AWS 관리형 정책: AmazonDataZoneFullAccess - Amazon DataZone

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 관리형 정책: AmazonDataZoneFullAccess

AmazonDataZoneFullAccess 정책을 IAM 자격 증명에 연결할 수 있습니다.

이 정책은 를 DataZone 통해 Amazon에 대한 전체 액세스를 제공합니다 AWS Management Console.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • datazone – 보안 주체에게 를 통해 Amazon DataZone에 대한 전체 액세스 권한을 부여합니다 AWS Management Console.

  • kms - 보안 주체가 별칭을 나열하고 키를 설명할 수 있습니다.

  • s3 - 보안 주체가 Amazon DataZone 데이터를 저장할 기존 S3 버킷을 선택하거나 새 S3 버킷을 생성할 수 있습니다.

  • ram - 보안 주체가 에서 Amazon DataZone 도메인을 공유할 수 있도록 허용합니다 AWS 계정.

  • iam - 보안 주체가 역할을 나열 및 전달하고 정책을 가져올 수 있도록 허용합니다.

  • sso - 보안 주체가 이 활성화된 리전을 가져올 AWS IAM Identity Center 수 있도록 허용합니다.

  • secretsmanager - 보안 주체가 특정 접두사가 있는 보안 암호를 생성, 태그 지정 및 나열할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonDataZoneStatement", "Effect": "Allow", "Action": [ "datazone:*" ], "Resource": [ "*" ] }, { "Sid": "ReadOnlyStatement", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases", "iam:ListRoles", "sso:DescribeRegisteredRegions", "s3:ListAllMyBuckets", "redshift:DescribeClusters", "redshift-serverless:ListWorkgroups", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "secretsmanager:ListSecrets" ], "Resource": [ "*" ] }, { "Sid": "BucketReadOnlyStatement", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "CreateBucketStatement", "Effect": "Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::amazon-datazone*" }, { "Sid": "RamCreateResourceStatement", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "datazone:Domain" } } }, { "Sid": "RamResourceStatement", "Effect": "Allow", "Action": [ "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:RejectResourceShareInvitation" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "DataZone*" ] } } }, { "Sid": "RamResourceReadOnlyStatement", "Effect": "Allow", "Action": [ "ram:GetResourceShares", "ram:GetResourceShareInvitations", "ram:GetResourceShareAssociations", "ram:ListResourceSharePermissions" ], "Resource": "*" }, { "Sid": "IAMPassRoleStatement", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Sid": "IAMGetPolicyStatement", "Effect": "Allow", "Action": "iam:GetPolicy", "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZoneRedshiftAccessPolicy*" ] }, { "Sid": "DataZoneTagOnCreateDomainProjectTags", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain", "AmazonDataZoneProject" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "DataZoneTagOnCreate", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "CreateSecretStatement", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*" } } } ] }

정책 고려 사항 및 제한 사항

AmazonDataZoneFullAccess 정책에서 다루지 않는 특정 기능이 있습니다.

  • 자체 AWS KMS 키로 Amazon DataZone 도메인을 생성하는 경우 도메인 생성에 성공하려면 에 kms:CreateGrant 대한 권한이 있고, 해당 키가 listDataSources 및 APIs 와 같은 다른 Amazon DataZone을 호출하려면 에 kms:GenerateDataKey kms:Decrypt 대한 권한이 있어야 합니다createDataSource. 또한 해당 키의 리소스 정책에 kms:CreateGrant, kms:GenerateDataKey, 및 kms:Decryptkms:DescribeKey에 대한 권한도 있어야 합니다.

    기본 서비스 소유 KMS 키를 사용하는 경우 필요하지 않습니다.

    자세한 내용은 AWS Key Management Service 단원을 참조하십시오.

  • Amazon DataZone 콘솔에서 역할 생성업데이트 기능을 사용하려면 관리자 권한이 있거나 IAM 역할을 생성하고 정책을 생성/업데이트하는 데 필요한 IAM 권한이 있어야 합니다. 필수 권한에는 iam:CreateRole, iam:CreatePolicy, iam:CreatePolicyVersioniam:DeletePolicyVersion, 및 iam:AttachRolePolicy 권한이 포함됩니다.

  • AWS IAM Identity Center 사용자 로그인이 활성화된 DataZone 상태에서 Amazon에서 새 도메인을 생성하거나 Amazon 의 기존 도메인에 대해 새 도메인을 활성화 DataZone하는 경우 다음 권한이 있어야 합니다.

    • 조직:DescribeOrganization

    • 조직:ListDelegatedAdministrators

    • sso:CreateInstance

    • sso:ListInstances

    • sso:GetSharedSsoConfiguration

    • sso:PutApplicationGrant

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationAccessScope

    • sso:CreateApplication

    • sso:DeleteApplication

    • sso:CreateApplicationAssignment

    • sso:DeleteApplicationAssignment

  • Amazon 에서 AWS 계정 연결 요청을 수락하려면 ram:AcceptResourceShareInvitation 권한이 DataZone있어야 합니다.