亚马逊授权 DataZone

Amazon DataZone 的界面由内部的管理控制台 AWS 和非控制台的 Web 应用程序（数据门户）组成。

AWS 管理员可以使用 Amazon DataZone 管理控制台来创建和管理域、这些域的 AWS 账户关联以及您要将访问管理委托给亚马逊的数据源 DataZone。 top-level-resource APIs您可以使用 Amazon DataZone 管理控制台管理为其明确配置的 AWS 账户向 Amazon DataZone 服务委派访问管理控制所需的所有 IAM 角色和配置。Amazon DataZone 数据门户是面向 SSO 用户的第一方 AWS 身份中心应用程序。如果启用，则获得授权的 IAM 主体也可以使用控制台对数据门户进行联合身份验证，而不是使用 SSO 身份。

Amaz DataZone on 的数据门户主要供经 AWS IAM Identity Center 认证的用户使用，以管理对数据的访问以及执行数据发布、发现、订阅和分析任务。

在 Amazon DataZone 控制台中进行授权

Amazon DataZone 控制台授权模型使用 IAM 授权。此控制台主要供管理员用来进行设置。Amazon DataZone 使用域管理员 AWS 账户和成员 AWS 账户的概念，所有这些账户都使用控制台来建立信任关系，同时尊重 AWS 组织界限。

Amazon DataZone 门户网站中的授权

Amazon DataZone 数据门户授权模型是一种分层 ACL，具有包括管理员和查看者在内的静态角色原型（配置文件）。例如，用户可以拥有管理员或用户的配置文件。在域级别，他们可以将域用户指定为数据所有者。在项目级别，用户既可以是所有者，也可以是贡献者。可以将这些配置文件配置为两种类型之一：用户和组。之后，这些配置文件会与域和项目关联，并且这些权限的状态将存储在关联表中。

在这种授权模式中，Amazon DataZone 允许用户管理用户和群组权限。用户管理项目成员资格、请求项目的成员资格和批准成员资格。用户发布数据、订阅数据和批准订阅。

当用户的数据门户客户端请求 Amazon 根据用户在特定项目环境中的有效个人资料 DataZone 生成的 IAM 会话证书时，用户会在特定项目中执行数据分析。此会话的范围限定在用户的权限和特定项目的资源。之后，用户将进入 Athena 或 Redshift 来查询相关数据，并且所有底层 IAM 工作都将完全抽象化。

Amazon DataZone 个人资料和角色

在对用户进行身份验证后，经过身份验证的上下文将映射到用户配置文件 ID。此用户配置文件可以具有多个不同的关联（项目所有者、域管理员等），并且可用于对用户进行授权。每个关联（例如，项目所有者、域管理员等）都具有基于上下文的某些活动的权限。例如，具有域管理员关联的用户可以创建其他域，为域分配其他域管理员以及在域中创建项目模板。项目所有者可以为其项目添加或移除项目成员，并将资源发布到网域。