Información general sobre la administración del acceso

Control de acceso

Para crear, actualizar, eliminar o enumerar AWS Data Exchange recursos, necesita permisos para realizar la operación y acceder a los recursos correspondientes. Además, para realizar la operación mediante programación, necesita claves de acceso válidas.

Descripción general de la administración de los permisos de acceso a sus AWS Data Exchange recursos

Cada AWS recurso es propiedad de un Cuenta de AWS, y los permisos para crear o acceder a un recurso se rigen por las políticas de permisos. Un administrador de la cuenta puede asociar políticas de permisos a usuarios, grupos y roles. Algunos servicios (como por ejemplo AWS Lambda) también permiten asociar políticas de permisos a recursos.

nota

Un administrador de la cuenta (o administrador) es un usuario con privilegios de administrador. Para obtener más información, consulte Prácticas IAM recomendadas.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
Usuarios gestionados IAM a través de un proveedor de identidad:

Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
IAMusuarios:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.

Temas

AWS Data Exchange recursos y operaciones
Titularidad de los recursos
Administración del acceso a los recursos de
Especificación de los elementos de las políticas: acciones, efectos y entidades principales
Especificación de las condiciones de una política

AWS Data Exchange recursos y operaciones

En AWS Data Exchange, hay dos tipos diferentes de recursos primarios con diferentes planos de control:

Los recursos principales AWS Data Exchange son los conjuntos de datos y los trabajos. AWS Data Exchange también admite revisiones y activos.
Para facilitar las transacciones entre proveedores y suscriptores, AWS Data Exchange también utiliza AWS Marketplace conceptos y recursos, incluidos productos, ofertas y suscripciones. Puede utilizar el AWS Marketplace catálogo API o la AWS Data Exchange consola para gestionar sus productos, ofertas, solicitudes de suscripción y suscripciones.

Titularidad de los recursos

Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de la entidad principal (es decir, el usuario Cuenta de AWS raíz, un usuario o un rol) que autentica la solicitud de creación del recurso. Los siguientes ejemplos ilustran cómo funciona.

Propiedad del recurso

Cualquier IAM entidad Cuenta de AWS con los permisos correctos puede crear conjuntos de AWS Data Exchange datos. Cuando una IAM entidad crea un conjunto de datos, Cuenta de AWS es suya la propietaria del conjunto de datos. Los productos de datos publicados pueden contener conjuntos de datos que son propiedad exclusiva de la Cuenta de AWS persona que los creó.

Para suscribirse a un AWS Data Exchange producto, la IAM entidad necesita permisos de uso AWS Data Exchange, además de aws-marketplace:subscribeaws-marketplace:aws-marketplace:CreateAgreementRequest, y aws-marketplace:AcceptAgreementRequest IAM permisos para usarlo AWS Marketplace (siempre que supere cualquier verificación de suscripción relacionada). Como suscriptor, su cuenta tiene acceso de lectura a los conjuntos de datos con derechos. Sin embargo, no es propietaria de los conjuntos de datos con derechos. Todos los conjuntos de datos con derechos que se exporten a Amazon S3 son propiedad de la Cuenta de AWS del suscriptor.

Administración del acceso a los recursos de

En esta sección se analiza el uso IAM en el contexto de AWS Data Exchange. No proporciona información detallada sobre el IAM servicio. Para obtener IAM la documentación completa, consulte ¿Qué esIAM? en la Guía IAM del usuario. Para obtener información sobre IAM la sintaxis y las descripciones de las AWSIAMpolíticas, consulte la referencia de políticas en la Guía del IAM usuario.

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones para crear políticas de permisos.

Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (IAMpolíticas). Las políticas adjuntas a un recurso se denominan políticas basadas en recursos. AWS Data Exchange solo admite políticas basadas en la identidad (políticas). IAM

Temas

Políticas y permisos basados en identidades
Políticas basadas en recursos

Políticas y permisos basados en identidades

AWS Data Exchange proporciona cuatro políticas gestionadas:

AWSDataExchangeFullAccess
AWSDataExchangeSubscriberFullAccess
AWSDataExchangeProviderFullAccess
AWSDataExchangeReadOnly

Para obtener más información acerca de estas políticas y sus permisos, consulte AWS políticas gestionadas para AWS Data Exchange.

Permisos de Amazon S3

Al importar activos de Amazon S3 a AWS Data Exchange, necesita permisos para escribir en los buckets de S3 del AWS Data Exchange servicio. Del mismo modo, al exportar activos AWS Data Exchange a Amazon S3, necesita permisos para leer los buckets de S3 del AWS Data Exchange servicio. Estos permisos están incluidos en las políticas mencionadas anteriormente, pero también puede crear su propia política para permitir solo lo que desee que los usuarios puedan hacer. Puede limitar estos permisos a los depósitos que contengan aws-data-exchange su nombre y usar el CalledViapermiso para restringir el uso del permiso a las solicitudes realizadas AWS Data Exchange en nombre del principal.

Por ejemplo, puedes crear una política que permita la importación y la exportación y AWS Data Exchange que incluya estos permisos.


