AWS politica gestita: AmazonDataZoneFullAccess - Amazon DataZone
Considerazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politica gestita: AmazonDataZoneFullAccess

È possibile allegare la policy AmazonDataZoneFullAccess alle identità IAM.

Questa politica fornisce l'accesso completo ad Amazon DataZone tramite Console di gestione AWS. Questa politica prevede anche le autorizzazioni per AWS KMS per i parametri SSM crittografati. La chiave KMS deve essere contrassegnata con EnableKeyForAmazonDataZone per consentire la decrittografia dei parametri SSM.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • datazone— garantisce ai mandanti l'accesso completo ad Amazon DataZone tramite. Console di gestione AWS

  • kms— Consente ai responsabili di elencare gli alias, descrivere le chiavi e decrittografare le chiavi.

  • s3— Consente ai responsabili di scegliere i bucket S3 esistenti o di creare nuovi per archiviare i dati Amazon. DataZone

  • ram— Consente ai mandanti di condividere i DataZone domini Amazon tra. Account AWS

  • iam— Consente ai dirigenti di elencare e assegnare ruoli e ottenere politiche.

  • sso— Consente ai responsabili di ottenere le regioni in cui AWS IAM Identity Center è abilitato.

  • secretsmanager— Consente ai mandanti di creare, etichettare ed elencare segreti con un prefisso specifico.

  • aoss— Consente ai responsabili di creare e recuperare informazioni per OpenSearch le politiche di sicurezza Serverless.

  • bedrock— Consente ai responsabili di creare, elencare e recuperare informazioni per profili di inferenza e modelli di base.

  • codeconnections— Consente ai principali di eliminare, recuperare informazioni, elencare le connessioni e gestire i tag per le connessioni.

  • codewhisperer— Consente ai dirigenti di elencare i profili. CodeWhisperer

  • ssm— Consente ai principali di inserire, eliminare e recuperare informazioni per i parametri.

  • redshift— Consente ai responsabili di descrivere i cluster ed elencare i gruppi di lavoro senza server

  • glue— Consente ai dirigenti di accedere ai database.

Per vedere le autorizzazioni per questa policy, consulta AmazonDataZoneFullAccess nella Guida di riferimento sulle policy gestite da AWS .

Considerazioni e limitazioni relative alle politiche

Ci sono alcune funzionalità che la AmazonDataZoneFullAccess politica non copre.

  • Se crei un DataZone dominio Amazon con la tua AWS KMS chiave, devi disporre delle autorizzazioni necessarie kms:CreateGrant affinché la creazione del dominio abbia successo ekms:GenerateDataKey, kms:Decrypt affinché quella chiave possa richiamare altri Amazon DataZone APIs come listDataSources and. createDataSource Inoltre, devi disporre delle autorizzazioni perkms:CreateGrant, kms:Decryptkms:GenerateDataKey, e kms:DescribeKey nella politica delle risorse di quella chiave.

    Se utilizzi la chiave KMS predefinita di proprietà del servizio, questa non è necessaria.

    Per ulteriori informazioni, consulta AWS Key Management Service.

  • Se desideri utilizzare le funzionalità di creazione e aggiornamento dei ruoli all'interno della DataZone console Amazon, devi disporre dei privilegi di amministratore o disporre delle autorizzazioni IAM necessarie per creare ruoli IAM e creare/aggiornare le politiche. Le autorizzazioni richieste includonoiam:CreateRole,, e autorizzazioni. iam:CreatePolicy iam:CreatePolicyVersion iam:DeletePolicyVersion iam:AttachRolePolicy

  • Se crei un nuovo dominio in Amazon DataZone con l'accesso AWS IAM Identity Center degli utenti attivato o se lo attivi per un dominio esistente in Amazon DataZone, devi disporre delle autorizzazioni per quanto segue:

    • organizzazioni: DescribeOrganization

    • organizzazioni: ListDelegatedAdministrators

    • quindi: CreateInstance

    • sso: ListInstances

    • sso: GetSharedSsoConfiguration

    • sso: PutApplicationGrant

    • sso: PutApplicationAssignmentConfiguration

    • sso: PutApplicationAuthenticationMethod

    • sso: PutApplicationAccessScope

    • sso: CreateApplication

    • sso: DeleteApplication

    • sso: CreateApplicationAssignment

    • sso: DeleteApplicationAssignment

    • cartella sso: CreateUser

    • cartella sso: SearchUsers

    • sso: ListApplications

  • Per accettare una richiesta di associazione di AWS account su Amazon DataZone, devi disporre dell'ram:AcceptResourceShareInvitationautorizzazione.

  • Se desideri creare la risorsa necessaria per la configurazione della rete di SageMaker Unified Studio, devi disporre delle autorizzazioni per la seguente politica e allegareAmazonVpcFullAccess :

    • Io sono: PassRole

    • formazione di nuvole: CreateStack