Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Otorisasi di Amazon DataZone
Antarmuka DataZone Amazon terdiri dari konsol manajemen di dalam AWS dan aplikasi web off-console (portal data).
Konsol DataZone manajemen Amazon dapat digunakan oleh AWS administrator untuk top-level-resource APIs, termasuk membuat dan mengelola domain, asosiasi AWS akun untuk domain ini, dan sumber data yang ingin Anda delegasikan manajemen akses ke Amazon. DataZone Anda dapat menggunakan konsol DataZone manajemen Amazon untuk mengelola semua peran dan konfigurasi IAM yang diperlukan untuk mendelegasikan kontrol manajemen akses ke DataZone layanan Amazon untuk akun yang dikonfigurasi secara eksplisit. AWS Portal DataZone data Amazon adalah aplikasi Pusat AWS Identitas pihak pertama untuk pengguna SSO. Jika diaktifkan, konsol juga dapat digunakan oleh prinsipal IAM resmi untuk bergabung ke portal data alih-alih menggunakan identitas SSO.
Portal data DataZone Amazon dirancang untuk digunakan terutama oleh pengguna yang diautentikasi AWS IAM Identity Center untuk mengelola akses ke data dan melakukan tugas penerbitan data, penemuan, berlangganan, dan analitik.
Otorisasi di konsol Amazon DataZone
Model otorisasi DataZone konsol Amazon menggunakan otorisasi IAM. Konsol digunakan oleh administrator terutama untuk pengaturan. Amazon DataZone menggunakan konsep AWS akun administrator domain, dan AWS akun anggota, dan konsol digunakan dari semua akun ini untuk membangun hubungan kepercayaan sambil menghormati batasan AWS Organisasi.
Otorisasi di portal Amazon DataZone
Model otorisasi portal DataZone data Amazon adalah ACL hierarkis dengan arketipe peran statis (profil) yang mencakup administrator dan pemirsa. Misalnya, pengguna dapat memiliki profil administrator atau pengguna. Pada tingkat domain, mereka mungkin memiliki penunjukan pengguna domain pemilik data. Pada tingkat proyek, pengguna dapat menjadi pemilik atau kontributor. Profil ini dapat dikonfigurasi sebagai salah satu dari dua jenis: pengguna dan grup. Profil ini kemudian dikaitkan dengan domain dan proyek, dan status untuk izin ini disimpan dalam tabel asosiasi.
Dalam model otorisasi ini, Amazon DataZone memungkinkan pengguna untuk mengelola izin pengguna dan grup. Pengguna mengelola keanggotaan proyek, meminta keanggotaan proyek, dan menyetujui keanggotaan. Pengguna mempublikasikan data, berlangganan data, dan menyetujui langganan.
Pengguna melakukan analisis data dalam proyek tertentu ketika klien portal data mereka meminta kredensional sesi IAM yang DataZone dihasilkan Amazon berdasarkan profil efektif pengguna dalam konteks proyek tertentu. Sesi ini mencakup izin pengguna dan juga sumber daya proyek tertentu. Pengguna kemudian mampir ke Athena atau Redshift untuk menanyakan data yang relevan, dan semua pekerjaan IAM yang mendasarinya sepenuhnya diabstraksikan.
DataZone Profil dan peran Amazon
Setelah pengguna diautentikasi, konteks yang diautentikasi akan dipetakan ke ID profil pengguna. Profil pengguna ini dapat memiliki beberapa asosiasi yang berbeda (pemilik proyek, administrator domain, dll.) Yang digunakan untuk mengotorisasi pengguna. Setiap asosiasi (misalnya, pemilik proyek, administrator domain, dll.) memiliki izin untuk aktivitas tertentu berdasarkan konteksnya. Misalnya, pengguna yang memiliki asosiasi admin domain dapat membuat domain tambahan, dapat menetapkan administrator domain lain ke domain, dan dapat membuat templat proyek dalam domain mereka. Pemilik proyek dapat menambah atau menghapus anggota proyek untuk proyek mereka, dan mempublikasikan aset ke domain.
