本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 订阅和访问包含 Amazon S3 数据访问权限的 AWS Data Exchange 产品
<a name="subscribing-to-S3-data-access"></a>

AWS Data Exchange for Amazon S3 允许数据订阅者直接从数据提供商的 Amazon S3 存储桶访问第三方数据文件。

作为数据订阅者，在您有权访问 AWS Data Exchange 适用于 Amazon S3 的数据集后，您可以直接使用提供商在 Amazon S3 存储桶中的数据开始数据分析， AWS 服务 例如 Amazon Athena SageMaker 、AI Feature Store 或 Amazon EMR。

请考虑以下事项：
+ 提供商可以选择在托管所提供数据的 Amazon S3 存储桶上启用**申请方付款**（Amazon S3 的一项特征）。如果启用该特征，订阅者需要付费才能读取、使用、传输和导出数据，或将数据复制到他们的 Amazon S3 存储桶。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[使用申请方付款存储桶进行存储传输和使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html)。
+ 当您订阅 AWS Data Exchange 适用于 Amazon S3 的数据产品时， AWS Data Exchange 会自动配置 Amazon S3 接入点并更新其资源策略以授予您只读访问权限。Amazon S3 接入点是 Amazon S3 的一项特征，可简化对 Amazon S3 存储桶的数据共享。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[使用 Amazon S3 接入点管理数据访问](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points.html)。
+ 在使用 Amazon S3 接入点 Amazon 资源名称 (ARN) 或别名访问共享数据之前，您必须更新 IAM 权限。您可以验证当前角色及其相关策略是否允许 `GetObject` 和 `ListBucket` 调用提供商的 Amazon S3 存储桶和 AWS Data Exchange提供的 Amazon S3 接入点。

以下各节介绍使用 AWS Data Exchange 控制台成为 A AWS Data Exchange mazon S3 订阅者的完整过程。

此过程包含以下步骤：

**Topics**
+ [

## 步骤 1：订阅包含 Amazon S3 数据访问权限的产品
](#subscribe-s3-data-access-product)
+ [

## 步骤 2：访问包含 Amazon S3 数据访问权限的产品
](#use-S3-data-access-product)

## 步骤 1：订阅包含 Amazon S3 数据访问权限的产品
<a name="subscribe-s3-data-access-product"></a>

如果您订阅了付费产品，则会根据您的 AWS 账单进行计费。您可以访问该产品中包含的所有数据集。有关更多信息，请参阅 [在上订阅 AWS Data Exchange 数据产品 AWS Data Exchange](subscribe-to-data-sets.md)。

**要订阅包含访问 Amazon S3 访问权限的产品，请按以下步骤操作：**

1. 打开并登录 [AWS Data Exchange 控制台](https://console.aws.amazon.com/dataexchange)。

1. 在左侧导航窗格的**发现数据产品**下，选择**浏览目录**。

   有关更多信息，请参阅[浏览目录](subscriber-getting-started.md#browse-catalog)。

1. 在 “**优化结果**” 下，使用**数据集类型**筛选器并选择 **Amazon S3 访问权限来**查找包含访问 Amazon S3 数据的产品。

   有关更多信息，请参阅[浏览目录](subscriber-getting-started.md#browse-catalog)。

1. 选择一个产品，然后查看其产品详细信息页面。

   产品详细信息页面上包括产品描述、提供商的联系信息以及产品公开优惠的详细信息。公开优惠信息包括价格和持续时间、数据订阅协议 (DSA) 和退款政策。您可以查看产品中包含的数据集的名称以及它们 AWS 区域 在哪些名称中可用。您也可以在**类似的产品**下选择一种产品，继续浏览其他产品详细信息页面。

   如果提供商已向您的账户发布自定义优惠（例如，[专属优惠](subscribe-to-private-offer.md)或[自带订阅（BYOS）优惠](subscribe-to-byos-offer.md)），您也会看到这些详细信息。

1. 在右上角，选择**继续订阅**。

1. 查看**产品优惠**、**订阅条款**、优惠中包含的**数据集**以及**支持信息**。

1. 选择是否为该订阅启用**优惠自动续订**
**注意**  
有些产品需要订阅验证。有关更多信息，请参阅 [订阅者的订阅验证 AWS Data Exchange](subscription-verification-sub.md)。

