AWS verwaltete Richtlinie: AmazonDataZoneFullAccess - Amazon DataZone
Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinie: AmazonDataZoneFullAccess

Sie können die AmazonDataZoneFullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Diese Richtlinie bietet vollen Zugriff auf Amazon DataZone über die AWS Management Console. Diese Richtlinie umfasst auch Berechtigungen für AWS KMS für verschlüsselte SSM-Parameter. Der KMS-Schlüssel muss mit gekennzeichnet sein EnableKeyForAmazonDataZone , damit die SSM-Parameter entschlüsselt werden können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • datazone— gewährt Schulleitern vollen Zugriff auf Amazon DataZone über die AWS Management Console.

  • kms— Ermöglicht Prinzipalen, Aliase aufzulisten, Schlüssel zu beschreiben und Schlüssel zu entschlüsseln.

  • s3— Ermöglicht Prinzipalen die Auswahl vorhandener oder die Erstellung neuer S3-Buckets zum Speichern von DataZone Amazon-Daten.

  • ram— Ermöglicht Prinzipalen die gemeinsame Nutzung von DataZone Amazon-Domains. AWS-Konten

  • iam— Ermöglicht es Prinzipalen, Rollen aufzulisten und weiterzugeben und Richtlinien abzurufen.

  • sso— Ermöglicht Prinzipalen, die Regionen abzurufen, in denen diese Option aktiviert AWS IAM Identity Center ist.

  • secretsmanager— Ermöglicht Prinzipalen das Erstellen, Markieren und Auflisten von Geheimnissen mit einem bestimmten Präfix.

  • aoss— Ermöglicht Prinzipalen das Erstellen und Abrufen von Informationen für OpenSearch serverlose Sicherheitsrichtlinien.

  • bedrock— Ermöglicht Prinzipalen das Erstellen, Auflisten und Abrufen von Informationen für Inferenzprofile und Basismodelle.

  • codeconnections— Ermöglicht Prinzipalen das Löschen und Abrufen von Informationen, das Auflisten von Verbindungen und das Verwalten von Verbindungs-Tags.

  • codewhisperer— Ermöglicht Prinzipalen das Auflisten CodeWhisperer von Profilen.

  • ssm— Ermöglicht Prinzipalen das Speichern, Löschen und Abrufen von Informationen für Parameter.

  • redshift— Ermöglicht Prinzipalen, Cluster zu beschreiben und serverlose Arbeitsgruppen aufzulisten

