Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Amazon einrichten DataZone
Um Amazon einzurichten DataZone, müssen Sie über ein AWS Konto verfügen und die erforderlichen IAM-Richtlinien und -Berechtigungen für Amazon DataZone einrichten.
Sobald Sie Ihre DataZone Amazon-Berechtigungen eingerichtet haben, wird empfohlen, dass Sie die Schritte im Abschnitt [Erste](getting-started.md) Schritte ausführen, der Sie durch die Erstellung der DataZone Amazon-Domain, das Abrufen der Datenportal-URL und die grundlegenden DataZone Amazon-Workflows für Datenproduzenten und Datenkonsumenten führt.
**Topics**
+ [Eröffnen Sie ein AWS Konto](setting-up-aws-sign-up.md)
+ [Konfigurieren Sie die IAM-Berechtigungen, die für die Nutzung der Amazon DataZone Management Console erforderlich sind](create-iam-roles.md)
+ [Konfigurieren Sie die IAM-Berechtigungen, die für die Nutzung des DataZone Amazon-Datenportals erforderlich sind](data-portal-permissions.md)
+ [AWS IAM Identity Center für Amazon einrichten DataZone](sso-setup.md)
# Eröffnen Sie ein AWS Konto
Wenn Sie noch kein AWS Konto haben, führen Sie die folgenden Schritte aus, um eines zu erstellen.
**Wenn Sie eine AWS Organisation haben, erstellen Sie ein Konto:**
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Organisationskonsole unter [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).
1. Wählen Sie im Navigationsbereich **AWS Konten** aus.
1. Wählen **Sie AWS Konto hinzufügen** aus.
1. Wählen Sie ** AWS Konto erstellen** und geben Sie die angeforderten Daten ein. Wählen Sie ** AWS Konto erstellen**.
**Um ein AWS Konto zu eröffnen**
1. Öffnen Sie die [https://portal.aws.amazon.com/billing/Registrierung](https://portal.aws.amazon.com/billing/signup)
1. Folgen Sie den Online-Anweisungen.
Bei der Anmeldung müssen Sie auch einen Telefonanruf entgegennehmen und einen Verifizierungscode über die Telefontasten eingeben.
Wenn Sie sich für ein AWS Konto registrieren, wird ein *Root-Benutzer für das AWS Konto* erstellt. Der Root-Benutzer hat Zugriff auf alle AWS Dienste und Ressourcen im Konto. Als bewährte Sicherheitsmethode weisen Sie einem [Administratorbenutzer Administratorzugriff](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html) erfordern.
# Konfigurieren Sie die IAM-Berechtigungen, die für die Nutzung der Amazon DataZone Management Console erforderlich sind
Um auf Ihre DataZone Amazon-Domains, -Blueprints und -Benutzer zuzugreifen und diese zu konfigurieren und das DataZone Amazon-Datenportal zu erstellen, müssen Sie die Amazon-Managementkonsole verwenden. DataZone
Sie müssen die folgenden Verfahren ausführen, um die erforderlichen und/oder optionalen Berechtigungen für alle Benutzer, Gruppen oder Rollen zu konfigurieren, die die Amazon DataZone Management Console verwenden möchten.
**Topics**
+ [Ordnen Sie einem Benutzer, einer Gruppe oder einer Rolle erforderliche und optionale Richtlinien für den Zugriff auf die DataZone Amazon-Konsole zu](#attach-managed)
+ [Erstellen Sie eine benutzerdefinierte Richtlinie für IAM-Berechtigungen, um die vereinfachte Rollenerstellung über die Amazon DataZone Service Console zu ermöglichen](#create-custom-to-manage-EZCRZ)
+ [Erstellen Sie eine benutzerdefinierte Richtlinie für Berechtigungen zur Verwaltung eines mit einer DataZone Amazon-Domain verknüpften Kontos](#create-custom-to-manage-associated-account)
+ [(Optional) Erstellen Sie eine benutzerdefinierte Richtlinie für AWS Identity Center-Berechtigungen, um SSO-Benutzer- und SSO-Gruppenzugriffe auf DataZone Amazon-Domains hinzuzufügen und zu entfernen](#create-custom-to-manage-add-remove-sso)
+ [(Optional) Fügen Sie Ihren IAM-Prinzipal als Schlüsselbenutzer hinzu, um Ihre DataZone Amazon-Domain mit einem vom Kunden verwalteten Schlüssel von AWS Key Management Service (KMS) zu erstellen](#create-custom-to-manage-kms)
## Ordnen Sie einem Benutzer, einer Gruppe oder einer Rolle erforderliche und optionale Richtlinien für den Zugriff auf die DataZone Amazon-Konsole zu
Gehen Sie wie folgt vor, um einem Benutzer, einer Gruppe oder einer Rolle die erforderlichen und optionalen benutzerdefinierten Richtlinien zuzuweisen. Weitere Informationen finden Sie unter [AWS verwaltete Richtlinien für Amazon DataZone](security-iam-awsmanpol.md).
