AWS 托管策略:AmazonDataZoneFullAccess - Amazon DataZone

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 托管策略:AmazonDataZoneFullAccess

您可以将 AmazonDataZoneFullAccess 策略附加到 IAM 身份。

本政策允许 DataZone 通过以下方式访问亚马逊 AWS Management Console。此策略还具有 AWS KMS 访问加密 SSM 参数的权限。必须使用标记 KMS 密钥 EnableKeyForAmazonDataZone 才能解密 SSM 参数。

权限详细信息

该策略包含以下权限:

  • datazone— 授予委托人 DataZone通过 Amazon 的完全访问权限。 AWS Management Console

  • kms— 允许委托人列出别名、描述密钥和解密密钥。

  • s3— 允许委托人选择现有或创建新的 S3 存储桶来存储 Ama DataZone zon 数据。

  • ram— 允许委托人跨 DataZone 域共享 Amazon 域名。 AWS 账户

  • iam – 允许主体列出和传递角色并获取策略。

  • sso – 允许主体获取已启用 AWS IAM Identity Center 的区域。

  • secretsmanager – 允许主体创建、标记和列出带特定前缀的密钥。

  • aoss— 允许委托人创建和检索 OpenSearch 无服务器安全策略的信息。

  • bedrock— 允许委托人创建、列出和检索推理配置文件和基础模型的信息。

  • codeconnections— 允许委托人删除、检索信息、列出连接和管理连接的标签。

  • codewhisperer— 允许校长列出CodeWhisperer 个人资料。

  • ssm— 允许委托人放置、删除和检索参数信息。

  • redshift— 允许委托人描述集群并列出无服务器工作组

  • glue— 允许委托人获取数据库。

要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AmazonDataZoneFullAccess

策略注意事项和限制

AmazonDataZoneFullAccess 策略未涵盖某些功能。

  • 如果您使用自己的 AWS KMS 密钥创建亚马逊 DataZone 域名,则必须拥有成功创建域kms:CreateGrant名的权限,以及该密钥才能调用其他亚马逊( DataZoneAPIs 例如listDataSources和)的权限createDataSourcekms:GenerateDataKey kms:Decrypt此外,您还必须在该密钥的资源策略中拥有 kms:CreateGrantkms:Decryptkms:GenerateDataKeykms:DescribeKey 的权限。

    如果您使用默认的服务拥有的 KMS 密钥,则无需达到此要求。

    有关更多信息,请参阅 AWS Key Management Service

  • 如果您想在 Amazon DataZone 控制台中使用创建更新角色功能,则必须具有管理员权限或具有创建 IAM 角色和创建/更新策略所需的 IAM 权限。所需的权限包括 iam:CreateRoleiam:CreatePolicyiam:CreatePolicyVersioniam:DeletePolicyVersioniam:AttachRolePolicy 权限。

  • 如果您在激活 AWS IAM Identity Center 用户登录的情况下在 Amazon DataZone 中创建新域名,或者如果您为亚马逊中的现有域名激活该域名 DataZone,则必须拥有以下权限:

    • 组织:DescribeOrganization

    • 组织:ListDelegatedAdministrators

    • sso:CreateInstance

    • sso:ListInstances

    • sso:GetSharedSsoConfiguration

    • sso:PutApplicationGrant

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationAccessScope

    • sso:CreateApplication

    • sso:DeleteApplication

    • sso:CreateApplicationAssignment

    • sso:DeleteApplicationAssignment

    • sso 目录:CreateUser

    • sso 目录:SearchUsers

    • sso:ListApplications

  • 要在 Amazon 上接受 AWS 账户关联请求 DataZone,您必须ram:AcceptResourceShareInvitation获得许可。

  • 如果要为 SageMaker Unified Studio 网络设置创建所需的资源,则必须具有以下权限并附加AmazonVpcFullAccess 策略:

    • 我是:PassRole

    • 云层形成:CreateStack