翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS マネージドポリシー:AmazonDataZoneFullAccess
ID IAM にAmazonDataZoneFullAccessポリシーをアタッチできます。
このポリシーは、 DataZone 経由で Amazon へのフルアクセスを提供します AWS Management Console。
許可の詳細
このポリシーには、以下の許可が含まれています。
-
datazone– プリンシパルに 経由で Amazon DataZone へのフルアクセスを許可します AWS Management Console。 -
kms– プリンシパルがエイリアスを一覧表示し、キーを記述できるようにします。 -
s3– プリンシパルが既存の S3 バケットを選択したり、Amazon DataZone データを保存するための新しい S3 バケットを作成したりできます。 -
ram– プリンシパルが 間で Amazon DataZone ドメインを共有できるようにします AWS アカウント。 -
iam– プリンシパルがロールを一覧表示して渡し、ポリシーを取得できるようにします。 -
sso– プリンシパル AWS IAM Identity Center が が有効になっているリージョンを取得できるようにします。 -
secretsmanager– プリンシパルが特定のプレフィックスを持つシークレットを作成、タグ付け、および一覧表示できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonDataZoneStatement", "Effect": "Allow", "Action": [ "datazone:*" ], "Resource": [ "*" ] }, { "Sid": "ReadOnlyStatement", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases", "iam:ListRoles", "sso:DescribeRegisteredRegions", "s3:ListAllMyBuckets", "redshift:DescribeClusters", "redshift-serverless:ListWorkgroups", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "secretsmanager:ListSecrets" ], "Resource": [ "*" ] }, { "Sid": "BucketReadOnlyStatement", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "CreateBucketStatement", "Effect": "Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::amazon-datazone*" }, { "Sid": "RamCreateResourceStatement", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "datazone:Domain" } } }, { "Sid": "RamResourceStatement", "Effect": "Allow", "Action": [ "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:RejectResourceShareInvitation" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "DataZone*" ] } } }, { "Sid": "RamResourceReadOnlyStatement", "Effect": "Allow", "Action": [ "ram:GetResourceShares", "ram:GetResourceShareInvitations", "ram:GetResourceShareAssociations", "ram:ListResourceSharePermissions" ], "Resource": "*" }, { "Sid": "IAMPassRoleStatement", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Sid": "IAMGetPolicyStatement", "Effect": "Allow", "Action": "iam:GetPolicy", "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZoneRedshiftAccessPolicy*" ] }, { "Sid": "DataZoneTagOnCreateDomainProjectTags", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain", "AmazonDataZoneProject" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "DataZoneTagOnCreate", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "CreateSecretStatement", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*" } } } ] }
ポリシーに関する考慮事項と制限事項
AmazonDataZoneFullAccess ポリシーでカバーされない特定の機能があります。
-
独自の AWS KMS キーを使用して Amazon DataZone ドメインを作成する場合、ドメイン作成を成功させる
kms:CreateGrantには に対するアクセス許可が必要です。そのキーがlistDataSourcesや APIsなどの他の Amazon DataZone を呼び出すにはkms:GenerateDataKeykms:Decryptに対するアクセス許可が必要ですcreateDataSource。またkms:CreateGrant、そのキーのリソースポリシーkms:DescribeKeyでkms:Decrypt、kms:GenerateDataKey、、および へのアクセス許可も必要です。デフォルトのサービス所有KMSキーを使用する場合、これは必須ではありません。
詳細については、「AWS Key Management Service」を参照してください。
-
Amazon DataZone コンソール内でロールの作成と更新の機能を使用する場合は、管理者権限を持っているか、IAMロールの作成とポリシーの作成/更新に必要なIAMアクセス許可を持っている必要があります。必要なアクセス許可には
iam:CreateRole、、iam:CreatePolicy、iam:DeletePolicyVersion、、およびiam:CreatePolicyVersionアクセスiam:AttachRolePolicy許可が含まれます。 -
AWS IAM Identity Center ユーザーのログインを有効に DataZone して Amazon で新しいドメインを作成する場合、または Amazon の既存のドメインに対してドメインをアクティブ化する場合は DataZone、次のアクセス許可が必要です。
-
組織:DescribeOrganization
-
組織:ListDelegatedAdministrators
-
sso:CreateInstance
-
sso:ListInstances
-
sso:GetSharedSsoConfiguration
-
sso:PutApplicationGrant
-
sso:PutApplicationAssignmentConfiguration
-
sso:PutApplicationAuthenticationMethod
-
sso:PutApplicationAccessScope
-
sso:CreateApplication
-
sso:DeleteApplication
-
sso:CreateApplicationAssignment
-
sso:DeleteApplicationAssignment
-
-
Amazon で AWS アカウント関連付けリクエストを受け入れるには DataZone、 アクセス
ram:AcceptResourceShareInvitation許可が必要です。