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie die folgenden Richtlinien aus, die Sie Ihrem Benutzer, Ihrer Gruppe oder einer Rolle zuordnen möchten.
+ Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben dem **AmazonDataZoneFullAccess**. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern. Weitere Informationen finden Sie unter [AWS verwaltete Richtlinie: AmazonDataZoneFullAccess](security-iam-awsmanpol-AmazonDataZoneFullAccess.md).
+ [(Optional) Erstellen Sie eine benutzerdefinierte Richtlinie für IAM-Berechtigungen, um die vereinfachte Rollenerstellung über die Amazon DataZone Service Console zu ermöglichen.](#create-custom-to-manage-EZCRZ)
+ [(Optional) Erstellen Sie eine benutzerdefinierte Richtlinie für AWS Identity Center-Berechtigungen, um SSO-Benutzer- und SSO-Gruppenzugriffe auf Ihre DataZone Amazon-Domain hinzuzufügen und zu entfernen.](#create-custom-to-manage-add-remove-sso)
1. Wählen Sie **Actions (Aktionen)** und dann **Attach policy (Richtlinie anfügen)**.
1. Wählen Sie den Benutzer, die Gruppe oder die Rolle aus, der Sie die Richtlinie zuordnen möchten. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer, die Gruppe oder die Rolle ausgewählt haben, wählen Sie **Richtlinie anhängen**.
## Erstellen Sie eine benutzerdefinierte Richtlinie für IAM-Berechtigungen, um die vereinfachte Rollenerstellung über die Amazon DataZone Service Console zu ermöglichen
Gehen Sie wie folgt vor, um eine benutzerdefinierte Inline-Richtlinie zu erstellen, um über die erforderlichen Berechtigungen zu verfügen DataZone , damit Amazon die erforderlichen Rollen in der AWS Management-Konsole in Ihrem Namen erstellen kann.
**Anmerkung**
Informationen zu bewährten Methoden zur Konfiguration von Berechtigungen für die Erstellung von Servicerollen finden Sie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/id\$1roles\$1create\$1for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Benutzer** oder **Benutzergruppen**.
1. Wählen Sie in der Liste den Namen des Benutzers oder der Gruppe, in die eine Richtlinie eingebettet werden soll.
1. Wählen Sie die Registerkarte **Permissions (Berechtigungen)** aus und erweitern Sie ggf. den Abschnitt **Permissions policies (Berechtigungsrichtlinien)**.
1. Wählen Sie „**Berechtigungen hinzufügen**“ und „**Inline-Richtlinie erstellen**“ aus.
1. Wählen Sie auf dem Bildschirm **Richtlinie erstellen** im Abschnitt **Richtlinien-Editor** die Option **JSON** aus.
Erstellen Sie ein Richtliniendokument mit den folgenden JSON-Anweisungen und wählen Sie dann **Weiter**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
}
]
}
```
------
1. Geben Sie auf dem Bildschirm **„Richtlinie überprüfen**“ einen Namen für die Richtlinie ein. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy (Richtlinie erstellen)**. Stellen Sie sicher, dass in dem roten Feld am oberen Bildschirmrand keine Fehler angezeigt werden. Korrigieren Sie etwaige Fehler.
## Erstellen Sie eine benutzerdefinierte Richtlinie für Berechtigungen zur Verwaltung eines mit einer DataZone Amazon-Domain verknüpften Kontos
Gehen Sie wie folgt vor, um eine benutzerdefinierte Inline-Richtlinie zu erstellen, um in einem zugehörigen AWS Konto über die erforderlichen Berechtigungen zum Auflisten, Akzeptieren und Ablehnen von Ressourcenfreigaben einer Domäne zu verfügen und anschließend Umgebungs-Blueprints im zugehörigen Konto zu aktivieren, zu konfigurieren und zu deaktivieren. Um die optionale vereinfachte Rollenerstellung der Amazon DataZone Service Console zu aktivieren, die während der Blueprint-Konfiguration verfügbar ist, müssen Sie außerdem[Erstellen Sie eine benutzerdefinierte Richtlinie für IAM-Berechtigungen, um die vereinfachte Rollenerstellung über die Amazon DataZone Service Console zu ermöglichen](#create-custom-to-manage-EZCRZ).
