Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controllo dell'accesso alle DataZone risorse Amazon tramite IAM
È necessario AWS Identity and Access Management (IAM) per completare le seguenti attività relative alla sicurezza:
+ Crea utenti e gruppi con il tuo. Account AWS
+ Assegna credenziali di sicurezza uniche a ciascun utente del tuo. Account AWS
+ Controlla le autorizzazioni di ogni utente per eseguire attività con le risorse. AWS
+ Consenti agli utenti di un altro utente Account AWS di condividere AWS le tue risorse.
+ Crea ruoli per te Account AWS e definisci gli utenti o i servizi che possono assumerli.
+ Utilizza le identità esistenti per la tua azienda per concedere le autorizzazioni per eseguire attività utilizzando le risorse AWS
Per ulteriori informazioni su IAM, consulta:
+ [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)
+ [Guida introduttiva a IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started.html)
+ [Guida per l'utente di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)
Le seguenti sezioni descrivono le politiche e le autorizzazioni necessarie per configurare Amazon DataZone e i suoi componenti, come i domini (incluso il dominio), gli account associati, i progetti e le fonti di dati. Per ulteriori informazioni, consulta [DataZone Terminologia e concetti di Amazon](datazone-concepts.md).
**Topics**
+ [AWS politiche gestite per Amazon DataZone](security-iam-awsmanpol.md)
+ [Ruoli IAM per Amazon DataZone](iam-roles-datazone.md)
+ [Credenziali temporanee](temporarycredentials.md)
+ [Autorizzazioni dell’entità principale](Principalpermissions.md)
# AWS politiche gestite per Amazon DataZone
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
**Topics**
+ [AWS politica gestita: AmazonDataZoneFullAccess](security-iam-awsmanpol-AmazonDataZoneFullAccess.md)
+ [AWS politica gestita: AmazonDataZoneFullUserAccess](security-iam-awsmanpol-AmazonDataZoneFullUserAccess.md)
+ [AWS politica gestita: AmazonDataZoneEnvironmentRolePermissionsBoundary](security-iam-awsmanpol-AmazonDataZoneEnvironmentRolePermissionsBoundary.md)
+ [AWS politica gestita: AmazonDataZoneRedshiftGlueProvisioningPolicy](security-iam-awsmanpol-AmazonDataZoneRedshiftGlueProvisioningPolicy.md)
+ [AWS politica gestita: AmazonDataZoneGlueManageAccessRolePolicy](security-iam-awsmanpol-AmazonDataZoneGlueManageAccessRolePolicy.md)
+ [AWS politica gestita: AmazonDataZoneRedshiftManageAccessRolePolicy](security-iam-awsmanpol-AmazonDataZoneRedshiftManageAccessRolePolicy.md)
+ [AWS politica gestita: AmazonDataZoneDomainExecutionRolePolicy](security-iam-awsmanpol-AmazonDataZoneDomainExecutionRolePolicy.md)
+ [AWS politica gestita: AmazonDataZoneSageMakerProvisioningRolePolicy](security-iam-awsmanpol-AmazonDataZoneSageMakerProvisioningRolePolicy.md)
+ [AWS politica gestita: AmazonDataZoneSageMakerManageAccessRolePolicy](security-iam-awsmanpol-AmazonDataZoneSageMakerManageAccessRolePolicy.md)
+ [AWS politica gestita: AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary](security-iam-awsmanpol-AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary.md)
+ [DataZone Aggiornamenti Amazon alle politiche AWS gestite](security-iam-awsmanpol-updates.md)
# AWS politica gestita: AmazonDataZoneFullAccess
È possibile allegare la policy `AmazonDataZoneFullAccess` alle identità IAM.
Questa politica fornisce l'accesso completo ad Amazon DataZone tramite Console di gestione AWS. Questa politica prevede anche le autorizzazioni per AWS KMS per i parametri SSM crittografati. La chiave KMS deve essere contrassegnata con EnableKeyForAmazonDataZone per consentire la decrittografia dei parametri SSM.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `datazone`— garantisce ai mandanti l'accesso completo ad Amazon DataZone tramite. Console di gestione AWS
+ `kms`— Consente ai responsabili di elencare gli alias, descrivere le chiavi e decrittografare le chiavi.
+ `s3`— Consente ai responsabili di scegliere bucket S3 esistenti o creare nuovi per archiviare i dati Amazon. DataZone
+ `ram`— Consente ai mandanti di condividere i DataZone domini Amazon tra. Account AWS
+ `iam`— Consente ai dirigenti di elencare e assegnare ruoli e ottenere politiche.
+ `sso`— Consente ai responsabili di ottenere le regioni in cui AWS IAM Identity Center è abilitato.
+ `secretsmanager`— Consente ai mandanti di creare, etichettare ed elencare segreti con un prefisso specifico.
+ `aoss`— Consente ai responsabili di creare e recuperare informazioni per OpenSearch le politiche di sicurezza Serverless.
+ `bedrock`— Consente ai responsabili di creare, elencare e recuperare informazioni per profili di inferenza e modelli di base.
+ `codeconnections`— Consente ai principali di eliminare, recuperare informazioni, elencare le connessioni e gestire i tag per le connessioni.
