Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren Sie die IAM für die Nutzung der Amazon DataZone Management Console erforderlichen Berechtigungen
Um auf Ihre DataZone Amazon-Domains, -Blueprints und -Benutzer zuzugreifen und diese zu konfigurieren und das DataZone Amazon-Datenportal zu erstellen, müssen Sie die Amazon-Managementkonsole verwenden. DataZone
Sie müssen die folgenden Verfahren ausführen, um die erforderlichen und/oder optionalen Berechtigungen für alle Benutzer, Gruppen oder Rollen zu konfigurieren, die die Amazon DataZone Management Console verwenden möchten.
Verfahren zum Einrichten von IAM Berechtigungen für die Nutzung der Managementkonsole
- Ordnen Sie einem Benutzer, einer Gruppe oder einer Rolle erforderliche und optionale Richtlinien für den Zugriff auf die DataZone Amazon-Konsole zu
- Erstellen Sie eine benutzerdefinierte Richtlinie für IAM Berechtigungen, um die vereinfachte Rollenerstellung über die Amazon DataZone Service Console zu ermöglichen
- Erstellen Sie eine benutzerdefinierte Richtlinie für Berechtigungen zur Verwaltung eines mit einer DataZone Amazon-Domain verknüpften Kontos
- (Optional) Erstellen Sie eine benutzerdefinierte Richtlinie für AWS Identity Center-Berechtigungen zum Hinzufügen und Entfernen von SSO Benutzer- und SSO Gruppenzugriffen auf DataZone Amazon-Domains
- (Optional) Fügen Sie Ihren IAM Principal als Hauptbenutzer hinzu, um Ihre DataZone Amazon-Domain mit einem vom Kunden verwalteten Schlüssel von zu erstellen AWS Schlüsselverwaltungsservice () KMS
Ordnen Sie einem Benutzer, einer Gruppe oder einer Rolle erforderliche und optionale Richtlinien für den Zugriff auf die DataZone Amazon-Konsole zu
Gehen Sie wie folgt vor, um einem Benutzer, einer Gruppe oder einer Rolle die erforderlichen und optionalen benutzerdefinierten Richtlinien zuzuweisen. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien für Amazon DataZone.
-
Melden Sie sich an bei AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich Richtlinien.
-
Wählen Sie die folgenden Richtlinien aus, die Sie Ihrem Benutzer, Ihrer Gruppe oder einer Rolle zuordnen möchten.
-
Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben dem AmazonDataZoneFullAccess. Über das Menü Filter und das Suchfeld können Sie die Richtlinienliste filtern. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: AmazonDataZoneFullAccess.
-
-
Wählen Sie Actions (Aktionen) und dann Attach policy (Richtlinie anfügen).
-
Wählen Sie den Benutzer, die Gruppe oder die Rolle aus, der Sie die Richtlinie zuordnen möchten. Über das Menü Filter und das Suchfeld können Sie die Liste der Prinzipal-Entitäten filtern. Nachdem Sie den Benutzer, die Gruppe oder die Rolle ausgewählt haben, wählen Sie Richtlinie anhängen.
Erstellen Sie eine benutzerdefinierte Richtlinie für IAM Berechtigungen, um die vereinfachte Rollenerstellung über die Amazon DataZone Service Console zu ermöglichen
Gehen Sie wie folgt vor, um eine benutzerdefinierte Inline-Richtlinie zu erstellen, um über die erforderlichen Berechtigungen zu verfügen DataZone , damit Amazon die erforderlichen Rollen in der AWS Verwaltungskonsole in Ihrem Namen.
-
Melden Sie sich an bei AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich Benutzer oder Benutzergruppen.
-
Wählen Sie in der Liste den Namen des Benutzers oder der Gruppe, in die eine Richtlinie eingebettet werden soll.
-
Wählen Sie die Registerkarte Permissions (Berechtigungen) aus und erweitern Sie ggf. den Abschnitt Permissions policies (Berechtigungsrichtlinien).
-
Wählen Sie „Berechtigungen hinzufügen“ und den Link „Inline-Richtlinie erstellen“.
-
Wählen Sie auf dem Bildschirm Richtlinie erstellen im Abschnitt Richtlinien-Editor die Option JSON.
Erstellen Sie ein Richtliniendokument mit den folgenden JSON Aussagen und klicken Sie dann auf Weiter.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreateRole" ], "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ] }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AmazonDataZone*", "arn:aws:iam::*:policy/service-role/AmazonDataZone*" ] } } } ] } -
Geben Sie auf dem Bildschirm „Richtlinie überprüfen“ einen Namen für die Richtlinie ein. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Stellen Sie sicher, dass in dem roten Feld am oberen Bildschirmrand keine Fehler angezeigt werden. Korrigieren Sie etwaige Fehler.
Erstellen Sie eine benutzerdefinierte Richtlinie für Berechtigungen zur Verwaltung eines mit einer DataZone Amazon-Domain verknüpften Kontos
Gehen Sie wie folgt vor, um eine benutzerdefinierte Inline-Richtlinie zu erstellen, damit Sie über die erforderlichen Berechtigungen in einem verknüpften AWS Konto, um Ressourcenfreigaben einer Domäne aufzulisten, zu akzeptieren und abzulehnen und anschließend Umgebungs-Blueprints im zugehörigen Konto zu aktivieren, zu konfigurieren und zu deaktivieren. Um die optionale vereinfachte Rollenerstellung der Amazon DataZone Service Console zu aktivieren, die während der Blueprint-Konfiguration verfügbar ist, müssen Sie außerdemErstellen Sie eine benutzerdefinierte Richtlinie für IAM Berechtigungen, um die vereinfachte Rollenerstellung über die Amazon DataZone Service Console zu ermöglichen .
