Amazon DataZone での認証

Amazon DataZone のインターフェイスは、 内のマネジメントコンソール AWS とコンソール外のウェブアプリケーション (データポータル) で構成されます。

Amazon DataZone マネジメントコンソールは、 AWS 管理者がtop-level-resource APIs に使用できます。これには、ドメインの作成と管理、これらのドメインの AWS アカウントの関連付け、Amazon DataZone にアクセス管理を委任するデータソースが含まれます。Amazon DataZone マネジメントコンソールを使用して、明示的に設定された AWS アカウントの Amazon DataZone サービスにアクセス管理コントロールを委任するために必要なすべての IAM ロールと設定を管理できます。Amazon DataZone データポータルは、SSO ユーザー向けのファーストパーティ AWS の Identity Center アプリケーションです。有効にすると、SSO アイデンティティを使用する代わりに、承認された IAM プリンシパルでコンソールを使用して、データポータルにフェデレートすることができます。

Amazon DataZone のデータポータルは、データへのアクセスを管理し、データの公開、検出、サブスクリプション、分析タスクを実行するために、 AWS IAM アイデンティティセンターで認証されたユーザーが主に使用するように設計されています。

Amazon DataZone コンソールでの承認

Amazon DataZone コンソール承認モデルは IAM 承認を使用します。コンソールは、主にセットアップのために管理者が使用します。Amazon DataZone はドメイン管理者 AWS アカウントとメンバー AWS アカウントの概念を使用し、コンソールはこれらのすべてのアカウントから使用され、 AWS 組織の境界を尊重しながら信頼関係を構築します。

Amazon DataZone ポータルでの承認

Amazon DataZone データポータル承認モデルは、管理者とビューワーを含む静的ロールアーキタイプ (プロファイル) を持つ階層 ACL です。例えば、ユーザーは管理者またはユーザーのプロファイルを持つことができます。ドメインのレベルでは、データ所有者のドメインユーザーの指定がある場合があります。プロジェクトのレベルでは、ユーザーは所有者または共同作成者になることができます。これらのプロファイルは、ユーザーとグループの 2 つのタイプのいずれかとして設定できます。その後、これらのプロファイルはドメインとプロジェクトに関連付けられ、これらのアクセス許可の状態は関連付けテーブルに保存されます。

Amazon DataZone では、ユーザーがこの承認モデル内でユーザーおよびグループのアクセス許可を管理できます。ユーザーは、プロジェクトメンバーシップの管理、プロジェクトへのメンバーシップのリクエスト、メンバーシップの承認を行います。ユーザーはデータを発行し、データをサブスクライブして、サブスクリプションを承認します。

ユーザーは、Amazon DataZone が特定のプロジェクトコンテキストにおいて、ユーザーの有効なプロファイルに基づいて生成する IAM セッション認証情報を、データポータルクライアントがリクエストしたときに、特定のプロジェクトでデータ分析を実行します。このセッションは、ユーザーのアクセス許可と特定のプロジェクトのリソースの両方を対象としています。次に、ユーザーは Athena または Redshift にドロップして関連データをクエリすると、基盤となるすべての IAM 動作が完全に抽象化されます。

Amazon DataZone プロファイルとロール

ユーザーが認証されると、認証されたコンテキストはユーザープロファイル ID にマッピングされます。このユーザープロファイルには、ユーザーの承認に使用される複数の異なる関連付け (プロジェクト所有者、ドメイン管理者など) を含めることができます。各関連付け (プロジェクト所有者、ドメイン管理者など) には、コンテキストに基づく特定のアクティビティに対するアクセス許可があります。例えば、ドメイン管理者の関連付けを持つユーザーは、追加のドメインを作成し、他のドメイン管理者をドメインに割り当て、ドメイン内にプロジェクトテンプレートを作成できます。プロジェクト所有者は、プロジェクトのプロジェクトメンバーを追加または削除し、アセットをドメインに発行できます。