本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 托管策略:AmazonDataZoneFullAccess
您可以将 AmazonDataZoneFullAccess
策略附加到 IAM 身份。
本政策允许 DataZone 通过以下方式访问亚马逊 AWS Management Console。此策略还具有 AWS KMS 访问加密 SSM 参数的权限。必须使用标记 KMS 密钥 EnableKeyForAmazonDataZone 才能解密 SSM 参数。
权限详细信息
该策略包含以下权限:
-
datazone
— 授予委托人 DataZone通过 Amazon 的完全访问权限。 AWS Management Console -
kms
— 允许委托人列出别名、描述密钥和解密密钥。 -
s3
— 允许委托人选择现有或创建新的 S3 存储桶来存储 Ama DataZone zon 数据。 -
ram
— 允许委托人跨 DataZone 域共享 Amazon 域名。 AWS 账户 -
iam
– 允许主体列出和传递角色并获取策略。 -
sso
– 允许主体获取已启用 AWS IAM Identity Center 的区域。 -
secretsmanager
– 允许主体创建、标记和列出带特定前缀的密钥。 -
aoss
— 允许委托人创建和检索 OpenSearch 无服务器安全策略的信息。 -
bedrock
— 允许委托人创建、列出和检索推理配置文件和基础模型的信息。 -
codeconnections
— 允许委托人删除、检索信息、列出连接和管理连接的标签。 -
codewhisperer
— 允许校长列出CodeWhisperer 个人资料。 -
ssm
— 允许委托人放置、删除和检索参数信息。 -
redshift
— 允许委托人描述集群并列出无服务器工作组 -
glue
— 允许委托人获取数据库。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AmazonDataZoneFullAccess。
策略注意事项和限制
AmazonDataZoneFullAccess
策略未涵盖某些功能。
-
如果您使用自己的 AWS KMS 密钥创建亚马逊 DataZone 域名,则必须拥有成功创建域
kms:CreateGrant
名的权限,以及该密钥才能调用其他亚马逊( DataZoneAPIs 例如listDataSources
和)的权限createDataSource
。kms:GenerateDataKey
kms:Decrypt
此外,您还必须在该密钥的资源策略中拥有kms:CreateGrant
、kms:Decrypt
、kms:GenerateDataKey
和kms:DescribeKey
的权限。如果您使用默认的服务拥有的 KMS 密钥,则无需达到此要求。
有关更多信息,请参阅 AWS Key Management Service。
-
如果您想在 Amazon DataZone 控制台中使用创建和更新角色功能,则必须具有管理员权限或具有创建 IAM 角色和创建/更新策略所需的 IAM 权限。所需的权限包括
iam:CreateRole
、iam:CreatePolicy
、iam:CreatePolicyVersion
、iam:DeletePolicyVersion
和iam:AttachRolePolicy
权限。 -
如果您在激活 AWS IAM Identity Center 用户登录的情况下在 Amazon DataZone 中创建新域名,或者如果您为亚马逊中的现有域名激活该域名 DataZone,则必须拥有以下权限:
-
组织:DescribeOrganization
-
组织:ListDelegatedAdministrators
-
sso:CreateInstance
-
sso:ListInstances
-
sso:GetSharedSsoConfiguration
-
sso:PutApplicationGrant
-
sso:PutApplicationAssignmentConfiguration
-
sso:PutApplicationAuthenticationMethod
-
sso:PutApplicationAccessScope
-
sso:CreateApplication
-
sso:DeleteApplication
-
sso:CreateApplicationAssignment
-
sso:DeleteApplicationAssignment
-
sso 目录:CreateUser
-
sso 目录:SearchUsers
-
sso:ListApplications
-
-
要在 Amazon 上接受 AWS 账户关联请求 DataZone,您必须
ram:AcceptResourceShareInvitation
获得许可。 -
如果要为 SageMaker Unified Studio 网络设置创建所需的资源,则必须具有以下权限并附加AmazonVpcFullAccess 策略:
-
我是:PassRole
-
云层形成:CreateStack
-