  • glue— Ermöglicht Prinzipalen das Abrufen von Datenbanken.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AmazonDataZoneStatement",
			"Effect": "Allow",
			"Action": [
				"datazone:*"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "ReadOnlyStatement",
			"Effect": "Allow",
			"Action": [
				"kms:DescribeKey",
				"kms:ListAliases",
				"iam:ListRoles",
				"sso:DescribeRegisteredRegions",
				"s3:ListAllMyBuckets",
				"redshift:DescribeClusters",
				"redshift-serverless:ListWorkgroups",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"secretsmanager:ListSecrets",
				"iam:ListUsers",
				"glue:GetDatabases",
				"codeconnections:ListConnections",
				"codeconnections:ListTagsForResource",
				"codewhisperer:ListProfiles",
				"bedrock:ListInferenceProfiles",
				"bedrock:ListFoundationModels",
				"bedrock:ListTagsForResource",
				"aoss:ListSecurityPolicies"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "BucketReadOnlyStatement",
			"Effect": "Allow",
			"Action": [
				"s3:ListBucket",
				"s3:GetBucketLocation"
			],
			"Resource": "arn:aws:s3:::*"
		},
		{
			"Sid": "CreateBucketStatement",
			"Effect": "Allow",
			"Action": [
				"s3:CreateBucket"
			],
			"Resource": [
				"arn:aws:s3:::amazon-datazone*",
				"arn:aws:s3:::amazon-sagemaker*"
			]
		},
		{
			"Sid": "ConfigureBucketStatement",
			"Effect": "Allow",
			"Action": [
				"s3:PutBucketCORS",
				"s3:PutBucketPolicy",
				"s3:PutBucketVersioning"
			],
			"Resource": [
				"arn:aws:s3:::amazon-sagemaker*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "RamCreateResourceStatement",
			"Effect": "Allow",
			"Action": [
				"ram:CreateResourceShare"
			],
			"Resource": "*",
			"Condition": {
				"StringEqualsIfExists": {
					"ram:RequestedResourceType": "datazone:Domain"
				}
			}
		},
		{
			"Sid": "RamResourceStatement",
			"Effect": "Allow",
			"Action": [
				"ram:DeleteResourceShare",
				"ram:AssociateResourceShare",
				"ram:DisassociateResourceShare",
				"ram:RejectResourceShareInvitation"
			],
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"ram:ResourceShareName": [
						"DataZone*"
					]
				}
			}
		},
		{
			"Sid": "RamResourceReadOnlyStatement",
			"Effect": "Allow",
			"Action": [
				"ram:GetResourceShares",
				"ram:GetResourceShareInvitations",
				"ram:GetResourceShareAssociations",
				"ram:ListResourceSharePermissions"
			],
			"Resource": "*"
		},
		{
			"Sid": "IAMPassRoleStatement",
			"Effect": "Allow",
			"Action": "iam:PassRole",
			"Resource": [
				"arn:aws:iam::*:role/AmazonDataZone*",
				"arn:aws:iam::*:role/service-role/AmazonDataZone*",
				"arn:aws:iam::*:role/service-role/AmazonSageMaker*"
			],
			"Condition": {
				"StringEquals": {
					"iam:passedToService": "datazone.amazonaws.com"
				}
			}
		},
		{
			"Sid": "IAMGetPolicyStatement",
			"Effect": "Allow",
			"Action": "iam:GetPolicy",
			"Resource": [
				"arn:aws:iam::*:policy/service-role/AmazonDataZoneRedshiftAccessPolicy*"
			]
		},
		{
			"Sid": "DataZoneTagOnCreateDomainProjectTags",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:TagResource"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AmazonDataZoneDomain",
						"AmazonDataZoneProject"
					]
				},
				"StringLike": {
					"aws:RequestTag/AmazonDataZoneDomain": "dzd_*",
					"aws:ResourceTag/AmazonDataZoneDomain": "dzd_*"
				}
			}
		},
		{
			"Sid": "DataZoneTagOnCreate",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:TagResource"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AmazonDataZoneDomain"
					]
				},
				"StringLike": {
					"aws:RequestTag/AmazonDataZoneDomain": "dzd_*",
					"aws:ResourceTag/AmazonDataZoneDomain": "dzd_*"
				}
			}
		},
		{
			"Sid": "CreateSecretStatement",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:CreateSecret"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*",
			"Condition": {
				"StringLike": {
					"aws:RequestTag/AmazonDataZoneDomain": "dzd_*"
				}
			}
		},
		{
			"Sid": "ConnectionStatement",
			"Effect": "Allow",
			"Action": [
				"codeconnections:GetConnection"
			],
			"Resource": [
				"arn:aws:codeconnections:*:*:connection/*"
			]
		},
		{
			"Sid": "TagCodeConnectionsStatement",
			"Effect": "Allow",
			"Action": [
				"codeconnections:TagResource"
			],
			"Resource": [
				"arn:aws:codeconnections:*:*:connection/*"
			],
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"for-use-with-all-datazone-projects"
					]
				},
				"StringEquals": {
					"aws:RequestTag/for-use-with-all-datazone-projects": "true"
				}
			}
		},
		{
			"Sid": "UntagCodeConnectionsStatement",
			"Effect": "Allow",
			"Action": [
				"codeconnections:UntagResource"
			],
			"Resource": [
				"arn:aws:codeconnections:*:*:connection/*"
			],
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "for-use-with-all-datazone-projects"
				}
			}
		},
		{
			"Sid": "SSMParameterStatement",
			"Effect": "Allow",
			"Action": [
				"ssm:GetParameter",
				"ssm:GetParametersByPath",
				"ssm:PutParameter",
				"ssm:DeleteParameter"
			],
			"Resource": [
				"arn:aws:ssm:*:*:parameter/amazon/datazone/q*",
				"arn:aws:ssm:*:*:parameter/amazon/datazone/genAI*",
				"arn:aws:ssm:*:*:parameter/amazon/datazone/profiles*"
			]
		},
		{
			"Sid": "UseKMSKeyPermissionsStatement",
			"Effect": "Allow",
			"Action": [
				"kms:Decrypt"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/EnableKeyForAmazonDataZone": "true"
				},
				"Null": {
					"aws:ResourceTag/EnableKeyForAmazonDataZone": "false"
				},
				"StringLike": {
					"kms:ViaService": "ssm.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SecurityPolicyStatement",
			"Effect": "Allow",
			"Action": [
				"aoss:GetSecurityPolicy",
				"aoss:CreateSecurityPolicy"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringLike": {
					"aoss:collection": "genai-studio-*"
				}
			}
		},
		{
			"Sid": "GetFoundationModelStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:GetFoundationModel",
				"bedrock:GetFoundationModelAvailability"
			],
			"Resource": [
				"arn:aws:bedrock:*::foundation-model/*"
			]
		},
		{
			"Sid": "GetInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:GetInferenceProfile"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:inference-profile/*",
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			]
		},
		{
			"Sid": "ApplicationInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:CreateInferenceProfile"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			],
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonDataZoneProject": "true",
					"aws:RequestTag/AmazonDataZoneDomain": "false"
				}
			}
		},
		{
			"Sid": "TagApplicationInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:TagResource"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			],
			"Condition": {
				"Null": {
					"aws:ResourceTag/AmazonDataZoneProject": "true",
					"aws:RequestTag/AmazonDataZoneProject": "true",
					"aws:ResourceTag/AmazonDataZoneDomain": "false",
					"aws:RequestTag/AmazonDataZoneDomain": "false"
				}
			}
		},
		{
			"Sid": "DeleteApplicationInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:DeleteInferenceProfile"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			],
			"Condition": {
				"Null": {
					"aws:ResourceTag/AmazonDataZoneProject": "true",
					"aws:ResourceTag/AmazonDataZoneDomain": "false"
				}
			}
		}
	]
}

