Amazon DataZone コンソールにアクセスするためのユーザー、グループ、またはロールに必須およびオプションのポリシーをアタッチする IAM アクセス許可のカスタムポリシーを作成して、Amazon DataZone サービスコンソールのロール作成を簡素化する Amazon DataZone ドメインに関連付けられたアカウントを管理するアクセス許可のカスタムポリシーを作成する（オプション) AWS Identity Center アクセス許可のカスタムポリシーを作成して、ドメインのシングルサインオン (SSO) を有効にする（オプション) AWS Identity Center のアクセス許可のカスタムポリシーを作成して、Amazon DataZone ドメインへの SSO ユーザーおよび SSO グループのアクセスを追加および削除します。（オプション) IAM プリンシパルをキーユーザーとして追加し、 Key Management Service (KMS) のカスタマーマネージドキーを使用して Amazon AWS DataZone ドメインを作成します。

Amazon DataZone マネジメントコンソールを使用するために必要な IAM アクセス許可を設定する

Amazon DataZone マネジメントコンソールの使用を希望するユーザー、グループ、またはロールには、必要なアクセス許可が必要です。

トピック

Amazon DataZone コンソールにアクセスするためのユーザー、グループ、またはロールに必須およびオプションのポリシーをアタッチする
IAM アクセス許可のカスタムポリシーを作成して、Amazon DataZone サービスコンソールのロール作成を簡素化する
Amazon DataZone ドメインに関連付けられたアカウントを管理するアクセス許可のカスタムポリシーを作成する
（オプション) AWS Identity Center アクセス許可のカスタムポリシーを作成して、ドメインのシングルサインオン (SSO) を有効にする
（オプション) AWS Identity Center のアクセス許可のカスタムポリシーを作成して、Amazon DataZone ドメインへの SSO ユーザーおよび SSO グループのアクセスを追加および削除します。
（オプション) IAM プリンシパルをキーユーザーとして追加し、 Key Management Service (KMS) のカスタマーマネージドキーを使用して Amazon AWS DataZone ドメインを作成します。

Amazon DataZone コンソールにアクセスするためのユーザー、グループ、またはロールに必須およびオプションのポリシーをアタッチする

ユーザー、グループ、またはロールに必須およびオプションのカスタムポリシーをアタッチするには、以下の手順を実行します。詳細については、「AWS Amazon のマネージドポリシー DataZone」を参照してください。

AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。
ナビゲーションペインで、ポリシー を選択します。
ユーザー、グループ、またはロールにアタッチする次のポリシーを選択します。
- ポリシーのリストで、の横にあるチェックボックスをオンにしますAmazonDataZoneFullAccess。[Filter (フィルター)] メニューと検索ボックスを使用して、ポリシーのリストをフィルタリングできます。詳細については、「AWS 管理ポリシー: AmazonDataZoneFullAccess」を参照してください。
- （オプション) IAM アクセス許可のカスタムポリシーを作成して、Amazon DataZone サービスコンソールのロール作成を簡素化します。
- （オプション) AWS Identity Center アクセス許可のカスタムポリシーを作成して、ドメインのシングルサインオン (SSO) を有効にします。
- （オプション) Amazon DataZone ドメインに SSO ユーザーおよび SSO グループアクセスを追加および削除する AWS Identity Center アクセス許可のカスタムポリシーを作成します。
[Actions (アクション)] を選択し、[Attach (アタッチ)] を選択します。
ポリシーをアタッチするユーザー、グループ、またはロールを選択します。[Filter] メニューと検索ボックスを使用して、プリンシパルエンティティのリストをフィルタリングできます。ユーザー、グループ、またはロールを選択したら、ポリシーのアタッチ を選択します。

IAM アクセス許可のカスタムポリシーを作成して、Amazon DataZone サービスコンソールのロール作成を簡素化する

次の手順を実行して、カスタムインラインポリシーを作成し、Amazon がユーザーに代わってマネジメントコンソールで必要なロールを作成できるように DataZone するために必要なアクセス許可を付与します AWS 。

AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。
ナビゲーションペインで、[Users] (ユーザー) または [User groups] (ユーザーグループ) を選択します。
一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。
[Permissions (アクセス許可)] タブを選択して、必要であれば [Permissions policies (アクセス許可ポリシー)] セクションを展開します。
アクセス許可を追加 とインラインポリシーリンクの作成 を選択します。

「ポリシーの作成」画面の「ポリシーエディタ」セクションで、「JSON」を選択します。

次の JSON ステートメントを使用してポリシードキュメントを作成し、次へを選択します。



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy",
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/AmazonDataZone*",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::aws:policy/AmazonDataZone*",
                        "arn:aws:iam::*:policy/service-role/AmazonDataZone*"
                    ]
                }
            }
        }
    ]
}

ポリシーの確認 画面で、ポリシーの名前を入力します。ポリシーが完成したら、[Create policy (ポリシーの作成)] を選択します。画面上部の赤いボックスにエラーが表示されていないことを確認します。報告されたエラーがあれば、修正します。

Amazon DataZone ドメインに関連付けられたアカウントを管理するアクセス許可のカスタムポリシーを作成する

カスタムインラインポリシーを作成して、関連付けられた AWS アカウントでドメインのリソース共有を一覧表示、承認、拒否し、関連付けられたアカウントで環境ブループリントを有効、設定、および無効にするために必要なアクセス許可を付与するには、次の手順を実行します。ブループリント設定時に使用可能なオプションの Amazon DataZone サービスコンソールの簡易ロール作成を有効にするには、も必要ですIAM アクセス許可のカスタムポリシーを作成して、Amazon DataZone サービスコンソールのロール作成を簡素化する。

AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。
ナビゲーションペインで、[Users] (ユーザー) または [User groups] (ユーザーグループ) を選択します。
一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。
[Permissions (アクセス許可)] タブを選択して、必要であれば [Permissions policies (アクセス許可ポリシー)] セクションを展開します。
アクセス許可の追加 とインラインポリシーリンクの作成 を選択します。

「ポリシーの作成」画面の「ポリシーエディタ」セクションで、「JSON」を選択します。次の JSON ステートメントを使用してポリシードキュメントを作成し、次へを選択します。



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "datazone:ListEnvironmentBlueprintConfigurations",
                "datazone:PutEnvironmentBlueprintConfiguration",
                "datazone:GetDomain",
                "datazone:ListDomains",
                "datazone:GetEnvironmentBlueprintConfiguration",
                "datazone:ListEnvironmentBlueprints",
                "datazone:GetEnvironmentBlueprint",
                "datazone:ListAccountEnvironments",
                "datazone:DeleteEnvironmentBlueprintConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:role/AmazonDataZone",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:passedToService": "datazone.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::aws:policy/AmazonDataZone*",
                        "arn:aws:iam::*:policy/service-role/AmazonDataZone*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy",
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/AmazonDataZone*",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ram:GetResourceShareInvitations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:CreateBucket",
            "Resource": "arn:aws:s3:::amazon-datazone*"
        }
    ]
}

ポリシーの確認 画面で、ポリシーの名前を入力します。ポリシーが完成したら、[Create policy (ポリシーの作成)] を選択します。画面上部の赤いボックスにエラーが表示されていないことを確認します。報告されたエラーがあれば、修正します。

（オプション) AWS Identity Center アクセス許可のカスタムポリシーを作成して、ドメインのシングルサインオン (SSO) を有効にする

Amazon の AWS IAM Identity Center を使用してシングルサインオン (SSO) を有効にするために必要なアクセス許可を持つカスタムインラインポリシーを作成するには、以下の手順を実行します DataZone。

AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。
ナビゲーションペインで、[Users] (ユーザー) または [User groups] (ユーザーグループ) を選択します。
一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。
[Permissions (アクセス許可)] タブを選択して、必要であれば [Permissions policies (アクセス許可ポリシー)] セクションを展開します。
アクセス許可の追加 とインラインポリシーの作成を選択します。

「ポリシーの作成」画面の「ポリシーエディタ」セクションで、「JSON」を選択します。

次の JSON ステートメントを使用してポリシードキュメントを作成し、次へを選択します。



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:DeleteManagedApplicationInstance",
                "sso:CreateManagedApplicationInstance",
                "sso:PutApplicationAssignmentConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

ポリシーの確認 画面で、ポリシーの名前を入力します。ポリシーが完成したら、[Create policy (ポリシーの作成)] を選択します。画面上部の赤いボックスにエラーが表示されていないことを確認します。報告されたエラーがあれば、修正します。

（オプション) AWS Identity Center のアクセス許可のカスタムポリシーを作成して、Amazon DataZone ドメインへの SSO ユーザーおよび SSO グループのアクセスを追加および削除します。

以下の手順を実行して、カスタムインラインポリシーを作成し、Amazon DataZone ドメインへの SSO ユーザーおよび SSO グループアクセスを追加および削除するのに必要なアクセス許可を付与します。

AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。
ナビゲーションペインで、[Users] (ユーザー) または [User groups] (ユーザーグループ) を選択します。
一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。
[Permissions (アクセス許可)] タブを選択して、必要であれば [Permissions policies (アクセス許可ポリシー)] セクションを展開します。
アクセス許可の追加 とインラインポリシーの作成を選択します。

「ポリシーの作成」画面の「ポリシーエディタ」セクションで、「JSON」を選択します。

次の JSON ステートメントを使用してポリシードキュメントを作成し、次へを選択します。



{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sso:GetManagedApplicationInstance",
        "sso:ListProfiles",
        "sso:GetProfiles",
        "sso:AssociateProfile",
        "sso:DisassociateProfile",
        "sso:GetProfile"
      ],
      "Resource": "*"
    }
  ]
}

ポリシーの確認 画面で、ポリシーの名前を入力します。ポリシーが完成したら、[Create policy (ポリシーの作成)] を選択します。画面上部の赤いボックスにエラーが表示されていないことを確認します。報告されたエラーがあれば、修正します。

（オプション) IAM プリンシパルをキーユーザーとして追加し、 Key Management Service (KMS) のカスタマーマネージドキーを使用して Amazon AWS DataZone ドメインを作成します。

オプションで Key Management Service (KMS) のカスタマーマネージドキー (CMK) を使用して Amazon AWS DataZone ドメインを作成する前に、次の手順を実行して IAM プリンシパルを KMS キーのユーザーにします。

AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/kms/ で KMS コンソールを開きます。
ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。
KMS キーのリストで、確認する KMS キーのエイリアスまたはキー ID を選択します。
キーユーザーを追加または削除し、外部 AWS アカウントに KMS キーの使用を許可または禁止するには、ページの「キーユーザー」セクションのコントロールを使用します。キーユーザーは、データキーの暗号化、復号、再暗号化、生成などの暗号化オペレーションで KMS キーを使用できます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS アカウントにサインアップする

Amazon DataZone データポータルを使用するために必要な IAM アクセス許可を設定する