本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 安全與許可
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/) 將此描述為雲端*的*安全和雲端*內*的安全:
**雲端的安全性:** AWS 負責保護在 AWS Cloud 中執行 AWS 服務的基礎設施。 AWS 也為您提供可安全使用的服務。在 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/)中,第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 AWS 成本管理的合規計劃,請參閱[AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/)。
**雲端的安全性:**您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。本文件有助於您了解如何在使用 Billing and Cost Management 時套用共同的責任模型。下列各主題將說明如何設定 Billing and Cost Management,以達成您的安全性與合規目標。您也將了解如何使用其他 AWS 服務來協助您監控並保護 Billing and Cost Management 資源。
**Topics**
+ [資料匯出的身分和存取管理](bcm-data-exports-access.md)
+ [資料匯出中的資料保護](data-protection.md)
# 資料匯出的身分和存取管理
AWS Identity and Access Management (IAM) 是一種 AWS 服務,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員會控制誰可經*身分驗證* (已登入) 和*授權* (具有許可) 來使用 Billing 資源。IAM 是一項服務 AWS ,您可以免費使用。
若要使用資料匯出,IAM 使用者需要獲得 IAM 中 動作`bcm-data-exports namespace`的存取權。如需可用的動作,請參閱下表。
****
| 資料匯出動作 | Description | 存取層級 | 資源類型 | 條件索引鍵 |
| --- | --- | --- | --- | --- |
| CreateExport | 允許使用者建立匯出,並指定查詢、交付組態、排程組態和內容組態。 | 寫入 | 匯出 資料表 | aws:RequestTag/\$1\$1TagKey\$1 aws:TagKeys |
| UpdateExport | 允許使用者更新現有的匯出。 | 寫入 | 匯出 資料表 | aws:ResourceTag/\$1\$1TagKey\$1 |
| DeleteExport | 允許使用者刪除現有的匯出。 | 寫入 | 匯出 | aws:ResourceTag/\$1\$1TagKey\$1 |
| GetExport | 允許使用者檢視現有的匯出。 | 讀取 | 匯出 | aws:ResourceTag/\$1\$1TagKey\$1 |
| ListExports | 允許使用者列出所有現有的匯出。 | 讀取 | | |
| GetExecution | 允許使用者查看指定執行的詳細資訊,包括匯出資料的中繼資料和結構描述。 | 讀取 | 匯出 | aws:ResourceTag/\$1\$1TagKey\$1 |
| ListExecutions | 允許使用者列出所提供匯出識別符的所有執行。 | 讀取 | 匯出 | aws:ResourceTag/\$1\$1TagKey\$1 |
| GetTable | 允許使用者取得指定資料表的結構描述。 | 讀取 | 資料表 | |
| ListTables | 允許使用者列出所有可用的資料表。 | 讀取 | | |
| TagResource | 允許使用者標記現有的匯出。 | 寫入 | 匯出 | aws:ResourceTag/\$1\$1TagKey\$1 aws:RequestTag/\$1\$1TagKey\$1 aws:TagKeys |
| UntagResource | 允許使用者取消標記現有的匯出。 | 寫入 | 匯出 | aws:ResourceTag/\$1\$1TagKey\$1 aws:TagKeys |
| ListTagsForResource | 允許使用者列出與現有匯出相關聯的標籤。 | 讀取 | 匯出 | aws:ResourceTag/\$1\$1TagKey\$1 |
如需如何使用這些內容金鑰的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用標籤控制對 資源的存取 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
下表說明資料匯出中可用的資源類型。
****
| Resource Type (資源類型) | Description | ARN |
| --- | --- | --- |
| 匯出 | 匯出是由 CreateExport API 建立的資源。匯出會定期產生帳單和成本管理查詢輸出。 | arn:\$1\$1Partition\$1:bcm-data-exports:\$1\$1Region\$1:\$1\$1Account\$1:export/\$1\$1exportName\$1-\$1UUID\$1 |
| 資料表 | 資料表是使用者透過匯出查詢的資料列格式的資料。資料表是由 AWS 為客戶建立和管理。客戶無法刪除資料表。 | arn:\$1\$1Partition\$1:bcm-data-exports:\$1\$1Region\$1:\$1\$1Account\$1:table/\$1\$1TableName\$1 |
