Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola: AmazonDataZoneFullAccess
Anda dapat melampirkan kebijakan AmazonDataZoneFullAccess ke identitas IAM Anda.
Kebijakan ini menyediakan akses penuh ke Amazon DataZone melalui AWS Management Console. Kebijakan ini juga memiliki izin ke AWS KMS untuk parameter SSM terenkripsi. Kunci KMS harus ditandai dengan EnableKeyForAmazonDataZone untuk memungkinkan dekripsi parameter SSM.
Detail izin
Kebijakan ini mencakup izin berikut:
-
datazone— memberikan kepala sekolah akses penuh ke Amazon melalui. DataZone AWS Management Console -
kms— Memungkinkan prinsipal untuk membuat daftar alias, mendeskripsikan kunci, dan mendekripsi kunci. -
s3— Memungkinkan kepala sekolah untuk memilih yang ada atau membuat bucket S3 baru untuk menyimpan data Amazon. DataZone -
ram— Memungkinkan kepala sekolah untuk berbagi domain Amazon DataZone di seluruh. Akun AWS -
iam— Memungkinkan kepala sekolah untuk membuat daftar dan meneruskan peran dan mendapatkan kebijakan. -
sso— Memungkinkan kepala sekolah untuk mendapatkan wilayah di mana AWS IAM Identity Center diaktifkan. -
secretsmanager— Memungkinkan kepala sekolah untuk membuat, menandai, dan daftar rahasia dengan awalan tertentu. -
aoss— Memungkinkan prinsipal untuk membuat dan mengambil informasi untuk OpenSearch kebijakan keamanan Tanpa Server. -
bedrock— Memungkinkan kepala sekolah untuk membuat, membuat daftar, dan mengambil informasi untuk profil inferensi dan model fondasi. -
codeconnections— Memungkinkan prinsipal untuk menghapus, mengambil informasi, membuat daftar koneksi, dan mengelola tag untuk koneksi. -
codewhisperer— Memungkinkan kepala sekolah untuk daftar profil. CodeWhisperer -
ssm— Memungkinkan prinsipal untuk menempatkan, menghapus, dan mengambil informasi untuk parameter. -
redshift— Memungkinkan kepala sekolah untuk menggambarkan cluster dan daftar kelompok kerja tanpa server -
glue— Memungkinkan kepala sekolah untuk mendapatkan database.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonDataZoneStatement", "Effect": "Allow", "Action": [ "datazone:*" ], "Resource": [ "*" ] }, { "Sid": "ReadOnlyStatement", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListAliases", "iam:ListRoles", "sso:DescribeRegisteredRegions", "s3:ListAllMyBuckets", "redshift:DescribeClusters", "redshift-serverless:ListWorkgroups", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "secretsmanager:ListSecrets", "iam:ListUsers", "glue:GetDatabases", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "codewhisperer:ListProfiles", "bedrock:ListInferenceProfiles", "bedrock:ListFoundationModels", "bedrock:ListTagsForResource", "aoss:ListSecurityPolicies" ], "Resource": [ "*" ] }, { "Sid": "BucketReadOnlyStatement", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::*" }, { "Sid": "CreateBucketStatement", "Effect": "Allow", "Action": [ "s3:CreateBucket" ], "Resource": [ "arn:aws:s3:::amazon-datazone*", "arn:aws:s3:::amazon-sagemaker*" ] }, { "Sid": "ConfigureBucketStatement", "Effect": "Allow", "Action": [ "s3:PutBucketCORS", "s3:PutBucketPolicy", "s3:PutBucketVersioning" ], "Resource": [ "arn:aws:s3:::amazon-sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RamCreateResourceStatement", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "ram:RequestedResourceType": "datazone:Domain" } } }, { "Sid": "RamResourceStatement", "Effect": "Allow", "Action": [ "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:RejectResourceShareInvitation" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "DataZone*" ] } } }, { "Sid": "RamResourceReadOnlyStatement", "Effect": "Allow", "Action": [ "ram:GetResourceShares", "ram:GetResourceShareInvitations", "ram:GetResourceShareAssociations", "ram:ListResourceSharePermissions" ], "Resource": "*" }, { "Sid": "RamAssociateResourceSharePermissionStatement", "Effect": "Allow", "Action": "ram:AssociateResourceSharePermission", "Resource": "*", "Condition": { "StringEquals": { "ram:PermissionArn": [ "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionAmazonDataZoneDomain", "arn:aws:ram::aws:permission/AWSRAMPermissionAmazonDataZoneDomainFullAccessWithPortalAccess", "arn:aws:ram::aws:permission/AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceAccess", "arn:aws:ram::aws:permission/AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceWithPortalAccess" ] } } }, { "Sid": "IAMPassRoleStatement", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonDataZone*", "arn:aws:iam::*:role/service-role/AmazonSageMaker*" ], "Condition": { "StringEquals": { "iam:passedToService": "datazone.amazonaws.com" } } }, { "Sid": "IAMGetPolicyStatement", "Effect": "Allow", "Action": "iam:GetPolicy", "Resource": [ "arn:aws:iam::*:policy/service-role/AmazonDataZoneRedshiftAccessPolicy*" ] }, { "Sid": "DataZoneTagOnCreateDomainProjectTags", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain", "AmazonDataZoneProject" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "DataZoneTagOnCreate", "Effect": "Allow", "Action": [ "secretsmanager:TagResource" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonDataZoneDomain" ] }, "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*", "aws:ResourceTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "CreateSecretStatement", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonDataZone-*", "Condition": { "StringLike": { "aws:RequestTag/AmazonDataZoneDomain": "dzd_*" } } }, { "Sid": "ConnectionStatement", "Effect": "Allow", "Action": [ "codeconnections:GetConnection" ], "Resource": [ "arn:aws:codeconnections:*:*:connection/*" ] }, { "Sid": "TagCodeConnectionsStatement", "Effect": "Allow", "Action": [ "codeconnections:TagResource" ], "Resource": [ "arn:aws:codeconnections:*:*:connection/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "for-use-with-all-datazone-projects" ] }, "StringEquals": { "aws:RequestTag/for-use-with-all-datazone-projects": "true" } } }, { "Sid": "UntagCodeConnectionsStatement", "Effect": "Allow", "Action": [ "codeconnections:UntagResource" ], "Resource": [ "arn:aws:codeconnections:*:*:connection/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": "for-use-with-all-datazone-projects" } } }, { "Sid": "SSMParameterStatement", "Effect": "Allow", "Action": [ "ssm:GetParameter", "ssm:GetParametersByPath", "ssm:PutParameter", "ssm:DeleteParameter" ], "Resource": [ "arn:aws:ssm:*:*:parameter/amazon/datazone/q*", "arn:aws:ssm:*:*:parameter/amazon/datazone/genAI*", "arn:aws:ssm:*:*:parameter/amazon/datazone/profiles*" ] }, { "Sid": "UseKMSKeyPermissionsStatement", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:ResourceTag/EnableKeyForAmazonDataZone": "true" }, "Null": { "aws:ResourceTag/EnableKeyForAmazonDataZone": "false" }, "StringLike": { "kms:ViaService": "ssm.