Übersicht über die Verwaltung von Zugriffsberechtigungen

Zugriffskontrolle

Um AWS Data Exchange Ressourcen zu erstellen, zu aktualisieren, zu löschen oder aufzulisten, benötigen Sie Berechtigungen, um den Vorgang auszuführen und auf die entsprechenden Ressourcen zuzugreifen. Um den Vorgang programmgesteuert ausführen zu können, benötigen Sie außerdem gültige Zugriffsschlüssel.

Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre Ressourcen AWS Data Exchange

Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Benutzern, Gruppen und Rollen Berechtigungsrichtlinien zuordnen. Einige Services (wie z. B. AWS Lambda) unterstützen auch das Zuordnen von Berechtigungsrichtlinien zu Ressourcen.

Anmerkung

Ein Kontoadministrator (oder Administrator) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter IAMBewährte Methoden.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation) im IAMBenutzerhandbuch.
IAMBenutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.

Themen

AWS Data Exchange Ressourcen und Abläufe
Grundlegendes zum Eigentum an Ressourcen
Verwalten des Zugriffs auf Ressourcen
Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
Angeben von Bedingungen in einer Richtlinie

AWS Data Exchange Ressourcen und Abläufe

AWS Data Exchange In gibt es zwei verschiedene Arten von Primärressourcen mit unterschiedlichen Kontrollebenen:

Die Hauptressourcen für AWS Data Exchange sind Datensätze und Jobs. AWS Data Exchange unterstützt auch Revisionen und Ressourcen.
Um Transaktionen zwischen Anbietern und Abonnenten zu erleichtern, verwendet AWS Data Exchange auch AWS Marketplace Konzepte und Ressourcen, darunter Produkte, Angebote und Abonnements. Sie können den AWS Marketplace Katalog API oder die AWS Data Exchange Konsole verwenden, um Ihre Produkte, Angebote, Abonnementanfragen und Abonnements zu verwalten.

Grundlegendes zum Eigentum an Ressourcen

Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der Prinzipalentität (d. h. der AWS-Konto Root-Benutzer, ein Benutzer oder eine Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich.

Ressourceneigentümerschaft

Jede IAM Entität in einer AWS-Konto mit den richtigen Berechtigungen kann AWS Data Exchange Datensätze erstellen. Wenn eine IAM Entität einen Datensatz erstellt, AWS-Konto ist sie Eigentümer des Datensatzes. Veröffentlichte Datenprodukte können Datensätze enthalten, die nur demjenigen gehören AWS-Konto , der sie erstellt hat.

Um ein AWS Data Exchange Produkt zu abonnieren, benötigt die IAM Entität zusätzlich zu den Berechtigungen AWS Data Exchange,, und die aws-marketplace:AcceptAgreementRequest IAM Berechtigungen für AWS Marketplace (vorausgesetzt aws-marketplace:subscribeaws-marketplace:aws-marketplace:CreateAgreementRequest, sie haben alle zugehörigen Abonnementanforderungen bestanden) auch Nutzungsberechtigungen. Als Abonnent hat Ihr Konto Lesezugriff auf berechtigte Datensätze, besitzt jedoch nicht die berechtigten Datensätze. Alle berechtigten Datensätze, die nach Amazon S3 exportiert werden, sind Eigentum des Abonnenten AWS-Konto.

Verwalten des Zugriffs auf Ressourcen

In diesem Abschnitt wird die Verwendung IAM im Kontext von beschrieben AWS Data Exchange. Es enthält keine detaillierten Informationen über den IAM Dienst. Eine vollständige IAM Dokumentation finden Sie unter Was istIAM? im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und zu Beschreibungen finden Sie unter AWSIAMPolicy Reference im IAMBenutzerhandbuch.

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Mit einer IAM Identität verknüpfte Richtlinien werden als identitätsbasierte Richtlinien (IAMRichtlinien) bezeichnet. Mit einer Ressource verknüpfte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet. AWS Data Exchange unterstützt nur identitätsbasierte Richtlinien (Richtlinien). IAM

Themen

Identitätsbasierte Richtlinien und Berechtigungen
Ressourcenbasierte Richtlinien

Identitätsbasierte Richtlinien und Berechtigungen

AWS Data Exchange bietet vier verwaltete Richtlinien:

AWSDataExchangeFullAccess
AWSDataExchangeSubscriberFullAccess
AWSDataExchangeProviderFullAccess
AWSDataExchangeReadOnly

Weitere Informationen zu diesen Richtlinien und ihren Berechtigungen finden Sie unterAWS verwaltete Richtlinien für AWS Data Exchange.