-
Melden Sie sich an bei AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich Benutzer oder Benutzergruppen.
-
Wählen Sie in der Liste den Namen des Benutzers oder der Gruppe, in die eine Richtlinie eingebettet werden soll.
-
Wählen Sie die Registerkarte Permissions (Berechtigungen) aus und erweitern Sie ggf. den Abschnitt Permissions policies (Berechtigungsrichtlinien).
-
Wählen Sie „Berechtigungen hinzufügen“ und den Link „Inline-Richtlinie erstellen“.
-
Wählen Sie auf dem Bildschirm Richtlinie erstellen im Abschnitt Richtlinien-Editor die Option JSON. Erstellen Sie ein Richtliniendokument mit den folgenden JSON Aussagen und klicken Sie dann auf Weiter.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datazone:ListEnvironmentBlueprintConfigurations", "datazone:PutEnvironmentBlueprintConfiguration", "datazone:GetDomain", "datazone:ListDomains", "datazone:GetEnvironmentBlueprintConfiguration", "datazone:ListEnvironmentBlueprints", "datazone:GetEnvironmentBlueprint", "datazone:ListAccountEnvironments", "datazone:DeleteEnvironmentBlueprintConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AmazonDataZone*", "arn:aws:iam::*:policy/service-role/AmazonDataZone*" ] } } }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreateRole" ], "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ] }, { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ram:GetResourceShareInvitations" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::amazon-datazone*" } ] } -
Geben Sie auf dem Bildschirm „Richtlinie überprüfen“ einen Namen für die Richtlinie ein. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Stellen Sie sicher, dass in dem roten Feld am oberen Bildschirmrand keine Fehler angezeigt werden. Korrigieren Sie etwaige Fehler.
(Optional) Erstellen Sie eine benutzerdefinierte Richtlinie für AWS Identity Center-Berechtigungen zum Hinzufügen und Entfernen von SSO Benutzer- und SSO Gruppenzugriffen auf DataZone Amazon-Domains
Gehen Sie wie folgt vor, um eine benutzerdefinierte Inline-Richtlinie zu erstellen, um über die erforderlichen Berechtigungen zum Hinzufügen und Entfernen von SSO Benutzer- und SSO Gruppenzugriffen auf Ihre DataZone Amazon-Domain zu verfügen.
-
Melden Sie sich bei AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im Navigationsbereich Benutzer oder Benutzergruppen.
-
Wählen Sie in der Liste den Namen des Benutzers oder der Gruppe, in die eine Richtlinie eingebettet werden soll.
-
Wählen Sie die Registerkarte Permissions (Berechtigungen) aus und erweitern Sie ggf. den Abschnitt Permissions policies (Berechtigungsrichtlinien).
-
Wählen Sie Berechtigungen hinzufügen und Inline-Richtlinie erstellen aus.
-
Wählen Sie auf dem Bildschirm Richtlinie erstellen im Abschnitt Richtlinien-Editor die Option JSON.
Erstellen Sie ein Richtliniendokument mit den folgenden JSON Aussagen und klicken Sie dann auf Weiter.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfiles", "sso:AssociateProfile", "sso:DisassociateProfile", "sso:GetProfile" ], "Resource": "*" } ] } -
Geben Sie auf dem Bildschirm „Richtlinie überprüfen“ einen Namen für die Richtlinie ein. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Stellen Sie sicher, dass in dem roten Feld am oberen Bildschirmrand keine Fehler angezeigt werden. Korrigieren Sie etwaige Fehler.
(Optional) Fügen Sie Ihren IAM Principal als Hauptbenutzer hinzu, um Ihre DataZone Amazon-Domain mit einem vom Kunden verwalteten Schlüssel von zu erstellen AWS Schlüsselverwaltungsservice () KMS
Bevor Sie optional Ihre DataZone Amazon-Domain mit einem vom Kunden verwalteten Schlüssel (CMK) aus dem erstellen können AWS Key Management Service (KMS), führen Sie das folgende Verfahren durch, um Ihren IAM Principal zum Benutzer Ihres KMS Schlüssels zu machen.
-
Melden Sie sich an bei AWS Management Console und öffnen Sie die KMS Konsole unter https://console.aws.amazon.com/kms/
. -
Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich Customer managed keys (Vom Kunden verwaltete Schlüssel) aus.
-
Wählen Sie in der Liste der KMS Schlüssel den Alias oder die Schlüssel-ID des KMS Schlüssels aus, den Sie untersuchen möchten.
-
Um Schlüsselbenutzer hinzuzufügen oder zu entfernen und externe Benutzer zuzulassen oder zu verbieten AWS Konten, um den KMS Schlüssel zu verwenden, verwenden Sie die Steuerelemente im Bereich Hauptbenutzer auf der Seite. Schlüsselbenutzer können den KMS Schlüssel für kryptografische Operationen verwenden, z. B. beim Verschlüsseln, Entschlüsseln, erneuten Verschlüsseln und Generieren von Datenschlüsseln.