*.amazonaws.com" } } }, { "Sid": "SecurityPolicyStatement", "Effect": "Allow", "Action": [ "aoss:GetSecurityPolicy", "aoss:CreateSecurityPolicy" ], "Resource": [ "*" ], "Condition": { "StringLike": { "aoss:collection": "genai-studio-*" } } }, { "Sid": "GetFoundationModelStatement", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModel", "bedrock:GetFoundationModelAvailability" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "GetInferenceProfileStatement", "Effect": "Allow", "Action": [ "bedrock:GetInferenceProfile" ], "Resource": [ "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] }, { "Sid": "ApplicationInferenceProfileStatement", "Effect": "Allow", "Action": [ "bedrock:CreateInferenceProfile" ], "Resource": [ "arn:aws:bedrock:*:*:application-inference-profile/*" ], "Condition": { "Null": { "aws:RequestTag/AmazonDataZoneProject": "true", "aws:RequestTag/AmazonDataZoneDomain": "false" } } }, { "Sid": "TagApplicationInferenceProfileStatement", "Effect": "Allow", "Action": [ "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:application-inference-profile/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonDataZoneProject": "true", "aws:RequestTag/AmazonDataZoneProject": "true", "aws:ResourceTag/AmazonDataZoneDomain": "false", "aws:RequestTag/AmazonDataZoneDomain": "false" } } }, { "Sid": "DeleteApplicationInferenceProfileStatement", "Effect": "Allow", "Action": [ "bedrock:DeleteInferenceProfile" ], "Resource": [ "arn:aws:bedrock:*:*:application-inference-profile/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonDataZoneProject": "true", "aws:ResourceTag/AmazonDataZoneDomain": "false" } } } ] }
Pertimbangan dan batasan kebijakan
Ada fungsionalitas tertentu yang tidak dicakup oleh AmazonDataZoneFullAccess kebijakan tersebut.
-
Jika Anda membuat DataZone domain Amazon dengan AWS KMS kunci Anda sendiri, Anda harus memiliki izin agar
kms:CreateGrantpembuatan domain berhasil, dankms:Decryptuntukkms:GenerateDataKey, agar kunci itu memanggil Amazon lain DataZone APIs sepertilistDataSourcesdan.createDataSourceDan Anda juga harus memiliki izin untukkms:CreateGrant,,kms:Decryptkms:GenerateDataKey, dankms:DescribeKeydalam kebijakan sumber daya kunci itu.Jika Anda menggunakan kunci KMS milik layanan default, maka ini tidak diperlukan.
Untuk informasi selengkapnya, lihat AWS Key Management Service.
-
Jika Anda ingin menggunakan fungsi peran buat dan perbarui dalam DataZone konsol Amazon, Anda harus memiliki hak administrator atau memiliki izin IAM yang diperlukan untuk membuat peran IAM dan membuat/memperbarui kebijakan. Izin yang diperlukan termasuk
iam:CreateRole,iam:CreatePolicy,iam:CreatePolicyVersion,iam:DeletePolicyVersion, daniam:AttachRolePolicyizin. -
Jika Anda membuat domain baru di Amazon DataZone dengan login AWS IAM Identity Center pengguna diaktifkan, atau jika Anda mengaktifkannya untuk domain yang ada di Amazon DataZone, Anda harus memiliki izin untuk hal-hal berikut:
-
organisasi: DescribeOrganization
-
organisasi: ListDelegatedAdministrators
-
sso: CreateInstance
-
sso: ListInstances
-
sso: GetSharedSsoConfiguration
-
sso: PutApplicationGrant
-
sso: PutApplicationAssignmentConfiguration
-
sso: PutApplicationAuthenticationMethod
-
sso: PutApplicationAccessScope
-
sso: CreateApplication
-
sso: DeleteApplication
-
sso: CreateApplicationAssignment
-
sso: DeleteApplicationAssignment
-
sso-direktori: CreateUser
-
sso-direktori: SearchUsers
-
sso: ListApplications
-
-
Untuk menerima permintaan asosiasi AWS akun di Amazon DataZone, Anda harus memiliki
ram:AcceptResourceShareInvitationizin. -
Jika Anda ingin membuat sumber daya yang diperlukan untuk penyiapan jaringan SageMaker Unified Studio, Anda harus memiliki izin untuk kebijakan berikut dan melampirkanAmazonVpcFullAccess :
-
saya: PassRole
-
pembentukan awan: CreateStack
-
