Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola: AmazonDataZoneFullAccess
Anda dapat melampirkan AmazonDataZoneFullAccess kebijakan ke IAM identitas Anda.
Kebijakan ini menyediakan akses penuh ke Amazon DataZone melalui AWS Management Console.
Detail izin
Kebijakan ini mencakup izin berikut:
-
datazone— memberikan kepala sekolah akses penuh ke Amazon melalui. DataZone AWS Management Console -
kms— Memungkinkan kepala sekolah untuk membuat daftar alias dan mendeskripsikan kunci. -
s3— Memungkinkan kepala sekolah untuk memilih yang ada atau membuat bucket S3 baru untuk menyimpan data Amazon. DataZone -
ram— Memungkinkan kepala sekolah untuk berbagi domain Amazon DataZone di seluruh. Akun AWS -
iam— Memungkinkan kepala sekolah untuk membuat daftar dan meneruskan peran dan mendapatkan kebijakan. -
sso— Memungkinkan kepala sekolah untuk mendapatkan wilayah di mana AWS IAM Identity Center diaktifkan. -
secretsmanager— Memungkinkan kepala sekolah untuk membuat, menandai, dan daftar rahasia dengan awalan tertentu.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonDataZoneStatement", "Effect": "Allow", "Action": [ "datazone:*" ], "Resource": [ "*" ] }, { "Sid": "ReadOnlyStatement", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases", "iam:ListRoles", "sso:DescribeRegisteredRegions", "s3:ListAllMyBuckets", "redshift:DescribeClusters", "redshift-serverless:ListWorkgroups", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "secretsmanager:ListSecrets" ], "Resource": [ "*" ] }, { "Sid": "BucketReadOnlyStatement", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "CreateBucketStatement", "Effect": "Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::amazon-datazone*" }, { "Sid": "RamCreateResourceStatement", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "datazone:Domain" } } }, { "Sid": "RamResourceStatement", "Effect": "Allow", "Action": [ "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:RejectResourceShareInvitation" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "DataZone*" ] } } }, { "Sid": "RamResourceReadOnlyStatement", "Effect": "Allow", "Action": [ "ram:GetResourceShares", "ram:GetResourceShareInvitations", "ram:GetResourceShareAssociations", "ram:ListResourceSharePermissions" ], "Resource": "*" }, { "Sid": "IAMPassRoleStatement", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Sid": "IAMGetPolicyStatement", "Effect": "Allow", "Action": "iam:GetPolicy", "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZoneRedshiftAccessPolicy*" ] }, { "Sid": "DataZoneTagOnCreateDomainProjectTags", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain", "AmazonDataZoneProject" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "DataZoneTagOnCreate", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "CreateSecretStatement", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*" } } } ] }
Pertimbangan dan batasan kebijakan
Ada fungsionalitas tertentu yang tidak dicakup oleh AmazonDataZoneFullAccess kebijakan tersebut.
-
Jika Anda membuat DataZone domain Amazon dengan AWS KMS kunci Anda sendiri, Anda harus memiliki izin agar
kms:CreateGrantpembuatan domain berhasil, dankms:Decryptuntukkms:GenerateDataKey, agar kunci itu memanggil Amazon lain DataZone APIs sepertilistDataSourcesdan.createDataSourceDan Anda juga harus memiliki izin untukkms:CreateGrant,,kms:Decryptkms:GenerateDataKey, dankms:DescribeKeydalam kebijakan sumber daya kunci itu.Jika Anda menggunakan KMS kunci bawaan yang dimiliki layanan, maka ini tidak diperlukan.
Untuk informasi selengkapnya, lihat AWS Key Management Service.
-
Jika Anda ingin menggunakan fungsi peran buat dan perbarui dalam DataZone konsol Amazon, Anda harus memiliki hak administrator atau memiliki IAM izin yang diperlukan untuk membuat IAM peran dan membuat/memperbarui kebijakan. Izin yang diperlukan termasuk
iam:CreateRole,iam:CreatePolicy,iam:CreatePolicyVersion,iam:DeletePolicyVersion, daniam:AttachRolePolicyizin. -
Jika Anda membuat domain baru di Amazon DataZone dengan login AWS IAM Identity Center pengguna diaktifkan, atau jika Anda mengaktifkannya untuk domain yang ada di Amazon DataZone, Anda harus memiliki izin untuk hal-hal berikut:
-
organisasi: DescribeOrganization
-
organisasi: ListDelegatedAdministrators
-
sso: CreateInstance
-
sso: ListInstances
-
sso: GetSharedSsoConfiguration
-
sso: PutApplicationGrant
-
sso: PutApplicationAssignmentConfiguration
-
sso: PutApplicationAuthenticationMethod
-
sso: PutApplicationAccessScope
-
sso: CreateApplication
-
sso: DeleteApplication
-
sso: CreateApplicationAssignment
-
sso: DeleteApplicationAssignment
-
-
Untuk menerima permintaan asosiasi AWS akun di Amazon DataZone, Anda harus memiliki
ram:AcceptResourceShareInvitationizin.
