Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Steuern des Zugriffs auf DataZone Amazon-Ressourcen mithilfe von IAM
Sie benötigen AWS Identity and Access Management (IAM), um die folgenden sicherheitsrelevanten Aufgaben zu erledigen:
+ Erstellen Sie Benutzer und Gruppen unter Ihrem. AWS-Konto
+ Weisen Sie jedem Benutzer unter Ihrem eigene eindeutige Sicherheitsanmeldedaten zu AWS-Konto.
+ Kontrollieren Sie die Berechtigungen der einzelnen Benutzer zur Ausführung von Aufgaben mit AWS Ressourcen.
+ Erlauben Sie den Benutzern in einem anderen AWS-Konto Bereich, Ihre AWS Ressourcen gemeinsam zu nutzen.
+ Erstellen Sie Rollen für Sie AWS-Konto und definieren Sie die Benutzer oder Dienste, die diese Rollen übernehmen können.
+ Verwenden Sie bestehende Identitäten für Ihr Unternehmen, um Berechtigungen zur Ausführung von Aufgaben unter Verwendung von AWS Ressourcen zu erteilen
Weitere Informationen zu IAM finden Sie unter:
+ [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)
+ [Erste Schritte mit IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started.html)
+ [IAM Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/)
In den folgenden Abschnitten werden die Richtlinien und Berechtigungen beschrieben, die für die Einrichtung von Amazon DataZone und seiner Komponenten wie Domains (einschließlich der Domain), zugehörige Konten, Projekte und Datenquellen erforderlich sind. Weitere Informationen finden Sie unter [DataZone Amazon-Terminologie und Konzepte](datazone-concepts.md).
**Topics**
+ [AWS verwaltete Richtlinien für Amazon DataZone](security-iam-awsmanpol.md)
+ [IAM-Rollen für Amazon DataZone](iam-roles-datazone.md)
+ [Temporäre Anmeldeinformationen](temporarycredentials.md)
+ [Prinzipalberechtigungen](Principalpermissions.md)
# AWS verwaltete Richtlinien für Amazon DataZone
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonDataZoneFullAccess](security-iam-awsmanpol-AmazonDataZoneFullAccess.md)
+ [AWS verwaltete Richtlinie: AmazonDataZoneFullUserAccess](security-iam-awsmanpol-AmazonDataZoneFullUserAccess.md)
+ [AWS verwaltete Richtlinie: AmazonDataZoneEnvironmentRolePermissionsBoundary](security-iam-awsmanpol-AmazonDataZoneEnvironmentRolePermissionsBoundary.md)
+ [AWS verwaltete Richtlinie: AmazonDataZoneRedshiftGlueProvisioningPolicy](security-iam-awsmanpol-AmazonDataZoneRedshiftGlueProvisioningPolicy.md)
+ [AWS verwaltete Richtlinie: AmazonDataZoneGlueManageAccessRolePolicy](security-iam-awsmanpol-AmazonDataZoneGlueManageAccessRolePolicy.md)
+ [AWS verwaltete Richtlinie: AmazonDataZoneRedshiftManageAccessRolePolicy](security-iam-awsmanpol-AmazonDataZoneRedshiftManageAccessRolePolicy.md)
+ [AWS verwaltete Richtlinie: AmazonDataZoneDomainExecutionRolePolicy](security-iam-awsmanpol-AmazonDataZoneDomainExecutionRolePolicy.md)
+ [AWS verwaltete Richtlinie: AmazonDataZoneSageMakerProvisioningRolePolicy](security-iam-awsmanpol-AmazonDataZoneSageMakerProvisioningRolePolicy.md)
+ [AWS verwaltete Richtlinie: AmazonDataZoneSageMakerManageAccessRolePolicy](security-iam-awsmanpol-AmazonDataZoneSageMakerManageAccessRolePolicy.md)
+ [AWS verwaltete Richtlinie: AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary](security-iam-awsmanpol-AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary.md)
+ [DataZone Aktualisierungen der AWS verwalteten Richtlinien durch Amazon](security-iam-awsmanpol-updates.md)
# AWS verwaltete Richtlinie: AmazonDataZoneFullAccess
Sie können die `AmazonDataZoneFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie bietet vollen Zugriff auf Amazon DataZone über die AWS-Managementkonsole. Diese Richtlinie umfasst auch Berechtigungen für AWS KMS für verschlüsselte SSM-Parameter. Der KMS-Schlüssel muss mit gekennzeichnet sein EnableKeyForAmazonDataZone , damit die SSM-Parameter entschlüsselt werden können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `datazone`— gewährt Schulleitern vollen Zugriff auf Amazon DataZone über die AWS-Managementkonsole.
+ `kms`— Ermöglicht Prinzipalen, Aliase aufzulisten, Schlüssel zu beschreiben und Schlüssel zu entschlüsseln.
+ `s3`— Ermöglicht Prinzipalen die Auswahl vorhandener oder die Erstellung neuer S3-Buckets zum Speichern von DataZone Amazon-Daten.
+ `ram`— Ermöglicht Prinzipalen die gemeinsame Nutzung von DataZone Amazon-Domains. AWS-Konten
+ `iam`— Ermöglicht es Prinzipalen, Rollen aufzulisten und weiterzugeben und Richtlinien abzurufen.
+ `sso`— Ermöglicht Prinzipalen, die Regionen abzurufen, in denen diese Option aktiviert AWS IAM Identity Center ist.
+ `secretsmanager`— Ermöglicht Prinzipalen das Erstellen, Markieren und Auflisten von Geheimnissen mit einem bestimmten Präfix.
+ `aoss`— Ermöglicht Prinzipalen das Erstellen und Abrufen von Informationen für OpenSearch serverlose Sicherheitsrichtlinien.
+ `bedrock`— Ermöglicht Prinzipalen das Erstellen, Auflisten und Abrufen von Informationen für Inferenzprofile und Basismodelle.
