本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置使用 Amazon DataZone 管理控制台所需的IAM权限
要访问和配置您的亚马逊 DataZone 域名、蓝图和用户,以及创建亚马逊 DataZone 数据门户,您必须使用亚马逊管理控制台。 DataZone
要为想要使用亚马逊 DataZone管理控制台的任何用户、群组或角色配置必需和/或可选权限,您必须完成以下步骤。
设置使用管理控制台的IAM权限的步骤
将必需和可选策略附加到用户、群组或角色以访问 Amazon DataZone 控制台
完成以下过程,将必需和可选的自定义策略附加到用户、组或角色。有关更多信息,请参阅 AWS Amazon 的托管政策 DataZone。
-
登录 AWS 管理控制台并在上打开IAM控制台https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择策略。
-
选择以下策略以附加到您的用户、群组或角色。
-
在策略列表中,选中旁边的复选框AmazonDataZoneFullAccess。您可以使用 Filter 菜单和搜索框来筛选策略列表。有关更多信息,请参阅 AWS 托管策略:AmazonDataZoneFullAccess。
-
(可选)为创建自定义策略 AWS 身份中心权限,用于添加和删除SSO用户和SSO群组对您的 Amazon DataZone 域的访问权限。
-
-
选择 Actions(操作),然后选择 Attach(附加)。
-
选择要将策略附加到的用户、组或角色。您可以使用 Filter(筛选条件)菜单和搜索框来筛选委托人实体列表。选择用户、组或角色后,选择附加策略。
创建自定义IAM权限策略以启用 Amazon DataZone 服务控制台简化角色创建
完成以下步骤以创建自定义内联策略,以获得必要的权限,让 Amazon DataZone 能够在中创建必要的角色 AWS 代表您管理控制台。
-
登录 AWS 管理控制台并在上打开IAM控制台https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择用户或用户组。
-
在列表中,请选择要在其中嵌入策略的用户或组的名称。
-
选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。
-
选择添加权限和创建内联策略链接。
-
在 “创建策略” 屏幕的 “策略编辑器” 部分,选择JSON。
使用以下JSON语句创建策略文档,然后选择 “下一步”。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreateRole" ], "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ] }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AmazonDataZone*", "arn:aws:iam::*:policy/service-role/AmazonDataZone*" ] } } } ] } -
在查看策略屏幕上,输入策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。
为管理与 Amazon DataZone 域名关联的账户的权限创建自定义策略
完成以下过程以创建自定义内联策略,以便在关联的内联策略中拥有必要的权限 AWS 账户列出、接受和拒绝域的资源共享,然后在关联的账户中启用、配置和禁用环境蓝图。要在蓝图配置期间启用可选的 Amazon DataZone 服务控制台简化角色创建,您还必须这样做创建自定义IAM权限策略以启用 Amazon DataZone 服务控制台简化角色创建 。
-
登录 AWS 管理控制台并在上打开IAM控制台https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择用户或用户组。
-
在列表中,请选择要在其中嵌入策略的用户或组的名称。
-
选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。
-
选择添加权限和创建内联策略链接。
-
在 “创建策略” 屏幕的 “策略编辑器” 部分,选择JSON。使用以下JSON语句创建策略文档,然后选择 “下一步”。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datazone:ListEnvironmentBlueprintConfigurations", "datazone:PutEnvironmentBlueprintConfiguration", "datazone:GetDomain", "datazone:ListDomains", "datazone:GetEnvironmentBlueprintConfiguration", "datazone:ListEnvironmentBlueprints", "datazone:GetEnvironmentBlueprint", "datazone:ListAccountEnvironments", "datazone:DeleteEnvironmentBlueprintConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AmazonDataZone*", "arn:aws:iam::*:policy/service-role/AmazonDataZone*" ] } } }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreateRole" ], "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ] }, { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ram:GetResourceShareInvitations" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::amazon-datazone*" } ] } -
在查看策略屏幕上,输入策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。
(可选)为创建自定义策略 AWS 身份中心权限,用于添加和移除SSO用户和SSO群组对 Amazon DataZone 域的访问权限
完成以下步骤以创建自定义内联策略,以获得添加和删除对您的 Amazon DataZone 域名的SSO用户和SSO群组访问权限的必要权限。
-
登录 AWS 管理控制台并在上打开IAM控制台https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择用户或用户组。
-
在列表中,请选择要在其中嵌入策略的用户或组的名称。
-
选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。
-
选择添加权限和创建内联策略。
-
在 “创建策略” 屏幕的 “策略编辑器” 部分,选择JSON。
使用以下JSON语句创建策略文档,然后选择 “下一步”。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfiles", "sso:AssociateProfile", "sso:DisassociateProfile", "sso:GetProfile" ], "Resource": "*" } ] } -
在查看策略屏幕上,输入策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。
(可选)将您的IAM委托人添加为密钥用户,使用来自的客户管理密钥创建您的 Amazon DataZone 域名 AWS 密钥管理服务 (KMS)
在您可以选择使用客户管理的密钥 (CMK) 创建您的 Amazon DataZone 域之前 AWS 密钥管理服务 (KMS),完成以下步骤以使您的IAM委托人成为KMS密钥的用户。
-
登录 AWS 管理控制台并在上打开KMS控制台https://console.aws.amazon.com/kms/
。 -
要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。
-
在KMS密钥列表中,选择要检查的密KMS钥的别名或密钥 ID。
-
添加或删除关键用户,以及允许或禁止外部用户 AWS 要使用KMS密钥的帐户,请使用页面的 “密钥用户” 部分中的控件。密钥用户可以在加密操作中使用KMS密钥,例如加密、解密、重新加密和生成数据密钥。
