翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon DataZone のドメインユニットの階層におけるプロジェクトメンバーシップポリシー プロジェクトメンバーシップポリシーは、ドメインユニット内のプロジェクトにメンバーとして追加できる個人またはグループを定義します。このトピックでは、個別のドメインユニットおよび階層構造におけるドメインユニットに関するポリシーの影響のシナリオについて説明します。 このトピックで使用されるいくつかの概念に注意してください。 + メンバーシッププール - プロジェクトメンバーシップポリシーを通じてアクセスが付与されたプリンシパル (ユーザーまたはグループ) は、プロジェクトメンバーシッププールの一部とみなされます。例えば、ドメインユニット DU1 のポリシーがユーザー U1 と U2、およびシングルサインオン (SSO) グループ G1 に付与されている場合、DU1 のプロジェクトメンバーシッププールは {U1、U2、G1} で構成されます。 + カスケード - ドメインユニット階層を介して接続されたすべての子ドメインユニットに付与を継承する機能。 + 付与 - ユーザーまたはグループがアクションを実行するためのアクセス許可。 **シナリオ 1** - メンバーシッププールは {すべてのユーザー/グループ} で構成されているため、ドメインユニット 1 のプロジェクトには任意のユーザーまたはグループを追加できます。 ![ドメインユニットの階層におけるプロジェクトメンバーシップポリシー](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario1.png) **シナリオ 2** - ユーザー {U1、G1} はドメインユニット 2 のメンバーシッププールの一部であるため、ドメインユニット 2 のプロジェクトに追加できます。ユーザー {U3、G2} はメンバーシッププールに含まれていないため、プロジェクトに追加できません。 ![ドメインユニットの階層におけるプロジェクトメンバーシップポリシー](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario2.png) **シナリオ 3** - メンバーシッププールの交差: 異なるドメインユニット階層レベルにメンバーシッププールがある場合、すべてのメンバーシッププールに含まれるユーザーとグループのみをプロジェクトに追加できます。 ![ドメインユニットの階層におけるプロジェクトメンバーシップポリシー](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario3.png) + 両方のメンバーシッププールにまたがるユーザーの交差は {U1、U2、G1} です。 + ユーザー {U1、U2、G1} は、ドメインユニット 3 のプロジェクトに追加できます。 + ユーザー {U3、G2} は、[すべてのユーザー] と [すべてのグループ] がルートドメインユニットレベルのメンバーシッププールに含まれる場合でも、ドメインユニット 3 のプロジェクトには追加できません。 **シナリオ 4** - メンバーシッププールの交差: 異なるドメインユニット階層レベルにメンバーシッププールがある場合、すべてのメンバーシッププールに含まれるユーザーとグループのみをプロジェクトに追加できます。 ![ドメインユニットの階層におけるプロジェクトメンバーシップポリシー](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario4.png) + 両方のメンバーシッププールにまたがるユーザーの交差は {U1、U2、G1} です。 + ドメインユニット 4 のメンバーシッププールは {すべてのユーザー / グループ} ですが、メンバーシッププールはルートドメイン {U1、U2、G1} のメンバーシッププールを超えて拡張することはできません。 + ユーザー {U3、G2} は、[すべてのユーザー] と [すべてのグループ] がドメインユニット 4 のメンバーシッププールに含まれる場合でも、ドメインユニット 4 のプロジェクトには追加できません。 **シナリオ 5** - ユーザー {U1、G1} は、ルートドメインとドメインユニット 5 の間のメンバーシッププールの交差部分に含まれるためプロジェクト 5 に追加できます。3 つのメンバーシッププールの交差が空であるため、プロジェクト 6 にユーザー/グループを追加することはできません。 ![ドメインユニットの階層におけるプロジェクトメンバーシップポリシー](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario5.png) **シナリオ 6** - 3 つのメンバーシッププールすべてにまたがって交差しているため、ユーザー {U1} のみをプロジェクト 8 に追加できることを意味します。ドメインユニット 8 の交差しているプールは {U1}、{U1}、{U1、U2} で、この 3 つの間で共通しているのは {U1} のみです。 ![ドメインユニットの階層におけるプロジェクトメンバーシップポリシー](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario6.png) **シナリオ 7** - ユーザー {U1、U2、G1} は、ルートドメインのメンバーシッププールの一部としてルートドメインのプロジェクトに追加できます。メンバーシッププールが {すべてのユーザー/グループ} で構成されているため、ドメインユニット 9 のプロジェクトには、任意のユーザーも任意のグループも追加できます。これは、その上のルートドメインにおいてカスケードが false に設定されているためです。 ![ドメインユニットの階層におけるプロジェクトメンバーシップポリシー](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario7.png)