AWS 管理ポリシー: AmazonDataZoneFullAccess - Amazon DataZone

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS 管理ポリシー: AmazonDataZoneFullAccess

AmazonDataZoneFullAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 AWS Management Console経由で Amazon DataZone へのフルアクセスを提供します。このポリシーには、暗号化された AWS SSM パラメータの KMS に対するアクセス許可もあります。SSM パラメータの復号を可能にするには、KMS キーに EnableKeyForAmazonDataZone のタグを付ける必要があります。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • datazone – プリンシパルに、 AWS Management Console経由で Amazon DataZone へのフルアクセスを付与します。

  • kms – プリンシパルがエイリアスを一覧表示し、キーを記述し、キーを復号できるようにします。

  • s3 – プリンシパルに、Amazon DataZone データを保存するために、既存の S3 バケットの選択および新規作成を許可します。

  • ram – プリンシパルに、 AWS アカウント経由での Amazon DataZone ドメインの共有を許可します。

  • iam — プリンシパルに、ロールの一覧表示とパス (渡すこと)、およびポリシーの取得を許可します。

  • sso – プリンシパルに、 AWS IAM Identity Center が有効化されているリージョンの取得を許可します。

  • secretsmanager – プリンシパルに、特定のプレフィックスが追加されたシークレットの作成、タグ付け、一覧表示を許可します。

  • aoss – プリンシパルが OpenSearch Serverless セキュリティポリシーの情報を作成および取得できるようにします。

  • bedrock – プリンシパルが推論プロファイルと基盤モデルの情報を作成、一覧表示、取得できるようにします。

  • codeconnections – プリンシパルが接続の削除、情報の取得、接続の一覧表示、タグの管理を行うことができます。

  • codewhisperer – プリンシパルが CodeWhisperer プロファイルを一覧表示できるようにします。

  • ssm – プリンシパルがパラメータの情報を入力、削除、取得できるようにします。

  • redshift – プリンシパルがクラスターを記述し、サーバーレスワークグループを一覧表示できるようにします

  • glue – プリンシパルがデータベースを取得できるようにします。

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」のAmazonDataZoneFullAccess」を参照してください。

ポリシーの考慮事項と制限事項

AmazonDataZoneFullAccess ポリシーの範囲に含まれない特定の機能があります。

  • 独自の AWS KMS キーを使用して Amazon DataZone ドメインを作成する場合、ドメインの作成を成功させるkms:CreateGrantには に対するアクセス許可が必要です。そのキーが listDataSourcesや などの他の Amazon DataZone APIs を呼び出すには kms:GenerateDataKeykms:Decryptに対するアクセス許可が必要ですcreateDataSource。また、そのキーのリソースポリシーの kms:CreateGrantkms:Decryptkms:GenerateDataKeykms:DescribeKey へのアクセス許可も必要です。

    これは、デフォルトのサービス所有の KMS キーを使用する場合は必要ありません。

    詳細については、「AWS Key Management Service」を参照してください。

  • Amazon DataZone コンソールで作成および更新ロール機能を使用する場合は、管理者権限か、IAM ロールの作成とポリシーの作成/更新に必要な IAM アクセス許可が必要です。必要なアクセス許可には、iam:CreateRoleiam:CreatePolicyiam:CreatePolicyVersioniam:DeletePolicyVersioniam:AttachRolePolicy へのアクセス許可が含まれます。

  • AWS IAM Identity Center ユーザーログインを有効にして Amazon DataZone で新しいドメインを作成する場合、または Amazon DataZone の既存のドメインに対してドメインをアクティブ化する場合は、次のアクセス許可が必要です。

    • organizations:DescribeOrganization

    • organizations:ListDelegatedAdministrators

    • sso:CreateInstance

    • sso:ListInstances

    • sso:GetSharedSsoConfiguration

    • sso:PutApplicationGrant

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationAccessScope

    • sso:CreateApplication

    • sso:DeleteApplication

    • sso:CreateApplicationAssignment

    • sso:DeleteApplicationAssignment

    • sso-directory:CreateUser

    • sso-directory:SearchUsers

    • sso:ListApplications

  • Amazon DataZone で AWS アカウント関連付けリクエストを受け入れるには、 アクセスram:AcceptResourceShareInvitation許可が必要です。

  • SageMaker Unified Studio ネットワーク設定に必要なリソースを作成する場合は、以下に対するアクセス許可を持ち、AmazonVpcFullAccess ポリシーをアタッチする必要があります。

    • iam:PassRole

    • cloudformation:CreateStack