AWS管理ポリシー: AmazonDataZoneFullAccess - Amazon DataZone
考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS管理ポリシー: AmazonDataZoneFullAccess

AmazonDataZoneFullAccess ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、AWS マネジメントコンソール経由で Amazon DataZone へのフルアクセスを提供します。このポリシーには、暗号化されたAWS SSM パラメータの KMS に対するアクセス許可もあります。SSM パラメータの復号を可能にするには、KMS キーに EnableKeyForAmazonDataZone のタグを付ける必要があります。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • datazone – プリンシパルに、AWS マネジメントコンソール経由で Amazon DataZone へのフルアクセスを付与します。

  • kms — プリンシパルにエイリアスの一覧表示、キーの記述、キーの復号を許可します。

  • s3 – プリンシパルに、Amazon DataZone データを保存するために、既存の S3 バケットの選択および新規作成を許可します。

  • ram – プリンシパルに、AWS アカウント経由での Amazon DataZone ドメインの共有を許可します。

  • iam — プリンシパルに、ロールの一覧表示とパス (渡すこと)、およびポリシーの取得を許可します。

  • sso – プリンシパルに、AWS IAM アイデンティティセンターが有効化されているリージョンの取得を許可します。

  • secretsmanager – プリンシパルに、特定のプレフィックスが追加されたシークレットの作成、タグ付け、一覧表示を許可します。

  • aoss – プリンシパルに OpenSearch Serverless セキュリティポリシーの情報の作成および取得を許可します。

  • bedrock – プリンシパルに、推論プロファイルと基盤モデルの情報の作成、一覧表示、取得を許可します。

  • codeconnections – プリンシパルに、接続の削除、情報の取得、接続の一覧表示、タグの管理を許可します。

  • codewhisperer – プリンシパルに CodeWhisperer プロファイルの一覧表示を許可します。

  • ssm – プリンシパルにパラメータの情報の入力、削除、取得を許可します。

  • redshift – プリンシパルにクラスターの記述、サーバーレスワークグループの一覧表示を許可します。

  • glue – プリンシパルにデータベースの取得を許可します。

このポリシーの許可を確認するには、「AWSマネージドポリシーリファレンス」の「AmazonDataZoneFullAccess」を参照してください。

ポリシーの考慮事項と制限事項

AmazonDataZoneFullAccess ポリシーの範囲に含まれない特定の機能があります。

  • 独自のAWS KMSキーを使用して Amazon DataZone ドメインを作成する場合、ドメインの作成を成功させるkms:CreateGrantには に対するアクセス許可が必要です。そのキーが listDataSourcesや などの他の Amazon DataZone APIs を呼び出すには kms:GenerateDataKeykms:Decryptに対するアクセス許可が必要ですcreateDataSource。また、そのキーのリソースポリシーの kms:CreateGrantkms:Decryptkms:GenerateDataKeykms:DescribeKey へのアクセス許可も必要です。

    これは、デフォルトのサービス所有の KMS キーを使用する場合は必要ありません。

    詳細については、「AWS Key Management Service」を参照してください。

  • Amazon DataZone コンソールで作成および更新ロール機能を使用する場合は、管理者権限か、IAM ロールの作成とポリシーの作成/更新に必要な IAM アクセス許可が必要です。必要なアクセス許可には、iam:CreateRoleiam:CreatePolicyiam:CreatePolicyVersioniam:DeletePolicyVersioniam:AttachRolePolicy へのアクセス許可が含まれます。

  • AWS IAM アイデンティティセンターユーザーログインを有効にして Amazon DataZone で新しいドメインを作成する場合、または Amazon DataZone の既存のドメインに対してドメインをアクティブ化する場合は、次のアクセス許可が必要です。

    • organizations:DescribeOrganization

    • organizations:ListDelegatedAdministrators

    • sso:CreateInstance

    • sso:ListInstances

    • sso:GetSharedSsoConfiguration

    • sso:PutApplicationGrant

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationAccessScope

    • sso:CreateApplication

    • sso:DeleteApplication

    • sso:CreateApplicationAssignment

    • sso:DeleteApplicationAssignment

    • sso-directory:CreateUser

    • sso-directory:SearchUsers

    • sso:ListApplications

  • Amazon DataZone でAWSアカウント関連付けリクエストを受け入れるには、 アクセスram:AcceptResourceShareInvitation許可が必要です。

  • SageMaker Unified Studio ネットワーク設定に必要なリソースを作成する場合は、以下に対するアクセス許可を持ち、AmazonVpcFullAccess ポリシーをアタッチする必要があります。

    • iam:PassRole

    • cloudformation:CreateStack