时的合规责任的更多信息 AWS 服务,请参阅[AWS 安全文档](https://docs.aws.amazon.com/security/)。
## PCI DSS 合规性
AWS Data Exchange 支持商家或服务提供商处理、存储和传输信用卡数据,并且已被验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关 PCI DSS 的更多信息,包括如何申请 PCI Compliance Package 的副本,请参阅 AWS [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS 第 1 级。
# 韧性在 AWS Data Exchange
AWS 全球基础设施是围绕 AWS 区域 可用区构建的。 AWS 区域 提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络连接。利用可用区,您可以设计和操作在可用区之间无中断地实现故障转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错能力和可扩展性。
AWS Data Exchange 有一个由供应商提供的全球可用的单一产品目录。无论订阅者使用的是哪个区域,他们都可以看到同一个目录。产品底层的资源(数据集、修订版、资产)是您以编程方式或通过 AWS Data Exchange 控制台在支持的区域中管理的区域资源。 AWS Data Exchange 在服务运营区域内的多个可用区之间复制您的数据。有关受支持区域的更多信息,请参阅[全球基础设施区域表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
有关 AWS 区域 和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# 基础设施安全 AWS Data Exchange
作为一项托管服务 AWS Data Exchange ,受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境,请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 已发布的 API 调用 AWS Data Exchange 通过网络进行访问。客户端必须支持以下内容:
+ 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
# AWS Data Exchange 和接口 VPC 终端节点 (AWS PrivateLink)
您可通过创建 *VPC 接口端点*在虚拟私有云 (VPC) 和 AWS Data Exchange 之间创建私有连接。接口端点由一项技术提供支持 [AWS PrivateLink](https://aws.amazon.com/privatelink),该技术使您无需互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接即可私密访问 AWS Data Exchange API 操作。您的 VPC 中的实例不需要公有 IP 地址即可与 AWS Data Exchange API 操作通信。您的 VPC 和 VPC 之间的流量 AWS Data Exchange 不会离开亚马逊网络。
每个接口端点均由子网中的一个或多个[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。
**注意**
VPC 支持`SendAPIAsset`除之外的所有 AWS Data Exchange 操作。
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[接口 VPC 端点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。
## AWS Data Exchange VPC 终端节点的注意事项
在为设置接口 VPC 终端节点之前 AWS Data Exchange,请务必查看 *Amazon VPC 用户指南*中的[接口终端节点属性和限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。
AWS Data Exchange 支持从您的 VPC 调用其所有 API 操作。
## 为创建接口 VPC 终端节点 AWS Data Exchange
您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 AWS Data Exchange 服务创建 VPC 终端节点。有关更多信息,请参阅《Amazon VPC User Guide》**中的 [Creating an interface endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
AWS Data Exchange 使用以下服务名称创建 VPC 终端节点:
+ `com.amazonaws.region.dataexchange`
例如,如果您为终端节点启用私有 DNS,则可以使用终端节点的默认 DNS 名称向 AWS Data Exchange 发出 API 请求`com.amazonaws.us-east-1.dataexchange`。 AWS 区域
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[通过接口端点访问服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。
## 为创建 VPC 终端节点策略 AWS Data Exchange
您可以为 VPC 端点附加控制对 AWS Data Exchange的访问的端点策略。该策略指定以下信息:
+ 可执行操作的主体
+ 可执行的操作
+ 可对其执行操作的资源
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
**示例:用于 AWS Data Exchange 操作的 VPC 终端节点策略**
以下是的终端节点策略示例 AWS Data Exchange。当连接到终端节点时,此策略授予所有委托人对所有资源 AWS Data Exchange 执行所列操作的访问权限。
此示例 VPC 终端节点策略仅允许 AWS 账户 `123456789012`来自的用户具有`bts`完全访问权限`vpc-12345678`。允许用户 `readUser` 读取资源,但所有其他 IAM 主体均被拒绝访问该端点。
------
#### [ JSON ]
****
```
{
"Id": "example-policy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow administrative actions from vpc-12345678",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/bts"
]
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "Allow ReadOnly actions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/readUser"
]
},
"Action": [
"dataexchange:list*",
"dataexchange:get*"
],
"Resource": "*"
}
]
}
```
------