Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politica gestita: AmazonDataZoneFullAccess
È possibile allegare la policy AmazonDataZoneFullAccess
alle identità IAM.
Questa politica fornisce l'accesso completo ad Amazon DataZone tramite AWS Management Console. Questa politica prevede anche le autorizzazioni per AWS KMS per i parametri SSM crittografati. La chiave KMS deve essere contrassegnata con EnableKeyForAmazonDataZone per consentire la decrittografia dei parametri SSM.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
datazone
— garantisce ai mandanti l'accesso completo ad Amazon DataZone tramite. AWS Management Console -
kms
— Consente ai responsabili di elencare gli alias, descrivere le chiavi e decrittografare le chiavi. -
s3
— Consente ai responsabili di scegliere i bucket S3 esistenti o di creare nuovi per archiviare i dati Amazon. DataZone -
ram
— Consente ai mandanti di condividere i DataZone domini Amazon tra. Account AWS -
iam
— Consente ai dirigenti di elencare e assegnare ruoli e ottenere politiche. -
sso
— Consente ai responsabili di ottenere le regioni in cui AWS IAM Identity Center è abilitato. -
secretsmanager
— Consente ai mandanti di creare, etichettare ed elencare segreti con un prefisso specifico. -
aoss
— Consente ai responsabili di creare e recuperare informazioni per OpenSearch le politiche di sicurezza Serverless. -
bedrock
— Consente ai responsabili di creare, elencare e recuperare informazioni per profili di inferenza e modelli di base. -
codeconnections
— Consente ai principali di eliminare, recuperare informazioni, elencare le connessioni e gestire i tag per le connessioni. -
codewhisperer
— Consente ai dirigenti di elencare i profili. CodeWhisperer -
ssm
— Consente ai principali di inserire, eliminare e recuperare informazioni per i parametri. -
redshift
— Consente ai responsabili di descrivere i cluster ed elencare i gruppi di lavoro senza server -
glue
— Consente ai dirigenti di accedere ai database.
Per vedere le autorizzazioni per questa policy, consulta AmazonDataZoneFullAccess nella Guida di riferimento sulle policy gestite da AWS .
Considerazioni e limitazioni relative alle politiche
Ci sono alcune funzionalità che la AmazonDataZoneFullAccess
politica non copre.
-
Se crei un DataZone dominio Amazon con la tua AWS KMS chiave, devi disporre delle autorizzazioni necessarie
kms:CreateGrant
affinché la creazione del dominio abbia successo ekms:GenerateDataKey
,kms:Decrypt
affinché quella chiave possa richiamare altri Amazon DataZone APIs comelistDataSources
and.createDataSource
Inoltre, devi disporre delle autorizzazioni perkms:CreateGrant
,kms:Decrypt
kms:GenerateDataKey
, ekms:DescribeKey
nella politica delle risorse di quella chiave.Se utilizzi la chiave KMS predefinita di proprietà del servizio, questa non è necessaria.
Per ulteriori informazioni, consulta AWS Key Management Service.
-
Se desideri utilizzare le funzionalità di creazione e aggiornamento dei ruoli all'interno della DataZone console Amazon, devi disporre dei privilegi di amministratore o disporre delle autorizzazioni IAM necessarie per creare ruoli IAM e creare/aggiornare le politiche. Le autorizzazioni richieste includono
iam:CreateRole
,, e autorizzazioni.iam:CreatePolicy
iam:CreatePolicyVersion
iam:DeletePolicyVersion
iam:AttachRolePolicy
-
Se crei un nuovo dominio in Amazon DataZone con l'accesso AWS IAM Identity Center degli utenti attivato o se lo attivi per un dominio esistente in Amazon DataZone, devi disporre delle autorizzazioni per quanto segue:
-
organizzazioni: DescribeOrganization
-
organizzazioni: ListDelegatedAdministrators
-
quindi: CreateInstance
-
sso: ListInstances
-
sso: GetSharedSsoConfiguration
-
sso: PutApplicationGrant
-
sso: PutApplicationAssignmentConfiguration
-
sso: PutApplicationAuthenticationMethod
-
sso: PutApplicationAccessScope
-
sso: CreateApplication
-
sso: DeleteApplication
-
sso: CreateApplicationAssignment
-
sso: DeleteApplicationAssignment
-
cartella sso: CreateUser
-
cartella sso: SearchUsers
-
sso: ListApplications
-
-
Per accettare una richiesta di associazione di AWS account su Amazon DataZone, devi disporre dell'
ram:AcceptResourceShareInvitation
autorizzazione. -
Se desideri creare la risorsa necessaria per la configurazione della rete di SageMaker Unified Studio, devi disporre delle autorizzazioni per la seguente politica e allegareAmazonVpcFullAccess :
-
Io sono: PassRole
-
formazione di nuvole: CreateStack
-