**Anmerkung**
Informationen zu bewährten Methoden zur Konfiguration von Berechtigungen zur Erstellung von Servicerollen finden Sie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/id\$1roles\$1create\$1for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Benutzer** oder **Benutzergruppen**.
1. Wählen Sie in der Liste den Namen des Benutzers oder der Gruppe, in die eine Richtlinie eingebettet werden soll.
1. Wählen Sie die Registerkarte **Permissions (Berechtigungen)** aus und erweitern Sie ggf. den Abschnitt **Permissions policies (Berechtigungsrichtlinien)**.
1. Wählen Sie „**Berechtigungen hinzufügen**“ und „**Inline-Richtlinie erstellen**“ aus.
1. Wählen Sie auf dem Bildschirm **Richtlinie erstellen** im Abschnitt **Richtlinien-Editor** die Option **JSON** aus. Erstellen Sie ein Richtliniendokument mit den folgenden JSON-Anweisungen und wählen Sie dann **Weiter**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datazone:ListEnvironmentBlueprintConfigurations",
"datazone:PutEnvironmentBlueprintConfiguration",
"datazone:GetDomain",
"datazone:ListDomains",
"datazone:GetEnvironmentBlueprintConfiguration",
"datazone:ListEnvironmentBlueprints",
"datazone:GetEnvironmentBlueprint",
"datazone:ListAccountEnvironments",
"datazone:DeleteEnvironmentBlueprintConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/AmazonDataZone",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
],
"Condition": {
"StringEquals": {
"iam:passedToService": "datazone.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:RejectResourceShareInvitation",
"ram:GetResourceShareInvitations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::amazon-datazone*"
}
]
}
```
------
1. Geben Sie auf dem Bildschirm **„Richtlinie überprüfen**“ einen Namen für die Richtlinie ein. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy (Richtlinie erstellen)**. Stellen Sie sicher, dass in dem roten Feld am oberen Bildschirmrand keine Fehler angezeigt werden. Korrigieren Sie etwaige Fehler.
## (Optional) Erstellen Sie eine benutzerdefinierte Richtlinie für AWS Identity Center-Berechtigungen, um SSO-Benutzer- und SSO-Gruppenzugriffe auf DataZone Amazon-Domains hinzuzufügen und zu entfernen
Gehen Sie wie folgt vor, um eine benutzerdefinierte Inline-Richtlinie zu erstellen, damit Sie über die erforderlichen Berechtigungen verfügen, um SSO-Benutzer- und SSO-Gruppenzugriffe auf Ihre DataZone Amazon-Domain hinzuzufügen und zu entfernen.
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Benutzer** oder **Benutzergruppen**.
1. Wählen Sie in der Liste den Namen des Benutzers oder der Gruppe, in die eine Richtlinie eingebettet werden soll.
1. Wählen Sie die Registerkarte **Permissions (Berechtigungen)** aus und erweitern Sie ggf. den Abschnitt **Permissions policies (Berechtigungsrichtlinien)**.
1. Wählen Sie **Berechtigungen hinzufügen** und **Inline-Richtlinie erstellen** aus.
1. Wählen Sie auf dem Bildschirm **Richtlinie erstellen** im Abschnitt **Richtlinien-Editor** die Option **JSON** aus.
Erstellen Sie ein Richtliniendokument mit den folgenden JSON-Anweisungen und wählen Sie dann **Weiter**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso:GetProfile"
],
"Resource": "*"
}
]
}
```
------
1. Geben Sie auf dem Bildschirm **„Richtlinie überprüfen**“ einen Namen für die Richtlinie ein. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy (Richtlinie erstellen)**. Stellen Sie sicher, dass in dem roten Feld am oberen Bildschirmrand keine Fehler angezeigt werden. Korrigieren Sie etwaige Fehler.
## (Optional) Fügen Sie Ihren IAM-Prinzipal als Schlüsselbenutzer hinzu, um Ihre DataZone Amazon-Domain mit einem vom Kunden verwalteten Schlüssel von AWS Key Management Service (KMS) zu erstellen
Bevor Sie Ihre DataZone Amazon-Domain optional mit einem vom Kunden verwalteten Schlüssel (CMK) vom AWS Key Management Service (KMS) erstellen können, führen Sie das folgende Verfahren durch, um Ihren IAM-Principal zum Benutzer Ihres KMS-Schlüssels zu machen.
