Amazon DataZone에서의 권한 부여

Amazon DataZone의 인터페이스는 내의 관리 콘솔 AWS 과 비콘솔 웹 애플리케이션(데이터 포털)으로 구성됩니다.

관리자는 Amazon DataZone 관리 콘솔을 도메인 생성 및 관리, 이러한 도메인에 대한 AWS 계정 연결, Amazon DataZone AWS 에 액세스 관리를 위임하려는 데이터 소스 등 top-level-resource APIs에 사용할 수 있습니다. Amazon DataZone 관리 콘솔을 사용하여 명시적으로 구성된 AWS 계정에 대해 Amazon DataZone 서비스에 액세스 관리 제어를 위임하는 데 필요한 모든 IAM 역할 및 구성을 관리할 수 있습니다. Amazon DataZone 데이터 포털은 SSO 사용자를 위한 자사 AWS Identity Center 애플리케이션입니다. 활성화된 경우 권한 있는 IAM 위탁자가 SSO 자격 증명을 사용하는 대신 콘솔을 사용하여 데이터 포털에 페더레이션할 수도 있습니다.

Amazon DataZone의 데이터 포털은 주로 AWS IAM Identity Center 인증 사용자가 데이터에 대한 액세스를 관리하고 데이터 게시, 검색, 구독 및 분석 작업을 수행하는 데 사용하도록 설계되었습니다.

Amazon DataZone 콘솔에서의 권한 부여

Amazon DataZone 콘솔 권한 부여 모델은 IAM 권한을 사용합니다. 콘솔은 관리자가 주로 설정에 사용합니다. Amazon DataZone은 도메인 관리자 AWS 계정 및 멤버 AWS 계정의 개념을 사용하며, 이러한 모든 계정에서 콘솔을 사용하여 AWS 조직 경계를 준수하면서 신뢰 관계를 구축합니다.

Amazon DataZone 포털의 권한 부여

Amazon DataZone 데이터 포털 권한 부여 모델은 관리자와 시청자를 포함하는 정적 역할 아키타입(프로파일)이 있는 계층적 ACL입니다. 예를 들어 사용자는 관리자 또는 사용자의 프로파일을 가질 수 있습니다. 도메인 수준에서는 도메인 사용자 지정이 데이터 소유자일 수 있습니다. 프로젝트 수준에서 사용자는 소유자 또는 기여자일 수 있습니다. 이러한 프로파일은 사용자와 그룹이라는 두 가지 유형 중 하나로 구성할 수 있습니다. 그런 다음 이러한 프로파일이 도메인 및 프로젝트와 연결되고 이러한 권한의 상태가 연결 테이블에 저장됩니다.

이 권한 부여 모델 내에서 Amazon DataZone은 사용자가 사용자 및 그룹 권한을 관리할 수 있도록 허용합니다. 사용자는 프로젝트 멤버십을 관리하고, 프로젝트에 대한 멤버십을 요청하고, 멤버십을 승인합니다. 사용자는 데이터를 게시하고, 데이터를 구독하고, 구독을 승인합니다.

사용자는 데이터 포털 클라이언트가 Amazon DataZone이 특정 프로젝트 컨텍스트에서 사용자의 유효 프로파일을 기반으로 생성하는 IAM 세션 자격 증명을 요청할 때 특정 프로젝트에서 데이터 분석을 수행합니다. 이 세션은 사용자의 권한과 특정 프로젝트의 리소스 모두에 따라 범위가 지정됩니다. 그런 다음 사용자는 Athena 또는 Redshift로 이동하여 관련 데이터를 쿼리하면 모든 기본 IAM 작업이 완전히 추상화됩니다.

Amazon DataZone 프로파일 및 역할

사용자가 인증되면 인증된 컨텍스트가 사용자 프로파일 ID에 매핑됩니다. 이 사용자 프로파일에는 사용자에게 권한을 부여하는 데 사용되는 여러 개의 서로 다른 연결(프로젝트 소유자, 도메인 관리자 등)이 있을 수 있습니다. 각 연결(예: 프로젝트 소유자, 도메인 관리자 등)에는 컨텍스트를 기반으로 특정 활동에 대한 권한이 있습니다. 예를 들어 도메인 관리자 연결이 있는 사용자는 추가 도메인을 생성하고, 도메인에 다른 도메인 관리자를 할당하고, 도메인 내에 프로젝트 템플릿을 생성할 수 있습니다. 프로젝트 소유자는 프로젝트의 프로젝트 멤버를 추가 또는 제거하고 도메인에 자산을 게시할 수 있습니다.