View a markdown version of this page

Zugriffskontrolle für die AWS Marketplace Compliance-API - AWS Marketplace

Die AWS Marketplace API-Referenz wurde neu strukturiert. Weitere Informationen zu den unterstützten API-Vorgängen finden Sie in der AWS Marketplace API-Referenz.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffskontrolle für die AWS Marketplace Compliance-API

Sie können die AWS Marketplace Compliance-API verwenden, um die Einhaltung von Vorschriften für Verkäufer in zu verwalten AWS Marketplace. Stellen Sie jedoch zunächst sicher, dass Ihr Benutzer oder Ihre Rolle auf die API-Funktionalität zugreifen kann, die Sie aufrufen möchten.

Verwenden Sie AWS Identity and Access Management (IAM), um Benutzer und Rollen zu erstellen und Richtlinien zuzuweisen, die Endbenutzern eingeschränkte Berechtigungen gewähren. Die Richtlinien definieren die Aktionen, die der Benutzer oder die Rolle über die AWS Marketplace Compliance-API auf Ihre Ressourcen anwenden kann.

Anmerkung

Um Produkte weiter verkaufen zu können AWS Marketplace, AWS-Konto müssen Sie als Verkäuferkonto eingerichtet sein. Weitere Informationen dazu, wie Sie AWS Marketplace Verkäufer werden können, finden Sie unter Erste Schritte als Verkäufer im AWS Marketplace Verkäuferleitfaden.

Aktionen zulassen mit AWS Verwaltete Richtlinien

Sie können Richtlinien verwenden, die von verwaltet werden AWS , um Ihrem Benutzer oder Ihrer Rolle Berechtigungen zu gewähren.

Um mit Rechnungseinreichungen zu arbeiten AWS Marketplace, können Sie die verwaltete AWSMarketplaceSellerFullAccess IAM-Richtlinie verwenden, die zusätzlich zu den anderen Berechtigungen vollen Zugriff auf die AWS Marketplace Compliance-API-Aktionen beinhaltet. Weitere Informationen finden Sie unter Richtlinien und Berechtigungen für AWS Marketplace Verkäufer und verwaltete AWS-Richtlinien für AWS Marketplace Verkäufer im AWS Marketplace Verkäuferleitfaden.

Alternativ können Sie Ihre eigenen IAM-Richtlinien erstellen, um eine detailliertere Kontrolle zu haben, als dies bei AWS verwalteten Richtlinien möglich ist. Verwenden Sie die folgenden Themen, um Ihre eigenen IAM-Richtlinien zu erstellen.

Zulassen von Aktionen für alle Ressourcen

Ressourcen sind Objekte, auf die die Aktionen einwirken können. Die Compliance-API hat die folgenden Ressourcentypen:

  • InvoiceSubmissionTask— Eine Aufgabe zum Einreichen von Rechnungen verfolgt die Bearbeitung einer vom Verkäufer eingereichten Rechnung in. AWS Marketplace

  • IssuedTaxInvoice— Eine Steuerrechnung, die im Namen eines Verkäufers AWS Marketplace ausgestellt wurde.

  • VerificationEvidence— Enthält Bestätigungsdaten für eine bestimmte Bestätigungskategorie und ein zu verifizierendes Thema.

Um einem Benutzer oder einer Rolle vollen Zugriff auf Aufgaben zur Rechnungsübermittlung zu gewähren, können Sie die folgende IAM-Richtlinie hinzufügen. Mit dieser Richtlinie kann der Benutzer oder die Rolle alle Aufgaben zur Rechnungsübermittlung auf alle Ressourcen anwenden ("*").

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:StartInvoiceSubmissionTask", "aws-marketplace:GetInvoiceSubmissionTask", "aws-marketplace:ListInvoiceSubmissionTasks", "aws-marketplace:ListPayables" ], "Resource": "*" } ] }

Um einem Benutzer oder einer Rolle vollen Zugriff auf ausgestellte Steuerrechnungen zu gewähren, können Sie die folgende IAM-Richtlinie hinzufügen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:ListIssuedTaxInvoices", "aws-marketplace:GetIssuedTaxInvoice" ], "Resource": "*" } ] }

Um einem Benutzer oder einer Rolle vollen Zugriff auf Überprüfungsvorgänge zu gewähren, können Sie die folgende IAM-Richtlinie hinzufügen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:CreateVerificationEvidence", "aws-marketplace:UpdateVerificationEvidence", "aws-marketplace:GetVerificationEvidence", "aws-marketplace:ListVerificationEvidence", "aws-marketplace:StartVerification", "aws-marketplace:GetVerification", "aws-marketplace:ListVerifications" ], "Resource": "*" } ] }

Informationen zu allen für die Compliance-API verfügbaren Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Marketplace Compliance in der Service Authorization Reference.