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die KMS-Konsole unter. [https://console.aws.amazon.com/kms/](https://console.aws.amazon.com/kms/)
1. Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich **Customer managed keys (Vom Kunden verwaltete Schlüssel)** aus.
1. Wählen Sie in der Liste der KMS-Schlüssel den Alias oder die Schlüssel-ID des KMS-Schlüssels aus, den Sie untersuchen möchten.
1. Verwenden Sie die Steuerelemente im Abschnitt Hauptbenutzer der Seite, um Schlüsselbenutzer hinzuzufügen oder zu entfernen und externen AWS Konten die Verwendung des **KMS-Schlüssels** zu gestatten oder zu verbieten. Schlüsselbenutzer können den KMS-Schlüssel in kryptografischen Produktionen verwenden, wie beispielsweise der Verschlüsselung, Entschlüsselung, erneuten Verschlüsselung und Generierung von Datenschlüsseln.
# Konfigurieren Sie die IAM-Berechtigungen, die für die Nutzung des DataZone Amazon-Datenportals erforderlich sind
Das DataZone Amazon-Datenportal (außerhalb der AWS Management Console) ist eine browserbasierte Webanwendung, mit der Benutzer Daten im Self-Service-Modus katalogisieren, ermitteln, verwalten, teilen und analysieren können. Das Datenportal authentifiziert Benutzer mit IAM-Anmeldeinformationen oder vorhandenen Anmeldeinformationen Ihres Identitätsanbieters über AWS IAM Identity Center.
Sie müssen die folgenden Verfahren ausführen, um die erforderlichen Berechtigungen für alle Benutzer, Gruppen oder Rollen zu konfigurieren, die das DataZone Amazon-Datenportal oder den Amazon-Katalog verwenden möchten:
**Topics**
+ [Hängen Sie die erforderliche Richtlinie an einen Benutzer, eine Gruppe oder eine Rolle für den Zugriff auf das DataZone Amazon-Datenportal an](#data-portal-permissions-portal)
+ [Ordnen Sie einem Benutzer, einer Gruppe oder einer Rolle die erforderliche Richtlinie für den Zugriff auf den DataZone Amazon-Katalog zu](#data-portal-permissions-catalog)
+ [Fügen Sie einem Benutzer, einer Gruppe oder einer Rolle eine optionale Richtlinie für den Zugriff auf das DataZone Amazon-Datenportal oder den Amazon-Katalog hinzu, wenn Ihre Domain mit einem vom Kunden verwalteten Schlüssel von AWS Key Management Service (KMS) verschlüsselt ist](#data-portal-permissions-kms)
## Hängen Sie die erforderliche Richtlinie an einen Benutzer, eine Gruppe oder eine Rolle für den Zugriff auf das DataZone Amazon-Datenportal an
Sie können auf das DataZone Amazon-Datenportal zugreifen, indem Sie entweder Ihre AWS Anmeldeinformationen oder Ihre Single Sign-On (SSO) -Anmeldeinformationen verwenden. Folgen Sie den Anweisungen im folgenden Abschnitt, um die Berechtigungen einzurichten, die für den Zugriff auf das Datenportal mit Ihren AWS Anmeldeinformationen erforderlich sind. Weitere Informationen zur Verwendung von Amazon DataZone mit SSO finden Sie unter[AWS IAM Identity Center für Amazon einrichten DataZone](sso-setup.md).
**Anmerkung**
Nur IAM-Prinzipale im AWS Konto Ihrer Domain können auf das Datenportal der Domain zugreifen. IAM-Prinzipale anderer AWS Konten können nicht auf das Datenportal der Domain zugreifen.
Gehen Sie wie folgt vor, um die erforderliche Richtlinie einem Benutzer, einer Gruppe oder einer Rolle zuzuweisen. Weitere Informationen finden Sie unter [AWS verwaltete Richtlinien für Amazon DataZone](security-iam-awsmanpol.md).
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Benutzer, Benutzergruppen oder Rollen** aus.
1. Wählen Sie in der Liste den Namen des Benutzers, der Gruppe oder der Rolle aus, in die eine Richtlinie eingebettet werden soll.
