AWS 托管策略：AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary

注意

此策略是权限边界。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Amazon DataZone 权限边界策略。亚马逊 DataZone 权限边界策略应仅附加到亚马逊 DataZone 托管角色。有关权限边界的更多信息，请参阅《IAM 用户指南》中的 IAM 实体的权限边界。

当您通过亚马逊 DataZone 数据门户创建亚马逊 SageMaker 环境时，亚马逊会 DataZone 将此权限边界应用于在创建环境期间生成的 IAM 角色。权限边界限制了 Amazon DataZone 创建的角色和您添加的任何角色的范围。

Amazon DataZone 使用AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary托管策略来限制其所关联的预配置 IAM 委托人。委托人可以采取亚马逊 DataZone 可以代表交互式企业用户或分析服务（例如）担任的用户角色的形式，然后执行操作来处理数据AWS SageMaker，例如从Amazon S3或Amazon Redshift读取和写入数据，或者运行 AWS Glue爬虫。

该AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary政策授予亚马逊对亚马逊 SageMaker、 AWS Glue、Amazon DataZone S3、La AWS ke Formation、Amazon Redshift和Amazon Athena等服务的读写权限。该策略还向使用这些服务所需的某些基础设施资源授予读写权限，例如网络接口、Amazon ECR 存储库和 AWS KMS 密钥。它还允许访问亚马逊 SageMaker应用程序，例如Amazon SageMaker Canvas。

亚马逊 DataZone 将AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary托管策略应用为所有亚马逊 DataZone 环境角色（所有者和贡献者）的权限边界。该权限边界限制这些角色只能访问环境所需的资源和操作。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary。