Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politique gérée : AmazonDataZoneFullAccess
Vous pouvez associer la AmazonDataZoneFullAccess politique à votre IAM identité.
Cette politique fournit un accès complet à Amazon DataZone via le AWS Management Console.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
-
datazone— accorde aux principaux un accès complet à Amazon DataZone via le AWS Management Console. -
kms— Permet aux principaux de répertorier les alias et de décrire les clés. -
s3— Permet aux principaux de choisir des compartiments S3 existants ou d'en créer de nouveaux pour stocker les données Amazon DataZone . -
ram— Permet aux principaux de partager des DataZone domaines Comptes AWS Amazon entre eux. -
iam— Permet aux directeurs de répertorier et de transmettre des rôles et d'obtenir des politiques. -
sso— Permet aux principaux d'obtenir les régions où cette option AWS IAM Identity Center est activée. -
secretsmanager— Permet aux principaux de créer, de baliser et de répertorier des secrets avec un préfixe spécifique.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonDataZoneStatement", "Effect": "Allow", "Action": [ "datazone:*" ], "Resource": [ "*" ] }, { "Sid": "ReadOnlyStatement", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases", "iam:ListRoles", "sso:DescribeRegisteredRegions", "s3:ListAllMyBuckets", "redshift:DescribeClusters", "redshift-serverless:ListWorkgroups", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "secretsmanager:ListSecrets" ], "Resource": [ "*" ] }, { "Sid": "BucketReadOnlyStatement", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "CreateBucketStatement", "Effect": "Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::amazon-datazone*" }, { "Sid": "RamCreateResourceStatement", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "datazone:Domain" } } }, { "Sid": "RamResourceStatement", "Effect": "Allow", "Action": [ "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:RejectResourceShareInvitation" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "DataZone*" ] } } }, { "Sid": "RamResourceReadOnlyStatement", "Effect": "Allow", "Action": [ "ram:GetResourceShares", "ram:GetResourceShareInvitations", "ram:GetResourceShareAssociations", "ram:ListResourceSharePermissions" ], "Resource": "*" }, { "Sid": "IAMPassRoleStatement", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Sid": "IAMGetPolicyStatement", "Effect": "Allow", "Action": "iam:GetPolicy", "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZoneRedshiftAccessPolicy*" ] }, { "Sid": "DataZoneTagOnCreateDomainProjectTags", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain", "AmazonDataZoneProject" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "DataZoneTagOnCreate", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "CreateSecretStatement", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*" } } } ] }
Considérations et limites relatives aux politiques
Certaines fonctionnalités ne sont pas couvertes par la AmazonDataZoneFullAccess politique.
-
Si vous créez un DataZone domaine Amazon avec votre propre AWS KMS clé, vous devez disposer des autorisations nécessaires
kms:CreateGrantpour que la création du domaine réussisse, etkms:Decryptpour que cette clé puisse invoquer d'autres Amazonkms:GenerateDataKey, DataZone APIs tels quelistDataSourcesetcreateDataSource. Et vous devez également disposer des autorisations nécessaires pourkms:CreateGrantkms:Decrypt,kms:GenerateDataKey, etkms:DescribeKeydans la politique de ressources de cette clé.Si vous utilisez la KMS clé appartenant au service par défaut, cela n'est pas obligatoire.
Pour plus d’informations, consultez AWS Key Management Service.
-
Si vous souhaitez utiliser les fonctionnalités de création et de mise à jour de rôles dans la DataZone console Amazon, vous devez disposer des privilèges d'administrateur ou des IAM autorisations requises pour créer des IAM rôles et créer/mettre à jour des politiques. Les autorisations requises incluent
iam:CreateRole,iam:CreatePolicy,iam:CreatePolicyVersioniam:DeletePolicyVersion, etiam:AttachRolePolicyles autorisations. -
Si vous créez un nouveau domaine sur Amazon DataZone avec la connexion des AWS IAM Identity Center utilisateurs activée, ou si vous l'activez pour un domaine existant sur Amazon DataZone, vous devez disposer des autorisations suivantes :
sso:CreateManagedApplicationInstance,sso:DeleteManagedApplicationInstance, etsso:PutApplicationAssignmentConfiguration. -
Pour accepter une demande d'association de AWS compte sur Amazon DataZone, vous devez en avoir l'
ram:AcceptResourceShareInvitationautorisation.