+ `codewhisperer`— Consente ai dirigenti di elencare i profili. CodeWhisperer
+ `ssm`— Consente ai principali di inserire, eliminare e recuperare informazioni per i parametri.
+ `redshift`— Consente ai responsabili di descrivere i cluster ed elencare i gruppi di lavoro senza server
+ `glue`— Consente ai dirigenti di accedere ai database.
Per vedere le autorizzazioni per questa policy, consulta [AmazonDataZoneFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneFullAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Considerazioni e limitazioni relative alle politiche
Ci sono alcune funzionalità che la `AmazonDataZoneFullAccess` politica non copre.
+ Se crei un DataZone dominio Amazon con la tua AWS KMS chiave, devi disporre delle autorizzazioni necessarie `kms:CreateGrant` affinché la creazione del dominio abbia successo e`kms:GenerateDataKey`, `kms:Decrypt` affinché quella chiave possa richiamare altri Amazon DataZone APIs come `listDataSources` and. `createDataSource` Inoltre, devi disporre delle autorizzazioni per`kms:CreateGrant`, `kms:Decrypt``kms:GenerateDataKey`, e `kms:DescribeKey` nella politica delle risorse di quella chiave.
Se utilizzi la chiave KMS predefinita di proprietà del servizio, questa non è necessaria.
Per ulteriori informazioni, consulta [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
+ Se desideri utilizzare le funzionalità di *creazione* e *aggiornamento* dei ruoli all'interno della DataZone console Amazon, devi disporre dei privilegi di amministratore o disporre delle autorizzazioni IAM necessarie per creare ruoli IAM e creare/aggiornare le politiche. Le autorizzazioni richieste includono`iam:CreateRole`,, e autorizzazioni. `iam:CreatePolicy` `iam:CreatePolicyVersion` `iam:DeletePolicyVersion` `iam:AttachRolePolicy`
+ Se crei un nuovo dominio in Amazon DataZone con l'accesso AWS IAM Identity Center degli utenti attivato o se lo attivi per un dominio esistente in Amazon DataZone, devi disporre delle autorizzazioni per quanto segue:
+ organizzazioni: DescribeOrganization
+ organizzazioni: ListDelegatedAdministrators
+ quindi: CreateInstance
+ sso: ListInstances
+ sso: GetSharedSsoConfiguration
+ sso: PutApplicationGrant
+ sso: PutApplicationAssignmentConfiguration
+ sso: PutApplicationAuthenticationMethod
+ sso: PutApplicationAccessScope
+ sso: CreateApplication
+ sso: DeleteApplication
+ sso: CreateApplicationAssignment
+ sso: DeleteApplicationAssignment
+ cartella sso: CreateUser
+ cartella sso: SearchUsers
+ sso: ListApplications
+ Per accettare una richiesta di associazione di AWS account su Amazon DataZone, devi disporre dell'`ram:AcceptResourceShareInvitation`autorizzazione.
+ Se desideri creare la risorsa necessaria per la configurazione della rete di SageMaker Unified Studio, devi disporre delle autorizzazioni per la seguente politica e allegareAmazonVpcFullAccess :
+ Io sono: PassRole
+ formazione di nuvole: CreateStack
# AWS politica gestita: AmazonDataZoneFullUserAccess
Questa politica garantisce l'accesso completo ad Amazon DataZone, ma non consente la gestione di domini, utenti o account associati.
**Dettagli delle autorizzazioni**
Per vedere le autorizzazioni per questa policy, consulta [AmazonDataZoneFullUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneFullUserAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
# AWS politica gestita: AmazonDataZoneEnvironmentRolePermissionsBoundary
**Nota**
Questa politica rappresenta un *limite delle autorizzazioni*. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non devi utilizzare e allegare autonomamente le politiche limite DataZone relative alle autorizzazioni di Amazon. Le politiche sui limiti DataZone delle autorizzazioni di Amazon devono essere allegate solo ai ruoli DataZone gestiti da Amazon. Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle [autorizzazioni per le entità IAM nella Guida per](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) l'utente IAM.
Quando crei un ambiente tramite il portale DataZone dati Amazon, Amazon DataZone applica questo limite di autorizzazioni ai [ruoli IAM prodotti durante la creazione dell'ambiente](https://docs.aws.amazon.com//datazone/latest/userguide/roles-for-projects.html). Il limite delle autorizzazioni limita l'ambito dei ruoli DataZone creati da Amazon e dei ruoli aggiunti.
Amazon DataZone utilizza la policy `AmazonDataZoneEnvironmentRolePermissionsBoundary` gestita per limitare il principale IAM fornito a cui è collegata. I responsabili potrebbero assumere la forma dei [ruoli utente](https://docs.aws.amazon.com//datazone/latest/userguide/Identitybasedroles.html) che Amazon DataZone può assumere per conto di utenti aziendali interattivi o di servizi di analisi (ad esempio)AWS Glue, e quindi condurre azioni per elaborare dati come la lettura e la scrittura da Amazon S3 o l'esecuzione. Crawler di AWS Glue
La `AmazonDataZoneEnvironmentRolePermissionsBoundary` policy concede l'accesso in lettura e scrittura per Amazon DataZone a servizi come Amazon S3 AWS Glue AWS Lake Formation, Amazon Redshift e Amazon Athena. La policy fornisce inoltre autorizzazioni di lettura e scrittura ad alcune risorse dell'infrastruttura necessarie per utilizzare questi servizi, come interfacce e chiavi di rete. AWS KMS
Amazon DataZone applica la policy `AmazonDataZoneEnvironmentRolePermissionsBoundary` AWS gestita come limite di autorizzazioni per tutti i ruoli DataZone dell'ambiente Amazon (proprietario e collaboratore). Questo limite di autorizzazioni limita questi ruoli in modo da consentire l'accesso solo alle risorse e alle azioni richieste necessarie per un ambiente.
