Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer les IAM autorisations requises pour utiliser la console DataZone de gestion Amazon
Pour accéder à vos DataZone domaines, plans et utilisateurs Amazon et les configurer, et pour créer le portail de DataZone données Amazon, vous devez utiliser la console de gestion Amazon DataZone .
Vous devez suivre les procédures suivantes afin de configurer les autorisations requises et/ou facultatives pour tout utilisateur, groupe ou rôle souhaitant utiliser la console de DataZone gestion Amazon.
Procédures de configuration IAM des autorisations d'utilisation de la console de gestion
- Associer des politiques obligatoires et facultatives à un utilisateur, un groupe ou un rôle pour accéder à DataZone la console Amazon
- Créez une politique personnalisée pour les IAM autorisations afin de permettre à la console de DataZone service Amazon de simplifier la création de rôles
- Créez une politique personnalisée pour les autorisations nécessaires à la gestion d'un compte associé à un DataZone domaine Amazon
- (Facultatif) Créez une politique personnalisée pour AWS Autorisations d'Identity Center pour ajouter et supprimer SSO l'accès des utilisateurs et des SSO groupes aux DataZone domaines Amazon
- (Facultatif) Ajoutez votre IAM principal en tant qu'utilisateur clé pour créer votre DataZone domaine Amazon à l'aide d'une clé gérée par le client depuis AWS Service de gestion des clés (KMS)
Associer des politiques obligatoires et facultatives à un utilisateur, un groupe ou un rôle pour accéder à DataZone la console Amazon
Procédez comme suit pour associer les politiques personnalisées obligatoires et facultatives à un utilisateur, un groupe ou un rôle. Pour de plus amples informations, veuillez consulter AWS politiques gérées pour Amazon DataZone.
-
Connectez-vous au AWS Console de gestion et ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez Politiques.
-
Choisissez les politiques suivantes à associer à votre utilisateur, à votre groupe ou à un rôle.
-
Dans la liste des politiques, cochez la case à côté de AmazonDataZoneFullAccess. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste de politiques. Pour de plus amples informations, veuillez consulter AWS politique gérée : AmazonDataZoneFullAccess.
-
-
Sélectionnez Actions, puis Attach (Attacher).
-
Choisissez l'utilisateur, le groupe ou le rôle auquel vous souhaitez associer la politique. Vous pouvez utiliser le menu Filtre et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur, le groupe ou le rôle, choisissez Attacher une politique.
Créez une politique personnalisée pour les IAM autorisations afin de permettre à la console de DataZone service Amazon de simplifier la création de rôles
Suivez la procédure suivante pour créer une politique en ligne personnalisée afin de disposer des autorisations nécessaires pour permettre DataZone à Amazon de créer les rôles nécessaires dans AWS console de gestion en votre nom.
-
Connectez-vous au AWS Console de gestion et ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation, choisissez Utilisateurs ou Groupes d'utilisateurs.
-
Dans la liste, sélectionnez le nom de l'utilisateur ou du groupe auquel intégrer une politique.
-
Sélectionnez l'onglet Autorisations et, si nécessaire, développez la section Politiques d'autorisations.
-
Choisissez Ajouter des autorisations et Créer un lien de politique intégré.
-
Sur l'écran Créer une politique, dans la section Éditeur de politiques, sélectionnez JSON.
Créez un document de stratégie contenant les JSON instructions suivantes, puis choisissez Next.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreateRole" ], "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ] }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AmazonDataZone*", "arn:aws:iam::*:policy/service-role/AmazonDataZone*" ] } } } ] } -
Sur l'écran Révision de la politique, entrez le nom de la politique. Lorsque vous êtes satisfait de la politique, sélectionnez Create policy (Créer une politique). Assurez-vous qu'aucune erreur ne s'affiche dans un cadre rouge en haut de l'écran. Corrigez les erreurs signalées.
Créez une politique personnalisée pour les autorisations nécessaires à la gestion d'un compte associé à un DataZone domaine Amazon
Effectuez la procédure suivante pour créer une politique en ligne personnalisée afin de disposer des autorisations nécessaires dans un AWS compte pour répertorier, accepter et rejeter les partages de ressources d'un domaine, puis activer, configurer et désactiver les plans d'environnement dans le compte associé. Pour activer la création de rôles simplifiée optionnelle sur la console de DataZone service Amazon disponible lors de la configuration du Blueprint, vous devez égalementCréez une politique personnalisée pour les IAM autorisations afin de permettre à la console de DataZone service Amazon de simplifier la création de rôles .
-
Connectez-vous au AWS Console de gestion et ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation, choisissez Utilisateurs ou Groupes d'utilisateurs.
-
Dans la liste, sélectionnez le nom de l'utilisateur ou du groupe auquel intégrer une politique.
-
Sélectionnez l'onglet Autorisations et, si nécessaire, développez la section Politiques d'autorisations.
-
Choisissez Ajouter des autorisations et Créer un lien de politique intégré.
-
Sur l'écran Créer une politique, dans la section Éditeur de politiques, sélectionnez JSON. Créez un document de stratégie contenant les JSON instructions suivantes, puis choisissez Next.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datazone:ListEnvironmentBlueprintConfigurations", "datazone:PutEnvironmentBlueprintConfiguration", "datazone:GetDomain", "datazone:ListDomains", "datazone:GetEnvironmentBlueprintConfiguration", "datazone:ListEnvironmentBlueprints", "datazone:GetEnvironmentBlueprint", "datazone:ListAccountEnvironments", "datazone:DeleteEnvironmentBlueprintConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AmazonDataZone*", "arn:aws:iam::*:policy/service-role/AmazonDataZone*" ] } } }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreateRole" ], "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ] }, { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ram:GetResourceShareInvitations" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::amazon-datazone*" } ] } -
Sur l'écran Révision de la politique, entrez le nom de la politique. Lorsque vous êtes satisfait de la politique, sélectionnez Create policy (Créer une politique). Assurez-vous qu'aucune erreur ne s'affiche dans un cadre rouge en haut de l'écran. Corrigez les erreurs signalées.
(Facultatif) Créez une politique personnalisée pour AWS Autorisations d'Identity Center pour ajouter et supprimer SSO l'accès des utilisateurs et des SSO groupes aux DataZone domaines Amazon
Suivez la procédure ci-dessous pour créer une politique en ligne personnalisée afin de disposer des autorisations nécessaires pour ajouter et supprimer SSO l'accès des utilisateurs et des SSO groupes à votre DataZone domaine Amazon.
-
Connectez-vous au AWS Console de gestion et ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation, choisissez Utilisateurs ou Groupes d'utilisateurs.
-
Dans la liste, sélectionnez le nom de l'utilisateur ou du groupe auquel intégrer une politique.
-
Sélectionnez l'onglet Autorisations et, si nécessaire, développez la section Politiques d'autorisations.
-
Choisissez Ajouter des autorisations et Créer une politique en ligne.
-
Sur l'écran Créer une politique, dans la section Éditeur de politiques, sélectionnez JSON.
Créez un document de stratégie contenant les JSON instructions suivantes, puis choisissez Next.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfiles", "sso:AssociateProfile", "sso:DisassociateProfile", "sso:GetProfile" ], "Resource": "*" } ] } -
Sur l'écran Révision de la politique, entrez le nom de la politique. Lorsque vous êtes satisfait de la politique, sélectionnez Create policy (Créer une politique). Assurez-vous qu'aucune erreur ne s'affiche dans un cadre rouge en haut de l'écran. Corrigez les erreurs signalées.
(Facultatif) Ajoutez votre IAM principal en tant qu'utilisateur clé pour créer votre DataZone domaine Amazon à l'aide d'une clé gérée par le client depuis AWS Service de gestion des clés (KMS)
Avant de pouvoir éventuellement créer votre DataZone domaine Amazon à l'aide d'une clé gérée par le client (CMK) à partir du AWS Service de gestion des clés (KMS), suivez la procédure suivante pour faire de votre IAM principal un utilisateur de votre KMS clé.
-
Connectez-vous au AWS Console de gestion et ouvrez la KMS console à l'adresse https://console.aws.amazon.com/kms/
. -
Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client.
-
Dans la liste des KMS clés, choisissez l'alias ou l'ID de clé de la KMS clé que vous souhaitez examiner.
-
Pour ajouter ou supprimer des utilisateurs clés, et pour autoriser ou interdire des utilisateurs externes AWS comptes pour utiliser la KMS clé, utilisez les commandes de la section Utilisateurs clés de la page. Les utilisateurs de clés peuvent utiliser la KMS clé dans des opérations cryptographiques, telles que le chiffrement, le déchiffrement, le rechiffrement et la génération de clés de données.
