AWS politica gestita: AmazonDataZoneFullAccess - Amazon DataZone
Considerazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politica gestita: AmazonDataZoneFullAccess

È possibile allegare la policy AmazonDataZoneFullAccess alle identità IAM.

Questa politica fornisce l'accesso completo ad Amazon DataZone tramite AWS Management Console. Questa politica prevede anche le autorizzazioni per AWS KMS per i parametri SSM crittografati. La chiave KMS deve essere contrassegnata con EnableKeyForAmazonDataZone per consentire la decrittografia dei parametri SSM.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • datazone— garantisce ai mandanti l'accesso completo ad Amazon DataZone tramite. AWS Management Console

  • kms— Consente ai responsabili di elencare gli alias, descrivere le chiavi e decrittografare le chiavi.

  • s3— Consente ai responsabili di scegliere i bucket S3 esistenti o di creare nuovi per archiviare i dati Amazon. DataZone

  • ram— Consente ai mandanti di condividere i DataZone domini Amazon tra. Account AWS

  • iam— Consente ai dirigenti di elencare e assegnare ruoli e ottenere politiche.

  • sso— Consente ai responsabili di ottenere le regioni in cui AWS IAM Identity Center è abilitato.

  • secretsmanager— Consente ai mandanti di creare, etichettare ed elencare segreti con un prefisso specifico.

  • aoss— Consente ai responsabili di creare e recuperare informazioni per OpenSearch le politiche di sicurezza Serverless.

  • bedrock— Consente ai responsabili di creare, elencare e recuperare informazioni per profili di inferenza e modelli di base.

  • codeconnections— Consente ai principali di eliminare, recuperare informazioni, elencare le connessioni e gestire i tag per le connessioni.

  • codewhisperer— Consente ai presidi di elencare i profili. CodeWhisperer

  • ssm— Consente ai principali di inserire, eliminare e recuperare informazioni per i parametri.

  • redshift— Consente ai responsabili di descrivere i cluster ed elencare i gruppi di lavoro senza server