+ `codeconnections`— Ermöglicht Prinzipalen das Löschen und Abrufen von Informationen, das Auflisten von Verbindungen und das Verwalten von Verbindungs-Tags.
+ `codewhisperer`— Ermöglicht Prinzipalen das Auflisten CodeWhisperer von Profilen.
+ `ssm`— Ermöglicht Prinzipalen das Speichern, Löschen und Abrufen von Informationen für Parameter.
+ `redshift`— Ermöglicht Prinzipalen, Cluster zu beschreiben und serverlose Arbeitsgruppen aufzulisten
+ `glue`— Ermöglicht Prinzipalen das Abrufen von Datenbanken.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonDataZoneFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneFullAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## Politische Überlegungen und Einschränkungen
Es gibt bestimmte Funktionen, die die `AmazonDataZoneFullAccess` Richtlinie nicht abdeckt.
+ Wenn Sie eine DataZone Amazon-Domain mit Ihrem eigenen AWS KMS Schlüssel erstellen, müssen Sie über die erforderlichen Berechtigungen verfügen, damit `kms:CreateGrant` die Domainerstellung erfolgreich ist und`kms:GenerateDataKey`, `kms:Decrypt` damit dieser Schlüssel andere Amazon-Dateien DataZone APIs wie `listDataSources` und `createDataSource` aufrufen kann. Außerdem müssen Sie über die Berechtigungen für,, und verfügen `kms:CreateGrant` `kms:Decrypt``kms:GenerateDataKey`, die `kms:DescribeKey` in der Ressourcenrichtlinie dieses Schlüssels enthalten sind.
Wenn Sie den standardmäßigen, diensteigenen KMS-Schlüssel verwenden, ist dies nicht erforderlich.
Weitere Informationen finden Sie unter [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
+ Wenn Sie die Funktionen zum *Erstellen* und *Aktualisieren* von Rollen in der DataZone Amazon-Konsole verwenden möchten, benötigen Sie Administratorrechte oder die erforderlichen IAM-Berechtigungen, um IAM-Rollen zu erstellen und Richtlinien zu erstellen/aktualisieren. Zu den erforderlichen Berechtigungen gehören`iam:CreateRole`,, `iam:CreatePolicy``iam:CreatePolicyVersion`, `iam:DeletePolicyVersion` und Berechtigungen. `iam:AttachRolePolicy`
+ Wenn Sie bei Amazon eine neue Domain DataZone mit aktiviertem AWS IAM Identity Center Benutzer-Login erstellen oder wenn Sie sie für eine bestehende Domain bei Amazon aktivieren DataZone, benötigen Sie folgende Berechtigungen:
+ Organisationen: DescribeOrganization
+ Organisationen: ListDelegatedAdministrators
+ so: CreateInstance
+ sso: ListInstances
+ sso: GetSharedSsoConfiguration
+ sso: PutApplicationGrant
+ sso: PutApplicationAssignmentConfiguration
+ sso: PutApplicationAuthenticationMethod
+ sso: PutApplicationAccessScope
+ sso: CreateApplication
+ sso: DeleteApplication
+ sso: CreateApplicationAssignment
+ sso: DeleteApplicationAssignment
+ sso-Verzeichnis: CreateUser
+ sso-Verzeichnis: SearchUsers
+ sso: ListApplications
+ Um eine AWS Kontozuordnungsanfrage bei Amazon annehmen zu können DataZone, benötigen Sie die `ram:AcceptResourceShareInvitation` entsprechende Genehmigung.
+ Wenn Sie die erforderliche Ressource für die Netzwerkeinrichtung von SageMaker Unified Studio erstellen möchten, müssen Sie über die folgenden Berechtigungen verfügen und eine AmazonVpcFullAccess Richtlinie anhängen:
+ Ich bin: PassRole
+ Wolkenbildung: CreateStack
# AWS verwaltete Richtlinie: AmazonDataZoneFullUserAccess
Diese Richtlinie gewährt vollen Zugriff auf Amazon DataZone, erlaubt jedoch nicht die Verwaltung von Domains, Benutzern oder zugehörigen Konten.
**Details zu Berechtigungen**
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonDataZoneFullUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneFullUserAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
# AWS verwaltete Richtlinie: AmazonDataZoneEnvironmentRolePermissionsBoundary
**Anmerkung**
Bei dieser Richtlinie handelt es sich um eine *Berechtigungsgrenze.* Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten die Richtlinien für die Begrenzung von DataZone Berechtigungen von Amazon nicht eigenständig verwenden und anhängen. Grenzrichtlinien für DataZone Amazon-Berechtigungen sollten nur an von Amazon DataZone verwaltete Rollen angehängt werden. Weitere Informationen zu Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) im IAM-Benutzerhandbuch.
Wenn Sie eine Umgebung über das DataZone Amazon-Datenportal erstellen, DataZone wendet Amazon diese Berechtigungsgrenze auf die [IAM-Rollen an, die bei der Umgebungserstellung erstellt werden](https://docs.aws.amazon.com//datazone/latest/userguide/roles-for-projects.html). Die Berechtigungsgrenze begrenzt den Umfang der Rollen, die Amazon DataZone erstellt, und aller Rollen, die Sie hinzufügen.
