翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS 管理ポリシー: AmazonDataZoneFullAccess
AmazonDataZoneFullAccess
ポリシーを IAM アイデンティティにアタッチできます。
このポリシーは、 AWS Management Console経由で Amazon DataZone へのフルアクセスを提供します。このポリシーには、暗号化された AWS SSM パラメータの KMS に対するアクセス許可もあります。SSM パラメータの復号を可能にするには、KMS キーに EnableKeyForAmazonDataZone のタグを付ける必要があります。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
datazone
– プリンシパルに、 AWS Management Console経由で Amazon DataZone へのフルアクセスを付与します。 -
kms
– プリンシパルがエイリアスを一覧表示し、キーを記述し、キーを復号できるようにします。 -
s3
– プリンシパルに、Amazon DataZone データを保存するために、既存の S3 バケットの選択および新規作成を許可します。 -
ram
– プリンシパルに、 AWS アカウント経由での Amazon DataZone ドメインの共有を許可します。 -
iam
— プリンシパルに、ロールの一覧表示とパス (渡すこと)、およびポリシーの取得を許可します。 -
sso
– プリンシパルに、 AWS IAM Identity Center が有効化されているリージョンの取得を許可します。 -
secretsmanager
– プリンシパルに、特定のプレフィックスが追加されたシークレットの作成、タグ付け、一覧表示を許可します。 -
aoss
– プリンシパルが OpenSearch Serverless セキュリティポリシーの情報を作成および取得できるようにします。 -
bedrock
– プリンシパルが推論プロファイルと基盤モデルの情報を作成、一覧表示、取得できるようにします。 -
codeconnections
– プリンシパルが接続の削除、情報の取得、接続の一覧表示、タグの管理を行うことができます。 -
codewhisperer
– プリンシパルが CodeWhisperer プロファイルを一覧表示できるようにします。 -
ssm
– プリンシパルがパラメータの情報を入力、削除、取得できるようにします。 -
redshift
– プリンシパルがクラスターを記述し、サーバーレスワークグループを一覧表示できるようにします -
glue
– プリンシパルがデータベースを取得できるようにします。
このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」のAmazonDataZoneFullAccess」を参照してください。
ポリシーの考慮事項と制限事項
AmazonDataZoneFullAccess
ポリシーの範囲に含まれない特定の機能があります。
-
独自の AWS KMS キーを使用して Amazon DataZone ドメインを作成する場合、ドメインの作成を成功させる
kms:CreateGrant
には に対するアクセス許可が必要です。そのキーがlistDataSources
や などの他の Amazon DataZone APIs を呼び出すにはkms:GenerateDataKey
kms:Decrypt
に対するアクセス許可が必要ですcreateDataSource
。また、そのキーのリソースポリシーのkms:CreateGrant
、kms:Decrypt
、kms:GenerateDataKey
、kms:DescribeKey
へのアクセス許可も必要です。これは、デフォルトのサービス所有の KMS キーを使用する場合は必要ありません。
詳細については、「AWS Key Management Service」を参照してください。
-
Amazon DataZone コンソールで作成および更新ロール機能を使用する場合は、管理者権限か、IAM ロールの作成とポリシーの作成/更新に必要な IAM アクセス許可が必要です。必要なアクセス許可には、
iam:CreateRole
、iam:CreatePolicy
、iam:CreatePolicyVersion
、iam:DeletePolicyVersion
、iam:AttachRolePolicy
へのアクセス許可が含まれます。 -
AWS IAM Identity Center ユーザーログインを有効にして Amazon DataZone で新しいドメインを作成する場合、または Amazon DataZone の既存のドメインに対してドメインをアクティブ化する場合は、次のアクセス許可が必要です。
-
organizations:DescribeOrganization
-
organizations:ListDelegatedAdministrators
-
sso:CreateInstance
-
sso:ListInstances
-
sso:GetSharedSsoConfiguration
-
sso:PutApplicationGrant
-
sso:PutApplicationAssignmentConfiguration
-
sso:PutApplicationAuthenticationMethod
-
sso:PutApplicationAccessScope
-
sso:CreateApplication
-
sso:DeleteApplication
-
sso:CreateApplicationAssignment
-
sso:DeleteApplicationAssignment
-
sso-directory:CreateUser
-
sso-directory:SearchUsers
-
sso:ListApplications
-
-
Amazon DataZone で AWS アカウント関連付けリクエストを受け入れるには、 アクセス
ram:AcceptResourceShareInvitation
許可が必要です。 -
SageMaker Unified Studio ネットワーク設定に必要なリソースを作成する場合は、以下に対するアクセス許可を持ち、AmazonVpcFullAccess ポリシーをアタッチする必要があります。
-
iam:PassRole
-
cloudformation:CreateStack
-