Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configure los permisos de IAM necesarios para usar la consola de DataZone administración de Amazon
Para acceder a tus DataZone dominios, blueprints y usuarios de Amazon y configurarlos, y para crear el portal de DataZone datos de Amazon, debes usar la consola de administración de Amazon DataZone .
Debe completar los siguientes procedimientos para configurar los permisos obligatorios u opcionales para cualquier usuario, grupo o rol que quiera usar la consola de DataZone administración de Amazon.
**Topics**
+ [Adjunta políticas obligatorias y opcionales a un usuario, grupo o rol para el acceso a la DataZone consola de Amazon](#attach-managed)
+ [Cree una política personalizada para los permisos de IAM para permitir la creación simplificada de roles en la consola de DataZone servicio de Amazon](#create-custom-to-manage-EZCRZ)
+ [Crea una política personalizada de permisos para gestionar una cuenta asociada a un DataZone dominio de Amazon](#create-custom-to-manage-associated-account)
+ [(Opcional) Cree una política personalizada para los permisos del Centro de AWS Identidad para añadir y eliminar el acceso de usuarios y grupos de SSO a los dominios de Amazon DataZone](#create-custom-to-manage-add-remove-sso)
+ [(Opcional) Añade tu principal de IAM como usuario clave para crear tu DataZone dominio de Amazon con una clave gestionada por el cliente de AWS Key Management Service (KMS)](#create-custom-to-manage-kms)
## Adjunta políticas obligatorias y opcionales a un usuario, grupo o rol para el acceso a la DataZone consola de Amazon
Complete el siguiente procedimiento para asociar las políticas personalizadas obligatorias y opcionales a un usuario, grupo o rol. Para obtener más información, consulte [AWS políticas gestionadas para Amazon DataZone](security-iam-awsmanpol.md).
1. Inicie sesión en la consola AWS de administración y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. Elija las siguientes políticas de permisos para adjuntarlas a su usuario, grupo o rol.
+ En la lista de políticas, seleccione la casilla de verificación situada junto a. **AmazonDataZoneFullAccess** Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista de políticas. Para obtener más información, consulte [AWS política gestionada: AmazonDataZoneFullAccess](security-iam-awsmanpol-AmazonDataZoneFullAccess.md).
+ [(Opcional) Cree una política personalizada para los permisos de IAM para permitir la creación simplificada de roles en la consola de DataZone servicio de Amazon.](#create-custom-to-manage-EZCRZ)
+ [(Opcional) Cree una política personalizada para los permisos del Centro de AWS Identidad para añadir y eliminar el acceso de usuarios y grupos de SSO a su dominio de Amazon DataZone .](#create-custom-to-manage-add-remove-sso)
1. Elija **Acciones** y, a continuación, elija **Asociar**.
1. Elija el usuario, grupo o rol al que desea asociar la política. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista entidades principales. Después de elegir el usuario, el grupo o el rol, elija **Asociar política**.
## Cree una política personalizada para los permisos de IAM para permitir la creación simplificada de roles en la consola de DataZone servicio de Amazon
Complete el siguiente procedimiento para crear una política en línea personalizada que le permita disponer de los permisos necesarios para que Amazon DataZone pueda crear las funciones necesarias en la consola AWS de administración en su nombre.
**nota**
Para obtener información sobre las mejores prácticas sobre la configuración de permisos para permitir la creación de funciones de servicio, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/id\_roles\_create\_for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
1. Inicie sesión en la consola AWS de administración y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **Usuarios** o **Grupos de usuarios**.
1. En la lista, seleccione el nombre del usuario o del grupo en el que integrará una política.
1. Elija la pestaña **Permissions (Permisos)** y, si es necesario, expanda la sección **Permissions Policies (Políticas de permisos)**.
1. Elija **Agregar permisos** y el enlace **Crear política insertada**.
1. En la pantalla **Crear una política**, en la sección **Editor de políticas**, elija **JSON**.
Cree un documento de política con las siguientes instrucciones JSON y, a continuación, elija **Revisar política**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
}
]
}
```
------
1. En la pantalla **Revisar política**, introduzca un nombre para la política. Cuando esté satisfecho con la política, elija **Crear política**. Asegúrese de que no aparece ningún error en un cuadro rojo en la parte superior de la pantalla. Corrija todos los errores notificados.
