访问包含 Amazon S3 数据访问权限的数据集 AWS Data Exchange

接收者概述

AWS Data Exchange for Amazon S3 允许收件人直接从数据所有者的 Amazon S3 存储桶访问第三方数据文件。

作为接收者，在您有权获得 AWS Data Exchange 适用于 Amazon S3 的数据集后，您可以使用数据所有者在 Amazon S3 存储桶中的数据，直接使用亚马逊雅典娜 SageMaker 、Feature Store 或EMR亚马逊 AWS 服务 等渠道开始数据分析。

请考虑以下事项：

• 数据所有者可以选择在托管所提供数据的 Amazon S3 存储桶上启用请求者付款（Amazon S3 的一项功能）。如果启用，收件人需要付费才能读取、使用、传输、导出数据或将数据复制到 theirAmazon S3 存储桶。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》中的使用申请方付款存储桶进行存储传输和使用。

• 当您接受 AWS Data Exchange 对适用于 Amazon S3 的数据产品的数据授予时， AWS Data Exchange 会自动配置 Amazon S3 接入点并更新其资源策略以授予您只读访问权限。Amazon S3 接入点是 Amazon S3 的一项特征，可简化对 Amazon S3 存储桶的数据共享。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》中的使用 Amazon S3 接入点管理数据访问。

• 在使用 Amazon S3 接入点 Amazon 资源名称 (ARN) 或别名访问共享数据之前，必须更新您的IAM权限。您可以验证当前角色及其相关策略是否允许 GetObject 和 ListBucket 调用提供商的 Amazon S3 存储桶和提供的 Amazon S3 接入点 AWS Data Exchange。

以下各节介绍使用 AWS Data Exchange 控制台接受数据授予后访问 AWS Data Exchange 适用于 Amazon S3 的数据集的完整过程。

您可以运行查询来就地分析数据，而无需设置自己的 Amazon S3 存储桶、将数据文件复制到 Amazon S3 存储桶或支付相关的存储费用。您可以访问数据所有者维护的相同 Amazon S3 对象，从而能够使用最新的可用数据。

通过数据授权，您可以执行以下操作：

• 无需设置单个 Amazon S3 存储桶、复制文件或支付存储费用，即可分析数据。

• 数据所有者更新提供商数据后，即可访问最新的相关数据。

要查看数据集、修订和资产，请按以下步骤操作：

1. 打开您的 Web 浏览器，登录到 AWS Data Exchange 控制台。

2. 在左侧导航窗格中的我的数据下，选择已授权数据集。

3. 在已授权数据集中，选择一个数据集。

4. 查看数据集概览。

   注意

   提供的数据存储在数据所有者的 Amazon S3 存储桶中。访问这些数据时，除非所有者另有说明，否则您将负责请求和从所有者的 Amazon S3 存储桶下载的数据的费用。

5. 在开始之前，您的角色必须拥有使用您授权的 Amazon S3 数据访问IAM权限的权限。在数据集概述页面的 Amazon S3 数据访问选项卡上，选择验证IAM权限以确定您的角色是否具有访问数据的正确权限。

6. 如果您拥有必要的IAM权限，请在显示的IAM策略提示中选择 “下一步”。如果您没有所需的权限，请按照提示将JSON策略嵌入到用户或角色中。

7. 查看您的共享位置，查看 Amazon S3 存储桶或数据所有者共享的前缀和对象。查看 Amazon S3 接入点信息的数据访问信息，以确定数据所有者是否启用了请求者付款。

8. 选择 “浏览共享的 Amazon S3 位置”，查看和浏览数据所有者的 Amazon S3 存储桶、前缀和共享对象。

9. 您可以在使用 Amazon S3 存储桶名称的任何位置使用接入点别名，以编程方式访问您的授权数据。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》中的将接入点与兼容的 Amazon S3 操作结合使用。

10. （可选）当您获得包含使用数据所有者加密的数据的 Amazon S3 数据访问数据集的权限时 AWS KMS key，您可以在控制台ARN中查看该KMS密钥。 AWS Data Exchange 为您创建密钥 AWS KMS 授权，以便您可以访问加密的数据。您必须获得kms:DecryptIAM权限才能从已获得授权的 Amazon S3 接入点读取加密数据。 AWS KMS key 您可以在以下IAM政策声明中进行选择：

    1. IAM策略允许用户使用任何KMS密钥解密或加密数据。

       {
           "Version": "2012-10-17",
           "Statement": [{
       
               "Effect": "Allow",
               "Action": ["kms:Decrypt"],
               "Resource": ["*"]
           }
         ]
       }

    2. IAM策略允许用户指定在收件人控制台中ARNs可见的确切KMS密钥。

       {
           "Version": "2012-10-17",
           "Statement": [{
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": [
                   "<KMS key Arn from recipient's console>
               ]
           }
         ]
       }

注意

AWS KMS 授权最多可能需要 5 分钟才能使操作达到最终一致性。在此过程完成之前，您可能无法访问 Amazon S3 数据访问数据集。有关更多信息，请参阅《AWS KMS key 管理服务开发人员指南》AWSKMS中的授权。