本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 中 AWS Data Exchange 發佈包含 Amazon S3 資料存取的產品
使用 AWS Data Exchange for Amazon S3,供應商可以直接存取 Amazon S3 儲存貯體或特定字首和 Amazon S3 物件。供應商也會使用 AWS Data Exchange 自動管理訂閱、權利、帳單和付款。
身為資料提供者,您可以直接存取整個 Amazon S3 儲存貯體或特定字首和 Amazon S3 物件,而無需建立或管理複本。這些共用的 Amazon S3 物件可以使用存放在 AWS Key Management Service (AWS KMS) 或 AWS 受管金鑰 (SSE-S3) 中的客戶受管金鑰進行伺服器端加密。如需監控 KMS 金鑰和了解加密內容的詳細資訊,請參閱 Amazon S3 資料存取的金鑰管理。當客戶訂閱您的資料產品時, AWS Data Exchange 會自動佈建 Amazon S3 存取點,並代表您更新其資源政策,以授予訂閱者唯讀存取權。訂閱者可以在使用 Amazon S3 儲存貯體名稱存取 Amazon S3 中資料的位置使用 Amazon S3 存取點別名。
當訂閱結束時,訂閱者的許可會遭到撤銷。如果您選擇提早結束與訂閱者的協議,請聯絡 AWS 支援
您必須先符合下列先決條件,才能發佈包含 Amazon S3 資料存取的產品:
先決條件
-
確認託管資料的 Amazon S3 儲存貯體已使用開啟 ACLs已停用的 Amazon S3 儲存貯體擁有者強制執行設定進行設定。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的控制物件的擁有權和停用儲存貯體ACLs。
-
您的共用物件必須位於 Amazon S3 標準儲存類別中,或使用 S3 Intelligent Tiering 進行管理,訂閱者才能成功存取它們。如果訂閱者位於其他儲存類別中,或者您已啟用具有 Deep Archive 的智慧型分層,您的訂閱者將會收到錯誤,因為他們沒有 的許可
RestoreObject
。 -
確認託管資料的 Amazon S3 儲存貯體已停用加密,或使用存放在 () 中的 AWS Key Management Service Amazon S3 受管金鑰 (SSE-S3) 或客戶受管金鑰進行加密AWS KMS。
-
如果您使用的是客戶受管金鑰,您必須具有下列項目:
-
KMS 金鑰
kms:CreateGrant
上 的 IAM 許可。您可以透過金鑰政策、IAM 登入資料,或透過 KMS 金鑰上的 AWS KMS 授予來存取這些許可。如需金鑰管理和了解 AWS Data Exchange AWS 如何使用 KMS 授權的詳細資訊,請參閱 建立 AWS KMS 授予。若要提供存取權,請新增權限至您的使用者、群組或角色:
-
中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。
-
透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循「IAM 使用者指南」的為第三方身分提供者 (聯合) 建立角色中的指示。
-
IAM 使用者:
-
建立您的使用者可擔任的角色。請按照「IAM 使用者指南」的為 IAM 使用者建立角色中的指示。
-
(不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循 IAM 使用者指南的新增許可到使用者 (主控台) 中的指示。
-
如果使用者想要與 AWS 外部互動,則需要程式設計存取 AWS Management Console。授予程式設計存取權的方式取決於存取的使用者類型 AWS。
若要授與使用者程式設計存取權,請選擇下列其中一個選項。
哪個使用者需要程式設計存取權? 到 根據 人力資源身分
(IAM Identity Center 中管理的使用者)
使用臨時登入資料來簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs 請依照您要使用的介面所提供的指示操作。
-
如需 AWS CLI,請參閱AWS Command Line Interface 《 使用者指南》中的設定 AWS CLI 要使用 AWS IAM Identity Center的 。
-
