Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS política gestionada: AmazonDataZoneFullAccess
Puede adjuntar la política AmazonDataZoneFullAccess a las identidades de IAM.
Esta política proporciona acceso completo a Amazon DataZone a través de AWS Management Console. Esta política también permite el uso de AWS KMS para los parámetros de SSM cifrados. La clave KMS debe estar etiquetada EnableKeyForAmazonDataZone para poder descifrar los parámetros del SSM.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
datazone— otorga a los directores acceso completo a Amazon a DataZone través del AWS Management Console. -
kms— Permite a los directores enumerar los alias, describir las claves y descifrar las claves. -
s3— Permite a los directores elegir depósitos S3 existentes o crear nuevos para almacenar los datos de Amazon DataZone . -
ram— Permite a los directores compartir DataZone dominios de Amazon entre Cuentas de AWS sí. -
iam– Permite a las entidades principales transmitir y enumerar roles, y obtener políticas. -
sso– Permite a las entidades principales obtener las regiones en las que AWS IAM Identity Center se encuentra habilitado. -
secretsmanager– Permite a las entidades principales crear, etiquetar y enumerar secretos con un prefijo específico. -
aoss— Permite a los directores crear y recuperar información para las políticas de seguridad OpenSearch sin servidor. -
bedrock— Permite a los directores crear, enumerar y recuperar información para perfiles de inferencia y modelos básicos. -
codeconnections— Permite a los directores eliminar, recuperar información, enumerar las conexiones y gestionar las etiquetas de las conexiones. -
codewhisperer— Permite a los directores CodeWhisperer enumerar los perfiles. -
ssm— Permite a los directores colocar, eliminar y recuperar información para los parámetros. -
redshift— Permite a los directores describir los clústeres y enumerar los grupos de trabajo sin servidor -
glue— Permite a los directores obtener bases de datos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonDataZoneStatement", "Effect": "Allow", "Action": [ "datazone:*" ], "Resource": [ "*" ] }, { "Sid": "ReadOnlyStatement", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases", "iam:ListRoles", "sso:DescribeRegisteredRegions", "s3:ListAllMyBuckets", "redshift:DescribeClusters", "redshift-serverless:ListWorkgroups", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "secretsmanager:ListSecrets", "iam:ListUsers", "glue:GetDatabases", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "codewhisperer:ListProfiles", "bedrock:ListInferenceProfiles", "bedrock:ListFoundationModels", "bedrock:ListTagsForResource", "aoss:ListSecurityPolicies" ], "Resource": [ "*" ] }, { "Sid": "BucketReadOnlyStatement", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "CreateBucketStatement", "Effect": "Allow", "Action": [ "s3:CreateBucket" ], "Resource": [ "arn:aws:s3:::amazon-datazone*", "arn:aws:s3:::amazon-sagemaker*" ] }, { "Sid": "ConfigureBucketStatement", "Effect": "Allow", "Action": [ "s3:PutBucketCORS", "s3:PutBucketPolicy", "s3:PutBucketVersioning" ], "Resource": [ "arn:aws:s3:::amazon-sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RamCreateResourceStatement", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "datazone:Domain" } } }, { "Sid": "RamResourceStatement", "Effect": "Allow", "Action": [ "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:RejectResourceShareInvitation" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "DataZone*" ] } } }, { "Sid": "RamResourceReadOnlyStatement", "Effect": "Allow", "Action": [ "ram:GetResourceShares", "ram:GetResourceShareInvitations", "ram:GetResourceShareAssociations", "ram:ListResourceSharePermissions" ], "Resource": "*" }, { "Sid": "RamAssociateResourceSharePermissionStatement", "Effect": "Allow", "Action": "ram:AssociateResourceSharePermission", "Resource": "*", "Condition": { "StringEquals": { "ram:PermissionArn": [ "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionAmazonDataZoneDomain", "arn:aws:ram::aws:permission/AWSRAMPermissionAmazonDataZoneDomainFullAccessWithPortalAccess", "arn:aws:ram::aws:permission/AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceAccess", "arn:aws:ram::aws:permission/AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceWithPortalAccess" ] } } }, { "Sid": "IAMPassRoleStatement", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonSageMaker*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Sid": "IAMGetPolicyStatement", "Effect": "Allow", "Action": "iam:GetPolicy", "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZoneRedshiftAccessPolicy*" ] }, { "Sid": "DataZoneTagOnCreateDomainProjectTags", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain", "AmazonDataZoneProject" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "DataZoneTagOnCreate", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "CreateSecretStatement", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "ConnectionStatement", "Effect": "Allow", "Action": [ "codeconnections:GetConnection" ], "Resource": [ "arn:aws:codeconnections:*:*:connection/*" ] }, { "Sid": "TagCodeConnectionsStatement", "Effect": "Allow", "Action": [ "codeconnections:TagResource" ], "Resource": [ "arn:aws:codeconnections:*:*:connection/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "for-use-with-all-datazone-projects" ] }, "StringEquals": { "aws:RequestTag/for-use-with-all-datazone-projects": "true" } } }, { "Sid": "UntagCodeConnectionsStatement", "Effect": "Allow", "Action": [ "codeconnections:UntagResource" ], "Resource": [ "arn:aws:codeconnections:*:*:connection/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "for-use-with-all-datazone-projects" } } }, { "Sid": "SSMParameterStatement", "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:GetParametersByPath", "ssm:PutParameter", "ssm:DeleteParameter" ], "Resource": [ "arn:aws:ssm:*:*:parameter/amazon/datazone/q*", "arn:aws:ssm:*:*:parameter/amazon/datazone/genAI*", "arn:aws:ssm:*:*:parameter/amazon/datazone/profiles*" ] }, { "Sid": "UseKMSKeyPermissionsStatement", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceTag/EnableKeyForAmazonDataZone": "true" }, "Null": { "aws:ResourceTag/EnableKeyForAmazonDataZone": "false" }, "StringLike": { "kms:ViaService": "ssm.*.amazonaws.com" } } }, { "Sid": "SecurityPolicyStatement", "Effect": "Allow", "Action": [ "aoss:GetSecurityPolicy", "aoss:CreateSecurityPolicy" ], "Resource": [ "*" ], "Condition": { "StringLike": { "aoss:collection": "genai-studio-*" } } }, { "Sid": "GetFoundationModelStatement", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModel", "bedrock:GetFoundationModelAvailability" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "GetInferenceProfileStatement", "Effect": "Allow", "Action": [ "bedrock:GetInferenceProfile" ], "Resource": [ "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] }, { "Sid": "ApplicationInferenceProfileStatement", "Effect": "Allow", "Action": [ "bedrock:CreateInferenceProfile" ], "Resource": [ "arn:aws:bedrock:*:*:application-inference-profile/*" ], "Condition": { "Null": { "aws:RequestTag/AmazonDataZoneProject": "true", "aws:RequestTag/AmazonDataZoneDomain": "false" } } }, { "Sid": "TagApplicationInferenceProfileStatement", "Effect": "Allow", "Action": [ "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:application-inference-profile/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonDataZoneProject": "true", "aws:RequestTag/AmazonDataZoneProject": "true", "aws:ResourceTag/AmazonDataZoneDomain": "false", "aws:RequestTag/AmazonDataZoneDomain": "false" } } }, { "Sid": "DeleteApplicationInferenceProfileStatement", "Effect": "Allow", "Action": [ "bedrock:DeleteInferenceProfile" ], "Resource": [ "arn:aws:bedrock:*:*:application-inference-profile/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonDataZoneProject": "true", "aws:ResourceTag/AmazonDataZoneDomain": "false" } } } ] }
Consideraciones y limitaciones de la política
Hay ciertas funcionalidades que la política AmazonDataZoneFullAccess no cubre.
-
Si creas un DataZone dominio de Amazon con tu propia AWS KMS clave, debes tener los permisos
kms:CreateGrantpara que la creación del dominio se realice correctamente ykms:Decryptpara que esa clave invoque a otros Amazonkms:GenerateDataKey, DataZone APIs comolistDataSourcesycreateDataSource. Además, debe tener los permisos parakms:CreateGrant,kms:Decrypt,kms:GenerateDataKey, ykms:DescribeKeyen la política de recursos de esa clave.En cambio, si utiliza la clave KMS predeterminada que es propiedad del servicio, estos requisitos no serán necesarios.
Para obtener más información, consulte AWS Key Management Service.
-
Si quieres usar las funcionalidades de creación y actualización de roles en la DataZone consola de Amazon, debes tener privilegios de administrador o tener los permisos de IAM necesarios para crear roles de IAM y crear o actualizar políticas. Entre los permisos necesarios se incluyen
iam:CreateRole,iam:CreatePolicy,iam:CreatePolicyVersion,iam:DeletePolicyVersionyiam:AttachRolePolicy. -
Si creas un dominio nuevo en Amazon DataZone con el inicio de sesión de AWS IAM Identity Center los usuarios activado, o si lo activas para un dominio existente en Amazon DataZone, debes tener permisos para lo siguiente:
-
organizaciones: DescribeOrganization
-
organizaciones: ListDelegatedAdministrators
-
así que: CreateInstance
-
sso: ListInstances
-
sso: GetSharedSsoConfiguration
-
sso: PutApplicationGrant
-
sso: PutApplicationAssignmentConfiguration
-
sso: PutApplicationAuthenticationMethod
-
sso: PutApplicationAccessScope
-
sso: CreateApplication
-
sso: DeleteApplication
-
sso: CreateApplicationAssignment
-
sso: DeleteApplicationAssignment
-
directorio sso: CreateUser
-
directorio sso: SearchUsers
-
sso: ListApplications
-
-
Para aceptar una solicitud de asociación de AWS cuentas en Amazon DataZone, debes tener el
ram:AcceptResourceShareInvitationpermiso. -
Si desea crear el recurso necesario para la configuración de red de SageMaker Unified Studio, debe tener permisos para lo siguiente y adjuntar la AmazonVpcFullAccess política:
-
iam: PassRole
-
formación de nubes: CreateStack
-
