本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 安全
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於多個資料中心和網路架構,這些資料中心和網路架構專為滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)將此描述為雲端本身的安全和雲端內部的安全:
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在[AWS 合規計畫](https://aws.amazon.com/compliance/programs/)中,第三方稽核人員會定期測試和驗證我們的安全有效性。若要了解適用的合規計劃 AWS Data Exchange,請參閱[AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須負責其他因素,包括資料的敏感度、組織的需求,以及適用的法律和法規。
本文件可協助您了解如何在使用 時套用共同責任模型 AWS Data Exchange。下列主題說明如何設定 AWS Data Exchange 以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 AWS Data Exchange 資源。
# 中的資料保護 AWS Data Exchange
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 中的資料保護 AWS Data Exchange。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 AWS Data Exchange 或使用主控台、API AWS CLI或其他 AWS 服務 AWS SDKs 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
AWS Data Exchange 提供下列選項,您可以用來協助保護資料集中存在的內容:
**Topics**
+ [靜態加密](#data-protection-encryption-rest)
+ [傳輸中加密](#data-protection-encryption-in-transit)
+ [限制存取內容](#data-protection-restrict-access)
## 靜態加密
AWS Data Exchange 一律加密存放在服務中的所有靜態資料產品,而不需要任何額外的組態。當您使用 時,此加密會自動執行 AWS Data Exchange。
## 傳輸中加密
AWS Data Exchange 使用 Transport Layer Security (TLS) 和用戶端加密進行傳輸中的加密。與 AWS Data Exchange 的通訊一律透過 HTTPS 完成,因此您的資料一律會在傳輸中加密。使用 時,預設會設定此加密 AWS Data Exchange。
## 限制存取內容
做為最佳實務,您應該限制存取適當的使用者子集。使用 AWS Data Exchange,您可以確保使用 的使用者、群組和角色 AWS 帳戶 具有適當的許可,來執行此操作。如需 IAM 實體角色和政策的詳細資訊,請參閱 *[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*。
# Amazon S3 資料存取的金鑰管理
此頁面專屬於提供者共用使用 SSE-KMS 加密之物件的 Amazon S3 資料存取類型。訂閱者必須擁有用於存取之金鑰的授予。
如果您的 Amazon S3 儲存貯體包含使用 AWS KMS 客戶受管金鑰加密的資料,您必須 AWS KMS keys 與 共用這些資料 AWS Data Exchange ,以設定 Amazon S3 資料存取資料集。如需詳細資訊,請參閱[步驟 2:設定 Amazon S3 資料存取](publish-s3-data-access-product.md#configure-s3-data-access-product)。
**Topics**
+ [建立 AWS KMS 授予](#create-kms-grants)
+ [加密內容和授予限制](#encryption-context-grant-constraint)
+ [在 AWS KMS keys 中監控您的 AWS Data Exchange](#monitoring-your-kms-keys)
## 建立 AWS KMS 授予
當您 AWS KMS keys 在 Amazon S3 資料存取資料集中提供 時, AWS Data Exchange 會為每個 AWS KMS key 共用的 建立 AWS KMS 授權。此授予稱為*父授予*,用於授予為訂閱者建立其他 AWS KMS 授予的 AWS Data Exchange 許可。這些額外的授與稱為*子授與*。允許每位訂閱者授予一次 AWS KMS 。訂閱者取得解密 的許可 AWS KMS key。然後,他們可以解密並使用與其共用的加密 Amazon S3 物件。如需詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的在 中[授予 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。
AWS Data Exchange 也會使用 AWS KMS 父項授予來管理其建立之 AWS KMS 授予的生命週期。當訂閱結束時, 會 AWS Data Exchange 淘汰為對應訂閱者建立的 AWS KMS 子授權。如果修訂遭到撤銷,或資料集遭到刪除, 會 AWS Data Exchange 淘汰 AWS KMS 父項授予。如需 AWS KMS 動作的詳細資訊,請參閱 [AWS KMS API 參考](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html)。
## 加密內容和授予限制
AWS Data Exchange 只有在請求包含指定的加密內容時, 才會使用授予限制來允許解密操作。您可以使用 Amazon S3 儲存貯體金鑰功能來加密您的 Amazon S3 物件並與其共用 AWS Data Exchange。Amazon S3 隱含使用儲存貯體 Amazon Resource Name (ARN) 做為加密內容。下列範例顯示 AWS Data Exchange 使用儲存貯體 ARN 做為其建立之所有授予的 AWS KMS 授予限制。
```
"Constraints": {
"EncryptionContextSubset": "aws:s3:arn": “arn:aws:s3:::"
}
}
```
## 在 AWS KMS keys 中監控您的 AWS Data Exchange
當您與 共用 AWS KMS 客戶受管金鑰時 AWS Data Exchange,您可以使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 來追蹤 AWS Data Exchange 或資料訂閱者傳送的請求 AWS KMS。以下是 CloudTrail 日誌對 `CreateGrant`和 `Decrypt`呼叫的外觀範例 AWS KMS。
------
#### [ CreateGrant for parent ]
`CreateGrant` 適用於 自行建立 AWS Data Exchange 的父項授予。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Provider01",
"arn": "arn:aws:sts:::assumed-role/Admin/Provider01",
"accountId": "",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam:::role/Admin/Provider01”,
"accountId": "",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-02-16T17:29:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-16T17:32:47Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"CreateGrant",
"Decrypt",
"RetireGrant"
],
"granteePrincipal": "dataexchange.us-east-2.amazonaws.com",
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": { AWS:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"eventCategory": "Management"
}
```
------
#### [ CreateGrant for child ]
`CreateGrant` 適用於由 AWS Data Exchange 為訂閱者建立的子授權。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "datax.amazonaws.com"
},
"eventTime": "2023-02-15T23:15:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-2",
"sourceIPAddress": "datax.amazonaws.com",
"userAgent": "datax.amazonaws.com",
"requestParameters": {
