AWS 受管政策: AmazonDataZoneFullAccess - Amazon DataZone
考量事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 受管政策: AmazonDataZoneFullAccess

您可將 AmazonDataZoneFullAccess 政策連接到 IAM 身分。

此政策透過 提供 Amazon DataZone 的完整存取權 AWS Management Console。此政策也具有加密 SSM 參數的 AWS KMS 許可。KMS 金鑰必須使用 EnableKeyForAmazonDataZone 標記,以允許解密 SSM 參數。

許可詳細資訊

此政策包含以下許可:

  • datazone – 透過 授予委託人對 Amazon DataZone 的完整存取權 AWS Management Console。

  • kms – 允許主體列出別名、描述金鑰和解密金鑰。

  • s3 – 允許主體選擇現有或建立新的 S3 儲存貯體來存放 Amazon DataZone 資料。

  • ram – 允許主體跨 共用 Amazon DataZone 網域 AWS 帳戶。

  • iam – 允許主體列出和傳遞角色並取得政策。

  • sso – 允許主體取得 AWS IAM Identity Center 已啟用 的區域。

  • secretsmanager – 允許主體建立、標記和列出具有特定字首的秘密。

  • aoss – 允許主體建立和擷取 OpenSearch Serverless 安全政策的資訊。

  • bedrock – 允許主體建立、列出和擷取推論設定檔和基礎模型的資訊。

  • codeconnections – 允許主體刪除、擷取資訊、列出連線和管理連線的標籤。

  • codewhisperer – 允許主體列出 CodeWhisperer 設定檔。

  • ssm – 允許主體放置、刪除和擷取參數的資訊。

  • redshift – 允許主體描述叢集並列出無伺服器工作群組

  • glue – 允許主體取得資料庫。

若要檢視此政策的許可,請參閱《 AWS 受管政策參考》中的 AmazonDataZoneFullAccess

政策考量和限制

AmazonDataZoneFullAccess 政策未涵蓋某些功能。

  • 如果您使用自己的 AWS KMS 金鑰建立 Amazon DataZone 網域,您必須擁有 kms:CreateGrant 的許可,才能成功建立網域,以及擁有 kms:Decrypt的許可kms:GenerateDataKey,才能叫用 listDataSources和 等其他 Amazon DataZone APIscreateDataSource。此外,您還必須在該金鑰的資源政策kms:DescribeKey中擁有 kms:CreateGrantkms:GenerateDataKeykms:Decrypt和 的許可。

    如果您使用預設服務擁有的 KMS 金鑰,則不需要這麼做。

    如需詳細資訊,請參閱AWS Key Management Service

  • 如果您想要在 Amazon DataZone 主控台中使用建立更新角色功能,您必須具有管理員權限,或具有建立 IAM 角色和建立/更新政策所需的 IAM 許可。所需的許可包括 iam:CreateRoleiam:CreatePolicyiam:DeletePolicyVersioniam:CreatePolicyVersioniam:AttachRolePolicy許可。

  • 如果您在啟用 AWS IAM Identity Center 使用者登入的 Amazon DataZone 中建立新的網域,或者如果您為 Amazon DataZone 中的現有網域啟用該網域,則必須具有下列許可:

    • organizations:DescribeOrganization

    • organizations:ListDelegatedAdministrators

    • sso:CreateInstance

    • sso:ListInstances

    • sso:GetSharedSsoConfiguration

    • sso:PutApplicationGrant

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationAccessScope

    • sso:CreateApplication

    • sso:DeleteApplication

    • sso:CreateApplicationAssignment

    • sso:DeleteApplicationAssignment

    • sso-directory:CreateUser

    • sso-directory:SearchUsers

    • sso:ListApplications

  • 若要在 Amazon DataZone 中接受 AWS 帳戶關聯請求,您必須擁有 ram:AcceptResourceShareInvitation許可。

  • 如果您想要為 SageMaker Unified Studio 網路設定建立必要的資源,您必須具有下列許可,並連接 AmazonVpcFullAccess 政策:

    • iam:PassRole

    • cloudformation:CreateStack