Amazon DataZone verwendet die `AmazonDataZoneEnvironmentRolePermissionsBoundary` verwaltete Richtlinie, um den bereitgestellten IAM-Prinzipal einzuschränken, an den sie angehängt ist. Die Principals könnten die Form der [Benutzerrollen](https://docs.aws.amazon.com//datazone/latest/userguide/Identitybasedroles.html) annehmen, die Amazon im Namen interaktiver Unternehmensbenutzer oder Analysedienste (zum Beispiel) übernehmen DataZone kann AWS Glue, und dann Aktionen zur Verarbeitung von Daten durchführen, z. B. das Lesen und Schreiben von Amazon S3 oder das Ausführen von Daten. AWS-Glue-Crawler
Die `AmazonDataZoneEnvironmentRolePermissionsBoundary` Richtlinie gewährt Amazon Lese- und Schreibzugriff DataZone auf Dienste wie AWS Glue Amazon S3 AWS Lake Formation, Amazon Redshift und Amazon Athena. Die Richtlinie gewährt auch Lese- und Schreibberechtigungen für einige Infrastrukturressourcen, die für die Nutzung dieser Dienste erforderlich sind, z. B. Netzwerkschnittstellen und AWS KMS Schlüssel.
Amazon DataZone wendet die `AmazonDataZoneEnvironmentRolePermissionsBoundary` AWS verwaltete Richtlinie als Berechtigungsgrenze für alle Rollen in der DataZone Amazon-Umgebung (Eigentümer und Mitwirkender) an. Diese Berechtigungsgrenze schränkt diese Rollen so ein, dass sie nur Zugriff auf die erforderlichen Ressourcen und Aktionen gewähren, die für eine Umgebung erforderlich sind.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonDataZoneEnvironmentRolePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneEnvironmentRolePermissionsBoundary.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
# AWS verwaltete Richtlinie: AmazonDataZoneRedshiftGlueProvisioningPolicy
Die AmazonDataZoneRedshiftGlueProvisioningPolicy Richtlinie gewährt Amazon DataZone die für die Zusammenarbeit mit AWS Glue und Amazon Redshift erforderlichen Berechtigungen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonDataZoneRedshiftGlueProvisioningPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneRedshiftGlueProvisioningPolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
# AWS verwaltete Richtlinie: AmazonDataZoneGlueManageAccessRolePolicy
Diese Richtlinie gibt Amazon die DataZone Erlaubnis, AWS Glue-Daten im Katalog zu veröffentlichen. Es gibt Amazon auch die DataZone Erlaubnis, Zugriff auf veröffentlichte AWS Glue-Assets im Katalog zu gewähren oder den Zugriff zu widerrufen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonDataZoneGlueManageAccessRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneGlueManageAccessRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
# AWS verwaltete Richtlinie: AmazonDataZoneRedshiftManageAccessRolePolicy
Diese Richtlinie erteilt Amazon die DataZone Erlaubnis, Amazon Redshift Redshift-Daten im Katalog zu veröffentlichen. Es gibt Amazon auch die DataZone Erlaubnis, Zugriff auf veröffentlichte Amazon Redshift- oder Amazon Redshift Serverless-Assets im Katalog zu gewähren oder den Zugriff zu widerrufen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonDataZoneRedshiftManageAccessRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneRedshiftManageAccessRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
# AWS verwaltete Richtlinie: AmazonDataZoneDomainExecutionRolePolicy
Dies ist die Standardrichtlinie für die DataZone `DomainExecutionRole` Amazon-Servicerolle. Diese Rolle wird von Amazon verwendet, DataZone um Daten in der DataZone Amazon-Domain zu katalogisieren, zu entdecken, zu verwalten, zu teilen und zu analysieren. Diese Rolle bietet Zugriff auf alle Amazon-Konten DataZone APIs , die für die Nutzung des Datenportals erforderlich sind, sowie RAM-Berechtigungen zur Unterstützung der Nutzung der zugehörigen Konten in einer DataZone Amazon-Domain.
Sie können die AmazonDataZoneDomainExecutionRolePolicy Richtlinie an Ihre anhängen`AmazonDataZoneDomainExecutionRole`.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonDataZoneDomainExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneDomainExecutionRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
# AWS verwaltete Richtlinie: AmazonDataZoneSageMakerProvisioningRolePolicy
Die AmazonDataZoneSageMakerProvisioningRolePolicy Richtlinie gewährt Amazon DataZone die für die Zusammenarbeit mit Amazon SageMaker erforderlichen Berechtigungen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonDataZoneSageMakerProvisioningRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneSageMakerProvisioningRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
# AWS verwaltete Richtlinie: AmazonDataZoneSageMakerManageAccessRolePolicy
Diese Richtlinie erteilt Amazon die DataZone Erlaubnis, SageMaker Amazon-Ressourcen im Katalog zu veröffentlichen. Es gibt Amazon auch die DataZone Erlaubnis, Zugriff auf die von Amazon SageMaker veröffentlichten Assets im Katalog zu gewähren oder den Zugriff zu widerrufen.
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ cloudtrail — Informationen über CloudTrail Pfade abrufen.
+ cloudwatch — ruft die aktuellen CloudWatch Alarme ab.
+ Logs — ruft die Metrikfilter für CloudWatch Logs ab.
+ sns — ruft die Liste der Abonnements für ein SNS-Thema ab.
+ Config — ruft Informationen zu Konfigurationsrekordern, Ressourcen und AWS Konfigurationsregeln ab. Ermöglicht der serviceverknüpften Rolle außerdem, AWS Config-Regeln zu erstellen und zu löschen und Evaluierungen anhand der Regeln durchzuführen.
+ iam — Abrufen und Generieren von Berichten über Anmeldeinformationen für Konten.
+ Organisationen — ruft Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation ab.
+ securityhub — ruft Informationen darüber ab, wie der Security Hub Hub-Dienst, die Standards und die Kontrollen konfiguriert sind.
+ Tag — Informationen über Ressourcen-Tags abrufen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonDataZoneSageMakerManageAccessRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneSageMakerManageAccessRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
# AWS verwaltete Richtlinie: AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary
**Anmerkung**
Bei dieser Richtlinie handelt es sich um eine *Berechtigungsgrenze.* Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Sie sollten die Richtlinien für die Begrenzung von DataZone Berechtigungen von Amazon nicht eigenständig verwenden und anhängen. Grenzrichtlinien für DataZone Amazon-Berechtigungen sollten nur an von Amazon DataZone verwaltete Rollen angehängt werden. Weitere Informationen zu Berechtigungsgrenzen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) im IAM-Benutzerhandbuch.
