翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS マネージドポリシー:AmazonDataZoneFullAccess
IAM ID にAmazonDataZoneFullAccessポリシーをアタッチできます。
このポリシーは、 DataZone 経由で Amazon へのフルアクセスを提供します。 AWS Management Console.
許可の詳細
このポリシーには、以下の許可が含まれています。
-
datazone– 経由で Amazon DataZone へのフルアクセスをプリンシパルに付与します AWS Management Console. -
kms— プリンシパルがエイリアスを一覧表示し、キーを記述できるようにします。 -
s3— プリンシパルが Amazon DataZone データを保存するための既存の S3 バケットを選択するか、新しい S3 バケットを作成できるようにします。 -
ram— プリンシパルが 間で Amazon DataZone ドメインを共有できるようにします AWS アカウント. -
iam— プリンシパルがロールを一覧表示して渡し、ポリシーを取得できるようにします。 -
sso– プリンシパルが のリージョンを取得できるようにします。 AWS IAM Identity Center が有効になっています。 -
secretsmanager– プリンシパルが特定のプレフィックスを持つシークレットを作成、タグ付け、および一覧表示できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonDataZoneStatement", "Effect": "Allow", "Action": [ "datazone:*" ], "Resource": [ "*" ] }, { "Sid": "ReadOnlyStatement", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases", "iam:ListRoles", "sso:DescribeRegisteredRegions", "s3:ListAllMyBuckets", "redshift:DescribeClusters", "redshift-serverless:ListWorkgroups", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "secretsmanager:ListSecrets" ], "Resource": [ "*" ] }, { "Sid": "BucketReadOnlyStatement", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "CreateBucketStatement", "Effect": "Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::amazon-datazone*" }, { "Sid": "RamCreateResourceStatement", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "datazone:Domain" } } }, { "Sid": "RamResourceStatement", "Effect": "Allow", "Action": [ "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:RejectResourceShareInvitation" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "DataZone*" ] } } }, { "Sid": "RamResourceReadOnlyStatement", "Effect": "Allow", "Action": [ "ram:GetResourceShares", "ram:GetResourceShareInvitations", "ram:GetResourceShareAssociations", "ram:ListResourceSharePermissions" ], "Resource": "*" }, { "Sid": "IAMPassRoleStatement", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Sid": "IAMGetPolicyStatement", "Effect": "Allow", "Action": "iam:GetPolicy", "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZoneRedshiftAccessPolicy*" ] }, { "Sid": "DataZoneTagOnCreateDomainProjectTags", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain", "AmazonDataZoneProject" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "DataZoneTagOnCreate", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "CreateSecretStatement", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*" } } } ] }
ポリシーに関する考慮事項と制限事項
AmazonDataZoneFullAccess ポリシーでカバーされない特定の機能があります。
-
独自の で Amazon DataZone ドメインを作成する場合 AWS KMS key、ドメインの作成を成功させる
kms:CreateGrantには に対するアクセス許可が必要です。そのキーkms:GenerateDataKeykms:DecryptがlistDataSourcesや APIsなどの他の Amazon DataZone を呼び出すには に対するアクセス許可が必要ですcreateDataSource。また、そのキーのリソースポリシーkms:DescribeKeyでkms:CreateGrant、kms:Decrypt、kms:GenerateDataKey、、および に対するアクセス許可も必要です。デフォルトのサービス所有KMSキーを使用する場合、これは必須ではありません。
詳細については、「」を参照してくださいAWS Key Management Service.
-
Amazon DataZone コンソールでロールの作成および更新機能を使用する場合は、管理者権限を持っているか、IAMロールの作成とポリシーの作成/更新に必要なIAMアクセス許可を持っている必要があります。必要なアクセス許可には、
iam:CreateRole、iam:CreatePolicy、iam:CreatePolicyVersion、iam:DeletePolicyVersion、および アクセスiam:AttachRolePolicy許可が含まれます。 -
DataZone を使用して Amazon で新しいドメインを作成する場合 AWS IAM Identity Center ユーザーがログインをアクティブ化した場合、または Amazon の既存のドメインに対してログインをアクティブ化する場合は DataZone、次のアクセス許可が必要です。
-
組織:DescribeOrganization
-
組織:ListDelegatedAdministrators
-
sso:CreateInstance
-
sso:ListInstances
-
sso:GetSharedSsoConfiguration
-
sso:PutApplicationGrant
-
sso:PutApplicationAssignmentConfiguration
-
sso:PutApplicationAuthenticationMethod
-
sso:PutApplicationAccessScope
-
sso:CreateApplication
-
sso:DeleteApplication
-
sso:CreateApplicationAssignment
-
sso:DeleteApplicationAssignment
-
-
を受け入れるには AWS Amazon での アカウントの関連付けリクエストには DataZone、 アクセス
ram:AcceptResourceShareInvitation許可が必要です。
