設定使用 Amazon DataZone 資料入口網站所需的IAM許可 - Amazon DataZone
將必要的原則附加至使用者、群組或角色,以存取資料入口網站將必要的原則附加至使用者、群組或角色以存取目錄如果您的網域使用客戶管理的金鑰來加密您的網域,則將選用原則附加至使用者、群組或角色,以供資料入口網站或目錄存取使用 AWS KMS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定使用 Amazon DataZone 資料入口網站所需的IAM許可

Amazon DataZone 資料入口網站 (AWS管理主控台外部) 是以瀏覽器為基礎的 Web 應用程式,使用者可以透過自助服務方式前往目錄、探索、控管、共用和分析資料。資料入口網站透過您的身分提供者提供的IAM認證或現有憑證來驗證使用者 AWS IAM身分識別中心。

您必須完成下列程序,才能為任何想要使用 Amazon DataZone 資料入口網站或目錄的使用者、群組或角色設定所需的許可:

將必要的政策附加到使用者、群組或角色,以存取 Amazon DataZone 資料入口網站

您可以使用以下方式存取 Amazon DataZone 資料入口網站 AWS 認證或您的單一登入 (SSO) 認證。按照以下部分中的說明設置訪問數據門戶所需的權限 AWS 認證。如需 DataZone 搭配使用 Amazon 的詳細資訊SSO,請參閱設定 AWS IAMAmazon 身分中心 DataZone

注意

只有您網域中的IAM主參與者 AWS 帳戶可以存取網域的資料入口網站。IAM來自其他的校長 AWS 帳戶無法存取網域的資料入口網站。

完成下列程序,將必要的原則附加至使用者、群組或角色。如需詳細資訊,請參閱AWS Amazon 的 受管政策 DataZone

  1. 登入 AWS 管理主控台並開啟主IAM控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 [使用者]、[使用者群組] 或 [角色]。

  3. 在清單中,選擇要內嵌政策的使用者、群組或角色名稱。

  4. 選擇 Permissions (許可) 索引標籤,並在必要時,展開 Permissions policies (許可政策) 部分。

  5. 選擇新增權限建立內嵌原則連結。

  6. 在「建立策略」畫面的「策略編輯器」區段中,選擇JSON。使用下列JSON陳述式建立政策文件,然後選擇 [下步]。

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "datazone:GetIamPortalLoginUrl"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  7. 在「檢閱策略」畫面上,輸入策略的名稱。當您滿意時,選擇 Create policy (建立政策)。確認畫面頂端的紅色方塊未出現任何錯誤。如出現任何錯誤,請加以修正。

將必要的政策附加到 Amazon DataZone 目錄存取的使用者、群組或角色

注意

只有您網域中的IAM主參與者 AWS 帳戶可以存取網域的目錄。IAM來自其他的校長 AWS 帳戶無法存取網域的目錄。

您可以透API過以下程序授SDK與IAM身分存取 Amazon DataZone 網域目錄的權限。如果您希望這些IAM身分也能存取 Amazon 資 DataZone 料入口網站,請另外遵循上述程序將必要的政策附加到使用者、群組或角色,以存取 Amazon DataZone 資料入口網站。如需詳細資訊,請參閱AWS Amazon 的 受管政策 DataZone

  1. 登入 AWS 管理主控台並開啟主IAM控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇政策

  3. 在策略清單中,選取AmazonDataZoneFullUserAccess策略旁邊的圓鈕。您可用篩選功能表和搜尋方塊來篩選政策清單。如需詳細資訊,請參閱 AWS 受管政策: AmazonDataZoneFullUserAccess

  4. 選擇 Actions (動作),然後選擇 Attach (連接)。

  5. 選取每個主參與者旁邊的核取方塊,選擇要附加原則的使用者、群組或角色。您可用篩選功能表和搜尋方塊來篩選主體實體清單。選擇使用者、群組或角色後,請選擇 [附加原則]。

如果您的網域使用客戶管理的金鑰加密,則將選用政策附加至 Amazon DataZone 資料入口網站或目錄存取的使用者、群組或角色 AWS 金鑰管理服務 (KMS)

如果您使用自己的資料加密KMS金鑰建立 Amazon DataZone 網域,則還必須建立具有下列許可的內嵌政策,並將其附加到IAM主體,以便他們可以存取 Amazon DataZone 資料入口網站或目錄。

  1. 登入 AWS 管理主控台並開啟主IAM控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 [使用者]、[使用者群組] 或 [角色]。

  3. 在清單中,選擇要內嵌政策的使用者、群組或角色名稱。

  4. 選擇 Permissions (許可) 索引標籤,並在必要時,展開 Permissions policies (許可政策) 部分。

  5. 選擇新增權限建立內嵌原則連結。

  6. 在「建立策略」畫面的「策略編輯器」區段中,選擇JSON。使用下列JSON陳述式建立政策文件,然後選擇 [下步]。

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

  7. 在「檢閱策略」畫面上,輸入策略的名稱。當您滿意時,選擇 Create policy (建立政策)。確認畫面頂端的紅色方塊未出現任何錯誤。如出現任何錯誤,請加以修正。