As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configure as permissões do IAM necessárias para usar o console DataZone de gerenciamento da Amazon
Para acessar e configurar seus DataZone domínios, planos e usuários da Amazon e criar o portal de DataZone dados da Amazon, você deve usar o console de gerenciamento da Amazon. DataZone
Você deve concluir os procedimentos a seguir para configurar as permissões necessárias e/ou opcionais para qualquer usuário, grupo ou função que queira usar o console DataZone de gerenciamento da Amazon.
**Topics**
+ [Anexe políticas obrigatórias e opcionais a um usuário, grupo ou função para acesso ao DataZone console da Amazon](#attach-managed)
+ [Crie uma política personalizada para permissões do IAM para permitir a criação simplificada de funções do console de DataZone serviços da Amazon](#create-custom-to-manage-EZCRZ)
+ [Crie uma política personalizada de permissões para gerenciar uma conta associada a um DataZone domínio da Amazon](#create-custom-to-manage-associated-account)
+ [(Opcional) Crie uma política personalizada para permissões do AWS Identity Center para adicionar e remover o acesso de usuários e grupos de SSO aos domínios da Amazon DataZone](#create-custom-to-manage-add-remove-sso)
+ [(Opcional) Adicione seu principal do IAM como usuário-chave para criar seu DataZone domínio da Amazon com uma chave gerenciada pelo cliente do AWS Key Management Service (KMS)](#create-custom-to-manage-kms)
## Anexe políticas obrigatórias e opcionais a um usuário, grupo ou função para acesso ao DataZone console da Amazon
Conclua o procedimento a seguir para anexar as políticas personalizadas obrigatórias e opcionais a um usuário, grupo ou perfil. Para obter mais informações, consulte [AWS políticas gerenciadas para a Amazon DataZone](security-iam-awsmanpol.md).
1. Faça login no AWS Management Console e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas**.
1. Escolha as políticas a seguir para anexar ao seu usuário, grupo ou perfil.
+ Na lista de políticas, marque a caixa de seleção ao lado do **AmazonDataZoneFullAccess**. Você pode usar o menu **Filtro** e a caixa de pesquisa para filtrar a lista de políticas. Para obter mais informações, consulte [AWS política gerenciada: AmazonDataZoneFullAccess](security-iam-awsmanpol-AmazonDataZoneFullAccess.md).
+ [(Opcional) Crie uma política personalizada para permissões do IAM para permitir que o console de DataZone serviços da Amazon crie funções de forma simplificada.](#create-custom-to-manage-EZCRZ)
+ [(Opcional) Crie uma política personalizada para permissões do AWS Identity Center para adicionar e remover o acesso de usuários e grupos de SSO ao seu domínio da Amazon DataZone .](#create-custom-to-manage-add-remove-sso)
1. Escolha **Actions** (Ações) e **Attach** (Anexar).
1. Escolha o usuário, grupo ou perfil ao qual você deseja anexar a política. Você pode usar o menu **Filter** (Filtro) e a caixa de pesquisa para filtrar a lista de entidades principais. Depois de escolher o usuário, o grupo ou o perfil, escolha **Anexar política**.
## Crie uma política personalizada para permissões do IAM para permitir a criação simplificada de funções do console de DataZone serviços da Amazon
Conclua o procedimento a seguir para criar uma política embutida personalizada para ter as permissões necessárias para permitir DataZone que a Amazon crie as funções necessárias no console AWS de gerenciamento em seu nome.
**nota**
Para obter informações sobre as melhores práticas sobre a configuração de permissões para permitir a criação de funções de serviço, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/id\_roles\_create\_for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
1. Faça login no AWS Management Console e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Grupos** ou **Usuários**.
1. Na lista, escolha o nome do usuário ou do grupo ao qual deseja incorporar uma política.
1. Selecione a guia **Permissions (Permissões)** e expanda a seção **Permissions policies (Políticas de permissões)**.
1. Escolha **Adicionar permissões** e o link **Criar política em linha**.
1. Na tela **Criar política**, na seção **Editor de política**, escolha **JSON**.
Crie um documento de política com as instruções JSON a seguir e escolha **Próximo**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
}
]
}
```
------
1. Na página **Revisar política**, insira um nome para a política. Quando estiver satisfeito com a política, escolha **Create policy (Criar política)**. Certifique-se de que nenhum erro seja exibido na caixa vermelha na parte superior da tela. Corrija os que foram relatados.