Per vedere le autorizzazioni per questa policy, consulta [AmazonDataZoneEnvironmentRolePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneEnvironmentRolePermissionsBoundary.html) nella * Guida di riferimento sulle policy gestite da AWS *.
# AWS politica gestita: AmazonDataZoneRedshiftGlueProvisioningPolicy
La AmazonDataZoneRedshiftGlueProvisioningPolicy policy concede ad Amazon DataZone le autorizzazioni necessarie per interagire con AWS Glue e Amazon Redshift.
Per vedere le autorizzazioni per questa policy, consulta [AmazonDataZoneRedshiftGlueProvisioningPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneRedshiftGlueProvisioningPolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
# AWS politica gestita: AmazonDataZoneGlueManageAccessRolePolicy
Questa politica concede ad Amazon DataZone le autorizzazioni per pubblicare i dati di AWS Glue nel catalogo. Fornisce inoltre ad Amazon DataZone le autorizzazioni per concedere l'accesso o revocare l'accesso alle risorse pubblicate da AWS Glue nel catalogo.
Per vedere le autorizzazioni per questa policy, consulta [AmazonDataZoneGlueManageAccessRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneGlueManageAccessRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
# AWS politica gestita: AmazonDataZoneRedshiftManageAccessRolePolicy
Questa politica concede ad Amazon DataZone le autorizzazioni per pubblicare i dati di Amazon Redshift nel catalogo. Fornisce inoltre ad Amazon DataZone le autorizzazioni per concedere o revocare l'accesso agli asset pubblicati di Amazon Redshift o Amazon Redshift Serverless nel catalogo.
Per vedere le autorizzazioni per questa policy, consulta [AmazonDataZoneRedshiftManageAccessRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneRedshiftManageAccessRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
# AWS politica gestita: AmazonDataZoneDomainExecutionRolePolicy
Questa è la politica predefinita per il ruolo DataZone `DomainExecutionRole` di servizio Amazon. Questo ruolo viene utilizzato da Amazon DataZone per catalogare, scoprire, gestire, condividere e analizzare i dati nel DataZone dominio Amazon. Questo ruolo fornisce l'accesso a tutti DataZone APIs gli Amazon necessari per l'utilizzo del portale dati, nonché le autorizzazioni RAM per supportare l'utilizzo degli account associati in un DataZone dominio Amazon.
Puoi allegare la AmazonDataZoneDomainExecutionRolePolicy policy al tuo`AmazonDataZoneDomainExecutionRole`.
Per vedere le autorizzazioni per questa policy, consulta [AmazonDataZoneDomainExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneDomainExecutionRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
# AWS politica gestita: AmazonDataZoneSageMakerProvisioningRolePolicy
La AmazonDataZoneSageMakerProvisioningRolePolicy politica concede ad Amazon DataZone le autorizzazioni necessarie per interagire con Amazon. SageMaker
Per vedere le autorizzazioni per questa policy, consulta [AmazonDataZoneSageMakerProvisioningRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneSageMakerProvisioningRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
# AWS politica gestita: AmazonDataZoneSageMakerManageAccessRolePolicy
Questa politica concede ad Amazon DataZone le autorizzazioni per pubblicare SageMaker risorse Amazon nel catalogo. Fornisce inoltre ad Amazon DataZone le autorizzazioni per concedere l'accesso o revocare l'accesso alle risorse SageMaker pubblicate da Amazon nel catalogo.
Questa policy include le autorizzazioni per eseguire le seguenti operazioni:
+ cloudtrail: recupera informazioni sui sentieri. CloudTrail
+ cloudwatch: recupera gli allarmi correnti. CloudWatch
+ log: recupera i filtri metrici per i log. CloudWatch
+ sns: recupera l'elenco degli abbonamenti a un argomento SNS.
+ config: recupera informazioni su registratori di configurazione, risorse e regole di configurazione AWS . Consente inoltre al ruolo collegato al servizio di creare ed eliminare regole AWS Config e di eseguire valutazioni in base alle regole.
+ iam: ottieni e genera report sulle credenziali per gli account.
+ organizzazioni: recupera le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione.
+ securityhub: recupera informazioni su come sono configurati il servizio, gli standard e i controlli di Security Hub.
+ tag: recupera informazioni sui tag delle risorse.
Per vedere le autorizzazioni per questa policy, consulta [AmazonDataZoneSageMakerManageAccessRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneSageMakerManageAccessRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
# AWS politica gestita: AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary
**Nota**
Questa politica rappresenta un *limite delle autorizzazioni*. Un limite delle autorizzazioni imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un'entità IAM. Non devi utilizzare e allegare autonomamente le politiche limite DataZone relative alle autorizzazioni di Amazon. Le politiche sui limiti DataZone delle autorizzazioni di Amazon devono essere allegate solo ai ruoli DataZone gestiti da Amazon. Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle [autorizzazioni per le entità IAM nella Guida per](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) l'utente IAM.
