AWS 托管策略：AmazonDataZoneEnvironmentRolePermissionsBoundary

注意

此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Amazon DataZone 权限边界策略。亚马逊 DataZone 权限边界策略应仅附加到亚马逊 DataZone 托管角色。有关权限边界的更多信息，请参阅《IAM 用户指南》中的 IAM 实体的权限边界。

当您通过 Amazon DataZone 数据门户创建环境时，Amazon 会将此权限边界 DataZone 应用于在创建环境期间生成的 IAM 角色。权限边界限制了 Amazon DataZone 创建的角色和您添加的任何角色的范围。

Amazon DataZone 使用AmazonDataZoneEnvironmentRolePermissionsBoundary托管策略来限制其所关联的预配置 IAM 委托人。委托人可以采用亚马逊 DataZone 可以代表交互式企业用户或分析服务（例如）担任的用户角色的形式AWS Glue，然后执行操作来处理数据，例如从 Amazon S3 读取和写入数据或运行。 AWS Glue 爬网程序

该AmazonDataZoneEnvironmentRolePermissionsBoundary政策授予亚马逊对诸如亚马逊 DataZone S3 AWS Glue、、Amazon Redshift 和亚马逊 Athena 等服务的读写权限。 AWS Lake Formation该策略还向使用这些服务所需的某些基础设施资源（例如网络接口和 AWS KMS 密钥）授予读写权限。

亚马逊 DataZone 将AmazonDataZoneEnvironmentRolePermissionsBoundary AWS 托管策略应用为所有亚马逊 DataZone 环境角色（所有者和贡献者）的权限边界。该权限边界限制这些角色只能访问环境所需的资源和操作。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 AmazonDataZoneEnvironmentRolePermissionsBoundary。