Zulassen von Aktionen für bestimmte Ressourcen

Sie können Berechtigungen auf Ressourcenebene verwenden, um Aktionen für eine bestimmte Ressource statt für alle Ressourcen zuzulassen. Dazu geben Sie den Amazon-Ressourcennamen (ARN) der Ressource in Resource der IAM-Richtlinie an.

Das folgende Beispiel ermöglicht die GetInvoiceSubmissionTask Aktion für eine bestimmte Aufgabe zur Einreichung von Rechnungen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetInvoiceSubmissionTask" ], "Resource": [ "arn:aws:aws-marketplace:us-east-1:123456789012:catalog/example-catalog/invoice-submission-task/example-task-id" ] } ] }

Das folgende Beispiel ermöglicht die GetIssuedTaxInvoice Aktion für eine bestimmte ausgestellte Steuerrechnung.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetIssuedTaxInvoice" ], "Resource": [ "arn:aws:aws-marketplace:us-east-1:123456789012:catalog/AWSMarketplace/issued-tax-invoice/example-invoice-id" ] } ] }

Das folgende Beispiel ermöglicht die GetVerificationEvidence Aktion für eine bestimmte Ressource für Bestätigungsnachweise.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetVerificationEvidence" ], "Resource": [ "arn:aws:aws-marketplace:us-east-1:123456789012:verification-type/business-verification/verification-evidence/evidence-a1b2c3d4e5f6g" ] } ] }

Zulassen von Aktionen mit bestimmten war: ResourceTag Bedingungsschlüssel

Sie können Aktionen für Ressourcen auf der Grundlage ihrer Tags zulassen, ohne einzelne ARNs angeben zu müssen. Durch das Hinzufügen von Tags zu Ressourcen können Sie den Zugriff auf diese Ressourcen anhand ihrer Tags steuern.

Die folgende IAM-Richtlinie ermöglicht beispielsweise die GetInvoiceSubmissionTask Aktion für jede Aufgabenressource ("*") für die Rechnungsübermittlung, die den Tag-Schlüssel product-team und den Tag-Wert von team-xyz hat.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetInvoiceSubmissionTask" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/product-team": "team-xyz" } } } ] }

In ähnlicher Weise ermöglicht die folgende IAM-Richtlinie die GetIssuedTaxInvoice Aktion für jede ausgestellte Steuerrechnungsressource ("*"), die den Tag-Schlüssel Department und den Tag-Wert von hat. Tax

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetIssuedTaxInvoice" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Tax" } } } ] }

Die folgende IAM-Richtlinie ermöglicht die GetVerificationEvidence Aktion für jede Ressource ("*") für Bestätigungsnachweise, die den Tag-Schlüssel Department und den Tag-Wert von hat. Compliance

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetVerificationEvidence" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Compliance" } } } ] }

Verwaltung von Tags auf Ressourcen

Sie können Tags zu vorhandenen Compliance-API-Ressourcen hinzufügen, auflisten und entfernen, z. B. zu Aufgaben zur Rechnungseinreichung und ausgestellten Steuerrechnungen.

Hinzufügen von Tags zu Ressourcen

Verwenden Sie die TagResource API-Aktion, um einer Ressource Tags hinzuzufügen.

Anforderung

POST /TagResource HTTP/1.1 Content-type: application/json { "ResourceArn": "string", "Tags": [ { "Key": "string", "Value": "string" } ] }

Zu den Anfrageparametern gehören:

  • ResourceArn (String) — (Erforderlich) ARN der Ressource.

  • Tags (Array von Objekten) — (Erforderlich) Eine Liste von Objekten, die jeden Tag-Schlüssel und -Wert angeben. Anzahl der zulässigen Objekte: 1—50.