Wenn Sie eine SageMaker Amazon-Umgebung über das DataZone Amazon-Datenportal erstellen, DataZone wendet Amazon diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Umgebungserstellung erstellt werden. Die Berechtigungsgrenze begrenzt den Umfang der Rollen, die Amazon DataZone erstellt, und aller Rollen, die Sie hinzufügen.
Amazon DataZone verwendet die `AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary` verwaltete Richtlinie, um den bereitgestellten IAM-Prinzipal einzuschränken, an den sie angehängt ist. Die Principals könnten die Form der Benutzerrollen annehmen, die Amazon im Namen interaktiver Unternehmensbenutzer oder Analysedienste (zum Beispiel) übernehmen DataZone kann AWS SageMaker, und dann Aktionen zur Verarbeitung von Daten durchführen, wie das Lesen und Schreiben von Amazon S3 oder Amazon Redshift oder das Ausführen AWS von Glue Crawler.
Die `AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary` Richtlinie gewährt Amazon Lese- und Schreibzugriff DataZone auf Dienste wie Amazon SageMaker, AWS Glue, Amazon S3, AWS Lake Formation, Amazon Redshift und Amazon Athena. Die Richtlinie gewährt auch Lese- und Schreibberechtigungen für einige Infrastrukturressourcen, die für die Nutzung dieser Dienste erforderlich sind, wie Netzwerkschnittstellen, Amazon ECR-Repositorys und AWS KMS-Schlüssel. Es ermöglicht auch den Zugriff auf SageMaker Amazon-Anwendungen wie Amazon SageMaker Canvas.
Amazon DataZone wendet die `AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary` verwaltete Richtlinie als Berechtigungsgrenze für alle Rollen in der DataZone Amazon-Umgebung (Eigentümer und Mitwirkender) an. Diese Berechtigungsgrenze schränkt diese Rollen so ein, dass sie nur Zugriff auf die erforderlichen Ressourcen und Aktionen gewähren, die für eine Umgebung erforderlich sind.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
# DataZone Aktualisierungen der AWS verwalteten Richtlinien durch Amazon
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon an, DataZone seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Amazon DataZone [Document-Verlaufsseite](https://docs.aws.amazon.com//datazone/latest/userguide/doc-history.html), um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary - Aktualisierungen der Richtlinien | Aktualisierungen der Richtlinien für **AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary**. Es wurde eine Deny-Anweisung für die `sagemaker:UpdateNotebookInstanceLifecycleConfig` Aktion zur Einschränkung dieses Vorgangs mit hohen Rechten hinzugefügt. | 11. März 2026 |
| AmazonDataZoneDomainExecutionRolePolicy - Aktualisierungen der Richtlinien | Aktualisierungen der Richtlinien **AmazonDataZoneDomainExecutionRolePolicy**— Hinzufügen von Berechtigungen für die `QueryGraph` Aktion zur Unterstützung von Funktionen zur Suche nach Entitäten auf Graphen. | 25. Februar 2026 |
| AmazonDataZoneGlueManageAccessRolePolicy - Aktualisierungen der Richtlinien | Aktualisierungen der Richtlinien **AmazonDataZoneGlueManageAccessRolePolicy**— Hinzufügen von Berechtigungen zur `GetConnection` Aktion zur Unterstützung der Datenherkunftserfassung für verbindungsbasierte Datenquellen von AWS Glue. | 30. Juli 2025 |
| AmazonDataZoneFullAccess - Aktualisierungen der Richtlinien | Aktualisierungen der Richtlinien **AmazonDataZoneFullAccess**— Generalisierung des Geltungsbereichs SecretsManager `create` und der `tag` Berechtigungen für neue Domains, die das Format `dzd-` statt von `dzd_..` haben werden. | 23. Juli 2025 |
| AmazonDataZoneFullAccess - Aktualisierungen der Richtlinien | Aktualisierungen der Richtlinien **AmazonDataZoneFullAccess**— ermöglichen es der Konsole, AWS verwaltete Berechtigungen für AWS RAM-Ressourcenfreigaben hinzuzufügen oder zu aktualisieren. | 22. Mai 2025 |
| AmazonDataZoneGlueManageAccessRolePolicy - Aktualisierungen der Richtlinien | Richtlinienaktualisierungen für die **AmazonDataZoneGlueManageAccessRolePolicy**— Die DataZone Amazon-Projektbenutzerrolle wird als Datenübertragungsrolle für Verbundtabellen verwendet. Diese Aktualisierung ergänzt `datazone_usr_role*` die `iam:PassRole` Erklärung und ermöglicht es, die Rolle des Projektbenutzers für diesen Zweck zu verwenden. | 21. Mai 2025 |
| AmazonDataZoneSageMakerProvisioningRolePolicy - Aktualisierungen der Richtlinien | Aktualisierungen der Richtlinien **AmazonDataZoneSageMakerProvisioningRolePolicy**— Unterstützung für die `glue:GetConnection` Aktion wird hinzugefügt. | 2. Januar 2025 |
| AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary - Aktualisierungen der Richtlinien | Aktualisierungen der Richtlinien **AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary**— diese Änderung erweitert die Berechtigungsgrenze`sagemaker:AddTags`, sodass Amazon DataZone `CreateUserProfile` mit den erforderlichen Tags erfolgreich Anrufe tätigen kann. | 3. Dezember 2024 |
