AWS politique gérée : AmazonDataZoneFullAccess - Amazon DataZone
Considérations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politique gérée : AmazonDataZoneFullAccess

Vous pouvez associer la politique AmazonDataZoneFullAccess à vos identités IAM.

Cette politique fournit un accès complet à Amazon DataZone via le AWS Management Console. Cette politique donne également des autorisations à AWS KMS pour les paramètres SSM chiffrés. La clé KMS doit être étiquetée EnableKeyForAmazonDataZone pour permettre le déchiffrement des paramètres SSM.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • datazone— accorde aux principaux un accès complet à Amazon DataZone via le AWS Management Console.

  • kms— Permet aux principaux de répertorier les alias, de décrire les clés et de déchiffrer les clés.

  • s3— Permet aux principaux de choisir des compartiments S3 existants ou d'en créer de nouveaux pour stocker les données Amazon DataZone .

  • ram— Permet aux principaux de partager des DataZone domaines Comptes AWS Amazon entre eux.

  • iam— Permet aux directeurs de répertorier et de transmettre des rôles et d'obtenir des politiques.

  • sso— Permet aux principaux d'obtenir les régions où cette option AWS IAM Identity Center est activée.

  • secretsmanager— Permet aux principaux de créer, de baliser et de répertorier des secrets avec un préfixe spécifique.

  • aoss— Permet aux principaux de créer et de récupérer des informations pour les politiques de sécurité OpenSearch sans serveur.

  • bedrock— Permet aux principaux de créer, de répertorier et de récupérer des informations pour les profils d'inférence et les modèles de base.

  • codeconnections— Permet aux principaux de supprimer, de récupérer des informations, de répertorier les connexions et de gérer les balises associées aux connexions.

  • codewhisperer— Permet aux principaux de répertorier les CodeWhisperer profils.

  • ssm— Permet aux principaux de saisir, de supprimer et de récupérer des informations pour les paramètres.

  • redshift— Permet aux principaux de décrire les clusters et de répertorier les groupes de travail sans serveur