Quando crei un SageMaker ambiente Amazon tramite il portale DataZone dati Amazon, Amazon DataZone applica questo limite di autorizzazioni ai ruoli IAM prodotti durante la creazione dell'ambiente. Il limite delle autorizzazioni limita l'ambito dei ruoli DataZone creati da Amazon e dei ruoli aggiunti.
Amazon DataZone utilizza la policy `AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary` gestita per limitare il principale IAM fornito a cui è collegata. I responsabili potrebbero assumere la forma dei ruoli utente che Amazon DataZone può assumere per conto di utenti aziendali interattivi o di servizi di analisi (ad esempio)AWS SageMaker, e quindi condurre azioni per elaborare dati come la lettura e la scrittura da Amazon S3 o Amazon Redshift o l'esecuzione del crawler Glue. AWS
La `AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary` policy concede l'accesso in lettura e scrittura per Amazon DataZone a servizi come Amazon SageMaker, AWS Glue, Amazon S3, Lake AWS Formation, Amazon Redshift e Amazon Athena. La policy fornisce inoltre autorizzazioni di lettura e scrittura ad alcune risorse dell'infrastruttura necessarie per utilizzare questi servizi, come interfacce di rete, repository Amazon ECR e chiavi KMS. AWS Fornisce inoltre accesso ad SageMaker applicazioni Amazon come Amazon SageMaker Canvas.
Amazon DataZone applica la policy `AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary` gestita come limite di autorizzazioni per tutti i ruoli DataZone dell'ambiente Amazon (proprietario e collaboratore). Questo limite di autorizzazioni limita questi ruoli in modo da consentire l'accesso solo alle risorse e alle azioni richieste necessarie per un ambiente.
Per vedere le autorizzazioni per questa policy, consulta [AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary.html) nella * Guida di riferimento sulle policy gestite da AWS *.
# DataZone Aggiornamenti Amazon alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon DataZone da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia di Amazon DataZone Document](https://docs.aws.amazon.com//datazone/latest/userguide/doc-history.html).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary - aggiornamenti delle politiche | Aggiornamenti delle politiche al **AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary**. È stata aggiunta un'istruzione Deny per l'`sagemaker:UpdateNotebookInstanceLifecycleConfig`azione volta a limitare questa operazione con privilegi elevati. | 11 marzo 2026 |
| AmazonDataZoneDomainExecutionRolePolicy - aggiornamenti delle politiche | Aggiornamenti delle politiche **AmazonDataZoneDomainExecutionRolePolicy**: aggiunta di autorizzazioni per l'`QueryGraph`azione per supportare le funzionalità di ricerca di entità basate su grafici. | 25 febbraio 2026 |
| AmazonDataZoneGlueManageAccessRolePolicy - aggiornamenti delle politiche | Aggiornamenti delle politiche **AmazonDataZoneGlueManageAccessRolePolicy**: aggiunta di autorizzazioni all'`GetConnection`azione per supportare l'acquisizione del data lineage per le fonti di dati basate sulla connessione di AWS Glue. | 30 luglio 2025 |
| AmazonDataZoneFullAccess - aggiornamenti delle politiche | Aggiornamenti delle politiche **AmazonDataZoneFullAccess**: generalizzazione dell'ambito SecretsManager `create` e delle `tag` autorizzazioni per i nuovi domini che avranno il formato di anziché. `dzd-` `dzd_..` | 23 luglio 2025 |
| AmazonDataZoneFullAccess - aggiornamenti delle politiche | Aggiornamenti delle politiche **AmazonDataZoneFullAccess**: abilitazione della console per allegare o aggiornare le autorizzazioni AWS gestite nelle condivisioni di risorse AWS RAM. | 22 maggio 2025 |
| AmazonDataZoneGlueManageAccessRolePolicy - aggiornamenti delle politiche | Aggiornamenti delle politiche al **AmazonDataZoneGlueManageAccessRolePolicy**ruolo utente del DataZone progetto Amazon viene utilizzato come ruolo di trasferimento dati per le tabelle federate. Questo aggiornamento si aggiunge `datazone_usr_role*` all'`iam:PassRole`istruzione e consente di utilizzare il ruolo utente del progetto per questo scopo. | 21 maggio 2025 |
| AmazonDataZoneSageMakerProvisioningRolePolicy - aggiornamenti delle politiche | Aggiornamenti delle politiche **AmazonDataZoneSageMakerProvisioningRolePolicy**: aggiunta del supporto per l'`glue:GetConnection`azione. | 2 gennaio 2025 |
| AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary - aggiornamenti delle politiche | Aggiornamenti delle politiche **AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary**: questa modifica aggiunge il limite di autorizzazione `sagemaker:AddTags` per consentire ad Amazon di DataZone effettuare chiamate `CreateUserProfile` con successo con i tag necessari. | 3 dicembre 2024 |