| AmazonDataZoneSageMakerAccess, und AmazonDataZoneGlueManageAccessRolePolicy — Aktualisierungen der Richtlinien | Aktualisierungen der Richtlinien für **AmazonDataZoneFullAccess**, und **AmazonDataZoneGlueManageAccessRolePolicy**— **AmazonDataZoneSageMakerAccess**, um die Unterstützung für das Amazon SageMaker Unified Studio-Erlebnis zu ermöglichen. | 3. Dezember 2024 |
| AmazonDataZoneDomainExecutionRolePolicy und AmazonDataZoneFullUserAccess — Aktualisierungen der Richtlinien | Aktualisierungen der Richtlinien für **AmazonDataZoneDomainExecutionRolePolicy**und **AmazonDataZoneFullUserAccess**—, um die Unterstützung der Regeln zur Durchsetzung von Metadaten bei Abonnementanfragen zu ermöglichen. | 19. November 2024 |
| AmazonDataZoneRedshiftGlueProvisioningPolicy - Aktualisierungen der Richtlinien | Richtlinien-Updates für **AmazonDataZoneRedshiftGlueProvisioningPolicy**- zu Hinzufügen`iam:DeletePolicyVersion`, um Benutzern das Löschen von Richtlinienversionen für Richtlinien zu ermöglichen, die mit erstellt wurden`datazone*`. Auf diese Weise können Benutzer entsperrt werden, die ihre Benutzerrollenrichtlinie in ihrer Umgebung aktualisieren müssen. | 22. Oktober 2024 |
| AmazonDataZoneDomainExecutionRolePolicy und AmazonDataZoneFullUserAccess — Aktualisierungen der Richtlinien | Aktualisierungen der Richtlinien für **AmazonDataZoneDomainExecutionRolePolicy**und **AmazonDataZoneFullUserAccess**—, um die Unterstützung für die neuen Optionen zu ermöglichen APIs , die zur Erstellung und Verwaltung von DataZone Amazon-Domaineinheiten und Datenprodukten verwendet werden. | 31. Juli 2024 |
| AmazonDataZoneGlueManageAccessRolePolicy - Aktualisierung der Richtlinien | Aktualisierung der Richtlinien: **AmazonDataZoneGlueManageAccessRolePolicy**Amazon DataZone fügt IAM-Berechtigungen hinzu, die für detaillierte Zugriffskontrollfunktionen verwendet werden, um die Genehmigungsgewährung in Lake Formation einzugrenzen. | 2. Juli 2024 |
| AmazonDataZoneExecutionRolePolicy und AmazonDataZoneFullUserAccess — Aktualisierung der Richtlinien | Aktualisierung der Richtlinien für **AmazonDataZoneExecutionRolePolicy **und **AmazonDataZoneFullUserAccess**zur Unterstützung von Data Lineage und detaillierter Zugriffskontrolle. APIs | 27. Juni 2024 |
| AmazonDataZoneGlueManageAccessRolePolicy - Aktualisierung der Richtlinien | Aktualisierung der Richtlinie **AmazonDataZoneGlueManageAccessRolePolicy**, mit der IAM-Berechtigungen hinzugefügt werden, die für die Self-Subscribe-Funktionalität DataZone in Amazon erforderlich sind, um den Umfang der in Lake Formation gewährten Berechtigungen einzugrenzen. Mit der Self-Subscribe-Funktion können die Lake-Formation-Berechtigungen nur markierten Ressourcen gewährt werden. | 14. Juni 2024 |
| AmazonDataZoneDomainExecutionRolePolicy - Aktualisierung der Richtlinien | Aktualisierung der Richtlinien für Amazon **AmazonDataZoneDomainExecutionRolePolicy**, APIs mit DataZone denen Benutzer Aktionen für ihre DataZone Amazon-Umgebungen konfigurieren können. | 14. Juni 2024 |
| AmazonDataZoneFullAccess - Aktualisierung der Richtlinien | Aktualisierung der Richtlinien **AmazonDataZoneFullAccess**, die es der Amazon DataZone Management Console ermöglicht, im Namen des Benutzers Geheimnisse sowohl mit Domain- als auch mit Projekt-Tags zu erstellen. Dazu gehört auch die `ram:ListResourceSharePermissions` Maßnahme, Administratoren vom Domaininhaberkonto aus die Möglichkeit zu geben, den Kontozuordnungsstatus der zugehörigen Konten einzusehen. | 14. Juni 2024 |
| AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary - neue Grenze für Genehmigungen | Neue Berechtigungsgrenze aufgerufen **AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary**. Wenn Sie eine SageMaker Amazon-Umgebung über das DataZone Amazon-Datenportal erstellen, DataZone wendet Amazon diese Berechtigungsgrenze auf die IAM-Rollen an, die bei der Umgebungserstellung erstellt werden. Die Berechtigungsgrenze begrenzt den Umfang der Rollen, die Amazon DataZone erstellt, und aller Rollen, die Sie hinzufügen. | 30. April 2024 |
| AmazonDataZoneSageMakerAccess - neue Richtlinie | Eine neue Richtlinie namens **AmazonDataZoneSageMakerAccess**gibt Amazon die DataZone Erlaubnis, SageMaker Amazon-Ressourcen im Katalog zu veröffentlichen. Es gibt Amazon auch die DataZone Erlaubnis, Zugriff auf die von Amazon SageMaker veröffentlichten Assets im Katalog zu gewähren oder den Zugriff zu widerrufen. | 30. April 2024 |
