翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon DataZone マネジメントコンソールを使用するために必要な IAM アクセス許可を設定する
Amazon DataZone マネジメントコンソールの使用を希望するユーザー、グループ、またはロールには、必要なアクセス許可が必要です。
トピック
- Amazon DataZone コンソールにアクセスするためのユーザー、グループ、またはロールに必須およびオプションのポリシーをアタッチする
- IAM アクセス許可のカスタムポリシーを作成して、Amazon DataZone サービスコンソールのロール作成を簡素化する
- Amazon DataZone ドメインに関連付けられたアカウントを管理するアクセス許可のカスタムポリシーを作成する
- (オプション) AWS Identity Center アクセス許可のカスタムポリシーを作成して、ドメインのシングルサインオン (SSO) を有効にする
- (オプション) AWS Identity Center のアクセス許可のカスタムポリシーを作成して、Amazon DataZone ドメインへの SSO ユーザーおよび SSO グループのアクセスを追加および削除します。
- (オプション) IAM プリンシパルをキーユーザーとして追加し、 Key Management Service (KMS) のカスタマーマネージドキーを使用して Amazon AWS DataZone ドメインを作成します。
Amazon DataZone コンソールにアクセスするためのユーザー、グループ、またはロールに必須およびオプションのポリシーをアタッチする
ユーザー、グループ、またはロールに必須およびオプションのカスタムポリシーをアタッチするには、以下の手順を実行します。詳細については、「AWS Amazon の マネージドポリシー DataZone」を参照してください。
-
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/
で IAM コンソールを開きます。 -
ナビゲーションペインで、ポリシー を選択します。
-
ユーザー、グループ、またはロールにアタッチする次のポリシーを選択します。
-
ポリシーのリストで、 の横にあるチェックボックスをオンにしますAmazonDataZoneFullAccess。[Filter (フィルター)] メニューと検索ボックスを使用して、ポリシーのリストをフィルタリングできます。詳細については、「AWS 管理ポリシー: AmazonDataZoneFullAccess」を参照してください。
-
(オプション) IAM アクセス許可のカスタムポリシーを作成して、Amazon DataZone サービスコンソールのロール作成を簡素化します。
-
(オプション) AWS Identity Center アクセス許可のカスタムポリシーを作成して、ドメインのシングルサインオン (SSO) を有効にします。
-
-
[Actions (アクション)] を選択し、[Attach (アタッチ)] を選択します。
-
ポリシーをアタッチするユーザー、グループ、またはロールを選択します。[Filter] メニューと検索ボックスを使用して、プリンシパルエンティティのリストをフィルタリングできます。ユーザー、グループ、またはロールを選択したら、ポリシーのアタッチ を選択します。
IAM アクセス許可のカスタムポリシーを作成して、Amazon DataZone サービスコンソールのロール作成を簡素化する
次の手順を実行して、カスタムインラインポリシーを作成し、Amazon がユーザーに代わって マネジメントコンソールで必要なロールを作成できるように DataZone するために必要なアクセス許可を付与します AWS 。
-
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/
で IAM コンソールを開きます。 -
ナビゲーションペインで、[Users] (ユーザー) または [User groups] (ユーザーグループ) を選択します。
-
一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。
-
[Permissions (アクセス許可)] タブを選択して、必要であれば [Permissions policies (アクセス許可ポリシー)] セクションを展開します。
-
アクセス許可を追加 とインラインポリシーリンクの作成 を選択します。
-
「ポリシーの作成」画面の「ポリシーエディタ」セクションで、「JSON」を選択します。
次の JSON ステートメントを使用してポリシードキュメントを作成し、次へ を選択します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreateRole" ], "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ] }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AmazonDataZone*", "arn:aws:iam::*:policy/service-role/AmazonDataZone*" ] } } } ] }
-
ポリシーの確認 画面で、ポリシーの名前を入力します。ポリシーが完成したら、[Create policy (ポリシーの作成)] を選択します。画面上部の赤いボックスにエラーが表示されていないことを確認します。報告されたエラーがあれば、修正します。
Amazon DataZone ドメインに関連付けられたアカウントを管理するアクセス許可のカスタムポリシーを作成する
カスタムインラインポリシーを作成して、関連付けられた AWS アカウントでドメインのリソース共有を一覧表示、承認、拒否し、関連付けられたアカウントで環境ブループリントを有効、設定、および無効にするために必要なアクセス許可を付与するには、次の手順を実行します。ブループリント設定時に使用可能なオプションの Amazon DataZone サービスコンソールの簡易ロール作成を有効にするには、 も必要ですIAM アクセス許可のカスタムポリシーを作成して、Amazon DataZone サービスコンソールのロール作成を簡素化する 。
-
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/
で IAM コンソールを開きます。 -
ナビゲーションペインで、[Users] (ユーザー) または [User groups] (ユーザーグループ) を選択します。
-
一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。
-
[Permissions (アクセス許可)] タブを選択して、必要であれば [Permissions policies (アクセス許可ポリシー)] セクションを展開します。
-
アクセス許可の追加 とインラインポリシーリンクの作成 を選択します。
-
