As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS política gerenciada: AmazonDataZoneFullAccess
Você pode anexar a AmazonDataZoneFullAccess
política às suas IAM identidades.
Esta política fornece acesso total à Amazon DataZone por meio do AWS Management Console.
Detalhes de permissão
Esta política inclui as seguintes permissões:
-
datazone
— concede aos diretores acesso total à Amazon DataZone por meio do AWS Management Console. -
kms
— Permite que os diretores listem aliases e descrevam as chaves. -
s3
— Permite que os diretores escolham buckets S3 existentes ou criem novos para armazenar dados da Amazon. DataZone -
ram
— Permite que os diretores compartilhem DataZone domínios da Amazon entre. Contas da AWS -
iam
— Permite que os diretores listem e aprovem funções e obtenham políticas. -
sso
— Permite que os diretores obtenham as regiões em que AWS IAM Identity Center está habilitado. -
secretsmanager
— Permite que os diretores criem, marquem e listem segredos com um prefixo específico.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonDataZoneStatement", "Effect": "Allow", "Action": [ "datazone:*" ], "Resource": [ "*" ] }, { "Sid": "ReadOnlyStatement", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases", "iam:ListRoles", "sso:DescribeRegisteredRegions", "s3:ListAllMyBuckets", "redshift:DescribeClusters", "redshift-serverless:ListWorkgroups", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "secretsmanager:ListSecrets" ], "Resource": [ "*" ] }, { "Sid": "BucketReadOnlyStatement", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "CreateBucketStatement", "Effect": "Allow", "Action": "s3:CreateBucket", "Resource": "arn:aws:s3:::amazon-datazone*" }, { "Sid": "RamCreateResourceStatement", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "datazone:Domain" } } }, { "Sid": "RamResourceStatement", "Effect": "Allow", "Action": [ "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:RejectResourceShareInvitation" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "DataZone*" ] } } }, { "Sid": "RamResourceReadOnlyStatement", "Effect": "Allow", "Action": [ "ram:GetResourceShares", "ram:GetResourceShareInvitations", "ram:GetResourceShareAssociations", "ram:ListResourceSharePermissions" ], "Resource": "*" }, { "Sid": "IAMPassRoleStatement", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Sid": "IAMGetPolicyStatement", "Effect": "Allow", "Action": "iam:GetPolicy", "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZoneRedshiftAccessPolicy*" ] }, { "Sid": "DataZoneTagOnCreateDomainProjectTags", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain", "AmazonDataZoneProject" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "DataZoneTagOnCreate", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "CreateSecretStatement", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*" } } } ] }
Considerações e limitações políticas
Há certas funcionalidades que a AmazonDataZoneFullAccess
apólice não cobre.
-
Se você criar um DataZone domínio da Amazon com sua própria AWS KMS chave, deverá ter as permissões
kms:CreateGrant
para que a criação do domínio seja bem-sucedida ekms:Decrypt
parakms:GenerateDataKey
que essa chave invoque outra Amazon DataZoneAPIs, comolistDataSources
e.createDataSource
E você também deve ter as permissões parakms:CreateGrant
kms:Decrypt
,kms:GenerateDataKey
, ekms:DescribeKey
na política de recursos dessa chave.Se você usar a KMS chave padrão de propriedade do serviço, isso não será necessário.
Para ter mais informações, consulte AWS Key Management Service.
-
Se você quiser usar as funcionalidades de criação e atualização de funções no DataZone console da Amazon, você deve ter privilégios de administrador ou ter as IAM permissões necessárias para criar IAM funções e criar/atualizar políticas. As permissões necessárias incluem
iam:CreateRole
iam:CreatePolicy
,iam:CreatePolicyVersion
,iam:DeletePolicyVersion
, eiam:AttachRolePolicy
permissões. -
Se você criar um novo domínio na Amazon DataZone com o login de AWS IAM Identity Center usuário ativado, ou se você ativá-lo para um domínio existente na Amazon DataZone, você deve ter permissões para o seguinte:
sso:CreateManagedApplicationInstance
sso:DeleteManagedApplicationInstance
,,sso:PutApplicationAssignmentConfiguration
e. -
Para aceitar uma solicitação de associação de AWS conta na Amazon DataZone, você deve ter a
ram:AcceptResourceShareInvitation
permissão.