| AmazonDataZoneFullAccess - Aktualisierung der Richtlinien | Eine Aktualisierung der **AmazonDataZoneFullAccess**Richtlinie, die Zugriff auf `DescribeSecurityGroups` Aktionen erweitert, um die Benutzerfreundlichkeit für Kontoadministratoren zu verbessern, indem sie Blueprints in der Konsole konfigurieren und `GetPolicy` Aktionen zum Abrufen von Informationen über die angegebene verwaltete Richtlinie durchführen. | 30. April 2024 |
| AmazonDataZoneSageMakerProvisioningRolePolicy - neue Richtlinie | Eine neue Richtlinie namens **AmazonDataZoneSageMakerProvisioningRolePolicy**gewährt Amazon DataZone die für die Zusammenarbeit mit Amazon SageMaker erforderlichen Berechtigungen. | 30. April 2024 |
| AmazonDataZoneS3Manage- - - neue Rolle | Neue Rolle namens **AmazonDataZoneS3Manage- —** die verwendet wird, wenn Amazon AWS Lake Formation DataZone aufruft, um einen Amazon Simple Storage Service (Amazon S3) -Standort zu registrieren. AWS Lake Formation übernimmt diese Rolle beim Zugriff auf die Daten an diesem Standort. | 1. April 2024 |
| AmazonDataZoneGlueManageAccessRolePolicy - Aktualisierung der Richtlinie | Das wurde aktualisiert **AmazonDataZoneGlueManageAccessRolePolicy**, um die Unterstützung für Berechtigungen zu aktivieren, die es Amazon ermöglichen DataZone , Veröffentlichungen und Zugriffserlaubnisse für Daten zu ermöglichen. | 1. April 2024 |
| AmazonDataZoneDomainExecutionRolePolicy und AmazonDataZoneFullUserAccess — Aktualisierung der Richtlinien | Das **AmazonDataZoneDomainExecutionRolePolicy**und wurde aktualisiert **AmazonDataZoneFullUserAccess**, um die Unterstützung für die `CancelMetadataGenerationRun` API zu aktivieren. | 29. März 2024 |
| AmazonDataZoneFullAccess - Aktualisierung der Richtlinien | Das wurde aktualisiert`AmazonDataZoneFullAccess`, sodass Benutzer ihre Geheimnisse, Cluster, VPCs und Subnetze in der DataZone Amazon-Managementkonsole auswählen können, anstatt sie in ein Textfeld einzugeben. | 13. März 2024 |
| AmazonDataZoneDomainExecutionRolePolicy - Aktualisierung der Richtlinien | Das wurde aktualisiert **AmazonDataZoneDomainExecutionRolePolicy**, um die Unterstützung für die `ListEnvironmentBlueprintConfigurationSummaries` API zu aktivieren, die für die Erstellung von Umgebungsprofilen erforderlich ist, indem identifiziert wird, welche Blueprints in welchem Konto und welcher Region aktiviert sind. | 01. Februar 2024 |
| AmazonDataZoneGlueManageAccessRolePolicy - Aktualisierung der Richtlinie | Das wurde aktualisiert **AmazonDataZoneGlueManageAccessRolePolicy**, um die Unterstützung für den AWS Lake Formation Formation-Hybridmodus zu aktivieren. | 14. Dezember 2023 |
| AmazonDataZoneFullUserAccess und AmazonDataZoneDomainExecutionRolePolicy — Aktualisierungen der Richtlinien | Die **AmazonDataZoneFullUserAccess**und die **AmazonDataZoneDomainExecutionRolePolicy**Richtlinien wurden aktualisiert, um die generativen KI-gestützten Datenbeschreibungsfunktionen in Amazon DataZone zu unterstützen. | 28. November 2023 |
| AmazonDataZoneEnvironmentRolePermissionsBoundary - Aktualisierung der Richtlinien | Amazon DataZone hat eine Aktualisierung der **AmazonDataZoneEnvironmentRolePermissionsBoundary**verwalteten Richtlinie vorgenommen, die aus einer zusätzlichen `athena:GetQueryResultsStream` Genehmigung besteht, die auf die `ResourceTag` Bedingung zugeschnitten ist. | 17. November 2023 |
| AmazonDataZoneRedshiftManageAccessRolePolicy - Aktualisierung der Richtlinie | Amazon hat das DataZone aktualisiert, **AmazonDataZoneRedshiftManageAccessRolePolicy**indem es das Häkchen bei der Organisations-ID für die `redshift:AssociateDataShareConsumer` Aktion entfernt hat. Auf diese Weise können Sie Ressourcen organisationsübergreifend AWS gemeinsam nutzen. | 16. November 2023 |
| AmazonDataZoneFullUserAccess - Aktualisierung der Richtlinie | Amazon hat die **AmazonDataZoneFullUserAccess**Richtlinie DataZone aktualisiert, die Amazon vollen Zugriff gewährt DataZone, aber sie erlaubt nicht die Verwaltung von Domains, Benutzern oder zugehörigen Konten. | 02. Oktober 2023 |
| AmazonDataZonePortalFullAccessPolicy - Richtlinie veraltet | Amazon DataZone hat das abgelehnt. **AmazonDataZonePortalFullAccessPolicy** | 29. September 2023 |
| AmazonDataZonePreviewConsoleFullAccess - Richtlinie veraltet | Amazon DataZone hat das abgelehnt. **AmazonDataZonePreviewConsoleFullAccess** | 29. September 2023 |
| AmazonDataZoneDomainExecutionRolePolicy - Neue Richtlinie | Amazon DataZone hat eine neue Richtlinie namens hinzugefügt **AmazonDataZoneDomainExecutionRolePolicy**. Dies ist die Standardrichtlinie für die DataZone `AmazonDataZoneDomainExecutionRole` Amazon-Servicerolle. Diese Rolle wird von Amazon verwendet, DataZone um Daten in der DataZone Amazon-Domain zu katalogisieren, zu entdecken, zu verwalten, zu teilen und zu analysieren. Sie können die `AmazonDataZoneDomainExecutionRolePolicy` Richtlinie an Ihre anhängen`AmazonDataZoneDomainExecutionRole`. | 25. September 2023 |