「ポリシーの作成」画面の「ポリシーエディタ」セクションで、「JSON」を選択します。次の JSON ステートメントを使用してポリシードキュメントを作成し、次へ を選択します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "datazone:ListEnvironmentBlueprintConfigurations", "datazone:PutEnvironmentBlueprintConfiguration", "datazone:GetDomain", "datazone:ListDomains", "datazone:GetEnvironmentBlueprintConfiguration", "datazone:ListEnvironmentBlueprints", "datazone:GetEnvironmentBlueprint", "datazone:ListAccountEnvironments", "datazone:DeleteEnvironmentBlueprintConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*", "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AmazonDataZone*", "arn:aws:iam::*:policy/service-role/AmazonDataZone*" ] } } }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreatePolicy", "iam:CreateRole" ], "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ] }, { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ram:GetResourceShareInvitations" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::amazon-datazone*" } ] }
-
ポリシーの確認 画面で、ポリシーの名前を入力します。ポリシーが完成したら、[Create policy (ポリシーの作成)] を選択します。画面上部の赤いボックスにエラーが表示されていないことを確認します。報告されたエラーがあれば、修正します。
(オプション) AWS Identity Center アクセス許可のカスタムポリシーを作成して、ドメインのシングルサインオン (SSO) を有効にする
Amazon の AWS IAM Identity Center を使用してシングルサインオン (SSO) を有効にするために必要なアクセス許可を持つカスタムインラインポリシーを作成するには、以下の手順を実行します DataZone。
-
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/
で IAM コンソールを開きます。 -
ナビゲーションペインで、[Users] (ユーザー) または [User groups] (ユーザーグループ) を選択します。
-
一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。
-
[Permissions (アクセス許可)] タブを選択して、必要であれば [Permissions policies (アクセス許可ポリシー)] セクションを展開します。
-
アクセス許可の追加 とインラインポリシーの作成 を選択します。
-
「ポリシーの作成」画面の「ポリシーエディタ」セクションで、「JSON」を選択します。
次の JSON ステートメントを使用してポリシードキュメントを作成し、次へ を選択します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:DeleteManagedApplicationInstance", "sso:CreateManagedApplicationInstance", "sso:PutApplicationAssignmentConfiguration" ], "Resource": "*" } ] }
-
ポリシーの確認 画面で、ポリシーの名前を入力します。ポリシーが完成したら、[Create policy (ポリシーの作成)] を選択します。画面上部の赤いボックスにエラーが表示されていないことを確認します。報告されたエラーがあれば、修正します。
(オプション) AWS Identity Center のアクセス許可のカスタムポリシーを作成して、Amazon DataZone ドメインへの SSO ユーザーおよび SSO グループのアクセスを追加および削除します。
以下の手順を実行して、カスタムインラインポリシーを作成し、Amazon DataZone ドメインへの SSO ユーザーおよび SSO グループアクセスを追加および削除するのに必要なアクセス許可を付与します。
-
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/
で IAM コンソールを開きます。 -
ナビゲーションペインで、[Users] (ユーザー) または [User groups] (ユーザーグループ) を選択します。
-
一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。
-
[Permissions (アクセス許可)] タブを選択して、必要であれば [Permissions policies (アクセス許可ポリシー)] セクションを展開します。
-
アクセス許可の追加 とインラインポリシーの作成 を選択します。
-
「ポリシーの作成」画面の「ポリシーエディタ」セクションで、「JSON」を選択します。
次の JSON ステートメントを使用してポリシードキュメントを作成し、次へ を選択します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfiles", "sso:AssociateProfile", "sso:DisassociateProfile", "sso:GetProfile" ], "Resource": "*" } ] }
-
ポリシーの確認 画面で、ポリシーの名前を入力します。ポリシーが完成したら、[Create policy (ポリシーの作成)] を選択します。画面上部の赤いボックスにエラーが表示されていないことを確認します。報告されたエラーがあれば、修正します。
(オプション) IAM プリンシパルをキーユーザーとして追加し、 Key Management Service (KMS) のカスタマーマネージドキーを使用して Amazon AWS DataZone ドメインを作成します。
オプションで Key Management Service (KMS) のカスタマーマネージドキー (CMK) を使用して Amazon AWS DataZone ドメインを作成する前に、次の手順を実行して IAM プリンシパルを KMS キーのユーザーにします。
-
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/kms/
で KMS コンソールを開きます。 -
ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。
-
KMS キーのリストで、確認する KMS キーのエイリアスまたはキー ID を選択します。
-
キーユーザーを追加または削除し、外部 AWS アカウントに KMS キーの使用を許可または禁止するには、ページの「キーユーザー」セクションのコントロールを使用します。キーユーザーは、データキーの暗号化、復号、再暗号化、生成などの暗号化オペレーションで KMS キーを使用できます。