    • Key (String) — (Erforderlich) Name des Tags. Regex-Muster:. ^([\p{L}\p{Z}\p{N}_.:/=+\-@]*)$ Zeichenlänge: 1—128.

    • Wert (Zeichenfolge) — (Erforderlich) Wert des Tags. Regex-Muster:. ^([\p{L}\p{Z}\p{N}_.:/=+\-@]*)$ Zeichenlänge: 0—256.

Entfernen von Tags von -Ressourcen

Verwenden Sie die UntagResource API-Aktion, um ein Tag oder eine Liste von Tags aus einer Ressource zu entfernen.

Anforderung

POST /UntagResource HTTP/1.1 Content-type: application/json { "ResourceArn": "string", "TagKeys": [ "string" ] }

Die Anforderungsparameter umfassen:

  • ResourceArn (String) — (Erforderlich) ARN der Ressource.

  • TagKeys (Array von Zeichenketten) — (Erforderlich) Eine Liste mit Schlüsselnamen von Tags, die entfernt werden sollen.

Listet alle Tags auf einer Ressource auf

Verwenden Sie die ListTagsForResource API-Aktion, um alle Tags einer Ressource aufzulisten.

Anforderung

POST /ListTagsForResource HTTP/1.1 Content-type: application/json { "ResourceArn": "string" }

Antwort

{ "ResourceArn": "string", "Tags": [ { "Key": "string", "Value": "string" } ] }

Erteilen Sie die Erlaubnis, Tags auf Ressourcen zu verwalten

Damit ein Benutzer oder eine Rolle Tags zu allen Compliance-API-Ressourcen hinzufügen, entfernen und auflisten kann, benötigt er die folgende IAM-Richtlinie.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:TagResource", "aws-marketplace:UntagResource", "aws-marketplace:ListTagsForResource" ], "Resource": "*" } ] }

Die Erlaubnis zur Verwaltung von Tags für Ressourcen wird nur erteilt, wenn diese Ressourcen über bestimmte Tags verfügen

Sie können einem Benutzer oder einer Rolle das Hinzufügen, Entfernen und Auflisten von Tags zu Compliance-API-Ressourcen mit bestimmten Tags gestatten. Die folgende IAM-Richtlinie erlaubt diese Aktionen für jede Ressource ("*"), die den Tag-Schlüssel product-team und den Tag-Wert von team-xyz hat.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:TagResource", "aws-marketplace:UntagResource", "aws-marketplace:ListTagsForResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/product-team": "team-xyz" } } } ] }

Beim Starten von Aufgaben zur Rechnungsübermittlung sind Tags erforderlich

Sie können die Kennzeichnung bei der Erstellung von Aufgaben zur Rechnungsübermittlung erzwingen, indem Sie bei der StartInvoiceSubmissionTask Aktion die Tasten aws:RequestTag und aws:TagKeys Bedingung verwenden.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:StartInvoiceSubmissionTask" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/product-team": "team-xyz" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "product-team" ] } } } ] }

Vorgänge zur Überprüfung und zum Nachweis

Die AWS Marketplace Compliance-API bietet Funktionen zur Verwaltung von Bestätigungsnachweisen und Überprüfungsprozessen. Sie können IAM-Richtlinien verwenden, um den Zugriff auf diese Vorgänge zu kontrollieren.

IAM-Aktionen für Überprüfungsvorgänge

Die folgenden IAM-Aktionen sind für Überprüfungsvorgänge verfügbar. Alle Aktionen verwenden den aws-marketplace Namespace.

Maßnahmen zur Verwaltung von Beweismitteln

  • aws-marketplace:CreateVerificationEvidence— Erstellen Sie neue Bestätigungsnachweise.

  • aws-marketplace:UpdateVerificationEvidence— Aktualisieren Sie bestehende Bestätigungsnachweise.

  • aws-marketplace:GetVerificationEvidence— Informieren Sie sich über Einzelheiten der Bestätigungsnachweise.

  • aws-marketplace:ListVerificationEvidence— Ressourcen für Bestätigungsnachweise auflisten.

Aktionen im Überprüfungsprozess

  • aws-marketplace:StartVerification— Reichen Sie Beweise ein und ermöglichen Sie den Datenaustausch.

  • aws-marketplace:GetVerification— Holen Sie sich den detaillierten Bestätigungsstatus.