| AmazonDataZoneCrossAccountAdmin - Neue Richtlinie | Amazon DataZone hat eine neue Richtlinie hinzugefügt, **AmazonDataZoneCrossAccountAdmin**die es Benutzern ermöglicht, mit Amazon DataZone und den zugehörigen Konten zu arbeiten. | 19. September 2023 |
| AmazonDataZoneFullUserAccess - Neue Richtlinie | Amazon DataZone hat eine neue Richtlinie hinzugefügt **AmazonDataZoneFullUserAccess**, die Amazon vollen Zugriff gewährt DataZone, aber nicht die Verwaltung von Domains, Benutzern oder zugehörigen Konten erlaubt. | 12. September 2023 |
| AmazonDataZoneRedshiftManageAccessRolePolicy - Neue Richtlinie | Amazon DataZone hat eine neue Richtlinie hinzugefügt, **AmazonDataZoneRedshiftManageAccessRolePolicy**die Berechtigungen gewährt, damit Amazon DataZone die Veröffentlichung und den Zugriff auf Daten ermöglichen kann. | 12. September 2023 |
| AmazonDataZoneGlueManageAccessRolePolicy - Neue Richtlinie | Amazon DataZone hat eine neue Richtlinie hinzugefügt, **AmazonDataZoneGlueManageAccessRolePolicy**die Amazon die DataZone Erlaubnis erteilt, AWS Glue-Daten im Katalog zu veröffentlichen. Es gibt Amazon auch die DataZone Erlaubnis, Zugriff auf veröffentlichte AWS Glue-Assets im Katalog zu gewähren oder den Zugriff zu widerrufen. | 12. September 2023 |
| AmazonDataZoneRedshiftGlueProvisioningPolicy - Neue Richtlinie | Amazon DataZone hat eine neue Richtlinie hinzugefügt, **AmazonDataZoneRedshiftGlueProvisioningPolicy**die Amazon DataZone die für die Zusammenarbeit mit den unterstützten Datenquellen erforderlichen Berechtigungen gewährt. | 12. September 2023 |
| AmazonDataZoneEnvironmentRolePermissionsBoundary - Neue Richtlinie | Amazon DataZone hat eine neue Richtlinie hinzugefügt **AmazonDataZoneEnvironmentRolePermissionsBoundary**, die den bereitgestellten IAM-Prinzipal einschränkt, an den sie angehängt ist. | 12. September 2023 |
| AmazonDataZoneFullAccess - Neue Richtlinie | Amazon DataZone hat eine neue Richtlinie hinzugefügt, **AmazonDataZoneFullAccess**die vollen Zugriff auf Amazon DataZone über die AWS Management Console bietet. | 12. September 2023 |
| Aktualisierung der verwalteten Richtlinien | Aktualisierungen der **AmazonDataZonePreviewConsoleFullAccess**verwalteten Richtlinie, die aus zusätzlichen `iam:GetPolicy` Berechtigungen besteht. | 13. Juni 2023 |
| Amazon DataZone hat begonnen, Änderungen zu verfolgen | Amazon DataZone hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 20. März 2023 |
# IAM-Rollen für Amazon DataZone
**Topics**
+ [AmazonDataZoneProvisioningRole-](bootstraprole.md)
+ [AmazonDataZoneDomainExecutionRole](AmazonDataZoneDomainExecutionRole.md)
+ [AmazonDataZoneGlueAccess- - ](glue-manage-access-role.md)
+ [AmazonDataZoneRedshiftAccess- - ](redshift-manage-access-role.md)
+ [AmazonDataZoneS3 Manage- - ](AmazonDataZoneS3Manage.md)
+ [AmazonDataZoneSageMakerManageAccessRole- - ](AmazonDataZoneSageMakerManageAccessRole.md)
+ [AmazonDataZoneSageMakerProvisioningRolePolicyRole-](AmazonDataZoneSageMakerProvisioningRolePolicyRole.md)
# AmazonDataZoneProvisioningRole-
Das `AmazonDataZoneProvisioningRole-` hat das `AmazonDataZoneRedshiftGlueProvisioningPolicy` angehängt. Diese Rolle gewährt Amazon DataZone die für die Zusammenarbeit mit AWS Glue und Amazon Redshift erforderlichen Berechtigungen.
In der Standardeinstellung `AmazonDataZoneProvisioningRole-` ist die folgende Vertrauensrichtlinie angehängt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------
# AmazonDataZoneDomainExecutionRole
Dem **AmazonDataZoneDomainExecutionRole**ist die AWS verwaltete Richtlinie **AmazonDataZoneDomainExecutionRolePolicy**angehängt. Amazon DataZone erstellt diese Rolle für Sie in Ihrem Namen. Für bestimmte Aktionen im Datenportal DataZone übernimmt Amazon diese Rolle in dem Konto, in dem die Rolle erstellt wurde, und überprüft, ob diese Rolle berechtigt ist, die Aktion auszuführen.
Die **AmazonDataZoneDomainExecutionRole**Rolle ist in der erforderlich AWS-Konto , die Ihre DataZone Amazon-Domain hostet. Diese Rolle wird automatisch für Sie erstellt, wenn Sie Ihre DataZone Amazon-Domain erstellen.
Die **AmazonDataZoneDomainExecutionRole**Standardrolle hat die folgende Vertrauensrichtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
},
"ForAllValues:StringLike": {
"aws:TagKeys": [
"datazone*"
]
}
}
}
]
}
```
------
# AmazonDataZoneGlueAccess- -
Die `AmazonDataZoneGlueAccess--` Rolle ist `AmazonDataZoneGlueManageAccessRolePolicy` angehängt. Diese Rolle gewährt Amazon die DataZone Erlaubnis, AWS Glue-Daten im Katalog zu veröffentlichen. Es gibt Amazon auch die DataZone Erlaubnis, Zugriff auf veröffentlichte AWS Glue-Assets im Katalog zu gewähren oder den Zugriff zu widerrufen.
