Amazon DataZone 中的授權

Amazon DataZone 的介面包含 內的管理主控台 AWS 和非主控台 Web 應用程式 （資料入口網站）。

AWS 管理員可以針對top-level-resource APIs 使用 Amazon DataZone 管理主控台，包括建立和管理網域、這些網域 AWS 的帳戶關聯，以及您要將存取管理委派給 Amazon DataZone 的資料來源。您可以使用 Amazon DataZone 管理主控台，針對其明確設定 AWS 的帳戶，管理將存取控制控制委派給 Amazon DataZone 服務所需的所有 IAM 角色和組態。Amazon DataZone 資料入口網站是 SSO 使用者的第一方 AWS Identity Center 應用程式。如果啟用，獲授權的 IAM 主體也可以使用該主控台來聯合到資料入口網站，而不是使用 SSO 身分。

Amazon DataZone 的資料入口網站主要由 AWS IAM Identity Center 驗證的使用者使用，以管理對資料的存取，並執行資料發佈、探索、訂閱和分析任務。

Amazon DataZone 主控台中的授權

Amazon DataZone 主控台授權模型使用 IAM 授權。管理員主要使用主控台進行設定。Amazon DataZone 使用網域管理員 AWS 帳戶和成員 AWS 帳戶的概念，並從所有這些帳戶使用主控台來建立信任關係，同時遵守 AWS 組織界限。

Amazon DataZone 入口網站中的授權

Amazon DataZone 資料入口網站授權模型是一種階層式 ACL，具有靜態角色原型 （設定檔），其中包含管理員和檢視器。例如，使用者可以有管理員或使用者的設定檔。在網域層級，它們可能有資料擁有者的網域使用者指定。在專案層級，使用者可以是擁有者或參與者。這些設定檔可設定為兩種類型之一：使用者和群組。這些設定檔接著會與網域和專案建立關聯，而這些許可的狀態會存放在關聯資料表中。

在此授權模型中，Amazon DataZone 允許使用者管理使用者和群組許可。使用者管理專案成員資格、請求專案成員資格，以及核准成員資格。使用者發佈資料、訂閱資料和核准訂閱。

當使用者的資料入口網站用戶端請求 Amazon DataZone 在特定專案內容中根據使用者的有效設定檔產生的 IAM 工作階段登入資料時，使用者會在特定專案中執行資料分析。此工作階段的範圍涵蓋使用者許可，以及特定專案的資源。然後，使用者會捨棄 Athena 或 Redshift 來查詢相關資料，而所有基礎 IAM 工作都會完全抽象化。

Amazon DataZone 設定檔和角色

驗證使用者後，驗證的內容會映射到使用者設定檔 ID。此使用者設定檔可以有多個不同的關聯 （專案擁有者、網域管理員等），用於授權使用者。根據內容，每個關聯 （例如專案擁有者、網域管理員等） 都有特定活動的許可。例如，具有網域管理員關聯的使用者可以建立其他網域、可以將其他網域管理員指派給網域，也可以在其網域內建立專案範本。專案擁有者可以為其專案新增或移除專案成員，並將資產發佈至網域。