View a markdown version of this page

Contrôle d'accès pour AWS Marketplace API de conformité - AWS Marketplace

La référence d'API AWS Marketplace a été restructurée. Pour plus d'informations sur les opérations d'API prises en charge, consultez le manuel AWS Marketplace API Reference.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d'accès pour AWS Marketplace API de conformité

Vous pouvez utiliser l'API de AWS Marketplace conformité pour gérer la conformité des vendeurs dans AWS Marketplace. Cependant, assurez-vous d'abord que votre utilisateur ou votre rôle peut accéder à la fonctionnalité d'API que vous souhaitez appeler.

Utilisez Gestion des identités et des accès AWS (IAM) pour créer des utilisateurs et des rôles et attribuer des politiques qui accordent des autorisations limitées aux utilisateurs finaux. Les politiques définissent les actions que l'utilisateur ou le rôle peut effectuer sur vos ressources via l'API de AWS Marketplace conformité.

Note

Pour vendre des produits sur AWS Marketplace, vous Compte AWS devez être configuré en tant que compte vendeur. Pour en savoir plus sur la manière de devenir AWS Marketplace vendeur, consultez la section Commencer en tant que vendeur dans le Guide du AWS Marketplace vendeur.

Autoriser les actions avec AWS stratégies gérées

Vous pouvez utiliser des politiques gérées par AWS pour accorder des autorisations à votre utilisateur ou à votre rôle.

Pour travailler sur les soumissions de factures AWS Marketplace, vous pouvez utiliser la politique gérée par AWSMarketplaceSellerFullAccess IAM, qui inclut un accès complet aux actions de l'API de AWS Marketplace conformité en plus de ses autres autorisations. Pour plus d'informations, consultez les sections Politiques et autorisations pour AWS Marketplace les vendeurs et Politiques gérées par AWS pour AWS Marketplace les vendeurs dans le Guide du AWS Marketplace vendeur.

Vous pouvez également créer vos propres politiques IAM pour bénéficier d'un contrôle plus précis que celui disponible dans les politiques AWS gérées. Utilisez les rubriques suivantes pour créer vos propres politiques IAM.

Autoriser les actions sur toutes les ressources

Les ressources sont des objets sur lesquels les actions peuvent agir. L'API de conformité possède les types de ressources suivants :

  • InvoiceSubmissionTask— Une tâche de soumission de facture suit le traitement d'une facture soumise par le vendeur dans. AWS Marketplace

  • IssuedTaxInvoice— Une facture fiscale AWS Marketplace émise pour le compte d'un vendeur.

  • VerificationEvidence— Contient des données de vérification pour une catégorie de vérification et un sujet de vérification spécifiques.

Pour accorder à un utilisateur ou à un rôle un accès complet aux opérations des tâches de soumission des factures, vous pouvez ajouter la politique IAM suivante. Avec cette politique, l'utilisateur ou le rôle peut utiliser toutes les actions des tâches de soumission de factures sur toutes les ressources ("*").

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:StartInvoiceSubmissionTask", "aws-marketplace:GetInvoiceSubmissionTask", "aws-marketplace:ListInvoiceSubmissionTasks", "aws-marketplace:ListPayables" ], "Resource": "*" } ] }

Pour accorder à un utilisateur ou à un rôle un accès complet aux opérations de facturation fiscale émises, vous pouvez ajouter la politique IAM suivante.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:ListIssuedTaxInvoices", "aws-marketplace:GetIssuedTaxInvoice" ], "Resource": "*" } ] }

Pour accorder à un utilisateur ou à un rôle un accès complet aux opérations de vérification, vous pouvez ajouter la politique IAM suivante.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:CreateVerificationEvidence", "aws-marketplace:UpdateVerificationEvidence", "aws-marketplace:GetVerificationEvidence", "aws-marketplace:ListVerificationEvidence", "aws-marketplace:StartVerification", "aws-marketplace:GetVerification", "aws-marketplace:ListVerifications" ], "Resource": "*" } ] }

Pour plus d'informations sur toutes les actions disponibles pour l'API de conformité, consultez la section Actions, ressources et clés de condition pour la AWS Marketplace conformité dans la référence d'autorisation de service.

Autoriser des actions sur des ressources spécifiques

Vous pouvez utiliser les autorisations au niveau des ressources pour autoriser des actions sur une ressource spécifique plutôt que sur toutes les ressources. Pour ce faire, spécifiez le nom de ressource Amazon (ARN) de la ressource dans Resource la politique IAM.