  • glue— Permet aux principaux d'obtenir des bases de données.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AmazonDataZoneStatement",
			"Effect": "Allow",
			"Action": [
				"datazone:*"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "ReadOnlyStatement",
			"Effect": "Allow",
			"Action": [
				"kms:DescribeKey",
				"kms:ListAliases",
				"iam:ListRoles",
				"sso:DescribeRegisteredRegions",
				"s3:ListAllMyBuckets",
				"redshift:DescribeClusters",
				"redshift-serverless:ListWorkgroups",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"secretsmanager:ListSecrets",
				"iam:ListUsers",
				"glue:GetDatabases",
				"codeconnections:ListConnections",
				"codeconnections:ListTagsForResource",
				"codewhisperer:ListProfiles",
				"bedrock:ListInferenceProfiles",
				"bedrock:ListFoundationModels",
				"bedrock:ListTagsForResource",
				"aoss:ListSecurityPolicies"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "BucketReadOnlyStatement",
			"Effect": "Allow",
			"Action": [
				"s3:ListBucket",
				"s3:GetBucketLocation"
			],
			"Resource": "arn:aws:s3:::*"
		},
		{
			"Sid": "CreateBucketStatement",
			"Effect": "Allow",
			"Action": [
				"s3:CreateBucket"
			],
			"Resource": [
				"arn:aws:s3:::amazon-datazone*",
				"arn:aws:s3:::amazon-sagemaker*"
			]
		},
		{
			"Sid": "ConfigureBucketStatement",
			"Effect": "Allow",
			"Action": [
				"s3:PutBucketCORS",
				"s3:PutBucketPolicy",
				"s3:PutBucketVersioning"
			],
			"Resource": [
				"arn:aws:s3:::amazon-sagemaker*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "RamCreateResourceStatement",
			"Effect": "Allow",
			"Action": [
				"ram:CreateResourceShare"
			],
			"Resource": "*",
			"Condition": {
				"StringEqualsIfExists": {
					"ram:RequestedResourceType": "datazone:Domain"
				}
			}
		},
		{
			"Sid": "RamResourceStatement",
			"Effect": "Allow",
			"Action": [
				"ram:DeleteResourceShare",
				"ram:AssociateResourceShare",
				"ram:DisassociateResourceShare",
				"ram:RejectResourceShareInvitation"
			],
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"ram:ResourceShareName": [
						"DataZone*"
					]
				}
			}
		},
		{
			"Sid": "RamResourceReadOnlyStatement",
			"Effect": "Allow",
			"Action": [
				"ram:GetResourceShares",
				"ram:GetResourceShareInvitations",
				"ram:GetResourceShareAssociations",
				"ram:ListResourceSharePermissions"
			],
			"Resource": "*"
		},
		{
			"Sid": "RamAssociateResourceSharePermissionStatement",
			"Effect": "Allow",
			"Action": "ram:AssociateResourceSharePermission",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"ram:PermissionArn": [
						"arn:aws:ram::aws:permission/AWSRAMDefaultPermissionAmazonDataZoneDomain",
						"arn:aws:ram::aws:permission/AWSRAMPermissionAmazonDataZoneDomainFullAccessWithPortalAccess",
						"arn:aws:ram::aws:permission/AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceAccess",
						"arn:aws:ram::aws:permission/AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceWithPortalAccess"
					]
				}
			}
		},
		{
			"Sid": "IAMPassRoleStatement",
			"Effect": "Allow",
			"Action": "iam:PassRole",
			"Resource": [
				"arn:aws:iam::*:role/AmazonDataZone*",
				"arn:aws:iam::*:role/service-role/AmazonDataZone*",
				"arn:aws:iam::*:role/service-role/AmazonSageMaker*"
			],
			"Condition": {
				"StringEquals": {
					"iam:passedToService": "datazone.amazonaws.com"
				}
			}
		},
		{
			"Sid": "IAMGetPolicyStatement",
			"Effect": "Allow",
			"Action": "iam:GetPolicy",
			"Resource": [
				"arn:aws:iam::*:policy/service-role/AmazonDataZoneRedshiftAccessPolicy*"
			]
		},
		{
			"Sid": "DataZoneTagOnCreateDomainProjectTags",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:TagResource"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AmazonDataZoneDomain",
						"AmazonDataZoneProject"
					]
				},
				"StringLike": {
					"aws:RequestTag/AmazonDataZoneDomain": "dzd_*",
					"aws:ResourceTag/AmazonDataZoneDomain": "dzd_*"
				}
			}
		},
		{
			"Sid": "DataZoneTagOnCreate",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:TagResource"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AmazonDataZoneDomain"
					]
				},
				"StringLike": {
					"aws:RequestTag/AmazonDataZoneDomain": "dzd_*",
					"aws:ResourceTag/AmazonDataZoneDomain": "dzd_*"
				}
			}
		},
		{
			"Sid": "CreateSecretStatement",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:CreateSecret"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*",
			"Condition": {
				"StringLike": {
					"aws:RequestTag/AmazonDataZoneDomain": "dzd_*"
				}
			}
		},
		{
			"Sid": "ConnectionStatement",
			"Effect": "Allow",
			"Action": [
				"codeconnections:GetConnection"
			],
			"Resource": [
				"arn:aws:codeconnections:*:*:connection/*"
			]
		},
		{
			"Sid": "TagCodeConnectionsStatement",
			"Effect": "Allow",
			"Action": [
				"codeconnections:TagResource"
			],
			"Resource": [
				"arn:aws:codeconnections:*:*:connection/*"
			],
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"for-use-with-all-datazone-projects"
					]
				},
				"StringEquals": {
					"aws:RequestTag/for-use-with-all-datazone-projects": "true"
				}
			}
		},
		{
			"Sid": "UntagCodeConnectionsStatement",
			"Effect": "Allow",
			"Action": [
				"codeconnections:UntagResource"
			],
			"Resource": [
				"arn:aws:codeconnections:*:*:connection/*"
			],
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": "for-use-with-all-datazone-projects"
				}
			}
		},
		{
			"Sid": "SSMParameterStatement",
			"Effect": "Allow",
			"Action": [
				"ssm:GetParameter",
				"ssm:GetParametersByPath",
				"ssm:PutParameter",
				"ssm:DeleteParameter"
			],
			"Resource": [
				"arn:aws:ssm:*:*:parameter/amazon/datazone/q*",
				"arn:aws:ssm:*:*:parameter/amazon/datazone/genAI*",
				"arn:aws:ssm:*:*:parameter/amazon/datazone/profiles*"
			]
		},
		{
			"Sid": "UseKMSKeyPermissionsStatement",
			"Effect": "Allow",
			"Action": [
				"kms:Decrypt"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/EnableKeyForAmazonDataZone": "true"
				},
				"Null": {
					"aws:ResourceTag/EnableKeyForAmazonDataZone": "false"
				},
				"StringLike": {
					"kms:ViaService": "ssm.*.amazonaws.com"
				}
			}
		},
		{
			"Sid": "SecurityPolicyStatement",
			"Effect": "Allow",
			"Action": [
				"aoss:GetSecurityPolicy",
				"aoss:CreateSecurityPolicy"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringLike": {
					"aoss:collection": "genai-studio-*"
				}
			}
		},
		{
			"Sid": "GetFoundationModelStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:GetFoundationModel",
				"bedrock:GetFoundationModelAvailability"
			],
			"Resource": [
				"arn:aws:bedrock:*::foundation-model/*"
			]
		},
		{
			"Sid": "GetInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:GetInferenceProfile"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:inference-profile/*",
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			]
		},
		{
			"Sid": "ApplicationInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:CreateInferenceProfile"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			],
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonDataZoneProject": "true",
					"aws:RequestTag/AmazonDataZoneDomain": "false"
				}
			}
		},
		{
			"Sid": "TagApplicationInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:TagResource"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			],
			"Condition": {
				"Null": {
					"aws:ResourceTag/AmazonDataZoneProject": "true",
					"aws:RequestTag/AmazonDataZoneProject": "true",
					"aws:ResourceTag/AmazonDataZoneDomain": "false",
					"aws:RequestTag/AmazonDataZoneDomain": "false"
				}
			}
		},
		{
			"Sid": "DeleteApplicationInferenceProfileStatement",
			"Effect": "Allow",
			"Action": [
				"bedrock:DeleteInferenceProfile"
			],
			"Resource": [
				"arn:aws:bedrock:*:*:application-inference-profile/*"
			],
			"Condition": {
				"Null": {
					"aws:ResourceTag/AmazonDataZoneProject": "true",
					"aws:ResourceTag/AmazonDataZoneDomain": "false"
				}
			}
		}
	]
}