AWS SDKs、工具和 AWS APIs,請參閱 AWS SDK 和工具參考指南中的 SDKsIAM Identity Center 身分驗證。
IAM 使用臨時登入資料來簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs 遵循《IAM 使用者指南》中將臨時登入資料與 AWS 資源搭配使用的指示。 IAM (不建議使用)
使用長期憑證來簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs請依照您要使用的介面所提供的指示操作。
-
如需 AWS CLI,請參閱AWS Command Line Interface 《 使用者指南》中的使用 IAM 使用者憑證進行身分驗證。
-
AWS SDKs和工具,請參閱 AWS SDKs和工具參考指南中的使用長期憑證進行身分驗證。
-
對於 AWS APIs,請參閱《IAM 使用者指南》中的管理 IAM 使用者的存取金鑰。
以下是 JSON 政策範例,示範如何將 新增至 KMS 金鑰的金鑰政策。
{ "Sid": "AllowCreateGrantPermission", "Effect": "Allow", "Principal": { "AWS": "<IAM identity who will call Dataexchange API>" }, "Action": "kms:CreateGrant", "Resource": "*" }
下列政策顯示所使用 IAM 身分新增的範例政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "AllowCreateGrantPermission", "Action": [ "kms:CreateGrant ], "Resource": [ <Enter KMS Key ARNs in your account> ] } ] }
注意
如果透過先前步驟取得 KMS 金鑰的
kms:CreateGrant
許可,則也允許跨帳戶 KMS 金鑰。如果另一個帳戶擁有金鑰,您必須擁有金鑰政策和 IAM 憑證的許可,如上述範例所述。 -
-
請務必使用 KMS 金鑰,使用 Amazon S3 儲存貯體金鑰功能來加密 Amazon S3 儲存貯體中的現有和新物件。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的設定 S3 儲存貯體金鑰。
-
對於新增至 Amazon S3 儲存貯體的新物件,您可以預設設定 Amazon S3 儲存貯體金鑰加密。如果現有物件已使用 Amazon S3bucket金鑰功能進行加密,則必須遷移這些物件才能使用 Amazon S3 儲存貯體金鑰進行加密。
若要為現有物件啟用 Amazon S3 儲存貯體金鑰,請使用
copy
操作。如需詳細資訊,請參閱使用批次操作在物件層級設定 Amazon S3 儲存貯體金鑰。 -
AWS 不支援 或 AWS 擁有的金鑰 受管 KMS 金鑰。您可以從不支援的加密方案遷移到目前支援的加密方案。如需詳細資訊,請參閱 AWS Storage Blog 中的變更 Amazon S3 加密
。
-
-
將託管資料的 Amazon S3 儲存貯體設定為信任 AWS Data Exchange 擁有的存取點。您必須更新這些 Amazon S3 儲存貯體政策,以授予 AWS Data Exchange 許可來建立 Amazon S3 存取點,並代表您授予或移除訂閱者的存取權。如果缺少政策陳述式,您必須編輯儲存貯體政策,才能將 Amazon S3 位置新增至資料集。
以下所示為政策範例。
<Bucket ARN>
將 取代為適當的值。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "<Bucket ARN>", "<Bucket ARN>/*" ], "Condition": { "StringEquals": { "s3:DataAccessPointAccount": [ "337040091392", "504002150500", "366362662752", "330489627928", "291973504423", "461002523379", "036905324694", "540564263739", "675969394711", "108584782536", "844053218156" ] } } } ] }
-