| AmazonDataZoneSageMakerAccesse AmazonDataZoneGlueManageAccessRolePolicy - aggiornamenti delle politiche | Aggiornamenti delle policy a **AmazonDataZoneFullAccess**AmazonDataZoneSageMakerAccess****, e **AmazonDataZoneGlueManageAccessRolePolicy**- per abilitare il supporto per l'esperienza Amazon SageMaker Unified Studio. | 3 dicembre 2024 |
| AmazonDataZoneDomainExecutionRolePolicy e AmazonDataZoneFullUserAccess - aggiornamenti delle politiche | Aggiornamenti delle policy a **AmazonDataZoneDomainExecutionRolePolicy**and **AmazonDataZoneFullUserAccess**: per abilitare il supporto per le regole di applicazione dei metadati per le richieste di sottoscrizione. | 19 novembre 2024 |
| AmazonDataZoneRedshiftGlueProvisioningPolicy - aggiornamenti delle politiche | Aggiornamenti delle policy a **AmazonDataZoneRedshiftGlueProvisioningPolicy**- to `iam:DeletePolicyVersion` Adding per consentire agli utenti di eliminare le versioni delle policy create con`datazone*`. Ciò consente di sbloccare gli utenti che devono aggiornare la politica relativa al ruolo utente nell'ambiente. | 22 ottobre 2024 |
| AmazonDataZoneDomainExecutionRolePolicy e AmazonDataZoneFullUserAccess - aggiornamenti delle politiche | Aggiornamenti delle policy a **AmazonDataZoneDomainExecutionRolePolicy**and **AmazonDataZoneFullUserAccess**: per abilitare il supporto per APIs i nuovi prodotti utilizzati per creare e gestire unità di DataZone dominio e prodotti dati Amazon. | 31 luglio 2024 |
| AmazonDataZoneGlueManageAccessRolePolicy - aggiornamento della politica | Aggiornamento della politica a **AmazonDataZoneGlueManageAccessRolePolicy**- Amazon DataZone sta aggiungendo le autorizzazioni IAM utilizzate per funzionalità di controllo degli accessi granulari al fine di ridurre la concessione delle autorizzazioni in Lake Formation. | 2 luglio 2024 |
| AmazonDataZoneExecutionRolePolicy e AmazonDataZoneFullUserAccess - aggiornamento della politica | Aggiornamento delle politiche **AmazonDataZoneExecutionRolePolicy **e **AmazonDataZoneFullUserAccess**per abilitare il supporto per la derivazione dei dati e il controllo granulare degli accessi. APIs | 27 giugno 2024 |
| AmazonDataZoneGlueManageAccessRolePolicy - aggiornamento della politica | Aggiornamento della politica **AmazonDataZoneGlueManageAccessRolePolicy**che aggiunge le autorizzazioni IAM necessarie per la funzionalità di sottoscrizione automatica DataZone in Amazon al fine di definire la concessione delle autorizzazioni in Lake Formation. Con la funzionalità di sottoscrizione automatica, i permessi di formazione dei laghi possono essere concessi solo a risorse con tag. | 14 giugno 2024 |
| AmazonDataZoneDomainExecutionRolePolicy - aggiornamento della politica | Aggiornamento delle politiche **AmazonDataZoneDomainExecutionRolePolicy**che aggiunge nuove funzionalità APIs ad Amazon DataZone che consentono agli utenti di configurare azioni per i propri DataZone ambienti Amazon. | 14 giugno 2024 |
| AmazonDataZoneFullAccess - aggiornamento della politica | Aggiornamento della policy **AmazonDataZoneFullAccess**che consente alla console di DataZone gestione Amazon di creare segreti per conto dell'utente con tag di dominio e di progetto. Include anche l'`ram:ListResourceSharePermissions`azione per consentire alle amministrazioni dell'account del proprietario del dominio di visualizzare lo stato di associazione degli account associati. | 14 giugno 2024 |
| AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary - nuovo limite di autorizzazioni | Nuovo limite di autorizzazioni chiamato. **AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary** Quando crei un SageMaker ambiente Amazon tramite il portale DataZone dati Amazon, Amazon DataZone applica questo limite di autorizzazioni ai ruoli IAM prodotti durante la creazione dell'ambiente. Il limite delle autorizzazioni limita l'ambito dei ruoli DataZone creati da Amazon e dei ruoli aggiunti. | 30 aprile 2024 |
| AmazonDataZoneSageMakerAccess - nuova politica | La nuova policy denominata **AmazonDataZoneSageMakerAccess**concede ad Amazon DataZone le autorizzazioni per pubblicare SageMaker risorse Amazon nel catalogo. Fornisce inoltre ad Amazon DataZone le autorizzazioni per concedere l'accesso o revocare l'accesso alle risorse SageMaker pubblicate da Amazon nel catalogo. | 30 aprile 2024 |