  • glue— Consente ai dirigenti di accedere ai database.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AmazonDataZoneStatement",
			"Effect": "Allow",
			"Action": [
				"datazone:*"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "ReadOnlyStatement",
			"Effect": "Allow",
			"Action": [
				"kms:DescribeKey",
				"kms:ListAliases",
				"iam:ListRoles",
				"sso:DescribeRegisteredRegions",
				"s3:ListAllMyBuckets",
				"redshift:DescribeClusters",
				"redshift-serverless:ListWorkgroups",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"secretsmanager:ListSecrets",
				"iam:ListUsers",
				"glue:GetDatabases",
				"codeconnections:ListConnections",
				"codeconnections:ListTagsForResource",
				"codewhisperer:ListProfiles",
				"bedrock:ListInferenceProfiles",
				"bedrock:ListFoundationModels",
				"bedrock:ListTagsForResource",
				"aoss:ListSecurityPolicies"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "BucketReadOnlyStatement",
			"Effect": "Allow",
			"Action": [
				"s3:ListBucket",
				"s3:GetBucketLocation"
			],
			"Resource": "arn:aws:s3:::*"
		},
		{
			"Sid": "CreateBucketStatement",
			"Effect": "Allow",
			"Action": [
				"s3:CreateBucket"
			],
			"Resource": [
				"arn:aws:s3:::amazon-datazone*",
				"arn:aws:s3:::amazon-sagemaker*"
			]
		},
		{
			"Sid": "ConfigureBucketStatement",
			"Effect": "Allow",
			"Action": [
				"s3:PutBucketCORS",
				"s3:PutBucketPolicy",
				"s3:PutBucketVersioning"
			],
			"Resource": [
				"arn:aws:s3:::amazon-sagemaker*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "RamCreateResourceStatement",
			"Effect": "Allow",
			"Action": [
				"ram:CreateResourceShare"
			],
			"Resource": "*",
			"Condition": {
				"StringEqualsIfExists": {
					"ram:RequestedResourceType": "datazone:Domain"
				}
			}
		},
		{
			"Sid": "RamResourceStatement",
			"Effect": "Allow",
			"Action": [
				"ram:DeleteResourceShare",
				"ram:AssociateResourceShare",
				"ram:DisassociateResourceShare",
				"ram:RejectResourceShareInvitation"
			],
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"ram:ResourceShareName": [
						"DataZone*"
					]
				}
			}
		},
		{
			"Sid": "RamResourceReadOnlyStatement",
			"Effect": "Allow",
			"Action": [
				"ram:GetResourceShares",
				"ram:GetResourceShareInvitations",
				"ram:GetResourceShareAssociations",
				"ram:ListResourceSharePermissions"
			],
			"Resource": "*"
		},
		{
			"Sid": "IAMPassRoleStatement",
			"Effect": "Allow",
			"Action": "iam:PassRole",
			"Resource": [
				"arn:aws:iam::*:role/AmazonDataZone*",
				"arn:aws:iam::*:role/service-role/AmazonDataZone*",
				"arn:aws:iam::*:role/service-role/AmazonSageMaker*"
			],
			"Condition": {
				"StringEquals": {
					"iam:passedToService": "datazone.amazonaws.com"
				}
			}
		},
		{
			"Sid": "IAMGetPolicyStatement",
			"Effect": "Allow",
			"Action": "iam:GetPolicy",
			"Resource": [
				"arn:aws:iam::*:policy/service-role/AmazonDataZoneRedshiftAccessPolicy*"
			]
		},
		{
			"Sid": "DataZoneTagOnCreateDomainProjectTags",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:TagResource"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AmazonDataZoneDomain",
						"AmazonDataZoneProject"
					]
				},
				"StringLike": {
					"aws:RequestTag/AmazonDataZoneDomain": "dzd_*",
					"aws:ResourceTag/AmazonDataZoneDomain": "dzd_*"
				}
			}
		},
		{
			"Sid": "DataZoneTagOnCreate",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:TagResource"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AmazonDataZoneDomain"
					]
				},
				"StringLike": {
					"aws:RequestTag/AmazonDataZoneDomain": "dzd_*",
					"aws:ResourceTag/AmazonDataZoneDomain": "dzd_*"
				}
			}
		},
		{
			"Sid": "CreateSecretStatement",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:CreateSecret"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*",
			"Condition": {
				"StringLike": {
					"aws:RequestTag/AmazonDataZoneDomain": "dzd_*"
				}
			}
		},
		{
			"Sid": "ConnectionStatement",
			"Effect": "Allow",
			"Action": [
				"codeconnections:GetConnection"
			],
			"Resource": [
				"arn:aws:codeconnections:*:*:connection/*"
			]
		},
		{
			"Sid": "TagCodeConnectionsStatement",
			"Effect": "Allow",
			"Action": [
				"codeconnections:TagResource"
			],
			"Resource": [
				"arn:aws:codeconnections:*:*:connection/*"
			],
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"for-use-with-all-datazone-projects"
					]
				},
				"StringEquals": {
					"aws:RequestTag/for-use-with-all-datazone-projects": "true"
				}
			}
		},
		{
			"Sid": "UntagCodeConnectionsStatement",
			"Effect": "Allow",
			"Action": [
				"codeconnections:UntagResource"
			],
			"Resource": [
				"arn:aws:codeconnections:*:*:connection/*"
			],
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "for-use-with-all-datazone-projects"
				}
			}
		},
		{
			"Sid": "SSMParameterStatement",
			"Effect": "Allow",
			"Action": [
				"ssm:GetParameter",
				"ssm:GetParametersByPath",
				"ssm:PutParameter",
				"ssm:DeleteParameter"
			],
			"Resource": [
				"arn:aws:ssm:*:*:parameter/amazon/datazone/q*",
				"arn:aws:ssm:*:*:parameter/amazon/datazone/genAI*",
				"arn:aws:ssm:*:*:parameter/amazon/datazone/profiles*"
			]
		},
		{
			"Sid": "UseKMSKeyPermissionsStatement",
			"Effect": "Allow",
			"Action": [
				"kms:Decrypt"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/EnableKeyForAmazonDataZone": "true"
				},
				"Null": {
					"aws:ResourceTag/EnableKeyForAmazonDataZone": "false"
				},
				"StringLike": {
					"kms:ViaService": "ssm.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SecurityPolicyStatement",
			"Effect": "Allow",
			"Action": [
				"aoss:GetSecurityPolicy",
				"aoss:CreateSecurityPolicy"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringLike": {
					"aoss:collection": "genai-studio-*"
				}
			}
		},
		{
			"Sid": "GetFoundationModelStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:GetFoundationModel",
				"bedrock:GetFoundationModelAvailability"
			],
			"Resource": [
				"arn:aws:bedrock:*::foundation-model/*"
			]
		},
		{
			"Sid": "GetInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:GetInferenceProfile"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:inference-profile/*",
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			]
		},
		{
			"Sid": "ApplicationInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:CreateInferenceProfile"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			],
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonDataZoneProject": "true",
					"aws:RequestTag/AmazonDataZoneDomain": "false"
				}
			}
		},
		{
			"Sid": "TagApplicationInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:TagResource"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			],
			"Condition": {
				"Null": {
					"aws:ResourceTag/AmazonDataZoneProject": "true",
					"aws:RequestTag/AmazonDataZoneProject": "true",
					"aws:ResourceTag/AmazonDataZoneDomain": "false",
					"aws:RequestTag/AmazonDataZoneDomain": "false"
				}
			}
		},
		{
			"Sid": "DeleteApplicationInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:DeleteInferenceProfile"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			],
			"Condition": {
				"Null": {
					"aws:ResourceTag/AmazonDataZoneProject": "true",
					"aws:ResourceTag/AmazonDataZoneDomain": "false"
				}
			}
		}
	]
}