您可以透過 將資料共用委派 AWS Data Exchange 給整個 Amazon S3 儲存貯體。不過,您可以將委派範圍限定為您要在資料集中共用之儲存貯體的特定字首和物件。以下是範圍政策的範例。"mybucket/folder1/*"
使用您自己的資訊取代 <Bucket ARN>
和 。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DelegateToAdxGetObjectsInFolder1", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::mybucket/folder1/*" ], "Condition": { "StringEquals": { "s3:DataAccessPointAccount": [ "337040091392", "504002150500", "366362662752", "330489627928", "291973504423", "461002523379", "036905324694", "540564263739", "675969394711", "108584782536", "844053218156" ] } } }, { "Sid": "DelegateToAdxListObjectsInFolder1", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::mybucket", "Condition": { "StringLike": { "s3:prefix": [ "folder1/*" ] }, "StringEquals": { "s3:DataAccessPointAccount": [ "337040091392", "504002150500", "366362662752", "330489627928", "291973504423", "461002523379", "036905324694", "540564263739", "675969394711", "108584782536", "844053218156" ] } } } ] }
同樣地,若要限定存取單一檔案的範圍,供應商可以使用下列政策。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DelegateToAdxGetMyFile", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::mybucket/folder1/myfile" ], "Condition": { "StringEquals": { "s3:DataAccessPointAccount": [ "337040091392", "504002150500", "366362662752", "330489627928", "291973504423", "461002523379", "036905324694", "540564263739", "675969394711", "108584782536", "844053218156" ] } } } ] }
下列主題說明使用 AWS Data Exchange 主控台建立 Amazon S3 資料集,以及使用 Amazon S3 資料集發佈新產品的程序。程序有下列步驟:
步驟
步驟 1:建立 Amazon S3 資料集
建立 Amazon S3 資料集
-
在左側導覽窗格的發佈資料下,選擇擁有的資料集。
-
在左側導覽窗格的發佈資料下,選擇擁有的資料集。
-
在擁有的資料集中,選擇建立資料集以開啟資料集建立步驟精靈。
-
在選取資料集類型中,選擇 Amazon S3 資料存取。
-
在定義資料集中,輸入資料集的名稱和描述。如需詳細資訊,請參閱資料集最佳實務。
-
(選用) 在新增標籤下 – 選用,新增標籤。
-
選擇建立資料集並繼續。
步驟 2:設定 Amazon S3 資料存取
選擇您要提供給訂閱者的 Amazon S3 儲存貯體或 Amazon S3 儲存貯體位置。您可以選取整個 Amazon S3 儲存貯體,或在 Amazon S3 儲存貯體中指定最多五個字首或物件。若要新增更多 Amazon S3 儲存貯體,您必須建立另一個 Amazon S3 資料共用。
設定共用的 Amazon S3 資料存取
-
在設定 Amazon S3 資料存取頁面上,選取選擇 Amazon S3 位置。
-