Mit der `AmazonDataZoneGlueAccess--` Standardrolle ist die folgende Vertrauensrichtlinie verknüpft:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneRedshiftAccess- -
Die `AmazonDataZoneRedshiftAccess--` Rolle ist `AmazonDataZoneRedshiftManageAccessRolePolicy` angehängt. Diese Rolle gewährt Amazon die DataZone Erlaubnis, Amazon Redshift Redshift-Daten im Katalog zu veröffentlichen. Es gibt Amazon auch die DataZone Erlaubnis, Zugriff auf veröffentlichte Amazon Redshift- oder Amazon Redshift Serverless-Assets im Katalog zu gewähren oder den Zugriff zu widerrufen.
Mit der `AmazonDataZoneRedshiftAccess--` Standardrolle ist die folgende Inline-Berechtigungsrichtlinie verknüpft:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
Der Standardeinstellung `AmazonDataZoneRedshiftManageAccessRole` ist die folgende Vertrauensrichtlinie angehängt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneS3 Manage- -
AmazonDataZoneS3Manage- - wird verwendet, wenn Amazon AWS Lake Formation DataZone anruft, um einen Amazon Simple Storage Service (Amazon S3) -Standort zu registrieren. AWS Lake Formation übernimmt diese Rolle beim Zugriff auf die Daten an diesem Standort. Weitere Informationen finden Sie unter [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](https://docs.aws.amazon.com/lake-formation/latest/dg/registration-role.html).
Dieser Rolle ist die folgende Inline-Berechtigungsrichtlinie beigefügt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListAllMyBuckets",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3",
"Effect": "Deny",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3ListBucket",
"Effect": "Deny",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
}
]
}
```
------
An AmazonDataZone S3Manage- - ist die folgende Vertrauensrichtlinie angehängt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustLakeFormationForDataLocationRegistration",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerManageAccessRole- -
Der `AmazonDataZoneSageMakerManageAccessRole` Rolle sind das `AmazonDataZoneSageMakerAccess``AmazonDataZoneRedshiftManageAccessRolePolicy`, das und das `AmazonDataZoneGlueManageAccessRolePolicy` angehängte. Diese Rolle gewährt Amazon die DataZone Erlaubnis, Abonnements für Data Lake-, Data Warehouse- und Amazon Sagemaker-Assets zu veröffentlichen und zu verwalten.
Der `AmazonDataZoneSageMakerManageAccessRole` Rolle ist die folgende Inline-Richtlinie beigefügt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
Der `AmazonDataZoneSageMakerManageAccessRole` Rolle ist die folgende Vertrauensrichtlinie angehängt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DatazoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": ["datazone.amazonaws.com",
"sagemaker.amazonaws.com"]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerProvisioningRolePolicyRole-
Der `AmazonDataZoneSageMakerProvisioningRolePolicyRole` Rolle ist das `AmazonDataZoneSageMakerProvisioningRolePolicy` und das `AmazonDataZoneRedshiftGlueProvisioningPolicy` angehängt. Diese Rolle gewährt Amazon die für die Zusammenarbeit mit AWS Glue, Amazon Redshift und Amazon Sagemaker erforderlichen DataZone Berechtigungen.
Der `AmazonDataZoneSageMakerProvisioningRolePolicyRole` Rolle ist die folgende Inline-Richtlinie beigefügt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerStudioTagOnCreate",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:111122223333:*/*",
"Condition": {
"Null": {
"sagemaker:TaggingAction": "false"
}
}
}
]
}
```
------
Der `AmazonDataZoneSageMakerProvisioningRolePolicyRole` Rolle ist die folgende Vertrauensrichtlinie angehängt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataZoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------
# Temporäre Anmeldeinformationen
Einige AWS Dienste funktionieren nicht, wenn Sie sich mit temporären Anmeldeinformationen anmelden. Weitere Informationen, einschließlich der AWS Dienste, die mit temporären Anmeldeinformationen funktionieren, finden Sie im [*IAM-Benutzerhandbuch unter AWS Dienste, die mit IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
Sie verwenden temporäre Anmeldeinformationen, wenn Sie sich mit einer anderen AWS-Managementkonsole Methode als einem Benutzernamen und einem Passwort bei der Anmeldung anmelden. Wenn Sie beispielsweise AWS über den Single Sign-On-Link (SSO) Ihres Unternehmens darauf zugreifen, werden bei diesem Vorgang automatisch temporäre Anmeldeinformationen erstellt. Sie erstellen auch automatisch temporäre Anmeldeinformationen, wenn Sie sich als Benutzer bei der Konsole anmelden und dann die Rollen wechseln. Weitere Informationen zum Wechseln von Rollen finden Sie unter [Wechseln zu einer Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) im *IAM-Benutzerhandbuch*.
Mithilfe der AWS API AWS CLI oder können Sie temporäre Anmeldeinformationen manuell erstellen. Sie können diese temporären Anmeldeinformationen dann für den Zugriff verwenden AWS. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Sicherheitsanmeldeinformationen in IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_temp.html).
## Temporäre Anmeldeinformationen DataZone für das Amazon-Portal
Wenn Sie sich im DataZone Amazon-Portal anmelden, erhalten Sie temporäre Anmeldeinformationen für die AmazonDataZoneDomainExecutionRole. Während Sie das verwendenAmazonDataZoneDomainExecutionRole, werden diese Anmeldeinformationen automatisch aktualisiert, wenn sie verwendet werden. Wenn sie für einen bestimmten Zeitraum nicht verwendet werden, laufen sie automatisch ab.
# Prinzipalberechtigungen
Wenn Sie einen IAM-Benutzer oder eine IAM-Rolle verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Richtlinien erteilen einem Prinzipal-Berechtigungen. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service auslösen. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Informationen darüber, ob für eine Aktion zusätzliche abhängige Aktionen in einer Richtlinie erforderlich sind, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Documentation Essentials](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html) in der *Serviceautorisierungsreferenz.*