## Crie uma política personalizada de permissões para gerenciar uma conta associada a um DataZone domínio da Amazon
Conclua o procedimento a seguir para criar uma política embutida personalizada para ter as permissões necessárias em uma AWS conta associada para listar, aceitar e rejeitar compartilhamentos de recursos de um domínio e, em seguida, habilitar, configurar e desabilitar blueprints de ambiente na conta associada. Para habilitar a criação simplificada de funções opcional do Amazon DataZone Service Console disponível durante a configuração do blueprint, você também [Crie uma política personalizada para permissões do IAM para permitir a criação simplificada de funções do console de DataZone serviços da Amazon](#create-custom-to-manage-EZCRZ) deve.
**nota**
Para obter informações sobre as melhores práticas sobre a configuração de permissões para permitir a criação de funções de serviço, consulte [https://docs.aws.amazon.com/IAM/latest/UserGuide/id\_roles\_create\_for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
1. Faça login no AWS Management Console e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Grupos** ou **Usuários**.
1. Na lista, escolha o nome do usuário ou do grupo ao qual deseja incorporar uma política.
1. Selecione a guia **Permissions (Permissões)** e expanda a seção **Permissions policies (Políticas de permissões)**.
1. Escolha **Adicionar permissões** e o link **Criar política em linha**.
1. Na tela **Criar política**, na seção **Editor de política**, escolha **JSON**. Crie um documento de política com as instruções JSON a seguir e escolha **Próximo**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datazone:ListEnvironmentBlueprintConfigurations",
"datazone:PutEnvironmentBlueprintConfiguration",
"datazone:GetDomain",
"datazone:ListDomains",
"datazone:GetEnvironmentBlueprintConfiguration",
"datazone:ListEnvironmentBlueprints",
"datazone:GetEnvironmentBlueprint",
"datazone:ListAccountEnvironments",
"datazone:DeleteEnvironmentBlueprintConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/AmazonDataZone",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
],
"Condition": {
"StringEquals": {
"iam:passedToService": "datazone.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:RejectResourceShareInvitation",
"ram:GetResourceShareInvitations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::amazon-datazone*"
}
]
}
```
------
1. Na página **Revisar política**, insira um nome para a política. Quando estiver satisfeito com a política, escolha **Create policy (Criar política)**. Certifique-se de que nenhum erro seja exibido na caixa vermelha na parte superior da tela. Corrija os que foram relatados.
## (Opcional) Crie uma política personalizada para permissões do AWS Identity Center para adicionar e remover o acesso de usuários e grupos de SSO aos domínios da Amazon DataZone
Conclua o procedimento a seguir para criar uma política embutida personalizada para ter as permissões necessárias para adicionar e remover o acesso de usuários e grupos de SSO ao seu domínio da Amazon. DataZone
1. Faça login no AWS Management Console e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Grupos** ou **Usuários**.
1. Na lista, escolha o nome do usuário ou do grupo ao qual deseja incorporar uma política.
1. Selecione a guia **Permissions (Permissões)** e expanda a seção **Permissions policies (Políticas de permissões)**.
1. Selecione **Adicionar permissões** e, em seguida, **Criar política em linha**.
1. Na tela **Criar política**, na seção **Editor de política**, escolha **JSON**.
Crie um documento de política com as instruções JSON a seguir e escolha **Próximo**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso:GetProfile"
],
"Resource": "*"
}
]
}
```
------
1. Na página **Revisar política**, insira um nome para a política. Quando estiver satisfeito com a política, escolha **Create policy (Criar política)**. Certifique-se de que nenhum erro seja exibido na caixa vermelha na parte superior da tela. Corrija os que foram relatados.
## (Opcional) Adicione seu principal do IAM como usuário-chave para criar seu DataZone domínio da Amazon com uma chave gerenciada pelo cliente do AWS Key Management Service (KMS)
Antes de criar opcionalmente seu DataZone domínio da Amazon com uma chave gerenciada pelo cliente (CMK) do AWS Key Management Service (KMS), conclua o procedimento a seguir para tornar seu principal do IAM um usuário da sua chave KMS.
1. Faça login no AWS Management Console e abra o console KMS em [https://console.aws.amazon.com/kms/](https://console.aws.amazon.com/kms/).
1. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha **Customer managed keys (Chaves gerenciadas de cliente)**.
1. Na lista de chaves do KMS, escolha o alias ou o ID de chave da chaves do KMS que você deseja examinar.
1. Para adicionar ou remover usuários-chave e permitir ou proibir que AWS contas externas usem a chave KMS, use os controles na seção **Usuários principais** da página. Usuários de chaves podem usar a chave do KMS em operações de criptografia, como criptografar, descriptografar, recriptografar e gerar chaves de dados.