Amazon DataZone マネジメントコンソールを使用するために必要な IAM アクセス許可を設定する - Amazon DataZone
マネジメントコンソールへのアクセスに必要なポリシーとオプションのポリシーをユーザー、グループ、またはロールにアタッチする管理サービスコンソールの簡素化されたロール作成を有効にする IAM アクセス許可のカスタムポリシーを作成するドメインに関連付けられているアカウントを管理するアクセス許可のカスタムポリシーを作成する(オプション) ドメインへの SSO ユーザーおよび SSO グループアクセスを追加および削除する AWS Identity Center アクセス許可のカスタムポリシーを作成する(オプション) IAM プリンシパルをキーユーザーとして追加し、KMS AWS のカスタマーマネージドキーを使用してドメインを作成します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon DataZone マネジメントコンソールを使用するために必要な IAM アクセス許可を設定する

Amazon DataZone ドメイン、ブループリント、およびユーザーへのアクセスと設定を行ったり、Amazon DataZone データポータルを作成したりするには、Amazon DataZone マネジメントコンソールを使用する必要があります。

Amazon DataZone マネジメントコンソールを使用するユーザー、グループ、またはロールに必要なアクセス許可やオプションのアクセス許可を設定するには、以下の手順を実行する必要があります。

Amazon DataZone コンソールへのアクセスに必要なポリシーとオプションのポリシーをユーザー、グループ、またはロールにアタッチする

ユーザー、グループ、またはロールに必要なポリシーとオプションのカスタムポリシーをアタッチするには、以下の手順を実行します。詳細については、「AWS Amazon DataZone の マネージドポリシー」を参照してください。

  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

  2. ナビゲーションペインで、ポリシー を選択してください。

  3. 以下のポリシーを選択してユーザー、グループ、またはロールにアタッチします。

  4. [アクション] を選択し、[アタッチ] を選択します。

  5. ポリシーをアタッチするユーザー、グループ、またはロールを選択します。[Filter] メニューと検索ボックスを使用して、プリンシパルエンティティのリストをフィルタリングできます。ユーザー、グループ、またはロールを選択したら、[ポリシーをアタッチ] を選択します。

Amazon DataZone サービスコンソールの簡素化されたロール作成を有効にする IAM アクセス許可のカスタムポリシーを作成する

カスタムインラインポリシーを作成して、Amazon DataZone がユーザーの代わりに AWS マネジメントコンソールで必要なロールを作成できるように必要なアクセス許可を付与するには、以下の手順を実行します。

  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

  2. ナビゲーションペインで、[Users] (ユーザー) または [User groups] (ユーザーグループ) を選択します。

  3. 一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。

  4. [Permissions (アクセス許可)] タブを選択して、必要であれば [Permissions policies (アクセス許可ポリシー)] セクションを展開します。

  5. [アクセス許可を追加] および [インラインポリシーを作成] リンクを選択します。

  6. [ポリシーを作成] 画面の [ポリシーエディタ] セクションで [JSON] を選択します。

    次の JSON ステートメントを使用してポリシードキュメントを作成し、[次へ] を選択します。

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy",
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/AmazonDataZone*",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::aws:policy/AmazonDataZone*",
                        "arn:aws:iam::*:policy/service-role/AmazonDataZone*"
                    ]
                }
            }
        }
    ]
}

  7. [ポリシーを確認] 画面で、ポリシーの名前を入力します。ポリシーが完成したら、[Create policy (ポリシーの作成)] を選択します。画面上部の赤いボックスにエラーが表示されていないことを確認します。報告されたエラーがあれば、修正します。

Amazon DataZone ドメインに関連付けられているアカウントを管理するアクセス許可のカスタムポリシーを作成する

カスタムインラインポリシーを作成して、ドメインのリソース共有を一覧表示、承認、拒否するために必要なアクセス許可を関連付けられた AWS アカウントに付与し、関連付けられたアカウントの環境ブループリントを有効、設定、無効にするには、次の手順を実行します。ブループリント設定中に使用可能なオプションの Amazon DataZone サービスコンソールの簡素化されたロール作成を有効にするには、Amazon DataZone サービスコンソールの簡素化されたロール作成を有効にする IAM アクセス許可のカスタムポリシーを作成する ことも必要です。