1. Wählen Sie die Registerkarte **Permissions (Berechtigungen)** aus und erweitern Sie ggf. den Abschnitt **Permissions policies (Berechtigungsrichtlinien)**.
1. Wählen Sie den Link „**Berechtigungen hinzufügen**“ und „**Inline-Richtlinie erstellen**“.
1. Wählen Sie auf dem Bildschirm **Richtlinie erstellen** im Abschnitt [Richtlinien-Editor]() die Option **JSON** aus. Erstellen Sie ein Richtliniendokument mit den folgenden JSON-Anweisungen und wählen Sie dann **Weiter**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datazone:GetIamPortalLoginUrl"
],
"Resource": [
"*"
]
}
]
}
```
------
1. Geben Sie auf dem Bildschirm **„Richtlinie überprüfen**“ einen Namen für die Richtlinie ein. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy (Richtlinie erstellen)**. Stellen Sie sicher, dass in dem roten Feld am oberen Bildschirmrand keine Fehler angezeigt werden. Korrigieren Sie etwaige Fehler.
## Ordnen Sie einem Benutzer, einer Gruppe oder einer Rolle die erforderliche Richtlinie für den Zugriff auf den DataZone Amazon-Katalog zu
**Anmerkung**
Nur IAM-Prinzipale im AWS Konto Ihrer Domain können auf den Katalog der Domain zugreifen. IAM-Prinzipale anderer AWS Konten können nicht auf den Katalog der Domain zugreifen.
Mit dem folgenden Verfahren können Sie Ihren IAM-Identitäten über die API und das SDK Zugriff auf den Katalog Ihrer DataZone Amazon-Domain gewähren. Wenn Sie möchten, dass diese IAM-Identitäten auch Zugriff auf das DataZone Amazon-Datenportal haben, gehen Sie zusätzlich wie oben beschrieben vor. [Hängen Sie die erforderliche Richtlinie an einen Benutzer, eine Gruppe oder eine Rolle für den Zugriff auf das DataZone Amazon-Datenportal an](#data-portal-permissions-portal) Weitere Informationen finden Sie unter [AWS verwaltete Richtlinien für Amazon DataZone](security-iam-awsmanpol.md).
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie in der Liste der Richtlinien das Optionsfeld neben der **AmazonDataZoneFullUserAccess**Richtlinie aus. Über das Menü **Filter** und das Suchfeld können Sie die Richtlinienliste filtern. Weitere Informationen finden Sie unter [AWS verwaltete Richtlinie: AmazonDataZoneFullUserAccess](security-iam-awsmanpol-AmazonDataZoneFullUserAccess.md).
1. Wählen Sie **Actions (Aktionen)** und dann **Attach policy (Richtlinie anfügen)**.
1. Wählen Sie den Benutzer, die Gruppe oder die Rolle aus, der Sie die Richtlinie zuordnen möchten, indem Sie das Kontrollkästchen neben jedem Prinzipal aktivieren. Über das Menü **Filter** und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer, die Gruppe oder die Rolle ausgewählt haben, wählen Sie **Richtlinie anhängen** aus.
## Fügen Sie einem Benutzer, einer Gruppe oder einer Rolle eine optionale Richtlinie für den Zugriff auf das DataZone Amazon-Datenportal oder den Amazon-Katalog hinzu, wenn Ihre Domain mit einem vom Kunden verwalteten Schlüssel von AWS Key Management Service (KMS) verschlüsselt ist
Wenn Sie Ihre DataZone Amazon-Domain mit Ihrem eigenen KMS-Schlüssel für die Datenverschlüsselung erstellen, müssen Sie auch eine Inline-Richtlinie mit den folgenden Berechtigungen erstellen und diese an Ihre IAM-Prinzipale anhängen, damit diese auf das DataZone Amazon-Datenportal oder den Amazon-Katalog zugreifen können.
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Benutzer, Benutzergruppen oder Rollen** aus.
1. Wählen Sie in der Liste den Namen des Benutzers, der Gruppe oder der Rolle aus, in die eine Richtlinie eingebettet werden soll.
1. Wählen Sie die Registerkarte **Permissions (Berechtigungen)** aus und erweitern Sie ggf. den Abschnitt **Permissions policies (Berechtigungsrichtlinien)**.
