AWS 受管政策： AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary

注意

此政策是許可界限。許可界限負責設定身分型政策可為 IAM 實體授予的最大許可。您不應自行使用和連接 Amazon DataZone 許可界限政策。Amazon DataZone 許可界限政策應僅連接至 Amazon DataZone 受管角色。如需許可界限的詳細資訊，請參閱《IAM 使用者指南》中的 IAM 實體的許可界限。

當您透過 Amazon DataZone 資料入口網站建立 Amazon SageMaker 環境時，Amazon DataZone 會將此許可界限套用至環境建立期間產生的 IAM 角色。 DataZone 許可界限會限制 Amazon DataZone 建立的角色範圍，以及您新增的任何角色。

Amazon DataZone 使用 AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary受管政策來限制其連接的佈建 IAM 主體。委託人可能採用 Amazon DataZone 可代表互動式企業使用者或分析服務 （例如AWS SageMaker) 擔任的使用者角色形式，然後執行動作來處理資料，例如從 Amazon S3 或 Amazon Redshift 讀取和寫入或執行 AWS Glue 爬蟲程式。

此AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary政策會將 Amazon DataZone 的讀取和寫入存取權授予 服務，例如 Amazon SageMaker、 AWS Glue、Amazon S3、 AWS Lake Formation、Amazon Redshift 和 Amazon Athena。此政策也為使用網路介面、Amazon ECR 儲存庫和 AWS KMS 金鑰等服務所需的一些基礎設施資源提供讀取和寫入許可。它還允許存取 Amazon SageMaker 應用程式，例如 Amazon SageMaker Canvas。

Amazon DataZone 會將AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary受管政策套用為所有 Amazon DataZone 環境角色 （擁有者和參與者） 的許可界限。此許可界限會將這些角色限制為僅允許存取環境所需的資源和動作。

若要檢視此政策的許可，請參閱《 AWS 受管政策參考》中的 AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary。