Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisation sur Amazon DataZone
L'interface DataZone d'Amazon se compose d'une console de gestion intégrée à la console AWS et d'une application Web hors console (portail de données).
La console DataZone de gestion Amazon peut être utilisée par AWS les administrateurs top-level-resource APIs, notamment pour créer et gérer des domaines, des associations de AWS comptes pour ces domaines et des sources de données pour lesquelles vous souhaitez déléguer la gestion des accès à Amazon DataZone. Vous pouvez utiliser la console de DataZone gestion Amazon pour gérer tous les rôles IAM et toutes les configurations nécessaires pour déléguer le contrôle de gestion des accès au DataZone service Amazon pour leurs AWS comptes configurés de manière explicite. Le portail de DataZone données Amazon est une application de centre d' AWS identité propriétaire destinée aux utilisateurs du SSO. Si elle est activée, la console peut également être utilisée par les principaux IAM autorisés pour se fédérer dans le portail de données au lieu d'utiliser une identité SSO.
Le portail DataZone de données d'Amazon est principalement conçu pour être utilisé par les utilisateurs authentifiés par l' AWS IAM Identity Center afin de gérer l'accès aux données et d'effectuer des tâches de publication, de découverte, d'abonnement et d'analyse des données.
Autorisation dans la DataZone console Amazon
Le modèle d'autorisation de DataZone la console Amazon utilise l'autorisation IAM. La console est principalement utilisée par les administrateurs pour la configuration. Amazon DataZone utilise le concept d'un AWS compte d'administrateur de domaine et de AWS comptes de membres, et la console est utilisée à partir de tous ces comptes pour établir des relations de confiance tout en respectant les limites de AWS l'organisation.
Autorisation sur le DataZone portail Amazon
Le modèle d'autorisation du portail de DataZone données Amazon est une ACL hiérarchique avec des archétypes de rôles statiques (profils) qui incluent les administrateurs et les utilisateurs. Par exemple, les utilisateurs peuvent avoir un profil d'administrateur ou d'utilisateur. Au niveau d'un domaine, ils peuvent avoir une désignation d'utilisateur du domaine en tant que propriétaire des données. Au niveau d'un projet, un utilisateur peut être propriétaire ou contributeur. Ces profils peuvent être configurés de deux types : utilisateurs et groupes. Ces profils sont ensuite associés à des domaines et à des projets, et l'état de ces autorisations est stocké dans une table d'association.
Dans le cadre de ce modèle d'autorisation, Amazon DataZone permet aux utilisateurs de gérer les autorisations des utilisateurs et des groupes. Les utilisateurs gèrent l'adhésion aux projets, demandent l'adhésion aux projets et approuvent les adhésions. Les utilisateurs publient des données, s'abonnent aux données et approuvent les abonnements.
Les utilisateurs effectuent des analyses de données dans le cadre de projets spécifiques lorsque le client de leur portail de données demande des informations d'identification de session IAM qu'Amazon DataZone génère en fonction du profil effectif de l'utilisateur dans le contexte du projet spécifique. Cette session est limitée à la fois aux autorisations de l'utilisateur et aux ressources spécifiques du projet. Les utilisateurs se rendent ensuite sur Athena ou Redshift pour rechercher les données pertinentes, et tout le travail IAM sous-jacent est complètement abstrait.
DataZone Profils et rôles Amazon
Une fois qu'un utilisateur est authentifié, le contexte authentifié correspond à un ID de profil utilisateur. Ce profil utilisateur peut comporter plusieurs associations différentes (propriétaire du projet, administrateur de domaine, etc.) utilisées pour autoriser les utilisateurs. Chaque association (par exemple, propriétaire du projet, administrateur de domaine, etc.) dispose d'autorisations pour certaines activités en fonction du contexte. Par exemple, un utilisateur qui possède une association d'administrateurs de domaine peut créer des domaines supplémentaires, affecter d'autres administrateurs de domaine au domaine et créer des modèles de projet au sein de son domaine. Un propriétaire de projet peut ajouter ou supprimer des membres pour son projet et publier des actifs dans un domaine.
