AWS politica gestita: AmazonDataZoneFullAccess - Amazon DataZone

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politica gestita: AmazonDataZoneFullAccess

È possibile allegare la policy AmazonDataZoneFullAccess alle identità IAM.

Questa politica fornisce l'accesso completo ad Amazon DataZone tramite AWS Management Console. Questa politica prevede anche le autorizzazioni per AWS KMS per i parametri SSM crittografati. La chiave KMS deve essere contrassegnata con EnableKeyForAmazonDataZone per consentire la decrittografia dei parametri SSM.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • datazone— garantisce ai mandanti l'accesso completo ad Amazon DataZone tramite. AWS Management Console

  • kms— Consente ai responsabili di elencare gli alias, descrivere le chiavi e decrittografare le chiavi.

  • s3— Consente ai responsabili di scegliere i bucket S3 esistenti o di creare nuovi per archiviare i dati Amazon. DataZone

  • ram— Consente ai mandanti di condividere i DataZone domini Amazon tra. Account AWS

  • iam— Consente ai dirigenti di elencare e assegnare ruoli e ottenere politiche.

  • sso— Consente ai responsabili di ottenere le regioni in cui AWS IAM Identity Center è abilitato.

  • secretsmanager— Consente ai mandanti di creare, etichettare ed elencare segreti con un prefisso specifico.

  • aoss— Consente ai responsabili di creare e recuperare informazioni per OpenSearch le politiche di sicurezza Serverless.

  • bedrock— Consente ai responsabili di creare, elencare e recuperare informazioni per profili di inferenza e modelli di base.

  • codeconnections— Consente ai principali di eliminare, recuperare informazioni, elencare le connessioni e gestire i tag per le connessioni.

  • codewhisperer— Consente ai dirigenti di elencare i profili. CodeWhisperer

  • ssm— Consente ai principali di inserire, eliminare e recuperare informazioni per i parametri.

  • redshift— Consente ai responsabili di descrivere i cluster ed elencare i gruppi di lavoro senza server

  • glue— Consente ai dirigenti di accedere ai database.

Per vedere le autorizzazioni per questa policy, consulta AmazonDataZoneFullAccess nella Guida di riferimento sulle policy gestite da AWS .

Considerazioni e limitazioni relative alle politiche

Ci sono alcune funzionalità che la AmazonDataZoneFullAccess politica non copre.

  • Se crei un DataZone dominio Amazon con la tua AWS KMS chiave, devi disporre delle autorizzazioni necessarie kms:CreateGrant affinché la creazione del dominio abbia successo ekms:GenerateDataKey, kms:Decrypt affinché quella chiave possa richiamare altri Amazon DataZone APIs come listDataSources and. createDataSource Inoltre, devi disporre delle autorizzazioni perkms:CreateGrant, kms:Decryptkms:GenerateDataKey, e kms:DescribeKey nella politica delle risorse di quella chiave.

    Se utilizzi la chiave KMS predefinita di proprietà del servizio, questa non è necessaria.

    Per ulteriori informazioni, consulta AWS Key Management Service.

  • Se desideri utilizzare le funzionalità di creazione e aggiornamento dei ruoli all'interno della DataZone console Amazon, devi disporre dei privilegi di amministratore o disporre delle autorizzazioni IAM necessarie per creare ruoli IAM e creare/aggiornare le politiche. Le autorizzazioni richieste includonoiam:CreateRole,, e autorizzazioni. iam:CreatePolicy iam:CreatePolicyVersion iam:DeletePolicyVersion iam:AttachRolePolicy

  • Se crei un nuovo dominio in Amazon DataZone con l'accesso AWS IAM Identity Center degli utenti attivato o se lo attivi per un dominio esistente in Amazon DataZone, devi disporre delle autorizzazioni per quanto segue:

    • organizzazioni: DescribeOrganization

    • organizzazioni: ListDelegatedAdministrators

    • quindi: CreateInstance

    • sso: ListInstances

    • sso: GetSharedSsoConfiguration

    • sso: PutApplicationGrant

    • sso: PutApplicationAssignmentConfiguration

    • sso: PutApplicationAuthenticationMethod

    • sso: PutApplicationAccessScope

    • sso: CreateApplication

    • sso: DeleteApplication

    • sso: CreateApplicationAssignment

    • sso: DeleteApplicationAssignment

    • cartella sso: CreateUser

    • cartella sso: SearchUsers

    • sso: ListApplications

  • Per accettare una richiesta di associazione di AWS account su Amazon DataZone, devi disporre dell'ram:AcceptResourceShareInvitationautorizzazione.

  • Se desideri creare la risorsa necessaria per la configurazione della rete di SageMaker Unified Studio, devi disporre delle autorizzazioni per la seguente politica e allegareAmazonVpcFullAccess :

    • Io sono: PassRole

    • formazione di nuvole: CreateStack