| AmazonDataZoneFullAccess - aggiornamento della politica | Un aggiornamento della **AmazonDataZoneFullAccess**politica che aggiunge l'accesso all'`DescribeSecurityGroups`azione per migliorare l'usabilità per gli amministratori degli account, configurando i blueprint nella console e `GetPolicy` un'azione per aiutare a recuperare informazioni sulla politica gestita specificata. | 30 aprile 2024 |
| AmazonDataZoneSageMakerProvisioningRolePolicy - nuova politica | Una nuova politica denominata **AmazonDataZoneSageMakerProvisioningRolePolicy**concede ad Amazon DataZone le autorizzazioni necessarie per interagire con Amazon. SageMaker | 30 aprile 2024 |
| AmazonDataZoneS3Manage- - - nuovo ruolo | Nuovo ruolo chiamato **AmazonDataZoneS3Manage-**, utilizzato quando Amazon DataZone chiama AWS Lake Formation per registrare una sede Amazon Simple Storage Service (Amazon S3). AWS Lake Formation assume questo ruolo quando accede ai dati in quella posizione. | 1 aprile 2024 |
| AmazonDataZoneGlueManageAccessRolePolicy - Aggiornamento della politica | È stato aggiornato il **AmazonDataZoneGlueManageAccessRolePolicy**supporto per le autorizzazioni che consentono DataZone ad Amazon di abilitare la pubblicazione e le concessioni di accesso ai dati. | 1 aprile 2024 |
| AmazonDataZoneDomainExecutionRolePolicy e AmazonDataZoneFullUserAccess - Aggiornamento della politica | Aggiornato **AmazonDataZoneDomainExecutionRolePolicy**e **AmazonDataZoneFullUserAccess**per abilitare il supporto per l'`CancelMetadataGenerationRun`API. | 29 marzo 2024 |
| AmazonDataZoneFullAccess - Aggiornamento della politica | È stato aggiornato `AmazonDataZoneFullAccess` per consentire agli utenti di scegliere i propri segreti, cluster, vpc e sottoreti nella console di DataZone gestione di Amazon anziché digitarli in una casella di testo. | 13 marzo 2024 |
| AmazonDataZoneDomainExecutionRolePolicy - Aggiornamento della politica | Aggiornato **AmazonDataZoneDomainExecutionRolePolicy**per abilitare il supporto per l'`ListEnvironmentBlueprintConfigurationSummaries`API necessaria per la creazione di profili di ambiente identificando quali blueprint sono abilitati in quale account e regione. | 01 febbraio 2024 |
| AmazonDataZoneGlueManageAccessRolePolicy - Aggiornamento della politica | Aggiornato il **AmazonDataZoneGlueManageAccessRolePolicy**per abilitare il supporto per la modalità ibrida AWS Lake Formation. | 14 dicembre 2023 |
| AmazonDataZoneFullUserAccess e AmazonDataZoneDomainExecutionRolePolicy - Aggiornamenti delle politiche | Sono state aggiornate le politiche **AmazonDataZoneFullUserAccess**e le **AmazonDataZoneDomainExecutionRolePolicy**politiche per supportare la funzionalità generativa di descrizione dei dati basata sull'intelligenza artificiale in Amazon. DataZone | 28 novembre 2023 |
| AmazonDataZoneEnvironmentRolePermissionsBoundary - Aggiornamento della politica | Amazon DataZone ha apportato un aggiornamento alla politica **AmazonDataZoneEnvironmentRolePermissionsBoundary**gestita che consiste in un'`athena:GetQueryResultsStream`autorizzazione aggiuntiva relativa alla `ResourceTag` condizione. | 17 novembre 2023 |
| AmazonDataZoneRedshiftManageAccessRolePolicy - Aggiornamento della politica | Amazon DataZone ha aggiornato il **AmazonDataZoneRedshiftManageAccessRolePolicy**file rimuovendo l'ID dell'organizzazione di controllo per l'`redshift:AssociateDataShareConsumer`azione. Ciò consente di condividere le risorse tra AWS le organizzazioni. | 16 novembre 2023 |
| AmazonDataZoneFullUserAccess - Aggiornamento della politica | Amazon DataZone ha aggiornato la **AmazonDataZoneFullUserAccess**politica che garantisce l'accesso completo ad Amazon DataZone, ma non consente la gestione di domini, utenti o account associati. | 02 ottobre 2023 |
| AmazonDataZonePortalFullAccessPolicy - politica obsoleta | Amazon ha DataZone reso obsoleto il. **AmazonDataZonePortalFullAccessPolicy** | 29 settembre 2023 |
| AmazonDataZonePreviewConsoleFullAccess - politica obsoleta | Amazon ha DataZone reso obsoleto il. **AmazonDataZonePreviewConsoleFullAccess** | 29 settembre 2023 |
| AmazonDataZoneDomainExecutionRolePolicy - Nuova politica | Amazon DataZone ha aggiunto una nuova politica chiamata **AmazonDataZoneDomainExecutionRolePolicy**. Questa è la politica predefinita per il ruolo DataZone `AmazonDataZoneDomainExecutionRole` di servizio Amazon. Questo ruolo viene utilizzato da Amazon DataZone per catalogare, scoprire, gestire, condividere e analizzare i dati nel DataZone dominio Amazon. Puoi allegare la `AmazonDataZoneDomainExecutionRolePolicy` politica al tuo`AmazonDataZoneDomainExecutionRole`. | 25 settembre 2023 |