{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": "s3:GetObject",
          "Resource": "arn:aws:s3:::*aws-data-exchange*",
          "Condition": {
            "ForAnyValue:StringEquals": {
              "aws:CalledVia":[
                "dataexchange.amazonaws.com"
              ]
            }
          }
        },
        {
          "Effect": "Allow",
          "Action": [
            "s3:PutObject",
            "s3:PutObjectAcl"
          ],
          "Resource": "arn:aws:s3:::*aws-data-exchange*",
          "Condition": {
            "ForAnyValue:StringEquals": {
              "aws:CalledVia":[
                "dataexchange.amazonaws.com"
              ]
            }
          }
        },
    ]
}

Estos permisos permiten a los proveedores importar y exportar con AWS Data Exchange. La política incluye los permisos y las restricciones siguientes:

s3: PutObject y s3: PutObjectAcl — Estos permisos están restringidos únicamente a los buckets de S3 que contengan aws-data-exchange su nombre. Estos permisos permiten a los proveedores escribir en los buckets de AWS Data Exchange servicio al importar desde Amazon S3.
s3: GetObject — Este permiso está restringido a los buckets de S3 que contengan su aws-data-exchange nombre. Este permiso permite a los clientes leer los buckets de AWS Data Exchange servicio al exportar desde AWS Data Exchange Amazon S3.
Estos permisos están restringidos a las solicitudes realizadas AWS Data Exchange con IAM CalledVia esta condición. Esto permite que los PutObject permisos de S3 solo se utilicen en el contexto de la AWS Data Exchange consola oAPI.
AWS Lake Formationy AWS Resource Access Manager(AWS RAM): para usar conjuntos de AWS Lake Formation datos, tendrás que aceptar la invitación a AWS RAM compartir cada nuevo proveedor neto al que tengas una suscripción. Para aceptar la invitación a AWS RAM compartir, tendrás que asumir un rol que tenga permiso para aceptar una invitación a AWS RAM compartir. Para obtener más información sobre cómo AWS gestionar las políticas AWS RAM, consulte Políticas gestionadas para AWS RAM.
Para crear conjuntos de AWS Lake Formation datos, tendrá que crear el conjunto de datos con una función asumida que le IAM permita transferirle una función AWS Data Exchange. Esto permitirá AWS Data Exchange conceder y revocar permisos a los recursos de Lake Formation en tu nombre. Consulte la política de ejemplo a continuación:
```
{
    "Effect": "Allow",
    "Action": "iam:PassRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
             "iam:PassedToService": "dataexchange.amazonaws.com"
        }
    }
}
```

nota

Es posible que sus usuarios también necesiten permisos adicionales para leer o escribir desde sus propios buckets y objetos de S3 que no se incluyen en este ejemplo.

Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte Identidades (usuarios, grupos y funciones) en la Guía del IAM usuario.

Políticas basadas en recursos

AWS Data Exchange no admite políticas basadas en recursos.

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket.

Especificación de los elementos de las políticas: acciones, efectos y entidades principales

Para poder AWS Data Exchange utilizarlos, los permisos de usuario deben estar definidos en una IAM política.

A continuación se indican los elementos más básicos de la política:

Recurso: en una política, se utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Todas AWS Data Exchange API las operaciones admiten permisos a nivel de recurso (RLP), pero AWS Marketplace las acciones noRLP. Para obtener más información, consulte AWS Data Exchange recursos y operaciones.
Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar.
Efecto: usted especifica el efecto de permitir o denegar cuando el usuario solicite la acción específica. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que está asociada la política es el principal implícito. En el caso de las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad para la que desea recibir los permisos (solo se aplica a las políticas basadas en recursos). AWS Data Exchange no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia AWS IAM de políticas en la Guía del IAMusuario.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la IAM política para especificar las condiciones en las que una política debe entrar en vigor. Las CancelJob API operaciones CreateJob With StartJobGetJob, y admiten permisos condicionales. AWS Data Exchange Puede proporcionar permisos en el nivel de JobType.

AWS Data Exchange referencia clave de condición
Clave de condición	Descripción	Tipo
`"dataexchange:JobType":"IMPORT_ASSETS_FROM_S3"`	Limita los permisos a los trabajos para importar activos de Amazon S3.	Cadena
`"dataexchange:JobType":IMPORT_ASSETS_FROM_LAKE_FORMATION_TAG_POLICY" (Preview)`	Limita los permisos a los trabajos para importar activos de AWS Lake Formation (vista previa)	Cadena
`"dataexchange:JobType":"IMPORT_ASSET_FROM_SIGNED_URL"`	Limita los permisos a los trabajos que importan activos de un objeto firmadoURL.	Cadena
`"dataexchange:JobType":"IMPORT_ASSET_FROM_REDSHIFT_DATA_SHARES"`	Limita los permisos a los trabajos para importar activos de Amazon Redshift.	Cadena
`"dataexchange:JobType":"IMPORT_ASSET_FROM_API_GATEWAY_API"`	Limita los permisos a los trabajos que importan activos de Amazon API Gateway.	Cadena
`"dataexchange:JobType":"EXPORT_ASSETS_TO_S3"`	Limita los permisos de los trabajos para exportar activos a Amazon S3.	Cadena
`"dataexchange:JobType":"EXPORT_ASSETS_TO_SIGNED_URL"`	Limita los permisos a los trabajos que exportan activos a un firmante. URL	Cadena
`"dataexchange:JobType":EXPORT_REVISIONS_TO_S3"`	Limita los permisos de los trabajos para importar revisiones a Amazon S3.	Cadena

Para obtener más información sobre cómo especificar las condiciones en el lenguaje de una política, consulte Condición en la Guía del IAM usuario.

Para expresar las condiciones, utilice claves de condición predefinidas. AWS Data Exchange tiene la JobType condición para API las operaciones. No obstante, existen claves de condición que se aplican a todo AWS que se pueden utilizar según sea necesario. Para obtener una lista completa de las teclas AWS anchas, consulte la Guía del IAM usuario.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de identidades y accesos

Referencia de permisos de API