1. 选择**订阅**。
**注意**  
如果您订阅了付费产品，系统会提示您确认订阅的决定。

1. 在**订阅中包含的数据集**下，查看列出的**数据集**。

   订阅处理完毕后，您可以选择一个数据集来访问您的授权数据，或者选择**查看订阅**，查看您的订阅。

## 步骤 2：访问包含 Amazon S3 数据访问权限的产品
<a name="use-S3-data-access-product"></a>

您可以运行查询来就地分析数据，而无需设置自己的 Amazon S3 存储桶、将数据文件复制到 Amazon S3 存储桶或支付相关的存储费用。您可以访问数据提供商维护的相同 Amazon S3 对象，从而使用最新的可用数据。

通过订阅，您可以做到以下几点：
+ 无需设置单个 Amazon S3 存储桶、复制文件或支付存储费用，即可分析数据。
+ 提供商更新订阅后，可立即访问最新的提供商数据。

**要查看数据集、修订和资产，请按以下步骤操作：**

1. 打开并登录 [AWS Data Exchange 控制台](https://console.aws.amazon.com/dataexchange)。

1. 在左侧导航窗格中的**我的订阅**下，选择**授权数据**。

1. 在**授权数据**页面上，展开产品并选择一个数据集。

1. 查看**数据集概览**。
**注意**  
提供的数据存储在提供商的 Amazon S3 存储桶中。访问这些数据时，除非提供商另有规定，否则您需要支付请求费用，以及从提供商的 Amazon S3 存储桶下载的数据的费用。

1. 在开始之前，您的角色必须具有 IAM 权限，才能使用您获得的 Amazon S3 数据访问权限。在**数据集概览**页面的 **Amazon S3 数据访问**选项卡上，选择**验证 IAM 权限**，以确定您的角色是否具有访问数据的正确权限。

1. 如果您拥有必要的 IAM 权限，请在显示的 **IAM 策略**提示中选择**下一步**。如果您没有所需的权限，请按照该提示，在用户或角色中嵌入 JSON 策略。

1. 查看**共享的位置**，以查看 Amazon S3 存储桶或提供商共享的前缀和对象。查看 Amazon S3 接入点信息的数据访问信息，以确定提供商是否启用了**申请方付款**。

1. 选择**浏览共享的 Amazon S3 位置**，查看和浏览提供商的 Amazon S3 存储桶、前缀和共享对象。

1. 您可以在使用 Amazon S3 存储桶名称的任何位置使用**接入点**别名，以编程方式访问您的授权数据。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[将接入点与兼容的 Amazon S3 操作结合使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-usage-examples.html)。

1. （可选）当您获得包含使用提供商加密的数据的 Amazon S3 数据访问数据集的权限时 AWS KMS key，可以在订阅者控制台中查看 KMS 密钥 ARN。 AWS Data Exchange 为您创建密钥 AWS KMS 授权，以便您可以访问加密的数据。您必须获得对 KMS 密钥的 `kms:Decrypt` IAM 权限，才能从已获得授权的 Amazon S3 接入点读取加密数据。您可以在以下 IAM 策略语句之间进行选择：

   1. 允许用户使用任何 KMS 密钥加密或解密数据的 IAM 策略。

------
#### [ JSON ]

****  

      ```
      {
           "Version":"2012-10-17",		 	 	 
           "Statement": [
               {
                    "Effect": "Allow",
                    "Action": [
                       "kms:Decrypt"
                    ],
                    "Resource": [
                        "*"
                    ]
                }
           ]
      }
      ```

------

   1. IAM 策略允许用户指定订阅者控制台中 ARNs 可见的确切 KMS 密钥。

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "kms:Decrypt"
                  ],
                  "Resource": [
                  "arn:aws:kms:us-east-1:111122223333:key/KeyId"
                  ]
              }
          ]
      }
      ```

------
**注意**  
AWS KMS 授权最多可能需要 5 分钟才能使操作达到最终一致性。在此过程完成之前，您可能无法访问 Amazon S3 数据访问数据集。有关更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的 [AWS KMS中的授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。

有关如何订阅 Amazon S3 数据集的更多信息，请参阅[订阅和访问包含 Amazon S3 数据访问权限的 AWS Data Exchange 产品](#subscribing-to-S3-data-access)。