本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限
要访问和配置您的亚马逊 DataZone 域名、蓝图和用户,以及创建亚马逊 DataZone 数据门户,您必须使用亚马逊管理控制台。 DataZone
要为想要使用亚马逊 DataZone管理控制台的任何用户、群组或角色配置必需和/或可选权限,您必须完成以下步骤。
用于设置 IAM 权限以使用管理控制台的过程
将必需和可选策略附加到用户、群组或角色以访问 Amazon DataZone 控制台
完成以下过程,将必需和可选的自定义策略附加到用户、组或角色。有关更多信息,请参阅 AWS Amazon 的托管政策 DataZone。
-
登录 AWS 管理控制台并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择策略。
-
选择要附加到用户、组或角色的以下策略。
-
在策略列表中,选中旁边的复选框AmazonDataZoneFullAccess。您可以使用 Filter 菜单和搜索框来筛选策略列表。有关更多信息,请参阅 AWS 托管策略:AmazonDataZoneFullAccess。
-
(可选)为 Ident AWS ity Center 权限创建自定义策略,以添加和移除 SSO 用户和 SSO 群组对您的 Ama DataZone zon 域的访问权限。
-
-
选择 Actions(操作),然后选择 Attach(附加)。
-
选择要将该策略附加到的用户、组或角色。您可以使用 Filter(筛选条件)菜单和搜索框来筛选委托人实体列表。选择用户、组或角色后,选择附加策略。
为 IAM 权限创建自定义策略以启用 Amazon DataZone 服务控制台简化角色创建
完成以下步骤以创建自定义内联策略,使其拥有必要的权限,让 Amazon DataZone 能够代表您在 AWS 管理控制台中创建必要的角色。
注意
有关配置权限以允许创建服务角色的最佳实践信息,请参阅 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html。
-
登录 AWS 管理控制台并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择用户或用户组。
-
在列表中,请选择要在其中嵌入策略的用户或组的名称。
-
选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。
-
选择添加权限,然后选择创建内联策略链接。
-
在创建策略屏幕上的策略编辑器部分中,选择 JSON。
使用以下 JSON 语句创建策略文档,然后选择下一步。
-
在查看策略屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。
为管理与 Amazon DataZone 域名关联的账户的权限创建自定义策略
完成以下过程以创建自定义内联策略,使关联 AWS 账户拥有列出、接受和拒绝域资源共享所需的权限,然后在关联账户中启用、配置和禁用环境蓝图。要在蓝图配置期间启用可选的 Amazon DataZone 服务控制台简化角色创建,您还必须这样做为 IAM 权限创建自定义策略以启用 Amazon DataZone 服务控制台简化角色创建 。
注意
有关配置权限以允许创建服务角色的最佳实践信息,请参阅 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html。
-
登录 AWS 管理控制台并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择用户或用户组。
-
在列表中,请选择要在其中嵌入策略的用户或组的名称。
-
选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。
-
选择添加权限,然后选择创建内联策略链接。
-
在创建策略屏幕上的策略编辑器部分中,选择 JSON。使用以下 JSON 语句创建策略文档,然后选择下一步。
-
在查看策略屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。
(可选)为 AWS 身份中心权限创建自定义策略,以添加和移除 SSO 用户和 SSO 群组对 Amazon 域的访问权限 DataZone
完成以下步骤以创建自定义内联策略,以获得添加和删除 SSO 用户和 SSO 群组对您的 Ama DataZone zon 域的访问权限所需的权限。
-
登录 AWS 管理控制台并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择用户或用户组。
-
在列表中,请选择要在其中嵌入策略的用户或组的名称。
-
选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。
-
选择添加权限和创建内联策略。
-
在创建策略屏幕上的策略编辑器部分中,选择 JSON。
使用以下 JSON 语句创建策略文档,然后选择下一步。
-
在查看策略屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。
(可选)将您的 IAM 委托人添加为密钥用户,使用密钥管理服务 (KMS) 中的 AWS 客户管理密钥创建您的 Amazon DataZone 域
在您可以选择使用密钥管理服务 (KMS) 中的客户托管密钥 (CMK) 创建 Amazon DataZone 域之前,请完成以下步骤,使您的 IAM 委托人成为您的 KMS 密钥的用户。 AWS
-
登录 AWS 管理控制台并打开 KMS 控制台,网址为https://console.aws.amazon.com/kms/
。 -
要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。
-
在 KMS 密钥列表中,选择要检查的 KMS 密钥的别名或密钥 ID。
-
要添加或删除密钥用户,以及允许或禁止外部 AWS 账户使用 KMS 密钥,请使用页面密钥用户部分中的控件。密钥用户可以在加密操作(如加密、解密、重新加密和生成数据密钥)中使用 KMS 密钥。
