View a markdown version of this page

Autorisierung bei Amazon DataZone - Amazon DataZone
Autorisierung in der DataZone Amazon-KonsoleAutorisierung im DataZone Amazon-PortalDataZone Amazon-Profile und -Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisierung bei Amazon DataZone

DataZoneDie Benutzeroberfläche von Amazon besteht aus einer internen Verwaltungskonsole AWS und einer externen Webanwendung (Datenportal).

Die Amazon DataZone Management Console kann von AWS Administratoren unter anderem für top-level-resource APIs die Erstellung und Verwaltung von Domains, AWS Kontozuordnungen für diese Domains und Datenquellen verwendet werden, für die Sie die Zugriffsverwaltung an Amazon DataZone delegieren möchten. Sie können die Amazon DataZone Management Console verwenden, um alle IAM-Rollen und Konfigurationen zu verwalten, die erforderlich sind, um die Zugriffsverwaltungssteuerung für die explizit AWS konfigurierten Konten an den DataZone Amazon-Service zu delegieren. Das DataZone Amazon-Datenportal ist eine AWS Identity Center-Anwendung von Erstanbietern für SSO-Benutzer. Wenn diese Option aktiviert ist, kann die Konsole auch von autorisierten IAM-Prinzipalen verwendet werden, um sich mit dem Datenportal zu verbinden, anstatt eine SSO-Identität zu verwenden.

DataZoneDas Datenportal von Amazon ist so konzipiert, dass es hauptsächlich von Benutzern mit AWS IAM Identity Center-Authentifizierung verwendet werden kann, um den Zugriff auf Daten zu verwalten und Aufgaben in den Bereichen Datenveröffentlichung, Erkennung, Abonnement und Analyse durchzuführen.

Autorisierung in der DataZone Amazon-Konsole

Das Autorisierungsmodell der DataZone Amazon-Konsole verwendet die IAM-Autorisierung. Die Konsole wird von Administratoren hauptsächlich für die Einrichtung verwendet. Amazon DataZone verwendet das Konzept eines AWS Domain-Administratorkontos und AWS Mitgliedskonten, und die Konsole wird von all diesen Konten aus verwendet, um Vertrauensbeziehungen aufzubauen und gleichzeitig die AWS Unternehmensgrenzen zu respektieren.

Autorisierung im DataZone Amazon-Portal

Das Autorisierungsmodell für das Amazon DataZone Data Portal ist eine hierarchische ACL mit statischen Rollenarchetypen (Profilen), zu denen Administratoren und Zuschauer gehören. Benutzer können beispielsweise ein Administrator- oder Benutzerprofil haben. Auf Domänenebene können sie als Domänenbenutzer die Bezeichnung Dateneigentümer haben. Auf Projektebene kann ein Benutzer Eigentümer oder Mitwirkender sein. Diese Profile können als einer von zwei Typen konfiguriert werden: Benutzer und Gruppen. Diese Profile werden dann mit Domänen und Projekten verknüpft, und der Status dieser Berechtigungen wird in einer Zuordnungstabelle gespeichert.

Im Rahmen dieses Autorisierungsmodells DataZone ermöglicht Amazon Benutzern die Verwaltung von Benutzer- und Gruppenberechtigungen. Benutzer verwalten die Projektmitgliedschaft, beantragen Mitgliedschaften für Projekte und genehmigen Mitgliedschaften. Benutzer veröffentlichen Daten, abonnieren Daten und genehmigen Abonnements.

Benutzer führen Datenanalysen in bestimmten Projekten durch, wenn ihr Datenportal-Client Anmeldeinformationen für IAM-Sitzungen anfordert, die Amazon auf der Grundlage des effektiven Benutzerprofils im jeweiligen Projektkontext DataZone generiert. Diese Sitzung hängt sowohl von den Benutzerberechtigungen als auch von den Ressourcen des jeweiligen Projekts ab. Benutzer wechseln dann zu Athena oder Redshift, um die relevanten Daten abzufragen, und die gesamte zugrunde liegende IAM-Arbeit wird vollständig abstrahiert.

DataZone Amazon-Profile und -Rollen

Sobald ein Benutzer authentifiziert ist, wird der authentifizierte Kontext einer Benutzerprofil-ID zugeordnet. Dieses Benutzerprofil kann mehrere, unterschiedliche Verknüpfungen haben (Projekteigentümer, Domänenadministrator usw.), die für die Autorisierung von Benutzern verwendet werden. Jede Assoziation (z. B. Projekteigentümer, Domainadministrator usw.) hat je nach Kontext Berechtigungen für bestimmte Aktivitäten. Beispielsweise kann ein Benutzer, der über eine Domain-Admin-Zuordnung verfügt, zusätzliche Domains erstellen, der Domain andere Domain-Administratoren zuweisen und Projektvorlagen innerhalb seiner Domain erstellen. Ein Projektinhaber kann Projektmitglieder für sein Projekt hinzufügen oder entfernen und Ressourcen in einer Domain veröffentlichen.