"keyId": "",
"operations": [
"Decrypt"
],
"granteePrincipal": “”,
"retiringPrincipal": "dataexchange.us-east-2.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
"aws:s3:arn": "arn:aws:s3:::"
}
}
},
"responseElements": {
"grantId": "",
"keyId": ""
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE ",
"eventCategory": "Management"
}
```
------
#### [ 解密 ]
`Decrypt` 當訂閱者嘗試讀取其訂閱的加密資料時, 會呼叫 。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AROAIGDTESTANDEXAMPLE:Subscriber01",
"accountId": "",
"invokedBy": ""
},
"eventTime": "2023-02-15T23:28:30Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-2",
"sourceIPAddress": "",
"userAgent": "",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": ""ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE”,
"readOnly": true,
"resources": [
{
"accountId": "",
"type": "AWS::KMS::Key",
"ARN": ""
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "602466227860",
"sharedEventID": "bcf4d02a-31ea-4497-9c98-4c3549f20a7b",
"eventCategory": "Management"
}
```
------
# 中的身分和存取管理 AWS Data Exchange
若要在 中執行任何操作 AWS Data Exchange,例如使用 AWS SDK 建立匯入任務,或在 AWS Data Exchange 主控台中訂閱產品, AWS Identity and Access Management (IAM) 會要求您驗證您是核准的 AWS 使用者。例如,如果您使用 AWS Data Exchange 主控台,您可以透過提供 AWS 登入憑證來驗證您的身分。
驗證您的身分後,IAM AWS 會使用一組已定義的操作和資源許可來控制您對 的存取。如果您是帳戶管理員,您可以使用 IAM 來控制其他使用者存取與您帳戶相關聯的資源。
**Topics**
+ [身分驗證](#authentication)
+ [存取控制](access-control.md)
+ [AWS Data Exchange API 許可:動作和資源參考](api-permissions-ref.md)
+ [AWS 的 受管政策 AWS Data Exchange](security-iam-awsmanpol.md)
## 身分驗證
您可以使用下列 AWS 任一類型的身分來存取 :
+ **AWS 帳戶 根使用者** – 當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
+ **使用者** – [使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是 中具有特定自訂許可 AWS 帳戶 的身分。您可以使用 IAM 登入資料來登入,以保護 AWS 網頁,例如 AWS 管理主控台 或 AWS 支援 中心。
+ **IAM 角色**:[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色類似於 IAM 使用者,因為它是具有許可政策的 AWS 身分,可決定身分可以和不可以執行的操作 AWS。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。具有臨時登入資料的角色在下列情況下非常有用:
+ **聯合身分使用者存取** – 您可以使用來自 Directory Service企業使用者目錄或 Web 身分提供者的現有身分,而不是建立使用者。這些稱為*聯合身分使用者*。當透過身分提供者請求存取時, 會將角色 AWS 指派給聯合身分使用者。如需聯合身分使用者的詳細資訊,請參閱[聯合身分使用者和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)。
+ **AWS 服務 存取** – 服務角色是服務擔任的 IAM 角色,可代表您在帳戶中執行動作。當您設定某些 AWS 服務 環境時,您必須定義服務要擔任的角色。此服務角色必須包含服務存取所需 AWS 資源所需的所有許可。各個服務的服務角色不同,但許多都可讓您選擇許可,只要您符合該服務所記錄的需求。服務角色提供的存取權僅限在您的帳戶內,不能用來授予存取其他帳戶中的服務。您可以從 IAM 內建立、修改和刪除服務角色。例如,您可以建立一個角色,允許 Amazon RedShift 代表您存取 Amazon S3 儲存貯體,然後將該儲存貯體中的資料載入到 Amazon RedShift 叢集。如需詳細資訊,請參閱[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
+ **在 Amazon EC2 上執行的應用程式** – 您可以使用 IAM 角色來管理在 Amazon EC2 執行個體上執行之應用程式的臨時登入資料,以及提出 AWS CLI 或 AWS API 請求。這優於在 Amazon EC2 執行個體中存放存取金鑰。若要將 AWS 角色指派給 Amazon EC2 執行個體並將其提供給其所有應用程式,您可以建立連接至執行個體的執行個體描述檔。執行個體設定檔包含該角色,並且可讓 Amazon EC2 執行個體上執行的程式取得臨時憑證。如需詳細資訊,請參閱[使用 IAM 角色將許可授予在 Amazon EC2 執行個體上執行的應用程式](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。
# 存取控制
若要建立、更新、刪除或列出 AWS Data Exchange 資源,您需要執行 操作和存取對應資源的許可。若要以程式設計方式執行操作,您也需要有效的存取金鑰。
## 管理 AWS Data Exchange 資源存取許可的概觀
每個 AWS 資源都由 擁有 AWS 帳戶,而建立或存取資源的許可則由許可政策管理。帳戶管理員可以將許可政策連接到使用者、群組和角色。某些服務 (例如 AWS Lambda) 還支援將許可政策附加至資源。
**注意**
「帳戶管理員」** (或管理員) 是具有管理員權限的使用者。如需詳細資訊,請參閱 [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
**Topics**
+ [AWS Data Exchange 資源和操作](#access-control-resources)
+ [了解資源所有權](#access-control-owner)
+ [管理 資源的存取](#access-control-manage-access-intro)
+ [指定政策元素:動作、效果和主體](#access-control-specify-control-tower-actions)
+ [在政策中指定條件](#specifying-conditions)
### AWS Data Exchange 資源和操作
在 中 AWS Data Exchange,有兩種不同類型的主要資源具有不同的控制平面:
+ 的主要資源 AWS Data Exchange 是*資料集*和*任務*。 AWS Data Exchange 也支援*修訂*和*資產*。
+ 為了促進提供者和訂閱者之間的交易, AWS Data Exchange 也會使用 AWS Marketplace 概念和資源,包括產品、優惠和訂閱。您可以使用 AWS Marketplace 目錄 API 或 AWS Data Exchange 主控台來管理您的產品、優惠、訂閱請求和訂閱。
### 了解資源所有權
無論誰建立資源, 都會 AWS 帳戶 擁有在帳戶中建立的資源。具體而言,資源擁有者是驗證資源建立請求 AWS 帳戶 的[委託人實體](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html) (即 AWS 帳戶 根使用者、使用者或角色) 的 。下列範例說明其如何運作。
#### 資源擁有權
中 AWS 帳戶 具有正確許可的任何 IAM 實體都可以建立 AWS Data Exchange 資料集。當 IAM 實體建立資料集時,其 AWS 帳戶 擁有該資料集。發佈的資料產品可以包含僅由建立它們的 擁有 AWS 帳戶 的資料集。
若要訂閱 AWS Data Exchange 產品,除了 `aws-marketplace:aws-marketplace:CreateAgreementRequest`的 `aws-marketplace:subscribe`、 和 `aws-marketplace:AcceptAgreementRequest` IAM 許可外 AWS Data Exchange,IAM 實體還需要使用 許可 AWS Marketplace (假設其通過任何相關的訂閱驗證)。身為訂閱者,您的帳戶具有授權資料集的讀取存取權;不過,它不擁有授權的資料集。任何匯出至 Amazon S3 的已授權資料集,皆由訂閱者的 擁有 AWS 帳戶。
