在 Amazon DataZone 控制台中管理用户

您的用户可以使用其 AWS 证书或单点登录 (SSO) 凭证访问亚马逊 DataZone 数据门户。要在亚马逊 DataZone控制台中管理亚马逊 DataZone 域的用户，您必须在账户中扮演具有管理权限的 IAM 角色。 配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限以获得在 Amazon DataZone 控制台中管理用户所需的最低权限。

管理 IAM 角色和用户

IAM 角色和用户使用 AWS 身份和访问管理 (IAM) 创建，并通过策略附加的权限访问您的 DataZone 亚马逊域名。有关更多信息，请参阅 配置使用亚马逊 DataZone 数据门户所需的 IAM 权限。在当前版本的 Amazon 中 DataZone，来自亚马逊 DataZone 域名所有者账户的管理员可以为自己账户中的用户或关联账户中的用户创建 IAM 用户个人资料。亚马逊 DataZone 域名所有者账户的管理员也可以将现有用户的状态设置为 “已分配” 或 “未分配”（如已分配或未分配以使用亚马逊 DataZone），或者激活或停用任何现有用户。

1. 登录 AWS 管理控制台并在 https://console.aws.amazon.com/data z DataZone one 上打开控制台。

2. 选择查看域，然后从列表中选择域名。该名称是一个超链接。

3. 在域详细信息页面上，选择用户管理。

4. 要在 Amazon DataZone 域名所有者账户或关联账户中添加用户 IAM 用户，请选择添加，然后选择添加 IAM 用户。

5. 在添加用户页面上，选择当前账户或关联的账户，使用查找和添加用户或角色字段以查找要添加的用户，然后选择添加用户。

6. 要查看现有 IAM 用户的状态，请在用户管理页面上的用户类型下拉菜单中选择 IAM 用户。

   • 名称列显示 IAM 用户或角色的 ARN。

   • 状态列显示域中的 IAM 用户或角色的当前状态。

     • 已指定 IAM 用户已被分配使用亚马逊 DataZone。

     • “未分配” 表示已取消指定 IAM 用户使用亚马逊。 DataZone

     • 已激活意味着 IAM 用户或角色已调用 API、发出命令（通过命令行界面）或访问了您域名的 Amazon DataZone 门户，并且您需要为该用户的订阅付费。

     • 停用意味着 IAM 用户或角色被禁止访问您的 Amazon DataZone 域。

7. 要停用当前已激活的 IAM 用户或角色，请选中该用户旁边的框，然后从操作菜单中选择停用。用户将无法访问 Amazon DataZone 域名。对用户的计费将在当前日历月的月底结束。

8. 要激活当前已停用的 IAM 用户或角色，请选中该用户旁边的框，然后从操作菜单中选择激活。如果 IAM 用户或角色具有适当的权限，则该用户将获得对 Amazon DataZone 域的访问权限。对用户的计费将重新开始。

管理 SSO 用户

SSO 用户是在 AWS IAM Identity Center 中创建的，或者与您的身份提供商同步。有关更多信息，请参阅为亚马逊设置 AWS IAM 身份中心 DataZone和为亚马逊启用 IAM 身份中心 DataZone以启用和配置 AWS Amazon 的 IAM 身份中心 DataZone。您可以查看分配给域的 SSO 用户的列表、添加 SSO 用户和移除 SSO 用户。

1. 登录 AWS 管理控制台并在 https://console.aws.amazon.com/data z DataZone one 上打开控制台。

2. 选择查看域，然后从列表中选择域名。该名称是一个超链接。

3. 在域详细信息页面上，向下滚动并选择用户管理。

4. 对于用户类型，选择 SSO 用户以查看当前的 SSO 用户列表。

   • 名称列显示 SSO 用户名。

   • 状态列显示域中的 SSO 用户的当前状态。

     • “已分配”表示已将 SSO 用户显式分配给域。因此，用户可以访问亚马逊 DataZone。仅当域的身份提供商模式设置为显式分配时，才使用此状态。

     • 已激活表示 SSO 用户已访问该域的 Amazon DataZone 门户，并且您需要为该用户的订阅付费。将自动进行激活。

     • “已停用”表示 SSO 用户被阻止访问域的数据门户。对用户的计费会在其访问权限被停用当月的月底停止。

     • “已移除”表示 SSO 用户之前已被分配到域中，但他们在进行访问前已被移除。

5. 通过选择添加和添加用户来添加 SSO 用户。如果域名设置为隐式用户分配，则此选项不可用，这意味着身份池中的所有用户都可以访问该Amazon DataZone 域。

   • 在添加用户页面上，搜索要添加的用户的别名。搜索框下方将显示包含潜在匹配项的列表。

   • 选择要添加的用户。他们的别名将以木条形式显示在搜索框下方。

   • 如果您对要添加的用户列表感到满意，请选择添加用户。

   • 用户被分配到状态为 “已分配” 的 Amazon DataZone 域。

   • 当用户首次访问域的数据门户时，状态将自动更改为已激活，并且将开始针对用户订阅对您计费。

6. 通过以下方式移除已分配 SSO 用户：选择该用户并从操作菜单中选择禁用。因此，用户将无法访问 Amazon DataZone 域名。该用户的状态将显示为已移除。如果将域设置为隐式用户分配，则此选项不可用。

7. 通过以下方式停用已激活 SSO 用户：选择该用户并从操作菜单中选择停用。因此，用户对 Amazon DataZone 域的访问权限将丢失并被阻止。将继续针对用户订阅计费，直至当月月底。用户的状态将显示为已停用。

8. 通过以下方式激活已停用 SSO 用户：选择该用户并从操作菜单中选择激活。因此，用户将重新获得对 Amazon DataZone 域的访问权限。计费将立即开始。用户的状态将显示为已激活。

管理 SSO 组

SSO 组是在 AWS IAM 身份中心中创建的，或者与您的身份提供商同步。有关更多信息，请参阅为亚马逊设置 AWS IAM 身份中心 DataZone和为亚马逊启用 IAM 身份中心 DataZone以启用和配置 AWS Amazon 的 IAM 身份中心 DataZone。您可以查看分配给域的 SSO 组的列表、添加 SSO 组和移除 SSO 组。

1. 登录 AWS 管理控制台并在 https://console.aws.amazon.com/data z DataZone one 上打开控制台。

2. 选择查看域，然后从列表中选择域名。该名称是一个超链接。

3. 在域详细信息页面上，向下滚动并选择用户管理。

4. 对于用户类型，选择 SSO 组以查看当前的 SSO 组列表。

   • 名称列显示 SSO 组名。

   • 状态列显示域中的 SSO 组的当前状态。

     • 已分配表示已将 SSO 组显式分配给域。因此，组中的所有用户都可以访问域的数据门户（除非用户已被停用）。

     • 未分配表示已从域中移除 SSO 组。组中的用户无法通过其在组中的成员资格访问域的数据门户。

5. 通过选择添加和添加组来添加 SSO 组。如果域名设置为隐式用户分配，则此选项不可用，这意味着无论群组成员资格如何，身份池中的所有用户都可以访问Amazon DataZone 域。

   • 在添加组页面上，搜索要添加的组的别名。搜索框下方将显示包含潜在匹配项的列表。

   • 选择要添加的组。他们的别名将以木条形式显示在搜索框下方。

   • 如果您对要添加的组列表感到满意，请选择添加组。

   • 这些群组被分配到状态为 “已分配” 的 Amazon DataZone 域。

   • 当组成员访问域的数据门户时，状态将自动更改为已激活，并且将开始针对用户订阅对您计费。

6. 通过以下方式移除已分配 SSO 组：选择该组并从操作菜单中选择取消分配。因此，该群组将无法访问 Amazon DataZone 域名。组的状态将显示为未分配。 DataZone 通过该群组的成员资格获得Amazon访问权限的用户将失去访问权限。如果将域设置为隐式用户分配，则此选项不可用。要停止对因取消分配组而被移除访问权限的用户计费，接下来您需要手动选择并停用他们的用户配置文件。