Autorización en la DataZone consola de Amazon Autorización en el DataZone portal de Amazon DataZone Perfiles y funciones de Amazon

Autorización en Amazon DataZone

DataZoneLa interfaz de Amazon consta de una consola de administración interna AWS y una aplicación web externa (portal de datos).

AWS Los administradores pueden usar la consola de DataZone administración de Amazon para top-level-resource APIs, entre otras cosas, crear y administrar dominios, asociaciones de AWS cuentas para estos dominios y fuentes de datos para las que desee delegar la administración del acceso a Amazon DataZone. Puede utilizar la consola de DataZone administración de Amazon para gestionar todas las funciones y la configuración de IAM necesarias para delegar el control de la gestión de acceso al DataZone servicio de Amazon para sus AWS cuentas configuradas de forma explícita. El portal de DataZone datos de Amazon es una aplicación de centro de AWS identidad propia para usuarios de SSO. Si está habilitada, las entidades principales de IAM que estén autorizadas también pueden utilizar la consola para federarse en el portal de datos en lugar de utilizar una identidad de SSO.

El portal DataZone de datos de Amazon está diseñado para que lo utilicen principalmente los usuarios autenticados del AWS IAM Identity Center para administrar el acceso a los datos y realizar tareas de publicación, descubrimiento, suscripción y análisis de datos.

Autorización en la DataZone consola de Amazon

El modelo de autorización de DataZone la consola de Amazon utiliza la autorización de IAM. Los administradores utilizan la consola principalmente para la configuración. Amazon DataZone utiliza el concepto de una AWS cuenta de administrador de dominio y AWS cuentas de miembros, y todas estas cuentas utilizan la consola para crear relaciones de confianza y, al mismo tiempo, respetar los límites de AWS la organización.

Autorización en el DataZone portal de Amazon

El modelo de autorización del portal de DataZone datos de Amazon es una ACL jerárquica con arquetipos de roles estáticos (perfiles) que incluyen administradores y espectadores. Por ejemplo, los usuarios pueden tener un perfil de administrador o de usuario. En un dominio, pueden tener una designación de usuario de dominio como propietario de los datos. En un proyecto, un usuario puede ser propietario o colaborador. Estos perfiles se pueden configurar de dos tipos: usuarios y grupos. A continuación, estos perfiles se asocian a dominios y proyectos. El estado de estos permisos se almacena en una tabla de asociaciones.

Dentro de este modelo de autorización, Amazon DataZone permite a los usuarios gestionar los permisos de usuarios y grupos. Los usuarios administran la membresía de los proyectos, solicitan membresías para proyectos y aprueban las membresías. Los usuarios publican datos, se suscriben a los datos y aprueban las suscripciones.

Los usuarios realizan análisis de datos en proyectos específicos cuando su cliente del portal de datos solicita las credenciales de sesión de IAM que Amazon DataZone genera en función del perfil efectivo del usuario en el contexto específico del proyecto. Esta sesión se centra tanto en los permisos del usuario como en los recursos del proyecto específico. Luego, los usuarios acceden a Athena o Redshift para consultar los datos relevantes y todo el trabajo de subyacente de IAM se generaliza por completo.

DataZone Perfiles y funciones de Amazon

Una vez que se autentica un usuario, el contexto autenticado se asigna a un ID de perfil de usuario. Este perfil de usuario puede tener varias asociaciones diferentes (propietario del proyecto, administrador del dominio, etc.) que se utilizan para autorizar a los usuarios. Cada asociación (por ejemplo, el propietario del proyecto, el administrador del dominio, etc.) tiene permisos para realizar determinadas actividades en función del contexto. Por ejemplo, un usuario que tiene una asociación de administradores de dominio puede crear dominios adicionales, asignar otros administradores de dominio al dominio y crear plantillas de proyectos dentro de su dominio. El propietario de un proyecto puede añadir o eliminar miembros del proyecto, así como publicar activos en un dominio.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de puntos de enlace de VPC de interfaz para Amazon DataZone

Control del acceso