### 管理 資源的存取
本節討論在 內容中使用 IAM AWS Data Exchange。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱*IAM 使用者指南*中的[什麼是 IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需 IAM 政策語法和說明的相關資訊,請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
*許可政策*描述誰可以存取哪些資源。以下部分說明用來建立許可政策的選項。
連接到 IAM 身分的政策稱為*身分類型*政策 (IAM 政策)。連接至資源的政策稱為以*資源為基礎的*政策。 僅 AWS Data Exchange 支援以身分為基礎的政策 (IAM 政策)。
**Topics**
+ [身分型政策和許可](#access-control-manage-access-intro-iam-policies)
+ [資源型政策](#access-control-manage-access-intro-resource-policies)
#### 身分型政策和許可
AWS Data Exchange 提供一組受管政策。如需他們及其許可的詳細資訊,請參閱 [AWS 的 受管政策 AWS Data Exchange](security-iam-awsmanpol.md)。
##### Amazon S3 許可
從 Amazon S3 匯入資產至 時 AWS Data Exchange,您需要許可才能寫入 AWS Data Exchange 服務 S3 儲存貯體。同樣地,從 匯出資產 AWS Data Exchange 至 Amazon S3 時,您需要從 AWS Data Exchange 服務 S3 儲存貯體讀取的許可。這些許可包含在上述政策中,但您也可以建立自己的政策,只允許使用者能夠執行的操作。您可以將這些許可範圍限定為名稱`aws-data-exchange`中包含 的儲存貯體,並使用 [ CalledVia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia) 許可,將許可的使用限制為 AWS Data Exchange 代表委託人提出的請求。
例如,您可以建立政策,以允許匯入和匯出包含這些許可 AWS Data Exchange 的 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::*aws-data-exchange*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"dataexchange.amazonaws.com"
]
}
}
}
]
}
```
------
這些許可允許提供者使用 匯入和匯出 AWS Data Exchange。此政策包含下列許可和限制:
+ **s3:PutObject** 和 **s3:PutObjectAcl** – 這些許可僅限於名稱`aws-data-exchange`中包含 的 S3 儲存貯體。從 Amazon S3 匯入時,這些許可允許提供者寫入 AWS Data Exchange 服務儲存貯體。
+ **s3:GetObject** – 此許可僅限於名稱`aws-data-exchange`中包含 的 S3 儲存貯體。此許可可讓客戶在從 匯出 AWS Data Exchange 到 Amazon S3 時從 AWS Data Exchange 服務儲存貯體讀取。
+ 這些許可僅限於搭配 IAM `CalledVia`條件使用 提出 AWS Data Exchange 的請求。這允許 S3 `PutObject`許可僅用於 AWS Data Exchange 主控台或 API 的內容。
+ **AWS Lake Formation**** 和** **AWS Resource Access Manager****(AWS RAM)** **–** 若要使用 AWS Lake Formation 資料集,您需要接受您訂閱的每個網路新供應商的 AWS RAM 共享邀請。若要接受 AWS RAM 共享邀請,您需要擔任具有接受 AWS RAM 共享邀請許可的角色。若要進一步了解 的 AWS 受管政策, AWS RAM請參閱 [的 受管政策 AWS RAM。](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-managed-policies.html)
+ 若要建立 AWS Lake Formation 資料集,您需要使用允許 IAM 將角色傳遞給 的 擔任角色來建立資料集 AWS Data Exchange。這將允許 代表您 AWS Data Exchange 授予和撤銷對 Lake Formation 資源的許可。請參閱以下範例政策:
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dataexchange.amazonaws.com"
}
}
}
```
**注意**
您的使用者可能還需要額外的許可,才能從您自己的 S3 儲存貯體和此範例中未涵蓋的物件讀取或寫入。
如需使用者、群組、角色和許可的詳細資訊,請參閱《IAM 使用者指南》**中的[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
#### 資源型政策
AWS Data Exchange 不支援以資源為基礎的政策。
其他 服務,例如 Amazon S3,都支援以資源為基礎的許可政策。例如,您可以將政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。
### 指定政策元素:動作、效果和主體
若要使用 AWS Data Exchange,必須在 IAM 政策中定義您的使用者許可。
以下是最基本的政策元素:
+ **資源** – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。所有 AWS Data Exchange API 操作都支援資源層級許可 (RLP),但 AWS Marketplace 動作不支援 RLP。如需詳細資訊,請參閱[AWS Data Exchange 資源和操作](#access-control-resources)。
+ **動作**:使用動作關鍵字識別您要允許或拒絕的資源操作。
+ **效果** – 當使用者請求特定動作時,您可以指定效果 (允許或拒絕)。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
+ **委託人**:在身分識別型政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於以資源為基礎的政策,您可以指定要接收許可的使用者、帳戶、服務或其他實體 (僅適用於以資源為基礎的政策)。 AWS Data Exchange 不支援以資源為基礎的政策。
如需 IAM 政策語法和說明的詳細資訊,請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
### 在政策中指定條件
當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。使用 AWS Data Exchange時,`CreateJob`、`GetJob`、 `StartJob`和 `CancelJob` API 操作支援條件式許可。您可以在 `JobType`層級提供許可。
**AWS Data Exchange 條件索引鍵參考**
| 條件金鑰 | 說明 | Type |
| --- | --- | --- |
| "dataexchange:JobType":"IMPORT\$1ASSETS\$1FROM\$1S3" | 限制從 Amazon S3 匯入資產之任務的許可。 | String |
| "dataexchange:JobType":IMPORT\$1ASSETS\$1FROM\$1LAKE\$1FORMATION\$1TAG\$1POLICY" (Preview) | 範圍從 匯入資產 AWS Lake Formation 的任務許可 (預覽) | String |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL" | 範圍涵蓋從已簽署 URL 匯入資產之任務的許可。 | String |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1REDSHIFT\$1DATA\$1SHARES" | 範圍涵蓋從 Amazon Redshift 匯入資產之任務的許可。 | String |
| "dataexchange:JobType":"IMPORT\$1ASSET\$1FROM\$1API\$1GATEWAY\$1API" | 範圍涵蓋從 Amazon API Gateway 匯入資產之任務的許可。 | String |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1S3" | 限制將資產匯出至 Amazon S3 之任務的許可。 | String |
| "dataexchange:JobType":"EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL" | 範圍涵蓋將資產匯出至已簽署 URL 之任務的許可。 | String |
| "dataexchange:JobType":EXPORT\$1REVISIONS\$1TO\$1S3" | 將許可範圍限定為將修訂匯出至 Amazon S3 的任務。 | String |