  • aws-marketplace:ListVerifications— Listet alle Bestätigungsstatus auf.

Ressourcentyp

Die VerificationEvidenceRessource enthält Bestätigungsdaten für eine bestimmte Überprüfungskategorie und ein zu verifizierendes Thema. Das ARN-Format für diese Ressource ist:

arn:aws:aws-marketplace:region:account-id:verification-type/type-value/verification-evidence/evidence-id

Im Folgenden finden Sie ein Beispiel für einen ARN für die Unternehmensverifizierung:

arn:aws:aws-marketplace:us-east-1:123456789012:verification-type/business-verification/verification-evidence/evidence-a1b2c3d4e5f6g

Verwenden des VerificationType Bedingungsschlüssels

Der aws-marketplace:VerificationType Bedingungsschlüssel filtert die Vorgänge im Überprüfungsprozess nach Typ. Dieser Bedingungsschlüssel gilt für die folgenden Aktionen:

  • StartVerification

  • GetVerification

  • ListVerifications

Gültige Werte für diesen Bedingungsschlüssel sind:

  • BusinessVerification

Anmerkung

Bei Vorgängen zur Beweisverwaltung (CreateVerificationEvidenceUpdateVerificationEvidence,GetVerificationEvidence,,ListVerificationEvidence) wird dieser Bedingungsschlüssel nicht verwendet, da der Überprüfungstyp bereits im Ressourcen-ARN kodiert ist.

Aktionen zulassen mit AWS Verwaltete Richtlinien

Die von AWSMarketplaceSellerFullAccess IAM verwaltete Richtlinie umfasst zusätzlich zu den anderen Berechtigungen alle sieben Bestätigungsberechtigungen. Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien für AWS Marketplace Verkäufer im AWS Marketplace Verkäuferleitfaden.

Erlaubt vollen Zugriff auf alle Verifizierungsvorgänge

Um einem Benutzer oder einer Rolle vollen Zugriff auf alle Überprüfungsvorgänge zu gewähren, können Sie die folgende IAM-Richtlinie hinzufügen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:CreateVerificationEvidence", "aws-marketplace:UpdateVerificationEvidence", "aws-marketplace:GetVerificationEvidence", "aws-marketplace:ListVerificationEvidence", "aws-marketplace:StartVerification", "aws-marketplace:GetVerification", "aws-marketplace:ListVerifications" ], "Resource": "*" } ] }

Erlauben Sie den schreibgeschützten Zugriff auf Nachweise zur Unternehmensverifizierung

Um einem Benutzer oder einer Rolle nur Lesezugriff auf Unternehmensnachweise zu gewähren, können Sie mithilfe von ARN-based Filtern den Zugriff auf einen bestimmten Überprüfungstyp einschränken.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetVerificationEvidence", "aws-marketplace:ListVerificationEvidence" ], "Resource": [ "arn:aws:aws-marketplace:*:123456789012:verification-type/business-verification/verification-evidence/*" ] } ] }

Beschränken Sie die Abläufe des Überprüfungsprozesses nach Typ

Um die Vorgänge im Überprüfungsprozess auf einen bestimmten Überprüfungstyp zu beschränken, verwenden Sie den aws-marketplace:VerificationType Bedingungsschlüssel. Im folgenden Beispiel sind Vorgänge im Verifizierungsprozess nur für die Geschäftsverifizierung zulässig.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:StartVerification", "aws-marketplace:GetVerification", "aws-marketplace:ListVerifications" ], "Resource": "*", "Condition": { "StringEquals": { "aws-marketplace:VerificationType": "BusinessVerification" } } } ] }

Zulassen von Aktionen für bestimmte Ressourcen zur Überprüfung von Nachweisen

Um Aktionen mit bestimmten Ressourcen für Bestätigungsnachweise zuzulassen, geben Sie den ARN der Ressource im Resource Element der IAM-Richtlinie an. Im folgenden Beispiel sind alle Aktionen zur Verwaltung von Nachweisen für eine bestimmte Ressource für Bestätigungsnachweise zulässig.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetVerificationEvidence", "aws-marketplace:UpdateVerificationEvidence" ], "Resource": [ "arn:aws:aws-marketplace:us-east-1:123456789012:verification-type/business-verification/verification-evidence/evidence-id" ] } ] }