本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 托管策略:AmazonDataZoneEnvironmentRolePermissionsBoundary
注意
此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Amazon DataZone 权限边界策略。亚马逊 DataZone 权限边界策略应仅附加到亚马逊 DataZone 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 IAM 实体的权限边界。
当您通过 Amazon DataZone 数据门户创建环境时,Amazon 会将此权限边界 DataZone 应用于在创建环境期间生成的 IAM 角色。权限边界限制了 Amazon DataZone 创建的角色和您添加的任何角色的范围。
Amazon DataZone 使用AmazonDataZoneEnvironmentRolePermissionsBoundary
托管策略来限制其所关联的预配置 IAM 委托人。委托人可以采用亚马逊 DataZone 可以代表交互式企业用户或分析服务(例如)担任的用户角色的形式AWS Glue,然后执行操作来处理数据,例如从 Amazon S3 读取和写入数据或运行。 AWS Glue 爬网程序
该AmazonDataZoneEnvironmentRolePermissionsBoundary
政策授予亚马逊对诸如亚马逊 DataZone S3 AWS Glue、、Amazon Redshift 和亚马逊 Athena 等服务的读写权限。 AWS Lake Formation该策略还向使用这些服务所需的某些基础设施资源(例如网络接口和 AWS KMS 密钥)授予读写权限。
亚马逊 DataZone 将AmazonDataZoneEnvironmentRolePermissionsBoundary
AWS 托管策略应用为所有亚马逊 DataZone 环境角色(所有者和贡献者)的权限边界。该权限边界限制这些角色只能访问环境所需的资源和操作。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AmazonDataZoneEnvironmentRolePermissionsBoundary。