Considérations et limites relatives aux politiques

Certaines fonctionnalités ne sont pas couvertes par la AmazonDataZoneFullAccess politique.

  • Si vous créez un DataZone domaine Amazon avec votre propre AWS KMS clé, vous devez disposer des autorisations nécessaires kms:CreateGrant pour que la création du domaine réussisse, et kms:Decrypt pour que cette clé puisse invoquer d'autres Amazonkms:GenerateDataKey, DataZone APIs tels que listDataSources etcreateDataSource. Et vous devez également disposer des autorisations nécessaires pour kms:CreateGrantkms:Decrypt,kms:GenerateDataKey, et kms:DescribeKey dans la politique de ressources de cette clé.

    Si vous utilisez la clé KMS appartenant au service par défaut, cela n'est pas obligatoire.

    Pour de plus amples informations, veuillez consulter AWS Key Management Service.

  • Si vous souhaitez utiliser les fonctionnalités de création et de mise à jour de rôles dans la DataZone console Amazon, vous devez disposer des privilèges d'administrateur ou des autorisations IAM requises pour créer des rôles IAM et créer/mettre à jour des politiques. Les autorisations requises incluentiam:CreateRole,iam:CreatePolicy, iam:CreatePolicyVersioniam:DeletePolicyVersion, et iam:AttachRolePolicy les autorisations.

  • Si vous créez un nouveau domaine sur Amazon DataZone avec l'identifiant AWS IAM Identity Center utilisateur activé, ou si vous l'activez pour un domaine existant sur Amazon DataZone, vous devez disposer des autorisations suivantes :

    • organisations : DescribeOrganization

    • organisations : ListDelegatedAdministrators

    • SSO : CreateInstance

    • SSO : ListInstances

    • SSO : GetSharedSsoConfiguration

    • SSO : PutApplicationGrant

    • SSO : PutApplicationAssignmentConfiguration

    • SSO : PutApplicationAuthenticationMethod

    • SSO : PutApplicationAccessScope

    • SSO : CreateApplication

    • SSO : DeleteApplication

    • SSO : CreateApplicationAssignment

    • SSO : DeleteApplicationAssignment

    • répertoire SSO : CreateUser

    • répertoire SSO : SearchUsers

    • SSO : ListApplications

  • Pour accepter une demande d'association de AWS compte sur Amazon DataZone, vous devez en avoir l'ram:AcceptResourceShareInvitationautorisation.

  • Si vous souhaitez créer la ressource requise pour la configuration réseau d' SageMaker Unified Studio, vous devez disposer des autorisations suivantes et associer une AmazonVpcFullAccess politique :

    • iam : PassRole

    • formation des nuages : CreateStack