Amazon-S3-Berechtigungen

Wenn Sie Assets von Amazon S3 nach importieren AWS Data Exchange, benötigen Sie Berechtigungen, um in die AWS Data Exchange Service S3-Buckets zu schreiben. Ebenso benötigen Sie beim Exportieren von Assets von AWS Data Exchange zu Amazon S3 Berechtigungen, um aus den AWS Data Exchange Service S3-Buckets zu lesen. Diese Berechtigungen sind in den zuvor genannten Richtlinien enthalten, aber Sie können auch Ihre eigene Richtlinie erstellen, um genau das zu ermöglichen, was Ihre Benutzer tun dürfen. Sie können diese Berechtigungen auf Buckets beschränken, die aws-data-exchange in ihrem Namen enthalten, und die CalledViaBerechtigung verwenden, um die Verwendung der Berechtigung AWS Data Exchange auf Anfragen zu beschränken, die im Namen des Prinzipals gestellt wurden.

Sie könnten beispielsweise eine Richtlinie erstellen, die das Importieren und Exportieren ermöglicht, in AWS Data Exchange die diese Berechtigungen eingeschlossen sind.


{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": "s3:GetObject",
          "Resource": "arn:aws:s3:::*aws-data-exchange*",
          "Condition": {
            "ForAnyValue:StringEquals": {
              "aws:CalledVia":[
                "dataexchange.amazonaws.com"
              ]
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "s3:PutObject",
            "s3:PutObjectAcl"
          ],
          "Resource": "arn:aws:s3:::*aws-data-exchange*",
          "Condition": {
            "ForAnyValue:StringEquals": {
              "aws:CalledVia":[
                "dataexchange.amazonaws.com"
              ]
            }
          }
        },
    ]
}

Diese Berechtigungen ermöglichen es Anbietern, mit zu importieren und zu exportieren AWS Data Exchange. Die Richtlinie umfasst die folgenden Berechtigungen und Einschränkungen:

s3: PutObject und s3: PutObjectAcl — Diese Berechtigungen sind nur auf S3-Buckets beschränkt, die aws-data-exchange in ihrem Namen Folgendes enthalten. Diese Berechtigungen ermöglichen es Anbietern, beim Import aus Amazon S3 in AWS Data Exchange Service-Buckets zu schreiben.
s3: GetObject — Diese Berechtigung ist auf S3-Buckets beschränkt, die aws-data-exchange in ihrem Namen Folgendes enthalten. Mit dieser Berechtigung können Kunden beim Export von AWS Data Exchange zu Amazon S3 aus AWS Data Exchange Service-Buckets lesen.
Diese Berechtigungen sind auf Anfragen beschränkt, die AWS Data Exchange mithilfe der IAM CalledVia Bedingung gestellt wurden. Dadurch können die PutObject S3-Berechtigungen nur im Kontext der AWS Data Exchange Konsole oder verwendet werdenAPI.
AWS Lake Formationund AWS Resource Access Manager(AWS RAM) — Um AWS Lake Formation Datensätze verwenden zu können, müssen Sie die Einladung zum AWS RAM Teilen für jeden neuen Anbieter annehmen, bei dem Sie ein Abonnement abgeschlossen haben. Um die Einladung zum AWS RAM Teilen annehmen zu können, müssen Sie eine Rolle übernehmen, die berechtigt ist, eine Einladung zum AWS RAM Teilen anzunehmen. Weitere Informationen darüber, wie Richtlinien AWS verwaltet werden AWS RAM, finden Sie unter Verwaltete Richtlinien für AWS RAM.
Um AWS Lake Formation Datensätze zu erstellen, müssen Sie den Datensatz mit einer angenommenen Rolle erstellen, an die Sie eine Rolle übergeben können IAM AWS Data Exchange. Auf diese Weise können AWS Data Exchange Sie in Ihrem Namen Genehmigungen für Lake Formation Formation-Ressourcen erteilen und widerrufen. Nachfolgend finden Sie ein Beispiel für eine Richtlinie:
```
{
    "Effect": "Allow",
    "Action": "iam:PassRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
             "iam:PassedToService": "dataexchange.amazonaws.com"
        }
    }
}
```

Anmerkung

Ihre Benutzer benötigen möglicherweise auch zusätzliche Berechtigungen, um in Ihre eigenen S3-Buckets und Objekte zu lesen oder aus ihnen zu schreiben, die in diesem Beispiel nicht behandelt werden.

Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im IAMBenutzerhandbuch unter Identitäten (Benutzer, Gruppen und Rollen).

Ressourcenbasierte Richtlinien

AWS Data Exchange unterstützt keine ressourcenbasierten Richtlinien.

Andere Dienste, wie Amazon S3, unterstützen ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3 Bucket eine Richtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten.

Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale

Um sie verwenden zu können AWS Data Exchange, müssen Ihre Benutzerberechtigungen in einer IAM Richtlinie definiert werden.

Grundlegende Richtlinienelemente:

Ressource — In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. Alle AWS Data Exchange API Operationen unterstützen Berechtigungen auf Ressourcenebene (RLP), AWS Marketplace Aktionen jedoch nichtRLP. Weitere Informationen finden Sie unter AWS Data Exchange Ressourcen und Abläufe.
Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten.
Wirkung — Sie geben die Auswirkung an (zulassen oder verweigern), wenn der Benutzer die bestimmte Aktion anfordert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, der implizite Prinzipal. Bei ressourcenbasierten Richtlinien geben Sie den Benutzer, das Konto, den Dienst oder die andere Entität an, für die Sie Berechtigungen erhalten möchten (gilt nur für ressourcenbasierte Richtlinien). AWS Data Exchange unterstützt keine ressourcenbasierten Richtlinien.

Weitere Informationen zur IAM Richtliniensyntax und Beschreibungen finden Sie unter AWSIAMRichtlinienreferenz im IAMBenutzerhandbuch.

Angeben von Bedingungen in einer Richtlinie

Wenn Sie Berechtigungen gewähren, können Sie die IAM Richtliniensprache verwenden, um die Bedingungen festzulegen, unter denen eine Richtlinie wirksam werden soll. Die CancelJob API Operationen CreateJob WithStartJob,GetJob, und unterstützen bedingte Berechtigungen. AWS Data Exchange Sie können Berechtigungen auf der JobType Ebene bereitstellen.

AWS Data Exchange Referenz zum Bedingungsschlüssel
Bedingungsschlüssel	Beschreibung	Typ
`"dataexchange:JobType":"IMPORT_ASSETS_FROM_S3"`	Geltungsbereich von Berechtigungen für Jobs, die Assets aus Amazon S3 importieren.	String
`"dataexchange:JobType":IMPORT_ASSETS_FROM_LAKE_FORMATION_TAG_POLICY" (Preview)`	Schränkt die Berechtigungen auf Jobs ein, aus denen Assets importiert werden AWS Lake Formation (Vorschau)	String
`"dataexchange:JobType":"IMPORT_ASSET_FROM_SIGNED_URL"`	Geltungsbereich von Berechtigungen auf Jobs, die Elemente aus einem signierten Objekt importieren. URL	String
`"dataexchange:JobType":"IMPORT_ASSET_FROM_REDSHIFT_DATA_SHARES"`	Geltungsbereich von Berechtigungen für Jobs, die Assets aus Amazon Redshift importieren.	String
`"dataexchange:JobType":"IMPORT_ASSET_FROM_API_GATEWAY_API"`	Geltungsbereich von Berechtigungen für Jobs, die Assets aus Amazon API Gateway importieren.	String
`"dataexchange:JobType":"EXPORT_ASSETS_TO_S3"`	Geltungsbereich von Berechtigungen für Jobs, die Assets nach Amazon S3 exportieren.	String
`"dataexchange:JobType":"EXPORT_ASSETS_TO_SIGNED_URL"`	Schränkt die Berechtigungen auf Jobs ein, bei denen Assets in ein signiertes Objekt exportiert werden. URL	String
`"dataexchange:JobType":EXPORT_REVISIONS_TO_S3"`	Schränkt die Berechtigungen auf Jobs ein, die Revisionen nach Amazon S3 exportieren.	String

Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter Bedingung im IAMBenutzerhandbuch.

Um Bedingungen auszudrücken, verwenden Sie vordefinierte Bedingungsschlüssel. AWS Data Exchange hat die JobType Bedingung für API Operationen. Es gibt jedoch AWS zahlreiche Zustandstasten, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS breiten Tasten finden Sie im IAMBenutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identity and Access Management

Referenz für API-Berechtigungen