Konfigurasikan izin IAM yang diperlukan untuk menggunakan konsol manajemen Amazon DataZone - Amazon DataZone
Lampirkan kebijakan wajib dan opsional ke pengguna, grup, atau peran untuk akses konsol manajemenMembuat kebijakan khusus untuk izin IAM untuk mengaktifkan pembuatan peran yang disederhanakan konsol layanan manajemenMembuat kebijakan khusus untuk izin mengelola akun yang terkait dengan domain(Opsional) Buat kebijakan khusus untuk izin Pusat AWS Identitas untuk menambah dan menghapus akses pengguna SSO dan grup SSO ke domain(Opsional) Tambahkan prinsipal IAM Anda sebagai pengguna utama untuk membuat domain Anda dengan kunci yang dikelola pelanggan dari KMS AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan izin IAM yang diperlukan untuk menggunakan konsol manajemen Amazon DataZone

Untuk mengakses dan mengonfigurasi DataZone domain, cetak biru, dan pengguna Amazon Anda, serta untuk membuat portal DataZone data Amazon, Anda harus menggunakan konsol manajemen Amazon. DataZone

Anda harus menyelesaikan prosedur berikut untuk mengonfigurasi izin yang diperlukan dan/atau opsional untuk pengguna, grup, atau peran apa pun yang ingin menggunakan konsol DataZone manajemen Amazon.

Lampirkan kebijakan wajib dan opsional ke pengguna, grup, atau peran untuk akses DataZone konsol Amazon

Selesaikan prosedur berikut untuk melampirkan kebijakan kustom yang diperlukan dan opsional ke pengguna, grup, atau peran. Untuk informasi selengkapnya, lihat AWS kebijakan terkelola untuk Amazon DataZone.

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Pilih kebijakan berikut untuk dilampirkan ke pengguna, grup, atau peran Anda.

  4. Pilih Tindakan, lalu pilih Lampirkan.

  5. Pilih pengguna, grup, atau peran yang ingin Anda lampirkan kebijakan. Anda bisa menggunakan menu Filter dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna, grup, atau peran, pilih Lampirkan kebijakan.

Membuat kebijakan khusus untuk izin IAM untuk mengaktifkan pembuatan peran yang disederhanakan konsol DataZone layanan Amazon

Selesaikan prosedur berikut untuk membuat kebijakan sebaris khusus agar memiliki izin yang diperlukan DataZone agar Amazon dapat membuat peran yang diperlukan di konsol AWS manajemen atas nama Anda.

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna atau Grup pengguna.

  3. Dalam daftar, pilih nama pengguna atau grup untuk menyematkan kebijakan.

  4. Pilih tab Izin dan, jika diperlukan, perluas bagian Kebijakan izin.

  5. Pilih Tambahkan izin dan Buat tautan kebijakan sebaris.

  6. Di layar Buat Kebijakan, di bagian Editor kebijakan, pilih JSON.

    Buat dokumen kebijakan dengan pernyataan JSON berikut, lalu pilih Berikutnya.

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy",
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/AmazonDataZone*",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::aws:policy/AmazonDataZone*",
                        "arn:aws:iam::*:policy/service-role/AmazonDataZone*"
                    ]
                }
            }
        }
    ]
}

  7. Pada layar Kebijakan peninjauan, masukkan nama untuk kebijakan tersebut. Jika Anda puas dengan kebijakan ini, pilih Buat kebijakan. Pastikan bahwa tidak ada kesalahan yang muncul di kotak merah yang ada di bagian atas layar. Perbaiki apapun yang dilaporkan.

Membuat kebijakan khusus untuk izin mengelola akun yang terkait dengan domain Amazon DataZone

Selesaikan prosedur berikut untuk membuat kebijakan sebaris khusus agar memiliki izin yang diperlukan di AWS akun terkait untuk membuat daftar, menerima, dan menolak pembagian sumber daya domain, lalu mengaktifkan, mengonfigurasi, dan menonaktifkan cetak biru lingkungan di akun terkait. Untuk mengaktifkan pembuatan peran disederhanakan konsol DataZone layanan Amazon opsional yang tersedia selama konfigurasi cetak biru, Anda juga harus melakukannya. Membuat kebijakan khusus untuk izin IAM untuk mengaktifkan pembuatan peran yang disederhanakan konsol DataZone layanan Amazon

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna atau Grup pengguna.