1. Wählen Sie den Link „**Berechtigungen hinzufügen**“ und „**Inline-Richtlinie erstellen**“.
1. Wählen Sie auf dem Bildschirm **Richtlinie erstellen** im Abschnitt **Richtlinien-Editor** die Option **JSON** aus. Erstellen Sie ein Richtliniendokument mit den folgenden JSON-Anweisungen und wählen Sie dann **Weiter**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
]
}
]
}
```
------
1. Geben Sie auf dem Bildschirm **„Richtlinie überprüfen**“ einen Namen für die Richtlinie ein. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy (Richtlinie erstellen)**. Stellen Sie sicher, dass in dem roten Feld am oberen Bildschirmrand keine Fehler angezeigt werden. Korrigieren Sie etwaige Fehler.
# AWS IAM Identity Center für Amazon einrichten DataZone
**Anmerkung**
AWS Identity Center muss in derselben AWS Region wie Ihre DataZone Amazon-Domain aktiviert sein. Derzeit kann AWS Identity Center nur in einer einzigen AWS Region aktiviert werden.
Sie können auf das DataZone Amazon-Datenportal zugreifen, indem Sie entweder Ihre Single Sign-On (SSO) -Anmeldeinformationen oder AWS Anmeldeinformationen verwenden. Folgen Sie den Anweisungen in diesem Abschnitt, um AWS IAM Identity Center für Amazon DataZone einzurichten. Weitere Informationen zur Verwendung von Amazon DataZone mit Ihren AWS Anmeldeinformationen finden Sie unter[Konfigurieren Sie die IAM-Berechtigungen, die für die Nutzung der Amazon DataZone Management Console erforderlich sind](create-iam-roles.md).
Sie können die Verfahren in diesem Abschnitt überspringen, wenn Sie AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) bereits in derselben AWS Region aktiviert und konfiguriert haben, in der Sie Ihre DataZone Amazon-Domain erstellen möchten.
Gehen Sie wie folgt vor, um AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) zu aktivieren.
1. Um AWS IAM Identity Center zu aktivieren, müssen Sie sich mit den Anmeldeinformationen Ihres AWS AWS Organisationsverwaltungskontos bei der Management Console anmelden. Sie können IAM Identity Center nicht aktivieren, während Sie mit den Anmeldeinformationen eines Mitgliedskontos einer AWS Organizations angemeldet sind. Weitere Informationen finden Sie unter [Organisation erstellen und verwalten im AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) User Guide.
1. Öffnen Sie die [AWS IAM Identity Center-Konsole (Nachfolger von AWS Single Sign-On)](https://console.aws.amazon.com/singlesignon) und wählen Sie mit der Regionsauswahl in der oberen Navigationsleiste die AWS Region aus, in der Sie Ihre Amazon-Domain erstellen möchten. DataZone
1. Wählen Sie **Enable (Aktivieren)** aus.
1. Wählen Sie Ihre Identitätsquelle.
Standardmäßig erhalten Sie einen IAM Identity Center Store für eine schnelle und einfache Benutzerverwaltung. Optional können Sie stattdessen einen externen Identitätsanbieter verbinden. In diesem Verfahren verwenden wir den standardmäßigen IAM Identity Center-Speicher.
Weitere Informationen finden [Sie unter Wählen Sie Ihre Identitätsquelle](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-choose-identity-source.html).
1. Wählen Sie im Navigationsbereich von IAM Identity Center **Gruppen** und anschließend **Gruppe erstellen** aus. Geben Sie den Gruppennamen ein und wählen Sie **Create** aus.
1. Wählen Sie im Navigationsbereich von IAM Identity Center die Option **Benutzer** aus.
1. Geben Sie auf dem Bildschirm „**Benutzer hinzufügen**“ die erforderlichen Informationen ein und wählen Sie „**Dem Benutzer eine E-Mail mit Anweisungen zur Einrichtung des Passworts senden**“. Der Benutzer sollte eine E-Mail mit den nächsten Einrichtungsschritten erhalten.
1. Wählen Sie **Weiter: Gruppen**, wählen Sie die gewünschte Gruppe aus und klicken Sie auf **Benutzer hinzufügen**. Benutzer sollten eine E-Mail erhalten, in der sie zur Verwendung von SSO eingeladen werden. In dieser E-Mail müssen sie Einladung annehmen auswählen und das Passwort festlegen.
Nachdem Sie Ihre DataZone Amazon-Domain erstellt haben, können Sie AWS Identity Center for Amazon aktivieren DataZone und Zugriff auf Ihre SSO-Benutzer und SSO-Gruppen gewähren. Weitere Informationen finden Sie unter [IAM Identity Center für Amazon aktivieren DataZone](enable-IAM-identity-center-for-datazone.md).