如需使用政策語言指定條件的詳細資訊,請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。
若要表達條件,您可以使用預先定義的條件索引鍵。 AWS Data Exchange 具有 API 操作`JobType`的條件。不過, AWS 您可以視需要使用各種條件索引鍵。如需 AWS 各種金鑰的完整清單,請參閱 [https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。
# AWS Data Exchange API 許可:動作和資源參考
當您設定[存取控制](access-control.md)和撰寫可連接到 AWS Identity and Access Management (IAM) 身分 (身分型政策) 的許可政策時,請使用下表做為參考。下表列出每個 AWS Data Exchange API 操作、您可以授予執行動作許可的動作,以及您可以授予許可 AWS 的資源。您可以在政策的 `Action` 欄位中指定動作。您在政策的 `Resource` 欄位中指定資源值。
**注意**
若要指定動作,請使用後接 API 操作名稱的 `dataexchange:` 字首 (例如,`dataexchange:CreateDataSet`)。
**AWS Data Exchange 動作的 API 和必要許可**
| AWS Data Exchange API 操作 | 所需許可 (API 動作) | Resources | 條件 |
| --- | --- | --- | --- |
| CreateDataSet | dataexchange:CreateDataSet | N/A | `aws:TagKeys` `aws:RequestTag` |
| GetDataSet | dataexchange:GetDataSet | 資料集 | aws:RequestTag |
| UpdateDataSet | dataexchange:UpdateDataSet | 資料集 | aws:RequestTag |
| PublishDataSet | dataexchange:PublishDataSet | 資料集 | aws:RequestTag |
| DeleteDataSet | dataexchange:DeleteDataSet | 資料集 | aws:RequestTag |
| ListDataSets | dataexchange:ListDataSets | N/A | N/A |
| CreateRevision | dataexchange:CreateRevision | 資料集 | `aws:TagKeys` `aws:RequestTag` |
| GetRevision | dataexchange:GetRevision | 修訂 | aws:RequestTag |
| DeleteRevision | dataexchange:DeleteRevision | 修訂 | aws:RequestTag |
| ListDataSetRevisions | dataexchange:ListDataSetRevisions | 資料集 | aws:RequestTag |
| ListRevisionAssets | dataexchange:ListRevisionAssets | 修訂 | aws:RequestTag |
| CreateEventAction | dataexchange:CreateEventAction | N/A | N/A |
| UpdateEventAction | dataexchange:UpdateEventAction | EventAction | N/A |
| GetEventAction | dataexchange:GetEventAction | EventAction | N/A |
| ListEventActions | dataexchange:ListEventActions | N/A | N/A |
| DeleteEventAction | dataexchange:DeleteEventAction | EventAction | N/A |
| CreateJob | dataexchange:CreateJob | N/A | dataexchange:JobType |
| GetJob | dataexchange:GetJob | 任務 | dataexchange:JobType |
| StartJob\$1\$1 | dataexchange:StartJob | 任務 | dataexchange:JobType |
| CancelJob | dataexchange:CancelJob | 任務 | dataexchange:JobType |
| ListJobs | dataexchange:ListJobs | N/A | N/A |
| ListTagsForResource | dataexchange:ListTagsForResource | 修訂 | aws:RequestTag |
| TagResource | dataexchange:TagResource | 修訂 | `aws:TagKeys` `aws:RequestTag` |
| UnTagResource | dataexchange:UnTagResource | 修訂 | `aws:TagKeys` `aws:RequestTag` |
| UpdateRevision | dataexchange:UpdateRevision | 修訂 | aws:RequestTag |
| DeleteAsset | dataexchange:DeleteAsset | 資產 | N/A |
| GetAsset | dataexchange:GetAsset | 資產 | N/A |
| UpdateAsset | dataexchange:UpdateAsset | 資產 | N/A |
| SendApiAsset | dataexchange:SendApiAsset | 資產 | N/A |
**\$1\$1** 視您啟動的任務類型而定,可能需要其他 IAM 許可。如需任務類型和相關聯的其他 IAM 許可, AWS Data Exchange 請參閱下表。如需任務的詳細資訊,請參閱[中的任務 AWS Data Exchange](jobs.md)。
**注意**
目前,下列 SDKs 不支援 `SendApiAsset`操作:
適用於 .NET 的 SDK
適用於 C\$1\$1 的 AWS SDK
適用於 Java 2.x 的 SDK
**AWS Data Exchange 的任務類型許可 `StartJob`**
| 任務類型 | 所需的其他 IAM 許可 |
| --- | --- |
| IMPORT\$1ASSETS\$1FROM\$1S3 | dataexchange:CreateAsset |
| IMPORT\$1ASSET\$1FROM\$1SIGNED\$1URL | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1API\$1GATEWAY\$1API | dataexchange:CreateAsset |
| IMPORT\$1ASSETS\$1FROM\$1REDSHIFT\$1DATA\$1SHARES | dataexchange:CreateAsset, redshift:AuthorizeDataShare |
| EXPORT\$1ASSETS\$1TO\$1S3 | dataexchange:GetAsset |
| EXPORT\$1ASSETS\$1TO\$1SIGNED\$1URL | dataexchange:GetAsset |
| EXPORT\$1REVISIONS\$1TO\$1S3 | dataexchange:GetRevision dataexchange:GetDataSet `dataexchange:GetDataSet` 只有在您使用 `DataSet.Name`做為`EXPORT_REVISIONS_TO_S3`任務類型的動態參考時,才需要 IAM 許可。 |
您可以透過使用萬用字元,將資料集動作範圍限定為修訂或資產層級,如下列範例所示。
```
arn:aws:dataexchange:us-east-1:123456789012:data-sets/99EXAMPLE23c7c272897cf1EXAMPLE7a/revisions/*/assets/*
```
有些 AWS Data Exchange 動作只能在 AWS Data Exchange 主控台上執行。這些動作已與 AWS Marketplace 功能整合。動作需要下表所示的 AWS Marketplace 許可。
**AWS Data Exchange 訂閱者的僅限主控台動作**
| 主控台動作 | IAM 許可 |
| --- | --- |
| 訂閱產品 | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| 傳送訂閱驗證請求 | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| 啟用訂閱自動續約 | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| 檢視訂閱的自動續約狀態 | `aws-marketplace:ListEntitlementDetails` `aws-marketplace:ViewSubscriptions` `aws-marketplace:GetAgreementTerms` |
| 停用訂閱自動續約 | `aws-marketplace:Subscribe` `aws-marketplace:CreateAgreementRequest` `aws-marketplace:AcceptAgreementRequest` |
| 列出作用中訂閱 | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
| 檢視訂閱 | `aws-marketplace:ViewSubscriptions` `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` `aws-marketplace:DescribeAgreement` |
| 列出訂閱驗證請求 | `aws-marketplace:ListAgreementRequests` |
| 檢視訂閱驗證請求 | `aws-marketplace:GetAgreementRequest` |
| 取消訂閱驗證請求 | `aws-marketplace:CancelAgreementRequest` |
| 檢視所有以帳戶為目標的優惠 | `aws-marketplace:ListPrivateListings` |
| 檢視特定優惠的詳細資訊 | `aws-marketplace:GetPrivateListing` |
**AWS Data Exchange 供應商的主控台限定動作**
| 主控台動作 | IAM 許可 |
| --- | --- |
| 標記產品 | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| 標籤優惠 | `aws-marketplace:TagResource` `aws-marketplace:UntagResource` `aws-marketplace:ListTagsForResource` |
| 發佈產品 | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` `dataexchange:PublishDataSet` |
| 取消發佈產品 | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| 編輯產品 | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| 建立自訂優惠 | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| 編輯自訂優惠 | `aws-marketplace:StartChangeSet` `aws-marketplace:DescribeChangeSet` |
| 檢視產品詳細資訊 | `aws-marketplace:DescribeEntity` `aws-marketplace:ListEntities` |
| 檢視產品的自訂優惠 | aws-marketplace:DescribeEntity |
| 檢視產品儀表板 | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| 列出已發佈資料集或修訂的產品 | `aws-marketplace:ListEntities` `aws-marketplace:DescribeEntity` |
| 列出訂閱驗證請求 | `aws-marketplace:ListAgreementApprovalRequests` `aws-marketplace:GetAgreementApprovalRequest` |
| 核准訂閱驗證請求 | `aws-marketplace:AcceptAgreementApprovalRequest` |
| 拒絕訂閱驗證請求 | `aws-marketplace:RejectAgreementApprovalRequest` |
| 從訂閱驗證請求刪除資訊 | `aws-marketplace:UpdateAgreementApprovalRequest` |
| 檢視訂閱詳細資訊 | `aws-marketplace:SearchAgreements` `aws-marketplace:GetAgreementTerms` |
# AWS 的 受管政策 AWS Data Exchange
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 受管政策: AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess)
+ [AWS 受管政策: AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)
+ [AWS 受管政策: AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)
+ [AWS 受管政策: AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)
+ [AWS 受管政策: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)
+ [AWS 受管政策: AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)
+ [AWS 受管政策: AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess)
+ [AWS 受管政策: AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess)
+ [AWS Data Exchange AWS 受管政策的更新](#security-iam-awsmanpol-updates)
## AWS 受管政策: AWSDataExchangeFullAccess
您可將 `AWSDataExchangeFullAccess` 政策連接到 IAM 身分。
此政策會授予管理許可,允許使用 AWS Data Exchange 和 SDK 完整存取 AWS 管理主控台 和 AWS Marketplace 動作。它還提供對 Amazon S3 的選取存取權 AWS Key Management Service ,並視需要充分利用 AWS Data Exchange。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeFullAccess.html)》中的 。
## AWS 受管政策: AWSDataExchangeProviderFullAccess
您可將 `AWSDataExchangeProviderFullAccess` 政策連接到 IAM 身分。
此政策會授予參與者許可,讓資料提供者使用 和 SDK 存取 AWS Data Exchange AWS 管理主控台 和 AWS Marketplace 動作。它還提供對 Amazon S3 的選取存取權 AWS Key Management Service ,並視需要充分利用 AWS Data Exchange。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeProviderFullAccess.html)》中的 。
## AWS 受管政策: AWSDataExchangeReadOnly
您可將 `AWSDataExchangeReadOnly` 政策連接到 IAM 身分。
此政策授予唯讀許可,允許使用 AWS Data Exchange 和 AWS 管理主控台 SDK 對 和 AWS Marketplace 動作進行唯讀存取。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeReadOnly.html)》中的 。
## AWS 受管政策: AWSDataExchangeServiceRolePolicyForLicenseManagement
您無法將 `AWSDataExchangeServiceRolePolicyForLicenseManagement` 連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 AWS Data Exchange 代表您執行動作。它授予角色許可, AWS Data Exchange 允許 擷取您 AWS 組織的資訊和管理 AWS Data Exchange 資料授予授權。如需詳細資訊,請參閱本節稍後的[AWS Data Exchange 授權管理的服務連結角色](using-service-linked-roles-license-management.md)。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForLicenseManagement.html)》中的 。
## AWS 受管政策: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery
您無法將 `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` 連接至 IAM 實體。此政策會連接到服務連結角色, AWS Data Exchange 允許 代表您執行動作。它授予角色許可, AWS Data Exchange 允許 擷取您 AWS 組織的相關資訊,以判斷 AWS Data Exchange 資料授予授權分發的資格。如需詳細資訊,請參閱[中的 AWS 組織探索的服務連結角色 AWS Data Exchange](using-service-linked-roles-aws-org-discovery.md)。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeServiceRolePolicyForOrganizationDiscovery.html)》中的 。
