在 Amazon DataZone 控制台中管理用户 - 亚马逊 DataZone
管理IAM角色和用户管理SSO用户管理SSO群组

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon DataZone 控制台中管理用户

您的用户可以使用其 AWS 证书或单点登录 (SSO) 凭证访问 Amazon DataZone 数据门户。要在亚马逊 DataZone控制台中管理亚马逊 DataZone 域的用户,您必须在该账户中IAM扮演具有管理权限的角色。 配置使用 Amazon DataZone 管理控制台所需的IAM权限以获得在 Amazon DataZone 控制台中管理用户所需的最低权限。

管理IAM角色和用户

IAM角色和用户是使用 Id AWS entity and Access Management (IAM) 创建的,并通过策略附加的权限访问您的亚马逊 DataZone 域名。有关更多信息,请参阅 配置使用 Amazon DataZone 数据门户所需的IAM权限。在当前版本的 Amazon 中 DataZone,来自亚马逊 DataZone 域名所有者账户的管理员可以为自己账户中的用户或关联账户中的用户创建IAM用户个人资料。亚马逊 DataZone 域名所有者账户的管理员也可以将现有用户的状态设置为 “已分配” 或 “未分配”(如已分配或未分配以使用亚马逊 DataZone),或者激活或停用任何现有用户。

  1. 登录 AWS 管理控制台并在 https://console.aws.amazon.com/data z DataZone one 上打开控制台。

  2. 选择查看域名,然后从列表中选择域名。该名称是一个超链接。

  3. 在域的详细信息页面上,选择用户管理

  4. 要在 Amazon DataZone 域名所有者账户或关联账户中添加IAM用户用户,请选择添加,然后选择添加IAM用户

  5. 添加用户页面上,选择当前账户或关联账户,使用查找并添加用户或角色字段查找要添加的用户,然后选择添加用户

  6. 要查看现有IAM用户的状态,请在用户管理页面的IAM用户类型下拉菜单中选择用户。

    • 名称” 列ARN显示IAM用户或角色的。

    • 状态” 列显示域中IAM用户或角色的当前状态。

      • 已分配表示IAM用户已被分配使用 Amazon DataZone。

      • “未分配” 表示已取消分配IAM用户使用 Amazon。 DataZone

      • 已激活表示IAM用户或角色已调用API、发出命令(通过命令行界面)或访问了您域名的 Amazon DataZone 门户,并且您需要为该用户的订阅付费。

      • 停用意味着该IAM用户或角色被禁止访问您的 Amazon DataZone 域名。

  7. 要停用当前已激活的IAM用户或角色,请选中该用户旁边的复选框,然后从 “操作” 菜单中选择 “停用”。用户将无法访问 Amazon DataZone 域名。用户的账单将在当前日历月末结束。

  8. 要激活当前已停用的IAM用户或角色,请选中该用户旁边的复选框,然后从 “操作” 菜单中选择 “激活”。如果用户或角色具有适当的权限,则该IAM用户将获得对 Amazon DataZone 域的访问权限。将重新开始为用户计费。

管理SSO用户

SSO在 Identity Center 中创建用户或与您的 AWS IAM身份提供商同步。有关更多信息,请参阅设置 AWS IAMAmazon 身份中心 DataZone启用 Amazon IAM 身份中心 DataZone以启用和配置 Amazon AWS IAM 身份中心 DataZone。您可以查看分配给该域的SSO用户列表、添加SSO用户和移除SSO用户。

  1. 登录 AWS 管理控制台并在 https://console.aws.amazon.com/data z DataZone one 上打开控制台。

  2. 选择查看域名,然后从列表中选择域名。该名称是一个超链接。

  3. 在域的详细信息页面上,向下滚动并选择用户管理

  4. 对于用户类型,选择SSO用户以查看当前的SSO用户列表。

    • 名称” 列显示SSO用户的姓名。

    • 状态” 列显示域中SSO用户的当前状态。

      • 已分配意味着SSO用户已被明确分配到该域。因此,用户可以访问亚马逊 DataZone。仅当您的域名的身份提供商模式设置为显式分配时,才会使用此状态。

      • 已激活表示SSO用户已访问该域名的 Amazon DataZone 门户,并且您需要为该用户的订阅付费。激活会自动发生。

      • 停用意味着SSO用户对域名数据门户的访问被阻止。该用户的账单于其访问权限被停用的当月月底结束。

      • 已移除意味着该SSO用户之前已被分配到该域,但在他们访问之前就被移除了。

  5. 通过选择添加和添加SSO用户来添加用户。如果域名设置为隐式用户分配,则此选项不可用,这意味着身份池中的所有用户都可以访问该Amazon DataZone 域。