  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

  2. ナビゲーションペインで、[Users] (ユーザー) または [User groups] (ユーザーグループ) を選択します。

  3. 一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。

  4. [Permissions (アクセス許可)] タブを選択して、必要であれば [Permissions policies (アクセス許可ポリシー)] セクションを展開します。

  5. [アクセス許可を追加] および [インラインポリシーを作成] リンクを選択します。

  6. [ポリシーを作成] 画面の [ポリシーエディタ] セクションで [JSON] を選択します。次の JSON ステートメントを使用してポリシードキュメントを作成し、[次へ] を選択します。

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "datazone:ListEnvironmentBlueprintConfigurations",
                "datazone:PutEnvironmentBlueprintConfiguration",
                "datazone:GetDomain",
                "datazone:ListDomains",
                "datazone:GetEnvironmentBlueprintConfiguration",
                "datazone:ListEnvironmentBlueprints",
                "datazone:GetEnvironmentBlueprint",
                "datazone:ListAccountEnvironments",
                "datazone:DeleteEnvironmentBlueprintConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:role/AmazonDataZone",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:passedToService": "datazone.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::aws:policy/AmazonDataZone*",
                        "arn:aws:iam::*:policy/service-role/AmazonDataZone*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy",
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/AmazonDataZone*",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ram:GetResourceShareInvitations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:CreateBucket",
            "Resource": "arn:aws:s3:::amazon-datazone*"
        }
    ]
}

  7. [ポリシーを確認] 画面で、ポリシーの名前を入力します。ポリシーが完成したら、[Create policy (ポリシーの作成)] を選択します。画面上部の赤いボックスにエラーが表示されていないことを確認します。報告されたエラーがあれば、修正します。

(オプション) Amazon DataZone ドメインへの SSO ユーザーおよび SSO グループアクセスを追加および削除する AWS Identity Center アクセス許可のカスタムポリシーを作成する

カスタムインラインポリシーを作成して、Amazon DataZone ドメインへの SSO ユーザーと SSO グループのアクセスを追加および削除するために必要なアクセス許可を付与するには、以下の手順を実行します。

  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

  2. ナビゲーションペインで、[Users] (ユーザー) または [User groups] (ユーザーグループ) を選択します。

  3. 一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。

  4. [Permissions (アクセス許可)] タブを選択して、必要であれば [Permissions policies (アクセス許可ポリシー)] セクションを展開します。

  5. [アクセス許可を追加] および [インラインポリシーを作成] を選択します。

  6. [ポリシーを作成] 画面の [ポリシーエディタ] セクションで [JSON] を選択します。

    次の JSON ステートメントを使用してポリシードキュメントを作成し、[次へ] を選択します。

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sso:GetManagedApplicationInstance",
        "sso:ListProfiles",
        "sso:GetProfiles",
        "sso:AssociateProfile",
        "sso:DisassociateProfile",
        "sso:GetProfile"
      ],
      "Resource": "*"
    }
  ]
}

  7. [ポリシーを確認] 画面で、ポリシーの名前を入力します。ポリシーが完成したら、[Create policy (ポリシーの作成)] を選択します。画面上部の赤いボックスにエラーが表示されていないことを確認します。報告されたエラーがあれば、修正します。

(オプション) IAM プリンシパルをキーユーザーとして追加し、 AWS Key Management Service (KMS) のカスタマーマネージドキーを使用して Amazon DataZone ドメインを作成します。

オプションで AWS Key Management Service (KMS) からカスタマーマネージドキー (CMK) を使用して Amazon DataZone ドメインを作成する前に、次の手順を実行して IAM プリンシパルを KMS キーのユーザーにします。

  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/kms/ で KMS コンソールを開きます。

  2. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。

  3. KMS キーのリストで、確認する KMS キーのエイリアスまたはキー ID を選択します。

  4. キーユーザーを追加または削除し、外部 AWS アカウントに KMS キーの使用を許可または禁止するには、ページの「キーユーザー」セクションのコントロールを使用します。キーユーザーは、データキーの暗号化、復号、再暗号化、生成などの暗号化オペレーションで KMS キーを使用できます。