## AWS 受管政策: AWSDataExchangeSubscriberFullAccess
您可將 `AWSDataExchangeSubscriberFullAccess` 政策連接到 IAM 身分。
此政策授予參與者許可,允許資料訂閱者使用 和 SDK 存取 AWS Data Exchange AWS 管理主控台 和 AWS Marketplace 動作。它還提供對 Amazon S3 的選取存取權 AWS Key Management Service ,並視需要充分利用 AWS Data Exchange。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeSubscriberFullAccess.html)》中的 。
## AWS 受管政策: AWSDataExchangeDataGrantOwnerFullAccess
您可將 `AWSDataExchangeDataGrantOwnerFullAccess` 政策連接到 IAM 身分。
此政策可讓資料授予擁有者使用 AWS 管理主控台 和 SDKs 存取 AWS Data Exchange 動作。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantOwnerFullAccess.html)》中的 。
## AWS 受管政策: AWSDataExchangeDataGrantReceiverFullAccess
您可將 `AWSDataExchangeDataGrantReceiverFullAccess` 政策連接到 IAM 身分。
此政策可讓 Data Grant 接收者使用 和 SDKs AWS 管理主控台 存取 AWS Data Exchange 動作。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataExchangeDataGrantReceiverFullAccess.html)》中的 。
## AWS Data Exchange AWS 受管政策的更新
下表提供有關自此服務開始追蹤這些變更 AWS Data Exchange 以來 AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒 (以及本使用者指南的任何其他變更),請訂閱 [的文件歷史記錄 AWS Data Exchange](doc-history.md) 頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSDataExchangeDataGrantOwnerFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantownerfullaccess) – 新政策 | AWS Data Exchange 新增了新的政策,以授予資料授予擁有者對 AWS Data Exchange 動作的存取權。 | 2024 年 10 月 24 日 |
| [AWSDataExchangeDataGrantReceiverFullAccess](#security-iam-awsmanpol-awsdataexchangedatagrantreceiverfullaccess) – 新政策 | AWS Data Exchange 新增了新的政策,以授予資料授予接收者對 AWS Data Exchange 動作的存取權。 | 2024 年 10 月 24 日 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) – 更新現有政策 | 為新資料授予功能的 `AWSDataExchangeReadOnly` AWS 受管政策新增了必要的許可。 | 2024 年 10 月 24 日 |
| [AWSDataExchangeServiceRolePolicyForLicenseManagement](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement) – 新政策 | 新增支援服務連結角色的新政策,以管理客戶帳戶中的授權授予。 | 2024 年 10 月 17 日 |
| [AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery) – 新政策 | 新增政策以支援服務連結角色,以提供對 AWS Organization 中帳戶資訊的讀取存取權。 | 2024 年 10 月 17 日 |
| [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly) | 新增陳述式 IDs讓政策更易於讀取、將萬用字元許可擴展為唯讀 ADX 許可的完整清單,以及新增動作: aws-marketplace:ListTagsForResource和 aws-marketplace:ListPrivateListings。 | 2024 年 7 月 9 日 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | 已移除動作: aws-marketplace:GetPrivateListing | 2024 年 5 月 22 日 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) | 新增陳述式 IDs讓政策更容易讀取和新增動作:aws-marketplace:ListPrivateListings。 | 2024 年 4 月 30 日 |
| [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) | 新增陳述式 IDs讓政策更容易讀取和新增動作:aws-marketplace:TagResource、aws-marketplace:UntagResource、aws-marketplace:ListTagsForResource、aws-marketplace:GetPrivateListing、 aws-marketplace:ListPrivateListings和 aws-marketplace:DescribeAgreement。 | 2024 年 4 月 30 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | 新增陳述式 IDs讓政策更容易閱讀。 | 2024 年 8 月 9 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) | 新增 dataexchange:SendDataSetNotification,這是傳送資料集通知的新許可。 | 2024 年 3 月 5 日 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess)、 [AWSDataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)和 [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) – 更新現有政策 | 新增所有受管政策的精細動作。新增的動作包括 `aws-marketplace:CreateAgreementRequest`、`aws-marketplace:AcceptAgreementRequest`、`aws-marketplace:ListEntitlementDetails`、`aws-marketplace:ListPrivateListings`、`aws-marketplace:GetPrivateListing`、`license-manager:ListReceivedGrants``aws-marketplace:TagResource`、`aws-marketplace:UntagResource`、`aws-marketplace:ListTagsForResource`、`aws-marketplace:DescribeAgreement`、、`aws-marketplace:GetAgreementTerms``aws-marketplace:GetLicense`。 | 2023 年 7 月 31 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) – 更新現有政策 | 新增 `dataexchange:RevokeRevision`,這是撤銷修訂的新許可。 | 2022 年 3 月 15 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) 和 [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) – 更新現有政策 | 新增 `apigateway:GET`,這是從 Amazon API Gateway 擷取 API 資產的新許可。 | 2021 年 12 月 3 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) 和 [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) – 更新現有政策 | 新增 `dataexchange:SendApiAsset`,這是將請求傳送至 API 資產的新許可。 | 2021 年 11 月 29 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) 和 [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) – 更新現有政策 | 新增了 `redshift:DescribeDataSharesForProducer`、 `redshift:AuthorizeDataShare`和 新許可` redshift:DescribeDataShares`,以授權存取和建立 Amazon Redshift 資料集。 | 2021 年 11 月 1 日 |
| [AWSDataExchangeSubscriberFullAccess](#security-iam-awsmanpol-awsdataexchangesubscriberfullaccess) – 更新現有政策 | 新增 `dataexchange:CreateEventAction`、 `dataexchange:UpdateEventAction`和 `dataexchange:DeleteEventAction`,以控制存取以自動匯出新的資料集修訂。 | 2021 年 9 月 30 日 |
| [AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess) 和 [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) – 更新現有政策 | 新增 `dataexchange:PublishDataSet`,這是控制發佈新版本資料集之存取權的新許可。 | 2021 年 5 月 25 日 |
| [AWS DataExchangeReadOnly](#security-iam-awsmanpol-awsdataexchangereadonly)[AWSDataExchangeProviderFullAccess](#security-iam-awsmanpol-awsdataexchangeproviderfullaccess)、 和 [AWSDataExchangeFullAccess](#security-iam-awsmanpol-awsdataexchangefullaccess) - 更新現有政策 | 新增 `aws-marketplace:SearchAgreements`和 `aws-marketplace:GetAgreementTerms`以啟用產品和優惠的檢視訂閱。 | 2021 年 5 月 12 日 |
| AWS Data Exchange 已開始追蹤變更 | AWS Data Exchange 已開始追蹤其 AWS 受管政策的變更。 | 2021 年 4 月 20 日 |
# 使用 的服務連結角色 AWS Data Exchange
AWS Data Exchange use AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Data Exchange。服務連結角色由 預先定義, AWS Data Exchange 並包含服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS Data Exchange 輕鬆地設定,因為您不必手動新增必要的許可。 AWS Data Exchange 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS Data Exchange 擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。這可保護您的 AWS Data Exchange 資源,因為您不會不小心移除存取資源的許可。
如需有關支援服務連結角色的其他 服務的資訊,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 為 建立服務連結角色 AWS Data Exchange
您不需要手動建立服務連結角色,當您使用授權管理員分發資料授權時,它會為您建立服務連結角色。
**建立服務連結角色**
1. 在 [AWS Data Exchange 主控台](https://console.aws.amazon.com/adx/)中,登入並選擇**資料授予設定**。
1. 在**資料授予設定**頁面上,選擇**設定整合**。
1. 在**建立 AWS 組織整合**區段中,選取**設定整合**。
1. 在**建立 AWS 組織整合**頁面上,選擇適當的信任層級偏好設定,然後選擇**建立整合**。
您也可以使用 IAM 主控台建立具有使用案例的服務連結角色。在 AWS CLI 或 AWS API 中,使用服務名稱建立`appropriate-service-name.amazonaws.com`服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。
## 編輯 的服務連結角色 AWS Data Exchange
AWS Data Exchange 不允許您編輯服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 的服務連結角色 AWS Data Exchange
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
如果 AWS Data Exchange 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
在刪除服務連結角色之前,您必須:
+ 對於`AWSServiceRoleForAWSDataExchangeLicenseManagement`角色,請移除您收到 AWS Data Exchange 的資料授予的所有 AWS License Manager 分散式授予。
+ 對於該`AWSServiceRoleForAWSDataExchangeOrganizationDiscovery`角色,請移除 AWS 組織中帳戶所收到 AWS Data Exchange 資料授權的所有 AWS License Manager 分散式授權。
**手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AWS Data Exchange 服務連結角色支援的 區域
AWS Data Exchange 支援在所有提供服務 AWS 區域 的 中使用服務連結角色。如需詳細資訊,請參閱 [AWS Regions and endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
# AWS Data Exchange 授權管理的服務連結角色
AWS Data Exchange 使用名為 的服務連結角色 `AWSServiceRoleForAWSDataExchangeLicenseManagement` – 此角色可讓 AWS Data Exchange 擷取您 AWS 組織的相關資訊,並管理 AWS Data Exchange 資料授權。
`AWSServiceRoleForAWSDataExchangeLicenseManagement` 服務連結角色信任下列服務以擔任角色:
+ `license-management.dataexchange.amazonaws.com`
名為 的角色許可政策`AWSDataExchangeServiceRolePolicyForLicenseManagement`允許 AWS Data Exchange 對指定的資源完成下列動作:
+ 動作:
+ `organizations:DescribeOrganization`
+ `license-manager:ListDistributedGrants`
+ `license-manager:GetGrant`
+ `license-manager:CreateGrantVersion`
+ `license-manager:DeleteGrant`
+ 資源:
+ 所有資源 (`*`)
如需 `AWSDataExchangeServiceRolePolicyForLicenseManagement` 角色的詳細資訊,請參閱 [AWS 受管政策: AWSDataExchangeServiceRolePolicyForLicenseManagement](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyforlicensemanagement)。
如需使用`AWSServiceRoleForAWSDataExchangeLicenseManagement`服務連結角色的詳細資訊,請參閱 [使用 的服務連結角色 AWS Data Exchange](using-service-linked-roles-adx.md)。
您必須設定許可,以允許您的使用者、群組或角色建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 中的 AWS 組織探索的服務連結角色 AWS Data Exchange
AWS Data Exchange 使用名為 的服務連結角色 `AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` – 此角色可讓 AWS Data Exchange 擷取您 AWS 組織的相關資訊,以判斷 AWS Data Exchange 資料授予授權分發的資格。
**注意**
只有 AWS Organization 的管理帳戶中需要此角色。
`AWSServiceRoleForAWSDataExchangeOrganizationDiscovery` 服務連結角色信任下列服務以擔任角色:
+ `organization-discovery.dataexchange.amazonaws.com`
名為 的角色許可政策`AWSDataExchangeServiceRolePolicyForOrganizationDiscovery`允許 AWS Data Exchange 對指定的資源完成下列動作:
+ 動作:
+ `organizations:DescribeOrganization`
+ `organizations:DescribeAccount`
+ `organizations:ListAccounts`
+ 資源:
+ 所有資源 (`*`)
如需 `AWSDataExchangeServiceRolePolicyForOrganizationDiscovery` 角色的詳細資訊,請參閱 [AWS 受管政策: AWSDataExchangeServiceRolePolicyForOrganizationDiscovery](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdataexchangeservicerolepolicyfororganizationdiscovery)。
如需使用`AWSServiceRoleForAWSDataExchangeOrganizationDiscovery`服務連結角色的詳細資訊,請參閱本節[使用 的服務連結角色 AWS Data Exchange](using-service-linked-roles-adx.md)前面的 。
您必須設定許可,以允許您的使用者、群組或角色建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 的合規驗證 AWS Data Exchange
若要了解 是否 AWS 服務 在特定合規計劃範圍內,請參閱[AWS 服務 合規計劃範圍內](https://aws.amazon.com/compliance/services-in-scope/)然後選擇您感興趣的合規計劃。如需一般資訊,請參閱[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。
您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱[在 中下載報告 AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您使用 時的合規責任 AWS 服務 取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。如需使用 時合規責任的詳細資訊 AWS 服務,請參閱 [AWS 安全文件](https://docs.aws.amazon.com/security/)。
## PCI DSS 合規
AWS Data Exchange 支援商家或服務供應商處理、儲存和傳輸信用卡資料,並已驗證為符合支付卡產業 (PCI) 資料安全標準 (DSS)。如需 PCI DSS 的詳細資訊,包括如何請求 AWS PCI 合規套件的副本,請參閱 [PCI DSS 第 1 級](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)。
# 中的彈性 AWS Data Exchange
AWS 全球基礎設施是以 AWS 區域 和 可用區域為基礎建置。 AWS 區域 提供多個實體隔離和隔離的可用區域,這些可用區域與低延遲、高輸送量和高備援聯網連接。透過可用區域,您可以設計和操作在可用區域之間容錯移轉的應用程式和資料庫,而不會中斷。可用區域的可用性、容錯能力和擴展能力,均較單一或多個資料中心的傳統基礎設施還高。
AWS Data Exchange 提供單一、全球可用的產品目錄,由供應商提供。訂閱者可以查看相同的目錄,無論他們使用哪個區域。產品的基礎資源 (資料集、修訂、資產) 是您以程式設計方式或透過受支援區域中的 AWS Data Exchange 主控台管理的區域資源。 會在服務運作的 區域內跨多個可用區域複 AWS Data Exchange 寫您的資料。如需支援區域的資訊,請參閱[全球基礎設施區域表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
如需 AWS 區域 和可用區域的詳細資訊,請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# 中的基礎設施安全性 AWS Data Exchange
作為受管服務, AWS Data Exchange 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及 如何 AWS 保護基礎設施的相關資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務設計您的 AWS 環境,請參閱*安全支柱 AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 已發佈的 API 呼叫, AWS Data Exchange 透過網路存取 。使用者端必須支援下列專案:
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
# AWS Data Exchange 和介面 VPC 端點 (AWS PrivateLink)
您可以在虛擬私有雲端 (VPC) 與 之間建立私有連線, AWS Data Exchange 方法是建立*介面 VPC 端點*。介面端點採用 [AWS PrivateLink](https://aws.amazon.com/privatelink)技術,可讓您在沒有網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線的情況下私密存取 AWS Data Exchange API 操作。VPC 中的執行個體不需要公有 IP 地址,即可與 AWS Data Exchange API 操作通訊。VPC 與 之間的流量 AWS Data Exchange 不會離開 Amazon 網路。
每個介面端點都是由您子網路中的一或多個[彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。
**注意**
VPC `SendAPIAsset`支援除 以外的每個 AWS Data Exchange 動作。
如需詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的界面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。
## AWS Data Exchange VPC 端點的考量事項
設定介面 VPC 端點之前 AWS Data Exchange,請務必檢閱《*Amazon VPC 使用者指南*》中的[介面端點屬性和限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。
AWS Data Exchange 支援從您的 VPC 呼叫其所有 API 操作。
## 為 建立介面 VPC 端點 AWS Data Exchange
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 來建立 AWS Data Exchange 服務的 VPC 端點AWS CLI。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
AWS Data Exchange 使用下列服務名稱建立 的 VPC 端點:
+ `com.amazonaws.region.dataexchange`
如果您為端點啟用私有 DNS,您可以使用 AWS Data Exchange 其預設 DNS 名稱向 提出 API 請求 AWS 區域,例如 `com.amazonaws.us-east-1.dataexchange`。
如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[透過介面端點存取服務](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。
## 為 建立 VPC 端點政策 AWS Data Exchange
您可以將端點政策連接至控制 AWS Data Exchange存取權限的 VPC 端點。此政策會指定下列資訊:
+ 可執行動作的委託人
+ 可執行的動作
+ 可在其中執行動作的資源
如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
**範例: AWS Data Exchange 動作的 VPC 端點政策**
以下是 端點政策的範例 AWS Data Exchange。連接到端點時,此政策會授予所有資源上所有委託人所列出 AWS Data Exchange 動作的存取權。
此範例 VPC 端點政策僅允許從 對 `bts`中的 AWS 帳戶 `123456789012`使用者進行完整存取`vpc-12345678`。允許使用者`readUser`讀取資源,但所有其他 IAM 主體都被拒絕存取端點。
------
#### [ JSON ]
****
```
{
"Id": "example-policy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow administrative actions from vpc-12345678",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/bts"
]
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "Allow ReadOnly actions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/readUser"
]
},
"Action": [
"dataexchange:list*",
"dataexchange:get*"
],
"Resource": "*"
}
]
}
```
------