    • 添加用户页面上,搜索要添加的用户的别名。搜索框下方将出现一个包含潜在匹配项的列表。

    • 选择要添加的用户。他们的别名将作为筹码出现在搜索框下方。

    • 如果您对要添加的用户列表感到满意,请选择添加用户

    • 用户被分配到状态为 “已分” 的 Amazon DataZone 域。

    • 当用户首次访问域的数据门户时,状态将自动更改为 “已激活”,并开始向您收取用户的订阅费用。

  6. 通过选择分配的SSO用户并从 “操作” 菜单中选择 “禁用” 来移除该用户。因此,用户将无法访问 Amazon DataZone 域名。用户的状态将显示为 “已移除”。如果将域设置为隐式用户分配,则此选项不可用。

  7. 通过选择已激活SSO用户并从 “操作” 菜单中选择 “停用” 来停用该用户。因此,用户对 Amazon DataZone 域的访问权限将丢失并被阻止。用户的订阅费用将持续到月底。用户的状态将显示为 “已停用”。

  8. 通过选择已停用的SSO用户并从 “操作” 菜单中选择 “激活” 来激活该用户。因此,用户将重新获得对 Amazon DataZone 域的访问权限。计费将立即开始。用户将显示为 “已激活”。

管理SSO群组

SSO在 Identity Center 中创建群组或与您的 AWS IAM身份提供商同步。有关更多信息,请参阅设置 AWS IAMAmazon 身份中心 DataZone启用 Amazon IAM 身份中心 DataZone以启用和配置 Amazon AWS IAM 身份中心 DataZone。您可以查看分配给该域的SSO群组列表、添加SSO群组和移除SSO群组。

  1. 登录 AWS 管理控制台并在 https://console.aws.amazon.com/data z DataZone one 上打开控制台。

  2. 选择查看域名,然后从列表中选择域名。该名称是一个超链接。

  3. 在域的详细信息页面上,向下滚动并选择用户管理

  4. 对于用户类型,选择SSO群组以查看当前的SSO群组列表。

    • 名称” 列显示SSO群组的名称。

    • 状态列显示该SSO组在域中的当前状态。

      • 已@@ 分配表示已将该SSO组明确分配给该域。因此,群组中的所有用户都可以访问该域的数据门户(除非用户已停用)。

      • 未分配” 表示该SSO组已从域中删除。群组中的用户无法通过其在该群组中的成员身份访问该域的数据门户。

  5. 通过选择添加和添加SSO群组来添加群组。如果域名设置为隐式用户分配,则此选项不可用,这意味着无论群组成员资格如何,身份池中的所有用户都可以访问Amazon DataZone 域。

    • 添加群组页面上,搜索要添加的群组的别名。搜索框下方将出现一个包含潜在匹配项的列表。

    • 选择要添加的群组。他们的别名将作为筹码出现在搜索框下方。

    • 如果您对要添加的群组列表感到满意,请选择添加群组

    • 这些群组被分配到状态为 “已分” 的 Amazon DataZone 域。

    • 当群组成员访问域的数据门户时,状态将自动更改为 “已激活”,并开始向您收取该用户的订阅费用。

  6. 选择已分配的SSO组,然后从 “操作” 菜单中选择 “取消分配”,即可移除该组。因此,该群组将无法访问 Amazon DataZone 域名。群组的状态将显示为 “未分配”。 DataZone 通过该群组的成员资格获得Amazon访问权限的用户将失去访问权限。如果将域设置为隐式用户分配,则此选项不可用。要停止为因取消分配群组而被删除访问权限的用户计费,接下来您需要手动选择并停用他们的用户个人资料。