## Crea una política personalizada de permisos para gestionar una cuenta asociada a un DataZone dominio de Amazon
Complete el siguiente procedimiento para crear una política integrada personalizada que le permita disponer de los permisos necesarios en una AWS cuenta asociada para publicar, aceptar y rechazar los recursos compartidos de un dominio y, a continuación, habilitar, configurar y deshabilitar los esquemas de entorno en la cuenta asociada. Para habilitar la creación de roles simplificada de Amazon DataZone Service Console opcional disponible durante la configuración del blueprint, también [Cree una política personalizada para los permisos de IAM para permitir la creación simplificada de roles en la consola de DataZone servicio de Amazon](#create-custom-to-manage-EZCRZ) debe hacerlo.
**nota**
Para obtener información sobre las mejores prácticas sobre la configuración de permisos que permitan la creación de roles de servicio, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/id\_roles\_create\_for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
1. Inicie sesión en la consola AWS de administración y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **Usuarios** o **Grupos de usuarios**.
1. En la lista, seleccione el nombre del usuario o del grupo en el que integrará una política.
1. Elija la pestaña **Permissions (Permisos)** y, si es necesario, expanda la sección **Permissions Policies (Políticas de permisos)**.
1. Elija **Agregar permisos** y el enlace **Crear política insertada**.
1. En la pantalla **Crear una política**, en la sección **Editor de políticas**, elija **JSON**. Cree un documento de política con las siguientes instrucciones JSON y, a continuación, elija **Revisar política**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datazone:ListEnvironmentBlueprintConfigurations",
"datazone:PutEnvironmentBlueprintConfiguration",
"datazone:GetDomain",
"datazone:ListDomains",
"datazone:GetEnvironmentBlueprintConfiguration",
"datazone:ListEnvironmentBlueprints",
"datazone:GetEnvironmentBlueprint",
"datazone:ListAccountEnvironments",
"datazone:DeleteEnvironmentBlueprintConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/AmazonDataZone",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
],
"Condition": {
"StringEquals": {
"iam:passedToService": "datazone.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:RejectResourceShareInvitation",
"ram:GetResourceShareInvitations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::amazon-datazone*"
}
]
}
```
------
1. En la pantalla **Revisar política**, introduzca un nombre para la política. Cuando esté satisfecho con la política, elija **Crear política**. Asegúrese de que no aparece ningún error en un cuadro rojo en la parte superior de la pantalla. Corrija todos los errores notificados.
## (Opcional) Cree una política personalizada para los permisos del Centro de AWS Identidad para añadir y eliminar el acceso de usuarios y grupos de SSO a los dominios de Amazon DataZone
Complete el siguiente procedimiento para crear una política en línea personalizada que le permita disponer de los permisos necesarios para añadir y eliminar el acceso de usuarios y grupos de SSO a su dominio de Amazon. DataZone
1. Inicie sesión en la consola de AWS administración y abra la consola de IAM en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación, elija **Usuarios** o **Grupos de usuarios**.
1. En la lista, seleccione el nombre del usuario o del grupo en el que integrará una política.
1. Elija la pestaña **Permissions (Permisos)** y, si es necesario, expanda la sección **Permissions Policies (Políticas de permisos)**.
1. Elija **Agregar permisos** y **Crear política insertada**.
1. En la pantalla **Crear una política**, en la sección **Editor de políticas**, elija **JSON**.
Cree un documento de política con las siguientes instrucciones JSON y, a continuación, elija **Revisar política**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso:GetProfile"
],
"Resource": "*"
}
]
}
```
------
1. En la pantalla **Revisar política**, introduzca un nombre para la política. Cuando esté satisfecho con la política, elija **Crear política**. Asegúrese de que no aparece ningún error en un cuadro rojo en la parte superior de la pantalla. Corrija todos los errores notificados.
## (Opcional) Añade tu principal de IAM como usuario clave para crear tu DataZone dominio de Amazon con una clave gestionada por el cliente de AWS Key Management Service (KMS)
Antes de que puedas crear tu DataZone dominio de Amazon de forma opcional con una clave gestionada por el cliente (CMK) del Servicio de gestión de AWS claves (KMS), completa el siguiente procedimiento para convertir a tu principal de IAM en usuario de tu clave de KMS.
1. Inicie sesión en la consola de AWS administración y abra la consola KMS en. [https://console.aws.amazon.com/kms/](https://console.aws.amazon.com/kms/)
1. Si desea ver las claves de la cuenta que usted crea y administra, elija en el panel de navegación, **Claves administradas por el cliente**.
1. En la lista de claves KMS, elija el alias o ID de clave de la clave KMS que desea examinar.
1. Para añadir o eliminar usuarios clave y permitir o impedir que AWS cuentas externas utilicen la clave KMS, utilice los controles de la sección **Usuarios clave** de la página. Los usuarios de claves pueden usar la clave KMS en operaciones criptográficas, como cifrar, descifrar, volver a cifrar y generar claves de datos.