在選擇 Amazon S3 位置中,在搜尋列輸入您的 Amazon S3 儲存貯體名稱,或選取您的 Amazon S3 儲存貯體、字首或 Amazon S3 檔案,然後選擇新增已選取。然後選擇新增位置。
注意
我們建議選擇儲存大部分物件和字首的頂層資料夾,以便提供者不需要重新設定要共用的字首或物件。
-
在組態詳細資訊中,選擇您的申請者付款組態。有兩個選項:
-
啟用申請者付款 (建議) – 申請者將支付 Amazon S3 儲存貯體中的所有請求和轉移。我們建議您使用此選項,因為它有助於避免訂閱者請求和轉移所造成的意外成本。
-
停用申請者付款 – 您需為 Amazon S3 儲存貯體中的訂閱者請求和轉移付費。
如需申請者付款的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的申請者付款儲存貯體中的物件。
-
-
選取最符合您需求的儲存貯體政策。選擇一般,針對整個 Amazon S3 儲存貯體使用一個儲存貯體政策。這是一次性組態,未來共用字首或物件不需要額外的組態。選擇特定以使用特定於所選 Amazon S3 位置的儲存貯體政策。您共用的 Amazon S3 儲存貯體需要儲存貯體政策,才能成功建立 Amazon S3 資料存取資料集,且無法啟用 ACLs。
-
若要停用 ACLs,請導覽至您的儲存貯體許可,並將物件擁有權設定為強制執行的儲存貯體擁有者。
-
若要新增儲存貯體政策,請將儲存貯體陳述式複製到剪貼簿。在 Amazon S3 主控台的 Amazon S3 許可索引標籤中,選擇儲存貯體政策區段中的編輯、將儲存貯體政策貼入陳述式,以及儲存變更。
-
-
如果 Amazon S3 儲存貯體包含使用 AWS KMS 客戶受管金鑰加密的物件,您必須與 共用所有這類 KMS 金鑰 AWS Data Exchange。如需使用 KMS 金鑰加密 Amazon S3 儲存貯體中物件時所需先決條件的相關資訊,請參閱 在 中 AWS Data Exchange 發佈包含 Amazon S3 資料存取的產品。若要與 共用這些 KMS 金鑰 AWS Data Exchange,請執行下列動作:
-
在設定 Amazon S3 資料存取頁面的客戶受管 KMS 金鑰中,選取從 中選擇 AWS KMS keys或輸入 AWS KMS key ARN,然後選取AWS KMS keys所有目前用來加密 Amazon S3 共用位置的 。 AWS Data Exchange 使用這些 KMS 金鑰為訂閱者建立存取共用位置的授予。如需詳細資訊,請參閱 中的授與 AWS KMS。
注意
AWS KMS 每個 KMS 金鑰有 50,000 個授與的限制,包括預先存在的授與。
-
-
檢閱您的 Amazon S3 位置、選取的 KMS 金鑰和組態詳細資訊,然後選擇儲存並繼續。
步驟 3:檢閱並完成資料集
檢閱並完成新建立的資料集。如果您想要建立並新增另一個 Amazon S3 資料存取權,以共用對其他 Amazon S3 儲存貯體、字首、物件的存取權,請選擇新增另一個 Amazon S3 資料存取權。
注意
當需要共用託管在與在初始 Amazon S3 資料存取中先前挑選的資料不同的 Amazon S3 儲存貯體中的資料存取權時,我們建議這樣做。
如果您想要在發佈之前進行變更,您可以選擇儲存草稿,將資料集儲存為草稿。然後,選擇完成資料集,將其新增至您的產品。
步驟 4:將 Amazon S3 資料集新增至 AWS Data Exchange 產品
在下列程序中,您將資料集新增至新的或現有的 AWS Data Exchange 產品。
將資料集新增至新的或現有的 AWS 資料交換產品
-
在擁有的資料集頁面的資料集概觀下,您可以從資料集編輯名稱、刪除或建立產品。
-
完成產品建立,指定產品描述、使用案例、中繼資料、定價以及條款和條件。
-
完成時檢閱並發佈產品。
注意
當客戶訂閱您的產品時,客戶會收到存取許可,以使用代表您建立的 Amazon S3 存取點來讀取和使用您的資料。
步驟 5:發佈包含 Amazon S3 存取權的新產品
建立至少一個資料集並使用資產完成修訂後,您可以發佈具有 Amazon S3 資料存取權的產品。如需詳細資訊,請參閱中的產品最佳實務 AWS Data Exchange。請確定您擁有產品和優惠的所有必要詳細資訊。
注意
除非 Amazon S3 位置已變更且訂閱者無法存取這些物件,否則更新共用的 Amazon S3 物件時不需要建立新的修訂。
發佈包含 Amazon S3 存取權的新產品
-
在AWS Data Exchange 主控台
的左側導覽窗格中,於發佈資料下,選擇產品。 -