L'exemple suivant permet d'effectuer une GetInvoiceSubmissionTask action sur une tâche de soumission de facture spécifique.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetInvoiceSubmissionTask" ], "Resource": [ "arn:aws:aws-marketplace:us-east-1:123456789012:catalog/example-catalog/invoice-submission-task/example-task-id" ] } ] }

L'exemple suivant autorise l'GetIssuedTaxInvoiceaction sur une facture fiscale émise spécifique.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetIssuedTaxInvoice" ], "Resource": [ "arn:aws:aws-marketplace:us-east-1:123456789012:catalog/AWSMarketplace/issued-tax-invoice/example-invoice-id" ] } ] }

L'exemple suivant autorise l'GetVerificationEvidenceaction sur une ressource de preuves de vérification spécifique.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetVerificationEvidence" ], "Resource": [ "arn:aws:aws-marketplace:us-east-1:123456789012:verification-type/business-verification/verification-evidence/evidence-a1b2c3d4e5f6g" ] } ] }

Autoriser des actions avec des lois : ResourceTag Clé de condition

Vous pouvez autoriser des actions sur les ressources en fonction de leurs balises sans avoir à spécifier des ARN individuels. L'ajout de balises aux ressources vous permet de contrôler l'accès à ces ressources en fonction de leurs balises.

Par exemple, la politique IAM suivante autorise l'GetInvoiceSubmissionTaskaction sur toute ressource de tâche de soumission de facture ("*") dont la clé product-team et la valeur de team-xyz balise sont égales à.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetInvoiceSubmissionTask" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/product-team": "team-xyz" } } } ] }

De même, la politique IAM suivante autorise l'GetIssuedTaxInvoiceaction sur toute ressource de facture fiscale émise ("*") dont la clé Department et la valeur de Tax balise sont égales à.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetIssuedTaxInvoice" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Tax" } } } ] }

La politique IAM suivante autorise l'GetVerificationEvidenceaction sur toute ressource de preuve de vérification ("*") dont la clé Department et la valeur de Compliance balise sont égales à.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetVerificationEvidence" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Compliance" } } } ] }

Gestion des balises sur les ressources

Vous pouvez ajouter, répertorier et supprimer des balises dans les ressources de l'API de conformité existantes, telles que les tâches de soumission de factures et les factures fiscales émises.

Ajout de balises aux ressources

Pour ajouter des balises à une ressource, utilisez l'action TagResource API.

Demande

POST /TagResource HTTP/1.1 Content-type: application/json { "ResourceArn": "string", "Tags": [ { "Key": "string", "Value": "string" } ] }

Les paramètres de demande incluent :

  • ResourceArn (String) — (Obligatoire) ARN de la ressource.

  • Tags (tableau d'objets) — (Obligatoire) Une liste d'objets spécifiant chaque clé et valeur de balise. Nombre d'objets autorisés : 1 à 50.

    • Key (String) — (Obligatoire) Nom de la balise. Modèle Regex :^([\p{L}\p{Z}\p{N}_.:/=+\-@]*)$. Longueur des caractères : 1 à 128

    • Value (String) — (Obligatoire) Valeur de la balise. Modèle Regex :^([\p{L}\p{Z}\p{N}_.:/=+\-@]*)$. Longueur des caractères : 0 à 256.

Supprimez des balises de ressources

Pour supprimer une balise ou une liste de balises d'une ressource, utilisez l'action UntagResource API.

Demande

POST /UntagResource HTTP/1.1 Content-type: application/json { "ResourceArn": "string", "TagKeys": [ "string" ] }

Les paramètres de demande incluent :

  • ResourceArn (String) — (Obligatoire) ARN de la ressource.

  • TagKeys (Tableau de chaînes) — (Obligatoire) Liste des noms clés des balises à supprimer.

Répertorier tous les tags d'une ressource

Pour répertorier toutes les balises d'une ressource, utilisez l'action ListTagsForResource API.

Demande

POST /ListTagsForResource HTTP/1.1 Content-type: application/json { "ResourceArn": "string" }

Réponse

{ "ResourceArn": "string", "Tags": [ { "Key": "string", "Value": "string" } ] }

Octroi de l'autorisation de gérer les balises sur les ressources

Pour permettre à un utilisateur ou à un rôle d'ajouter, de supprimer et de répertorier des balises sur toutes les ressources de l'API de conformité, il doit respecter la politique IAM suivante.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:TagResource", "aws-marketplace:UntagResource", "aws-marketplace:ListTagsForResource" ], "Resource": "*" } ] }

Accorder l'autorisation de gérer les balises sur les ressources uniquement lorsque ces ressources ont des balises spécifiques

Vous pouvez autoriser un utilisateur ou un rôle à ajouter, supprimer et répertorier des balises sur les ressources de l'API de conformité dotées de balises spécifiques. La politique IAM suivante autorise ces actions sur toute ressource ("*") dont la clé de balise product-team et la valeur de balise sont deteam-xyz.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:TagResource", "aws-marketplace:UntagResource", "aws-marketplace:ListTagsForResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/product-team": "team-xyz" } } } ] }

Exiger des balises lors du démarrage des tâches de soumission de factures

Vous pouvez appliquer le balisage lorsque des tâches de soumission de factures sont créées en utilisant les clés de aws:TagKeys condition aws:RequestTag et avec l'StartInvoiceSubmissionTaskaction.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:StartInvoiceSubmissionTask" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/product-team": "team-xyz" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "product-team" ] } } } ] }

Opérations de vérification des preuves

L'API de AWS Marketplace conformité fournit des opérations de gestion des preuves de vérification et des processus de vérification. Vous pouvez utiliser les politiques IAM pour contrôler l'accès à ces opérations.

