AWS マネージドポリシー: AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary

注記

このポリシーはアクセス許可の境界です。アクセス許可の境界で、アイデンティティベースのポリシーで IAM エンティティに付与することのできる許可の上限を設定します。Amazon DataZone アクセス許可の境界ポリシーは、自分で使用したりアタッチすることはできません。Amazon DataZone アクセス許可の境界ポリシーは、Amazon DataZone マネージドロールにのみアタッチされる必要があります。アクセス許可の境界の詳細については、「IAM ユーザーガイド」の「IAM エンティティのアクセス許可の境界」を参照してください。

Amazon DataZone データポータルを使用して Amazon SageMaker 環境を作成すると、Amazon DataZone はこのアクセス許可の境界を環境の作成中に生成される IAM ロールに適用します。アクセス許可の境界により、Amazon DataZone が作成するロールとユーザーが作成するロールの範囲が制限されます。

Amazon DataZone は、AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary マネージドポリシーを使用して、アタッチされているプロビジョニングされた IAM プリンシパルを制限します。プリンシパルは、Amazon DataZone がインタラクティブなエンタープライズユーザーまたは分析サービス (AWS SageMaker など) に代わって引き受けることができるユーザーロールの形式をとり、Amazon S3 または Amazon Redshift からの読み取りと書き込み、または AWS Glue クローラの実行などのデータを処理するためのアクションを実行する場合があります。

このAmazonDataZoneSageMakerEnvironmentRolePermissionsBoundaryポリシーは、Amazon DataZone の読み取りおよび書き込みアクセスを Amazon SageMaker、 AWS Glue、Amazon S3、 AWS Lake Formation、Amazon Redshift、Amazon Athena などのサービスに付与します。このポリシーは、ネットワークインターフェイス、Amazon ECR リポジトリ、KMS AWS キーなど、これらのサービスを使用するために必要な一部のインフラストラクチャリソースに読み取りおよび書き込みアクセス許可も付与します。さらに、Amazon SageMaker Canvas などの Amazon SageMaker アプリケーションへのアクセス許可も付与します。

Amazon DataZone では、すべての Amazon DataZone 環境ロール (所有者と共同作成者) のアクセス許可の境界として AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary マネージドポリシーを適用します。このアクセス許可の境界により、これらのロールは、環境に必要なリソースとアクションへのアクセスのみを許可できるように制限されます。

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」のAmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary」を参照してください。