Autorizzazione in Amazon DataZone

L'interfaccia DataZone di Amazon è costituita da una console di gestione interna AWS e da un'applicazione Web esterna alla console (portale dati).

La console di DataZone gestione Amazon può essere utilizzata dagli AWS amministratori per top-level-resource APIs, tra cui la creazione e la gestione di domini, le associazioni di AWS account per questi domini e le fonti di dati per le quali desideri delegare la gestione degli accessi ad Amazon. DataZone Puoi utilizzare la console di DataZone gestione Amazon per gestire tutti i ruoli e la configurazione IAM necessari per delegare il controllo della gestione degli accessi al DataZone servizio Amazon per i relativi account configurati AWS in modo esplicito. Il portale DataZone dati Amazon è un'applicazione AWS Identity Center di prima parte per utenti SSO. Se abilitata, la console può essere utilizzata anche dai responsabili IAM autorizzati per la federazione nel portale dati anziché utilizzare un'identità SSO.

Il portale dati DataZone di Amazon è progettato per essere utilizzato principalmente dagli utenti autenticati da AWS IAM Identity Center per gestire l'accesso ai dati ed eseguire attività di pubblicazione, scoperta, sottoscrizione e analisi dei dati.

Autorizzazione nella DataZone console Amazon

Il modello di autorizzazione DataZone della console Amazon utilizza l'autorizzazione IAM. La console viene utilizzata dagli amministratori principalmente per la configurazione. Amazon DataZone utilizza il concetto di AWS account amministratore di dominio e AWS account membro e la console viene utilizzata da tutti questi account per creare relazioni di fiducia rispettando i confini AWS dell'organizzazione.

Autorizzazione nel DataZone portale Amazon

Il modello di autorizzazione del portale DataZone dati di Amazon è un ACL gerarchico con archetipi di ruolo statici (profili) che includono amministratori e visualizzatori. Ad esempio, gli utenti possono avere un profilo di amministratore o utente. A livello di dominio, possono avere come utente del dominio la designazione di proprietario dei dati. A livello di progetto, un utente può essere proprietario o collaboratore. Questi profili possono essere configurati in due tipi: utenti e gruppi. Questi profili vengono quindi associati a domini e progetti e lo stato di queste autorizzazioni viene memorizzato in una tabella di associazione.

All'interno di questo modello di autorizzazione, Amazon DataZone consente agli utenti di gestire le autorizzazioni di utenti e gruppi. Gli utenti gestiscono l'iscrizione ai progetti, richiedono l'iscrizione ai progetti e approvano le iscrizioni. Gli utenti pubblicano dati, si iscrivono ai dati e approvano le sottoscrizioni.

Gli utenti eseguono analisi dei dati in progetti specifici quando il loro client del portale dati richiede le credenziali di sessione IAM che Amazon DataZone genera in base al profilo effettivo dell'utente nel contesto specifico del progetto. Questa sessione riguarda sia le autorizzazioni dell'utente che le risorse specifiche del progetto. Gli utenti accedono quindi ad Athena o Redshift per interrogare i dati pertinenti e tutto il lavoro IAM sottostante viene completamente astratto.

DataZone Profili e ruoli Amazon

Una volta che un utente è autenticato, il contesto autenticato viene mappato a un ID del profilo utente. Questo profilo utente può avere più associazioni diverse (proprietario del progetto, amministratore di dominio, ecc.) che vengono utilizzate per autorizzare gli utenti. Ogni associazione (ad esempio, proprietario del progetto, amministratore di dominio, ecc.) dispone delle autorizzazioni per determinate attività in base al contesto. Ad esempio, un utente che dispone di un'associazione di amministratori di dominio può creare domini aggiuntivi, assegnare altri amministratori di dominio al dominio e creare modelli di progetto all'interno del proprio dominio. Il proprietario di un progetto può aggiungere o rimuovere membri del progetto e pubblicare risorse in un dominio.