配置使用 Amazon DataZone 数据门户所需的IAM权限 - Amazon DataZone
将必需的策略附加到用户、群组或角色以访问亚马逊 DataZone 数据门户向用户、群组或角色附加访问亚马逊 DataZone 目录所需的策略如果您的域名使用密钥管理服务中的客户托管密钥加密,则将可选策略附加到 AWS 用户、群组或角色以访问亚马逊 DataZone 数据门户或目录 () KMS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置使用 Amazon DataZone 数据门户所需的IAM权限

任何想要使用Amazon DataZone 数据门户或目录的用户、群组或角色都必须具有所需的权限。

将必需的策略附加到用户、群组或角色以访问亚马逊 DataZone 数据门户

您可以使用 AWS 凭证或单点登录 (SSO) 凭证访问亚马逊 DataZone 数据门户。按照以下部分中的说明设置使用您的 AWS 凭据访问数据门户所需的权限。有关将 Amazon DataZone 与配合使用的更多信息SSO,请参阅为 Amazon 设置 AWS IAM身份中心 DataZone

注意

只有您域名 AWS 账户中的IAM委托人才能访问该域的数据门户。IAM其他 AWS 账户的委托人无法访问该域的数据门户。

完成以下过程,将所需的策略附加到用户、组或角色。有关更多信息,请参阅 AWS Amazon 的托管政策 DataZone

  1. 登录 AWS 管理控制台并打开控制IAM台,网址为https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 “用户”、“用户组” 或 “角色”。

  3. 在列表中,选择要在其中嵌入策略的用户、组或角色的名称。

  4. 选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。

  5. 选择添加权限创建内联策略链接。

  6. 创建策略屏幕的策略编辑器部分中,选择JSON。使用以下JSON语句创建策略文档,然后选择 “下一步”。

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "datazone:GetIamPortalLoginUrl"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  7. 查看策略屏幕上,输入策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。

向用户、群组或角色附加访问亚马逊 DataZone 目录所需的策略

注意

只有您域名 AWS 账户中的IAM委托人才能访问该域名的目录。IAM其他 AWS 账户的委托人无法访问该域的目录。

您可以通过API以下步骤授予您的IAM身份访问您的 Amazon DataZone 域名目录SDK的权限。如果您希望这些IAM身份也能访问 Amazon DataZone 数据门户,请另外按照上述步骤操作将必需的策略附加到用户、群组或角色以访问亚马逊 DataZone 数据门户。有关更多信息,请参阅 AWS Amazon 的托管政策 DataZone

  1. 登录 AWS 管理控制台并打开控制IAM台,网址为https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

  3. 在策略列表中,选择策略旁边的AmazonDataZoneFullUserAccess单选按钮。您可以使用 Filter 菜单和搜索框来筛选策略列表。有关更多信息,请参阅 AWS 托管策略: AmazonDataZoneFullUserAccess

  4. 选择 Actions(操作),然后选择 Attach(附加)。

  5. 通过选中每个委托人旁边的复选框,选择要将策略附加到的用户、组或角色。您可以使用 Filter(筛选条件)菜单和搜索框来筛选委托人实体列表。选择用户、组或角色后,选择附加策略

如果您的域名使用密钥管理服务中的客户托管密钥加密,则将可选策略附加到 AWS 用户、群组或角色以访问亚马逊 DataZone 数据门户或目录 () KMS

如果您使用自己的数据加密KMS密钥创建亚马逊 DataZone 域名,则还必须创建具有以下权限的内联策略并将其附加到您的IAM委托人,以便他们可以访问亚马逊 DataZone 数据门户或目录。

  1. 登录 AWS 管理控制台并打开控制IAM台,网址为https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 “用户”、“用户组” 或 “角色”。

  3. 在列表中,选择要在其中嵌入策略的用户、组或角色的名称。

  4. 选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。

  5. 选择添加权限创建内联策略链接。

  6. 创建策略屏幕的策略编辑器部分中,选择JSON。使用以下JSON语句创建策略文档,然后选择 “下一步”。

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

  7. 查看策略屏幕上,输入策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。