Actions IAM pour les opérations de vérification

Les actions IAM suivantes sont disponibles pour les opérations de vérification. Toutes les actions utilisent l'espace de aws-marketplace noms.

Mesures de gestion des preuves

  • aws-marketplace:CreateVerificationEvidence— Créez de nouvelles preuves de vérification.

  • aws-marketplace:UpdateVerificationEvidence— Mettez à jour les preuves de vérification existantes.

  • aws-marketplace:GetVerificationEvidence— Obtenez les détails des preuves de vérification.

  • aws-marketplace:ListVerificationEvidence— Répertoriez les ressources relatives aux preuves de vérification.

Actions du processus de vérification

  • aws-marketplace:StartVerification— Soumettez des preuves et permettez le partage des données.

  • aws-marketplace:GetVerification— Obtenez le statut de vérification détaillé.

  • aws-marketplace:ListVerifications— Répertoriez tous les statuts de vérification.

Type de ressource

La VerificationEvidenceressource contient des données de vérification pour une catégorie de vérification et un sujet de vérification spécifiques. Le format ARN de cette ressource est le suivant :

arn:aws:aws-marketplace:region:account-id:verification-type/type-value/verification-evidence/evidence-id

Voici un exemple d'ARN pour la vérification commerciale :

arn:aws:aws-marketplace:us-east-1:123456789012:verification-type/business-verification/verification-evidence/evidence-a1b2c3d4e5f6g

Utilisation de la clé de VerificationType condition

La clé de aws-marketplace:VerificationType condition filtre les opérations du processus de vérification par type. Cette clé de condition s'applique aux actions suivantes :

  • StartVerification

  • GetVerification

  • ListVerifications

Les valeurs valides pour cette clé de condition sont les suivantes :

  • BusinessVerification

Note

Les opérations de gestion des preuves (CreateVerificationEvidenceUpdateVerificationEvidence,GetVerificationEvidence,,ListVerificationEvidence) n'utilisent pas cette clé de condition car le type de vérification est déjà codé dans l'ARN de la ressource.

Autoriser les actions avec AWS stratégies gérées

La politique gérée par AWSMarketplaceSellerFullAccess IAM inclut les sept autorisations de vérification en plus de ses autres autorisations. Pour plus d'informations, consultez les politiques gérées par AWS pour AWS Marketplace les vendeurs dans le Guide du AWS Marketplace vendeur.

Permettre un accès complet à toutes les opérations de vérification

Pour accorder à un utilisateur ou à un rôle un accès complet à toutes les opérations de vérification, vous pouvez ajouter la politique IAM suivante.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:CreateVerificationEvidence", "aws-marketplace:UpdateVerificationEvidence", "aws-marketplace:GetVerificationEvidence", "aws-marketplace:ListVerificationEvidence", "aws-marketplace:StartVerification", "aws-marketplace:GetVerification", "aws-marketplace:ListVerifications" ], "Resource": "*" } ] }

Autoriser l'accès en lecture seule aux preuves de vérification commerciales

Pour autoriser un utilisateur ou un rôle à accéder en lecture seule aux preuves de vérification commerciales, vous pouvez utiliser le ARN-based filtrage pour restreindre l'accès à un type de vérification spécifique.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetVerificationEvidence", "aws-marketplace:ListVerificationEvidence" ], "Resource": [ "arn:aws:aws-marketplace:*:123456789012:verification-type/business-verification/verification-evidence/*" ] } ] }

Restreindre les opérations du processus de vérification par type

Pour limiter les opérations du processus de vérification à un type de vérification spécifique, utilisez la clé de aws-marketplace:VerificationType condition. L'exemple suivant autorise les opérations de processus de vérification uniquement pour la vérification commerciale.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:StartVerification", "aws-marketplace:GetVerification", "aws-marketplace:ListVerifications" ], "Resource": "*", "Condition": { "StringEquals": { "aws-marketplace:VerificationType": "BusinessVerification" } } } ] }

Autoriser des actions sur des ressources de preuves de vérification spécifiques

Pour autoriser des actions sur des ressources de preuves de vérification spécifiques, spécifiez l'ARN de la ressource dans l'Resourceélément de la stratégie IAM. L'exemple suivant autorise toutes les actions de gestion des preuves sur une ressource de preuves de vérification spécifique.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-marketplace:GetVerificationEvidence", "aws-marketplace:UpdateVerificationEvidence" ], "Resource": [ "arn:aws:aws-marketplace:us-east-1:123456789012:verification-type/business-verification/verification-evidence/evidence-id" ] } ] }