  3. Dalam daftar, pilih nama pengguna atau grup untuk menyematkan kebijakan.

  4. Pilih tab Izin dan, jika diperlukan, perluas bagian Kebijakan izin.

  5. Pilih Tambahkan izin dan Buat tautan kebijakan sebaris.

  6. Di layar Buat Kebijakan, di bagian Editor kebijakan, pilih JSON. Buat dokumen kebijakan dengan pernyataan JSON berikut, lalu pilih Berikutnya.

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "datazone:ListEnvironmentBlueprintConfigurations",
                "datazone:PutEnvironmentBlueprintConfiguration",
                "datazone:GetDomain",
                "datazone:ListDomains",
                "datazone:GetEnvironmentBlueprintConfiguration",
                "datazone:ListEnvironmentBlueprints",
                "datazone:GetEnvironmentBlueprint",
                "datazone:ListAccountEnvironments",
                "datazone:DeleteEnvironmentBlueprintConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:role/AmazonDataZone",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:passedToService": "datazone.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::aws:policy/AmazonDataZone*",
                        "arn:aws:iam::*:policy/service-role/AmazonDataZone*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy",
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/AmazonDataZone*",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ram:GetResourceShareInvitations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:CreateBucket",
            "Resource": "arn:aws:s3:::amazon-datazone*"
        }
    ]
}

  7. Pada layar Kebijakan peninjauan, masukkan nama untuk kebijakan tersebut. Jika Anda puas dengan kebijakan ini, pilih Buat kebijakan. Pastikan bahwa tidak ada kesalahan yang muncul di kotak merah yang ada di bagian atas layar. Perbaiki apapun yang dilaporkan.

(Opsional) Buat kebijakan khusus untuk izin Pusat AWS Identitas untuk menambah dan menghapus akses pengguna SSO dan grup SSO ke domain Amazon DataZone

Selesaikan prosedur berikut untuk membuat kebijakan sebaris khusus agar memiliki izin yang diperlukan untuk menambah dan menghapus akses pengguna SSO dan grup SSO ke domain Amazon Anda. DataZone

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna atau Grup pengguna.

  3. Dalam daftar, pilih nama pengguna atau grup untuk menyematkan kebijakan.

  4. Pilih tab Izin dan, jika diperlukan, perluas bagian Kebijakan izin.

  5. Pilih Tambahkan izin dan Buat kebijakan sebaris.

  6. Di layar Buat Kebijakan, di bagian Editor kebijakan, pilih JSON.

    Buat dokumen kebijakan dengan pernyataan JSON berikut, lalu pilih Berikutnya.

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sso:GetManagedApplicationInstance",
        "sso:ListProfiles",
        "sso:GetProfiles",
        "sso:AssociateProfile",
        "sso:DisassociateProfile",
        "sso:GetProfile"
      ],
      "Resource": "*"
    }
  ]
}

  7. Pada layar Kebijakan peninjauan, masukkan nama untuk kebijakan tersebut. Jika Anda puas dengan kebijakan ini, pilih Buat kebijakan. Pastikan bahwa tidak ada kesalahan yang muncul di kotak merah yang ada di bagian atas layar. Perbaiki apapun yang dilaporkan.

(Opsional) Tambahkan prinsipal IAM Anda sebagai pengguna utama untuk membuat DataZone domain Amazon Anda dengan kunci yang dikelola pelanggan dari Key Management Service ( AWS KMS)

Sebelum Anda dapat membuat DataZone domain Amazon secara opsional dengan kunci yang dikelola pelanggan (CMK) dari Layanan Manajemen AWS Kunci (KMS), selesaikan prosedur berikut untuk menjadikan prinsipal IAM Anda sebagai pengguna kunci KMS Anda.

  1. Masuk ke Konsol AWS Manajemen dan buka konsol KMS di https://console.aws.amazon.com/kms/.

  2. Untuk melihat tombol di akun yang Anda buat dan kelola, di panel navigasi pilih CMK.

  3. Dalam daftar kunci KMS, pilih alias atau ID kunci dari kunci KMS yang ingin Anda periksa.

  4. Untuk menambah atau menghapus pengguna kunci, dan untuk mengizinkan atau melarang AWS akun eksternal menggunakan kunci KMS, gunakan kontrol di bagian Pengguna kunci halaman. Pengguna kunci dapat menggunakan kunci KMS dalam operasi kriptografi, seperti mengenkripsi, mendekripsi, mengenkripsi ulang, dan menghasilkan kunci data.