Considerazioni e limitazioni relative alle politiche

Ci sono alcune funzionalità che la AmazonDataZoneFullAccess politica non copre.

  • Se crei un DataZone dominio Amazon con la tua AWS KMS chiave, devi disporre delle autorizzazioni necessarie kms:CreateGrant affinché la creazione del dominio abbia successo ekms:GenerateDataKey, kms:Decrypt affinché quella chiave possa richiamare altri Amazon DataZone APIs come listDataSources and. createDataSource Inoltre, devi disporre delle autorizzazioni perkms:CreateGrant, kms:Decryptkms:GenerateDataKey, e kms:DescribeKey nella politica delle risorse di quella chiave.

    Se utilizzi la chiave KMS predefinita di proprietà del servizio, questa non è necessaria.

    Per ulteriori informazioni, consulta AWS Key Management Service.

  • Se desideri utilizzare le funzionalità di creazione e aggiornamento dei ruoli all'interno della DataZone console Amazon, devi disporre dei privilegi di amministratore o disporre delle autorizzazioni IAM necessarie per creare ruoli IAM e creare/aggiornare le politiche. Le autorizzazioni richieste includonoiam:CreateRole,, e autorizzazioni. iam:CreatePolicy iam:CreatePolicyVersion iam:DeletePolicyVersion iam:AttachRolePolicy

  • Se crei un nuovo dominio in Amazon DataZone con l'accesso AWS IAM Identity Center degli utenti attivato o se lo attivi per un dominio esistente in Amazon DataZone, devi disporre delle autorizzazioni per quanto segue:

    • organizzazioni: DescribeOrganization

    • organizzazioni: ListDelegatedAdministrators

    • quindi: CreateInstance

    • sso: ListInstances

    • sso: GetSharedSsoConfiguration

    • sso: PutApplicationGrant

    • sso: PutApplicationAssignmentConfiguration

    • sso: PutApplicationAuthenticationMethod

    • sso: PutApplicationAccessScope

    • sso: CreateApplication

    • sso: DeleteApplication

    • sso: CreateApplicationAssignment

    • sso: DeleteApplicationAssignment

    • cartella sso: CreateUser

    • cartella sso: SearchUsers

    • sso: ListApplications

  • Per accettare una richiesta di associazione di AWS account su Amazon DataZone, devi disporre dell'ram:AcceptResourceShareInvitationautorizzazione.

  • Se desideri creare la risorsa necessaria per la configurazione della rete di SageMaker Unified Studio, devi disporre delle autorizzazioni per la seguente politica e allegareAmazonVpcFullAccess :

    • Io sono: PassRole

    • formazione di nuvole: CreateStack