從產品中,選擇發佈新產品以開啟發佈新產品精靈。
-
在產品可見性區段中,選擇您產品的產品可見性選項和敏感資訊組態,然後選擇下一步。如需詳細資訊,請參閱 中的產品可見性 AWS Data Exchange 和 中的敏感資訊類別 AWS Data Exchange。
-
在新增資料區段的擁有的資料集下,選取您要新增之資料集旁的核取方塊,然後選擇新增已選取。
注意
您選擇的資料集必須具有最終修訂。不會新增沒有最終修訂的資料集。
-
移至選取的資料集以檢閱您的選擇。
您可以檢閱資料集的名稱、資料集類型,以及資料集上次更新時的時間戳記。
-
前往選取修訂存取規則,選擇您要為包含在此產品中的資料集設定的修訂存取規則,然後選擇下一步。
如需詳細資訊,請參閱中的修訂存取規則 AWS Data Exchange。
-
-
在定義產品區段的產品概觀下,輸入產品的相關資訊,包括產品名稱、產品標誌、支援聯絡資訊和產品類別。
如需詳細資訊,請參閱中的產品最佳實務 AWS Data Exchange。
-
(選用) 在定義產品區段中,在資料字典和範例下 – 選用,選擇資料集名稱旁的選項按鈕,然後選擇編輯,以選擇資料集。
如需詳細資訊,請參閱 中的資料字典 AWS Data Exchange 和 中的範例資料 AWS Data Exchange。
-
在編輯對話方塊的上傳資料字典下,選擇新增檔案以上傳新的資料字典。
您可以選擇一個 .csv 格式的資料字典,大小上限為 1 MB。
-
從您的電腦選擇儲存的資料字典,然後選擇開啟。
資料字典 .csv 檔案會出現在編輯對話方塊中。
注意
您的資料字典必須符合 AWS Data Exchange 資料字典範本。如果您沒有要上傳的已儲存資料字典,您可以在 AWS Data Exchange 主控台中選擇空白資料字典範本連結或範例資料字典連結。
-
選擇資料字典預覽以預覽資料字典。
-
在範例 - 選用下,選擇上傳範例,從您的電腦選擇範例,然後選擇開啟。
這些範例會出現在編輯對話方塊中。
注意
您最多可以上傳 10 個大小上限為 50 MB 的範例。.csv 格式的範例可以預覽。
-
輸入每個範例的說明,這些範例會顯示在產品詳細資訊頁面上。
-
選擇 Save (儲存)。
-
-
在產品定義下,輸入產品的簡短描述和長描述。
如果您想要將範本用於長描述,請選取套用範本,選擇範本類型,然後在範本中提供您的特定產品詳細資訊。
-
選擇 Next (下一步)。
-
設定您的優惠。
-
如果您要建立公開優惠,請在新增公開優惠區段中設定您的優惠。可見性設為公開的所有 AWS Data Exchange 產品都需要公開優惠。
-
選擇訂閱的定價和存取持續時間選項。
-
選擇您的美國銷售稅設定、資料訂閱協議 (DSA) 和退款政策。
-
(選用) 設定訂閱驗證以控制誰可以訂閱此產品。如需詳細資訊,請參閱中的提供者訂閱驗證 AWS Data Exchange。
-
選擇優惠自動續約選項。如需詳細資訊,請參閱為 AWS Data Exchange 產品建立優惠。
-
選擇 Next (下一步)。
-
-
如果您要建立私有優惠,請在新增自訂優惠區段中設定優惠詳細資訊。
-
在訂閱者帳戶資訊區段中,新增至少一個您要延長優惠的訂閱者帳戶。
-
選擇訂閱的定價和存取持續時間選項。
-
選擇訂閱者必須接受優惠的優惠到期日。
-
選擇您的美國銷售稅設定、資料訂閱協議 (DSA) 和退款政策。
-
選擇優惠自動續約選項。如需詳細資訊,請參閱為 AWS Data Exchange 產品建立優惠。
-
選擇 Next (下一步)。
-
-
-
在檢閱與發佈區段中,檢閱您的產品資訊,然後展開產品頁面預覽,以查看發佈後的外觀。
-
如果您確定要讓產品和公開優惠可供所有人使用,請選擇發佈。
您現在已完成使用公開優惠發佈資料產品的手動部分。 會 AWS Data Exchange 準備和發佈您的產品。在產品概觀頁面上,您的產品狀態為等待核准。產品發佈後,狀態會變更為已發佈。
步驟 6:(選用) 複製產品
建立第一個產品後,您可以複製其詳細資訊和公開優惠來建立新的產品。
注意
您可以複製公有、私有、已發佈或未發佈的產品。無法複製與產品相關聯的自訂優惠,但可以複製公開優惠。
複製產品
-
開啟您的 Web 瀏覽器並登入 AWS Data Exchange 主控台
。 -
從左側導覽窗格的發佈資料下,選擇產品。
-
從產品中,選擇您要複製之產品旁的選項。
-
選取動作下拉式清單,然後選擇建立複本。
-
根據您在步驟 3 中選擇的產品,繼續進行發佈產品工作流程,其中包含已填入的詳細資訊。如需詳細資訊,請參閱步驟 5:發佈新產品。