Politische Überlegungen und Einschränkungen

Es gibt bestimmte Funktionen, die die AmazonDataZoneFullAccess Richtlinie nicht abdeckt.

  • Wenn Sie eine DataZone Amazon-Domain mit Ihrem eigenen AWS KMS Schlüssel erstellen, müssen Sie über die erforderlichen Berechtigungen verfügen, damit kms:CreateGrant die Domainerstellung erfolgreich ist undkms:GenerateDataKey, kms:Decrypt damit dieser Schlüssel andere Amazon-Dateien DataZone APIs wie listDataSources und createDataSource aufrufen kann. Außerdem müssen Sie über die Berechtigungen für, kms:CreateGrant kms:Decryptkms:GenerateDataKey, und kms:DescribeKey in der Ressourcenrichtlinie dieses Schlüssels verfügen.

    Wenn Sie den standardmäßigen, diensteigenen KMS-Schlüssel verwenden, ist dies nicht erforderlich.

    Weitere Informationen finden Sie unter AWS Key Management Service.

  • Wenn Sie die Funktionen zum Erstellen und Aktualisieren von Rollen in der DataZone Amazon-Konsole verwenden möchten, benötigen Sie Administratorrechte oder die erforderlichen IAM-Berechtigungen, um IAM-Rollen zu erstellen und Richtlinien zu erstellen/aktualisieren. Zu den erforderlichen Berechtigungen gehöreniam:CreateRole,, iam:CreatePolicyiam:CreatePolicyVersion, iam:DeletePolicyVersion und Berechtigungen. iam:AttachRolePolicy

  • Wenn Sie bei Amazon eine neue Domain DataZone mit aktiviertem AWS IAM Identity Center Benutzer-Login erstellen oder wenn Sie sie für eine bestehende Domain bei Amazon aktivieren DataZone, benötigen Sie folgende Berechtigungen:

    • Organisationen: DescribeOrganization

    • Organisationen: ListDelegatedAdministrators

    • so: CreateInstance

    • sso: ListInstances

    • sso: GetSharedSsoConfiguration

    • sso: PutApplicationGrant

    • sso: PutApplicationAssignmentConfiguration

    • sso: PutApplicationAuthenticationMethod

    • sso: PutApplicationAccessScope

    • sso: CreateApplication

    • sso: DeleteApplication

    • sso: CreateApplicationAssignment

    • sso: DeleteApplicationAssignment

    • sso-Verzeichnis: CreateUser

    • sso-Verzeichnis: SearchUsers

    • sso: ListApplications

  • Um eine AWS Kontozuordnungsanfrage bei Amazon anzunehmen DataZone, benötigen Sie die ram:AcceptResourceShareInvitation entsprechende Genehmigung.

  • Wenn Sie die erforderliche Ressource für die Netzwerkeinrichtung von SageMaker Unified Studio erstellen möchten, müssen Sie über die folgenden Berechtigungen verfügen und eine AmazonVpcFullAccess Richtlinie anhängen:

    • Ich bin: PassRole

    • Wolkenbildung: CreateStack