本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定使用 Amazon DataZone 管理主控台所需的IAM許可
若要存取和設定您的 Amazon DataZone 網域、藍圖和使用者,以及建立 Amazon DataZone 資料入口網站,您必須使用 Amazon 管理主控台。 DataZone
您必須完成下列程序,才能為任何想要使用 Amazon DataZone 管理主控台的使用者、群組或角色設定必要和/或選用許可。
設定使用管理主控台之IAM權限的程序
將必要和選用政策附加到 Amazon DataZone 主控台存取的使用者、群組或角色
完成下列程序,將必要和選用的自訂原則附加至使用者、群組或角色。如需詳細資訊,請參閱AWS Amazon 的 受管政策 DataZone。
-
登入 AWS 管理主控台並開啟主IAM控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇政策。
-
選擇下列原則以附加至您的使用者、群組或角色。
-
在策略清單中,選取旁邊的核取方塊AmazonDataZoneFullAccess。您可用篩選功能表和搜尋方塊來篩選政策清單。如需詳細資訊,請參閱AWS 受管政策:AmazonDataZoneFullAccess。
-
(選擇性) 建立自訂原則 AWS 身分識別中心許可,可新增和移除 Amazon DataZone 網域的SSO使用者和SSO群組存取權。
-
-
選擇 Actions (動作),然後選擇 Attach (連接)。
-
選擇要附加原則的使用者、群組或角色。您可用篩選功能表和搜尋方塊來篩選主體實體清單。選擇使用者、群組或角色後,請選擇 [附加原則]。
為IAM許可建立自訂政策,以簡化 Amazon DataZone 服務主控台的角色建立
完成下列程序以建立自訂內嵌政策,以取得必要的許可,讓 Amazon DataZone 在 AWS 代表您的管理主控台。
-
登入 AWS 管理主控台並開啟主IAM控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇群組或使用者。
-
在清單中,選擇要內嵌政策的使用者或群組名稱。
-
選擇 Permissions (許可) 索引標籤,並在必要時,展開 Permissions policies (許可政策) 部分。
-
選擇新增權限和建立內嵌原則連結。
-
在「建立策略」畫面的「策略編輯器」區段中,選擇JSON。
使用下列JSON陳述式建立政策文件,然後選擇 [下一步]。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreateRole" ], "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ] }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AmazonDataZone*", "arn:aws:iam::*:policy/service-role/AmazonDataZone*" ] } } } ] } -
在「檢閱策略」畫面上,輸入策略的名稱。當您滿意時,選擇 Create policy (建立政策)。確認畫面頂端的紅色方塊未出現任何錯誤。如出現任何錯誤,請加以修正。
為許可建立自訂政策,以管理與 Amazon DataZone 網域關聯的帳戶
完成下列程序,以建立自訂內嵌原則,以在關聯中擁有必要的權限 AWS 帳號以列出、接受及拒絕網域的資源共用,然後啟用、設定和停用關聯帳戶中的環境藍圖。若要在藍圖組態期間啟用選用的 Amazon DataZone 服務主控台簡化角色建立,您還必須為IAM許可建立自訂政策,以簡化 Amazon DataZone 服務主控台的角色建立 。
-
登入 AWS 管理主控台並開啟主IAM控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇群組或使用者。
-
在清單中,選擇要內嵌政策的使用者或群組名稱。
-
選擇 Permissions (許可) 索引標籤,並在必要時,展開 Permissions policies (許可政策) 部分。
-
選擇新增權限和建立內嵌原則連結。
-
在「建立策略」畫面的「策略編輯器」區段中,選擇JSON。使用下列JSON陳述式建立政策文件,然後選擇 [下一步]。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datazone:ListEnvironmentBlueprintConfigurations", "datazone:PutEnvironmentBlueprintConfiguration", "datazone:GetDomain", "datazone:ListDomains", "datazone:GetEnvironmentBlueprintConfiguration", "datazone:ListEnvironmentBlueprints", "datazone:GetEnvironmentBlueprint", "datazone:ListAccountEnvironments", "datazone:DeleteEnvironmentBlueprintConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AmazonDataZone*", "arn:aws:iam::*:policy/service-role/AmazonDataZone*" ] } } }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreateRole" ], "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ] }, { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ram:GetResourceShareInvitations" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::amazon-datazone*" } ] } -
在「檢閱策略」畫面上,輸入策略的名稱。當您滿意時,選擇 Create policy (建立政策)。確認畫面頂端的紅色方塊未出現任何錯誤。如出現任何錯誤,請加以修正。
(選擇性) 建立自訂原則 AWS 身分中心許可,可新增和移除 Amazon DataZone 網域的SSO使用者和SSO群組存取權
完成以下程序以建立自訂內嵌政策,以取得新增和移除 Amazon DataZone 網域的SSO使用者和SSO群組存取權限的必要許可。
-
登入 AWS 管理主控台並開啟主IAM控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇群組或使用者。
-
在清單中,選擇要內嵌政策的使用者或群組名稱。
-
選擇 Permissions (許可) 索引標籤,並在必要時,展開 Permissions policies (許可政策) 部分。
-
選擇 [新增權限] 和 [建立內嵌原則]
-
在「建立策略」畫面的「策略編輯器」區段中,選擇JSON。
使用下列JSON陳述式建立政策文件,然後選擇 [下一步]。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfiles", "sso:AssociateProfile", "sso:DisassociateProfile", "sso:GetProfile" ], "Resource": "*" } ] } -
在「檢閱策略」畫面上,輸入策略的名稱。當您滿意時,選擇 Create policy (建立政策)。確認畫面頂端的紅色方塊未出現任何錯誤。如出現任何錯誤,請加以修正。
(選擇性) 將您的IAM主體新增為金鑰使用者,以使用客戶管理的金鑰建立 Amazon DataZone 網域 AWS 金鑰管理服務 (KMS)
在您可以選擇性地使用客戶管理的金鑰 (CMK) 建立 Amazon DataZone 網域之前 AWS 金鑰管理服務 (KMS),請完成下列程序,讓您的IAM主體成為您KMS金鑰的使用者。
-
登入 AWS 管理主控台並開啟主KMS控台,位於https://console.aws.amazon.com/kms/
。 -
若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。
-
在KMS金鑰清單中,選擇您要檢查之金鑰的KMS別名或金鑰 ID。
-
若要新增或移除主要使用者,以及允許或不允許外部使用者 AWS 帳戶使用KMS密鑰,請使用頁面的「關鍵用戶」部分中的控件。金鑰使用者可以在加密作業中使用KMS金鑰,例如加密、解密、重新加密和產生資料金鑰。