若要在資料匯出中建立 COST\$1AND\$1USAGE\$1REPORT 或 COST\$1AND\$1USAGE\$1DASHBOARD 資料表資源的匯出,IAM 使用者也必須具有 IAM 中個別`cur`動作的許可。這表示如果 IAM 使用者因為任何原因無法使用`cur`動作,例如缺少 上的明確允許`cur`或服務控制政策 (SCP) 在 上提供明確拒絕`cur`,則該 IAM 使用者將遭到封鎖,無法建立或更新這兩個資料表的匯出。
下表顯示這兩個資料表在資料匯出中`cur`需要哪些`bcm-data-exports`動作。
****
| 資料匯出動作 | 資料表資源 | IAM 中的其他必要動作 |
| --- | --- | --- |
| bcm-data-exports:CreateExport | COST\$1AND\$1USAGE\$1REPORT COST\$1AND\$1USAGE\$1DASHBOARD | cur:PutReportDefinition |
## 政策範例
允許 IAM 使用者完整存取資料匯出中的 CUR 2.0 匯出。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewDataExportsTablesAndExports",
"Effect": "Allow",
"Action": [
"bcm-data-exports:ListTables",
"bcm-data-exports:ListExports",
"bcm-data-exports:GetExport"
],
"Resource": "*"
},
{
"Sid": "CreateCurExports",
"Effect": "Allow",
"Action": "bcm-data-exports:*",
"Resource": [
"arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
"arn:aws:bcm-data-exports:*:*:export/*"
]
},
{
"Sid": "CurDataAccess",
"Effect": "Allow",
"Action": "cur:PutReportDefinition",
"Resource": "*"
}
]
}
```
------
如需在 Billing and Cost Management 中使用資料匯出的存取控制和 IAM 許可的詳細資訊,請參閱[管理存取許可概觀](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html)。
### 建立形式 AWS CUR 2.0
若要建立形式 CUR 2.0,您需要包含下列 IAM 政策:
允許 IAM 使用者完整存取 CUR 2.0 和帳單群組帳單檢視。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateCur20AnyBillingView",
"Effect": "Allow",
"Action": "bcm-data-exports:CreateExport",
"Resource": [
"arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
"arn:aws:bcm-data-exports:*:*:export/*",
"arn:aws:billing::*:billingview/*"
]
},{
"Sid": "CurDataAccess",
"Effect": "Allow",
"Action": "cur:PutReportDefinition",
"Resource": "*"
}
]
}
```
------
如果您希望 IAM 角色能夠存取特定帳單群組,您可以新增該角色可存取的 Billing View ARN。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateSpecificBillingViewCur20",
"Effect": "Allow",
"Action": "bcm-data-exports:CreateExport",
"Resource": [
"arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
"arn:aws:bcm-data-exports:*:*:export/*",
"arn:aws:billing::444455556666:billingview/billing-group-111122223333"
]
},{
"Sid": "CurDataAccess",
"Effect": "Allow",
"Action": "cur:PutReportDefinition",
"Resource": "*"
}
]
}
```
------
# 資料匯出中的資料保護
了解 AWS 共同責任模型如何套用至 Data Exports 中的資料保護。
## S3 安全最佳實務
Data Exports 會將您的帳單和成本管理資料交付至 Amazon S3 儲存貯體。您可以採取一些步驟來確保您的 S3 儲存貯體安全。如需詳細資訊,請參閱《[Amazon S3 使用者指南》中的 Amazon S3 的安全最佳實務](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)。 *Amazon S3 *
## S3 中的資料加密
根據預設,您的資料匯出會使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 進行加密。如果您想要使用 Amazon Key Management Service (KMS) 加密 (SSE-KMS) 來加密匯出,則需要在匯出交付之後使用 KMS 觸發加密。如需詳細資訊,請參閱《[Amazon S3 使用者指南》中的設定 Amazon S3 儲存貯體的預設伺服器端加密行為](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)。 *Amazon S3 *