| AmazonDataZoneCrossAccountAdmin - Nuova politica | Amazon DataZone ha aggiunto una nuova politica chiamata **AmazonDataZoneCrossAccountAdmin**che consente agli utenti di lavorare con Amazon DataZone e gli account associati. | 19 settembre 2023 |
| AmazonDataZoneFullUserAccess - Nuova politica | Amazon DataZone ha aggiunto una nuova politica chiamata **AmazonDataZoneFullUserAccess**che garantisce l'accesso completo ad Amazon DataZone, ma non consente la gestione di domini, utenti o account associati. | 12 settembre 2023 |
| AmazonDataZoneRedshiftManageAccessRolePolicy - Nuova politica | Amazon DataZone ha aggiunto una nuova politica chiamata **AmazonDataZoneRedshiftManageAccessRolePolicy**che concede autorizzazioni per consentire ad Amazon di DataZone abilitare la pubblicazione e le concessioni di accesso ai dati. | 12 settembre 2023 |
| AmazonDataZoneGlueManageAccessRolePolicy - Nuova politica | Amazon DataZone ha aggiunto una nuova politica chiamata **AmazonDataZoneGlueManageAccessRolePolicy**che concede ad Amazon DataZone le autorizzazioni per pubblicare i dati di AWS Glue nel catalogo. Fornisce inoltre ad Amazon DataZone le autorizzazioni per concedere l'accesso o revocare l'accesso alle risorse pubblicate da AWS Glue nel catalogo. | 12 settembre 2023 |
| AmazonDataZoneRedshiftGlueProvisioningPolicy - Nuova politica | Amazon DataZone ha aggiunto una nuova politica chiamata **AmazonDataZoneRedshiftGlueProvisioningPolicy**che concede ad Amazon DataZone le autorizzazioni necessarie per interagire con le fonti di dati supportate. | 12 settembre 2023 |
| AmazonDataZoneEnvironmentRolePermissionsBoundary - Nuova politica | Amazon DataZone ha aggiunto una nuova policy denominata **AmazonDataZoneEnvironmentRolePermissionsBoundary**che limita il principale IAM fornito a cui è collegata. | 12 settembre 2023 |
| AmazonDataZoneFullAccess - Nuova politica | Amazon DataZone ha aggiunto una nuova politica chiamata **AmazonDataZoneFullAccess**che fornisce l'accesso completo ad Amazon DataZone tramite la console di AWS gestione. | 12 settembre 2023 |
| Aggiornamento della policy gestita | Aggiornamenti alla politica **AmazonDataZonePreviewConsoleFullAccess**gestita che consiste in `iam:GetPolicy` autorizzazioni aggiuntive. | 13 giugno 2023 |
| Amazon DataZone ha iniziato a tracciare le modifiche | Amazon DataZone ha iniziato a tracciare le modifiche alle sue politiche AWS gestite. | 20 marzo 2023 |
# Ruoli IAM per Amazon DataZone
**Topics**
+ [AmazonDataZoneProvisioningRole-](bootstraprole.md)
+ [AmazonDataZoneDomainExecutionRole](AmazonDataZoneDomainExecutionRole.md)
+ [AmazonDataZoneGlueAccess- - ](glue-manage-access-role.md)
+ [AmazonDataZoneRedshiftAccess- - ](redshift-manage-access-role.md)
+ [AmazonDataZoneGestione S3- - ](AmazonDataZoneS3Manage.md)
+ [AmazonDataZoneSageMakerManageAccessRole- - ](AmazonDataZoneSageMakerManageAccessRole.md)
+ [AmazonDataZoneSageMakerProvisioningRolePolicyRole-](AmazonDataZoneSageMakerProvisioningRolePolicyRole.md)
# AmazonDataZoneProvisioningRole-
`AmazonDataZoneProvisioningRole-`Ha l'`AmazonDataZoneRedshiftGlueProvisioningPolicy`allegato. Questo ruolo concede ad Amazon DataZone le autorizzazioni necessarie per interagire con AWS Glue e Amazon Redshift.
L'impostazione predefinita prevede la seguente politica di `AmazonDataZoneProvisioningRole-` attendibilità allegata:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------
# AmazonDataZoneDomainExecutionRole
**AmazonDataZoneDomainExecutionRole**Ha la politica AWS gestita **AmazonDataZoneDomainExecutionRolePolicy**allegata. Amazon DataZone crea questo ruolo per te per tuo conto. Per determinate azioni nel portale dati, Amazon DataZone assume questo ruolo nell'account in cui viene creato il ruolo e verifica che questo ruolo sia autorizzato a eseguire l'azione.
Il **AmazonDataZoneDomainExecutionRole**ruolo è obbligatorio nell'area Account AWS che ospita il tuo DataZone dominio Amazon. Questo ruolo viene creato automaticamente per te quando crei il tuo DataZone dominio Amazon.
Il **AmazonDataZoneDomainExecutionRole**ruolo predefinito ha la seguente politica di fiducia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
},
"ForAllValues:StringLike": {
"aws:TagKeys": [
"datazone*"
]
}
}
}
]
}
```
------
# AmazonDataZoneGlueAccess- -
Il `AmazonDataZoneGlueAccess--` ruolo ha l'`AmazonDataZoneGlueManageAccessRolePolicy`allegato. Questo ruolo concede ad Amazon DataZone le autorizzazioni per pubblicare i dati di AWS Glue nel catalogo. Fornisce inoltre ad Amazon DataZone le autorizzazioni per concedere l'accesso o revocare l'accesso alle risorse pubblicate da AWS Glue nel catalogo.
