Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle d’accès
Pour créer, mettre à jour, supprimer ou répertorier des AWS Data Exchange ressources, vous devez disposer des autorisations nécessaires pour effectuer l'opération et accéder aux ressources correspondantes. Pour effectuer l'opération par programmation, vous avez également besoin de clés d'accès valides.
Vue d'ensemble de la gestion des autorisations d'accès à vos AWS Data Exchange ressources
Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisation aux utilisateurs, aux groupes et aux rôles. Certains services (comme AWS Lambda) prennent également en charge l'attachement de stratégies d'autorisation aux ressources.
Note
Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d'administrateur. Pour de plus amples informations, veuillez consulter Bonnes pratiques IAM.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
-
Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
-
Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM.
-
Utilisateurs IAM :
-
Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM dans le Guide de l’utilisateur IAM.
-
(Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d’autorisations à un utilisateur (console) du Guide de l’utilisateur IAM.
-
Rubriques
AWS Data Exchange ressources et opérations
Dans AWS Data Exchange, il existe deux types de ressources principales avec des plans de contrôle différents :
-
Les principales ressources pour AWS Data Exchange sont les ensembles de données et les tâches. AWS Data Exchange prend également en charge les révisions et les actifs.
-
Pour faciliter les transactions entre fournisseurs et abonnés, utilise AWS Data Exchange également des AWS Marketplace concepts et des ressources, notamment des produits, des offres et des abonnements. Vous pouvez utiliser l'API du AWS Marketplace catalogue ou la AWS Data Exchange console pour gérer vos produits, vos offres, vos demandes d'abonnement et vos abonnements.
Présentation de la propriété des ressources
Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'entité principale (c'est-à-dire l'utilisateur Compte AWS root, un utilisateur ou un rôle) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne.
Propriété des ressources
Toute entité IAM dotée Compte AWS des autorisations appropriées peut créer des ensembles de AWS Data Exchange données. Lorsqu'une entité IAM crée un ensemble de données, Compte AWS elle est propriétaire de l'ensemble de données. Les produits de données publiés peuvent contenir des ensembles de données appartenant uniquement à Compte AWS celui qui les a créés.
Pour s'abonner à un AWS Data Exchange produit, l'entité IAM a besoin d'autorisations d'utilisation AWS Data Exchange, en plus des autorisations aws-marketplace:subscribeaws-marketplace:aws-marketplace:CreateAgreementRequest, et des autorisations aws-marketplace:AcceptAgreementRequest IAM pour AWS Marketplace (en supposant qu'elle passe toutes les vérifications d'abonnement associées). En tant qu'abonné, votre compte dispose d'un accès en lecture aux ensembles de données autorisés ; toutefois, il ne possède pas les ensembles de données autorisés. Tous les ensembles de données autorisés exportés vers Amazon S3 appartiennent à l'abonné Compte AWS.
Gestion de l’accès aux ressources
Cette section décrit l'utilisation d'IAM dans le contexte de AWS Data Exchange. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, veuillez consulter Qu'est-ce qu'IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, consultez la section Référence des AWS Identity and Access Management politiques dans le guide de l'utilisateur IAM.
Une permissions policy (politique d'autorisation) décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des stratégies d'autorisation.
Les politiques attachées à une identité IAM sont appelées des politiques basées sur l'identité (politiques IAM). Les politiques associées à une ressource sont appelées politiques basées sur les ressources. AWS Data Exchange prend uniquement en charge les politiques basées sur l'identité (politiques IAM).
Politiques et autorisations basées sur l'identité
AWS Data Exchange fournit un ensemble de politiques gérées. Pour plus d'informations les concernant et leurs autorisations, consultezAWS politiques gérées pour AWS Data Exchange.
Autorisations Amazon S3
Lorsque vous importez des actifs depuis Amazon S3 vers AWS Data Exchange, vous devez disposer d'autorisations pour écrire dans les compartiments S3 du AWS Data Exchange service. De même, lorsque vous exportez des actifs depuis AWS Data Exchange Amazon S3, vous devez disposer d'autorisations pour lire les buckets du AWS Data Exchange service S3. Ces autorisations sont incluses dans les politiques mentionnées précédemment, mais vous pouvez également créer votre propre politique pour autoriser exactement ce que vous souhaitez que vos utilisateurs puissent faire. Vous pouvez étendre ces autorisations aux compartiments dont le aws-data-exchange nom est indiqué et utiliser l' CalledViaautorisation pour restreindre l'utilisation de l'autorisation aux demandes effectuées AWS Data Exchange au nom du principal.
Par exemple, vous pouvez créer une politique autorisant l'importation et l'exportation vers AWS Data Exchange une politique incluant ces autorisations.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*aws-data-exchange*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia":[ "dataexchange.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::*aws-data-exchange*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia":[ "dataexchange.amazonaws.com" ] } } }, ] }
Ces autorisations permettent aux fournisseurs d'importer et d'exporter avec AWS Data Exchange. La politique inclut les autorisations et restrictions suivantes :
-
s3 : PutObject et s3 : PutObjectAcl — Ces autorisations sont limitées uniquement aux compartiments S3 dont le nom
aws-data-exchangeest indiqué. Ces autorisations permettent aux fournisseurs d'écrire dans des compartiments AWS Data Exchange de services lorsqu'ils importent depuis Amazon S3. -
s3 : GetObject — Cette autorisation est limitée aux compartiments S3 dont le nom
aws-data-exchangeest indiqué. Cette autorisation permet aux clients de lire des informations depuis des compartiments de AWS Data Exchange services lorsqu'ils exportent AWS Data Exchange vers Amazon S3. -
Ces autorisations sont limitées aux demandes effectuées à l' AWS Data Exchange aide de la
CalledViacondition IAM. Cela permet auxPutObjectautorisations S3 d'être utilisées uniquement dans le contexte de la AWS Data Exchange console ou de l'API. -
AWS Lake Formationet AWS Resource Access Manager(AWS RAM) — Pour utiliser AWS Lake Formation les ensembles de données, vous devez accepter l'invitation de AWS RAM partage pour chaque nouveau fournisseur auprès duquel vous êtes abonné. Pour accepter l'invitation de AWS RAM partage, vous devez assumer un rôle autorisé à accepter une invitation de AWS RAM partage. Pour en savoir plus sur la façon dont les politiques AWS sont gérées pour AWS RAM, consultez la section Politiques gérées pour AWS RAM.
-
Pour créer AWS Lake Formation des ensembles de données, vous devez créer l'ensemble de données avec un rôle assumé qui permet à IAM de transmettre un rôle. AWS Data Exchange Cela permettra d' AWS Data Exchange accorder et de révoquer les autorisations relatives aux ressources de Lake Formation en votre nom. Consultez un exemple de politique ci-dessous :
{ "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "dataexchange.amazonaws.com" } } }
Note
Vos utilisateurs peuvent également avoir besoin d'autorisations supplémentaires pour lire ou écrire à partir de vos propres compartiments et objets S3 qui ne sont pas couverts dans cet exemple.
Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez Identités (utilisateurs, groupes et rôles) dans le Guide de l'utilisateur IAM.
Politiques basées sur les ressources
AWS Data Exchange ne prend pas en charge les politiques basées sur les ressources.
D'autres services, tels qu'Amazon S3, prennent en charge les politiques d'autorisation basées sur les ressources. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment.
Spécification des éléments d’une politique : actions, effets et principaux
Pour pouvoir être utilisés AWS Data Exchange, vos autorisations d'utilisateur doivent être définies dans une politique IAM.
Voici les éléments les plus élémentaires d'une politique :
-
Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Toutes les opérations AWS Data Exchange d'API prennent en charge les autorisations au niveau des ressources (RLP), mais AWS Marketplace les actions ne le sont pas. Pour de plus amples informations, veuillez consulter AWS Data Exchange ressources et opérations.
-
Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser.
-
Effet : vous spécifiez l'effet (autoriser ou refuser) lorsque l'utilisateur demande l'action spécifique. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
-
Principal – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur les ressources, vous spécifiez l'utilisateur, le compte, le service ou toute autre entité pour lequel vous souhaitez recevoir des autorisations (s'applique uniquement aux politiques basées sur les ressources). AWS Data Exchange ne prend pas en charge les politiques basées sur les ressources.
Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, consultez la section Référence des AWS Identity and Access Management politiques dans le guide de l'utilisateur IAM.
Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Les opérations avec AWS Data Exchange,CreateJob, StartJobGetJob, et CancelJob API prennent en charge les autorisations conditionnelles. Vous pouvez fournir des autorisations au JobType niveau.
| Clé de condition | Description | Type |
|---|---|---|
"dataexchange:JobType":"IMPORT_ASSETS_FROM_S3" |
Étend les autorisations accordées aux tâches qui importent des actifs depuis Amazon S3. | Chaîne |
|
Étend les autorisations accordées aux tâches depuis lesquelles des actifs sont importés AWS Lake Formation (version préliminaire) | Chaîne |
"dataexchange:JobType":"IMPORT_ASSET_FROM_SIGNED_URL" |
Étend les autorisations accordées aux tâches qui importent des actifs à partir d'une URL signée. | Chaîne |
"dataexchange:JobType":"IMPORT_ASSET_FROM_REDSHIFT_DATA_SHARES" |
Étend les autorisations accordées aux tâches qui importent des actifs depuis Amazon Redshift. | Chaîne |
"dataexchange:JobType":"IMPORT_ASSET_FROM_API_GATEWAY_API" |
Étend les autorisations accordées aux tâches qui importent des actifs depuis Amazon API Gateway. | Chaîne |
"dataexchange:JobType":"EXPORT_ASSETS_TO_S3" |
Étend les autorisations accordées aux tâches qui exportent des actifs vers Amazon S3. | Chaîne |
"dataexchange:JobType":"EXPORT_ASSETS_TO_SIGNED_URL" |
Étend les autorisations accordées aux tâches qui exportent des actifs vers une URL signée. | Chaîne |
"dataexchange:JobType":EXPORT_REVISIONS_TO_S3" |
Étend les autorisations accordées aux tâches qui exportent des révisions vers Amazon S3. | Chaîne |
Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez Condition dans le Guide de l'utilisateur IAM.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. AWS Data Exchange a la JobType condition pour les opérations d'API. Cependant, il existe de AWS
larges clés de condition que vous pouvez utiliser, le cas échéant. Pour obtenir la liste complète des touches AWS larges, consultez le guide de l'utilisateur IAM.
