AWS 管理ポリシー: AmazonDataZoneEnvironmentRolePermissionsBoundary

注記

このポリシーはアクセス許可の境界です。アクセス許可の境界で、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Amazon DataZone アクセス許可の境界ポリシーは、自分で使用したりアタッチすることはできません。Amazon DataZone アクセス許可の境界ポリシーは、Amazon DataZone マネージドロールにのみアタッチされる必要があります。アクセス許可の境界の詳細については、「IAM ユーザーガイド」の「IAM エンティティのアクセス許可の境界」を参照してください。

Amazon DataZone データポータルを使用して環境を作成すると、Amazon DataZone はこのアクセス許可の境界を、環境の作成時に生成される IAM ロールに適用します。アクセス許可の境界により、Amazon DataZone が作成するロールとユーザーが作成するロールの範囲が制限されます。

Amazon DataZone は、AmazonDataZoneEnvironmentRolePermissionsBoundary マネージドポリシーを使用して、アタッチされているプロビジョニングされた IAM プリンシパルを制限します。プリンシパルは、Amazon DataZone がインタラクティブエンタープライズユーザーや分析サービス (AWS Glueなど) に代わって引き受けることができるユーザーロールという形を取り、Amazon S3 からの読み取りおよび書き込みや AWS Glue クローラーの実行などの、データ処理アクションを実行する場合があります。

このAmazonDataZoneEnvironmentRolePermissionsBoundaryポリシーは、Amazon DataZone の読み取りおよび書き込みアクセスを Amazon S3 AWS Glue、Amazon Redshift AWS Lake Formation、Amazon Athena などのサービスに付与します。 Amazon S3 このポリシーは、ネットワークインターフェイスや AWS KMS キーなど、これらのサービスを使用するために必要な一部のインフラストラクチャリソースに読み取りおよび書き込みアクセス許可も付与します。

Amazon DataZone では、すべての Amazon DataZone 環境ロール (所有者と共同作成者) のアクセス許可の境界として AmazonDataZoneEnvironmentRolePermissionsBoundary AWS マネージドポリシーを適用します。このアクセス許可の境界により、これらのロールは、環境に必要なリソースとアクションへのアクセスのみを許可できるように制限されます。

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」のAmazonDataZoneEnvironmentRolePermissionsBoundary」を参照してください。