Al `AmazonDataZoneGlueAccess--` ruolo predefinito è allegata la seguente politica di attendibilità:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneRedshiftAccess- -
Il `AmazonDataZoneRedshiftAccess--` ruolo ha l'`AmazonDataZoneRedshiftManageAccessRolePolicy`allegato. Questo ruolo concede ad Amazon DataZone le autorizzazioni per pubblicare i dati di Amazon Redshift nel catalogo. Fornisce inoltre ad Amazon DataZone le autorizzazioni per concedere o revocare l'accesso agli asset pubblicati di Amazon Redshift o Amazon Redshift Serverless nel catalogo.
Al `AmazonDataZoneRedshiftAccess--` ruolo predefinito è allegata la seguente politica di autorizzazioni in linea:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
L'impostazione predefinita `AmazonDataZoneRedshiftManageAccessRole` prevede la seguente politica di attendibilità allegata:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneGestione S3- -
AmazonDataZoneS3Manage- - viene utilizzato quando Amazon DataZone chiama AWS Lake Formation per registrare una sede Amazon Simple Storage Service (Amazon S3). AWS Lake Formation assume questo ruolo quando accede ai dati in quella posizione. Per ulteriori informazioni, consulta [Requisiti per i ruoli utilizzati per registrare le sedi](https://docs.aws.amazon.com/lake-formation/latest/dg/registration-role.html).
A questo ruolo è allegata la seguente politica di autorizzazioni in linea.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListAllMyBuckets",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3",
"Effect": "Deny",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3ListBucket",
"Effect": "Deny",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
}
]
}
```
------
A AmazonDataZone S3Manage- - è allegata la seguente politica di fiducia:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustLakeFormationForDataLocationRegistration",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerManageAccessRole- -
Il `AmazonDataZoneSageMakerManageAccessRole` ruolo ha il `AmazonDataZoneSageMakerAccess``AmazonDataZoneRedshiftManageAccessRolePolicy`, il e l'`AmazonDataZoneGlueManageAccessRolePolicy`allegato. Questo ruolo concede ad Amazon DataZone le autorizzazioni per pubblicare e gestire abbonamenti per data lake, data warehouse e asset Amazon Sagemaker.
Al `AmazonDataZoneSageMakerManageAccessRole` ruolo è allegata la seguente politica in linea:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
Al `AmazonDataZoneSageMakerManageAccessRole` ruolo è allegata la seguente politica di fiducia:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DatazoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": ["datazone.amazonaws.com",
"sagemaker.amazonaws.com"]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerProvisioningRolePolicyRole-
Al `AmazonDataZoneSageMakerProvisioningRolePolicyRole` ruolo è `AmazonDataZoneRedshiftGlueProvisioningPolicy` associata la `AmazonDataZoneSageMakerProvisioningRolePolicy` e la. Questo ruolo concede ad Amazon DataZone le autorizzazioni necessarie per interagire con AWS Glue, Amazon Redshift e Amazon Sagemaker.
Al `AmazonDataZoneSageMakerProvisioningRolePolicyRole` ruolo è allegata la seguente politica in linea:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerStudioTagOnCreate",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:111122223333:*/*",
"Condition": {
"Null": {
"sagemaker:TaggingAction": "false"
}
}
}
]
}
```
------
Al `AmazonDataZoneSageMakerProvisioningRolePolicyRole` ruolo è allegata la seguente politica di fiducia:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataZoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------
# Credenziali temporanee
Alcuni AWS servizi non funzionano quando si accede utilizzando credenziali temporanee. Per ulteriori informazioni, inclusi AWS i servizi che funzionano con credenziali temporanee, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
Stai utilizzando credenziali temporanee se accedi Console di gestione AWS utilizzando qualsiasi metodo tranne nome utente e password. Ad esempio, quando accedi AWS utilizzando il link Single Sign-On (SSO) della tua azienda, tale processo crea automaticamente credenziali temporanee. Le credenziali temporanee vengono create in automatico anche quando accedi alla console come utente e poi cambi ruolo. Per ulteriori informazioni sullo scambio dei ruoli, consulta [Cambio di un ruolo (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) nella *Guida per l'utente IAM*.
È possibile creare manualmente credenziali temporanee utilizzando l'API or. AWS CLI AWS È quindi possibile utilizzare tali credenziali temporanee per accedere. AWS AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per maggiori informazioni, consulta [Credenziali di sicurezza provvisorie in IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_temp.html).
## Credenziali temporanee del DataZone portale Amazon
Quando accedi al DataZone portale Amazon, ricevi credenziali temporanee per. AmazonDataZoneDomainExecutionRole Durante l'utilizzo diAmazonDataZoneDomainExecutionRole, queste credenziali vengono aggiornate automaticamente quando vengono utilizzate. Se non vengono utilizzate per un periodo di tempo, scadono automaticamente.
# Autorizzazioni dell’entità principale
Quando utilizzi un utente o un ruolo IAM per eseguire azioni AWS, sei considerato un principale. Le policy concedono autorizzazioni a un'entità. Quando si utilizzano alcuni servizi, è possibile eseguire un'azione che attiva un'altra azione in un servizio diverso. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni. Per vedere se un'azione richiede azioni dipendenti aggiuntive in una policy, consulta [Actions, Resources and Condition Keys for AWS Documentation Essentials](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html) nel *Service Authorization Reference*.